现在提供免费Email服务的网站越来越多,国外著名的有Hotmail、NetAddress和Yahoo等等,国内有凯利、163和新开通的263等等。许多网友都申请了免费Email地址,有的甚至有好几个,当你在使用免费Email服务传递重要信息时,是否考虑到了它的安全性问题?
提供免费Email服务的网站都遵循尊重个人隐私权的原则,因此不必担心存放在服务器上的信件被免费服务提供商偷偷阅读。这里所说的安全性问题是指第三方采用各种攻击手段,侵入受害者的信箱并窃取重要信息。由于大多数免费Email都是以WWW方式提供服务,用户使用浏览器连接免费服务提供商的主页,输入用户名和口令后方能进入自己的信箱,在用户选择注销(Logout)之前,浏览器一直可以访问用户的信箱,针对这个过程存在着多种攻击方法。下面以Hotmail为例简单介绍一下这些攻击方法,并给出相应的对策供网友们参考。
·当受害者在某台机器上访问了Hotmail后却忘记了注销,攻击者只需在浏览器的地址栏中键入http://www.hotmail.com/cgi-bin/start/victimsusername就可直接进入受害者的信箱,其中"victimsuername"是受害者的用户名。如果受害者所在网络是通过代理服务器连接至Hotmail的话,攻击者可以在该网络上的任何一台机器上访问受害者的信箱。显而易见,牢记每次收发完邮件后要注销,就是对付这种攻击手段的最好方法。另外,Hotmail已升级了其服务器的软件,当用户超过一定时间不访问信箱后会自动注销,不过笔者认为不再使用Hotmail时就立即注销才是良策。
·攻击者把Hotmail的登录主页保存到本地机器,修改其源码,改变传回用户名和口令的方法(此处不介绍具体方法),然后在浏览器中打开该页,在地址栏中键入http://www.hotmail.com,但不按回车键,看起来就好像浏览器刚刚打开了Hot