为了保护使用者连线安全,建立连线时使用 HTTPS 是必然之选,但即使用了 HTTPS 也不是无忧无虑。最近发现即使用户透过 HTTPS 连线至 Microsoft 账户页、Outlook.com 或 Onedrive.com 时,仍会泄漏用户的唯一标式符(unique identifier),其他人可从中获得姓名和个人头像。
用 CID 偷取用户名称和个人头像
虽然有使用 HTTPS,但唯一标式符,即 CID 仍然会外泄。原因是 CID 是以 DNS lookup 的一部分传送,DNS lookup 会寻找储存了个人资料的服务器地址,CID 也是加密连线初始化的一部分,所以,当用户透过电脑或行动装置连接服务时,CID 就可以追踪用户个人资料。
外国媒体 Ars Technica 做了一次实验,证实了这个方法。从与 Microsoft 账户页、Outlook.com 或 Onedrive.com 连线截获的封包(packet)中,可以看到 DNS lookup 请求是以 cid-[用户的 CID ].users.storage.live.com 呈现。在 TSL 进行“交握”(handshake)交换资料时,CID 也会在 Server Name Indication(SNI)中显示。
CID 可以获得用户的个人头像;透过 OneDrive 也可以获得用户的展示名称。如果人们以 CID 读取于 Microsoft Live 服务的元数据(Metadata),也可以得到账户的建立和最后登入日期,相同的元数据也可以泄露 Live Calendar 的资料。微软指他们已经知道这件事,并准备回应。
- Microsoft sites expose visitors’ profile info in plain text
(本文由 Unwire Pro 授权转载)