Bezpieczeństwo protokołu HTTP jest dziś palącą kwestią. Użytkownicy oczekują odpowiedniego poziomu zabezpieczeń i prywatności, gdy w grę wchodzi dostęp do usług i serwisów online. Sądzisz, że wszystkie twoje dane są odpowiednio zaszyfrowane, kiedy korzystasz z webowego klienta poczty? Niekoniecznie. Dowiedziono, że podczas połączenia z kontem Microsoft, także w serwisach Outlook.com czy OneDrive.com i za pośrednictwem HTTPS, unikatowy identyfikator użytkownika może zostać łatwo przechwycony.
Co to oznacza? Mając dostęp do identyfikatora w formie ciągu znaków (bez szyfrowania), możliwe jest pozyskanie nazwiska (czy raczej podanej nazwy użytkownika) i jego zdjęcia profilowego. Zostało to dowiedzione przez pewnego blogera z Pekinu. Sprawę zbadał portal ArsTechnica, który następnie napisał: "Przechwycone pakiety z połączeń z Outlook.com, stroną konta Windows i OneDrive.com ujawniają zapytania DNS o hosta z formatem cid-[CID użytkownika].users.storage.live.com". Wiadomo również, że CID jest osadzony w rozszerzeniu SNI (Server Name Indication), standardowo przesyłanym w ramach "powitania" Transport Layer Security, które zabezpiecza sesje w wybranych serwisach.
Mając dostęp do identyfikatora, teoretycznie mamy również dostęp do metadanych z serwisu Microsoft Live. Informacje, które można w ten sposób uzyskać, to nie tylko nazwa użytkownika i jego zdjęcie profilowe, lecz również data ostatniego logowania i utworzenia konta. Prawdopodobnie najbardziej wrażliwe dane to te, powiązane z aplikacją Live Calendar. Gdy znajdą się w niepowołanych rękach, możliwe jest ustalenie lokalizacji użytkownika. Ten rodzaj podatności pozwala śledzić ofiarę, nawet gdy ta posługuje się siecią TOR. Możliwe jest także powiązanie tożsamości użytkownika z adresem IP. Gdy korzysta on z sieci TOR, zlokalizowanie jej węzła nie powinno stanowić problemu. Podobnych scenariuszy może być teoretycznie dużo więcej.
Rzecznik prasowy Microsoftu potwierdził, że firma jest świadoma istnienia podatności i przygotowuje odpowiednią poprawkę.
341f31d.png)