Все новости от 5 ноября 2001 г. Электронные кошельки Microsoft широко открыты
Ошибки в программе защиты системы аутентификации Microsoft Passport делают финансовую информацию пользователей легко доступной. В пятницу представители компании признали это, причем данное обстоятельство вынудило софтверного гиганта временно закрыть этот ключевой сервис.
В четверг программист из сообщества open-source Марк Слемко (Marc Slemko) продемонстрировал серьезные пробелы в защите Wallet — одного из сервисов службы Passport, который хранит данные, используемые на сайтах электронной коммерции. В тот же день Microsoft отключила этот сервис, что свело на нет недавние попытки компании убедить потребителей в серьезности своих намерений в отношении обеспечения их безопасности.
«С тем примером эксплойта, который я привел, справиться весьма просто, — говорит Слемко. — Но полное устранение уязвимости Passport — чрезвычайно трудная задача».
Отправив пользователю Hotmail специально составленное письмо, Слемко во многих случаях удалось получить неограниченный доступ к финансовой информации адресата, содержащейся в его электронном кошельке, который хранится на серверах Microsoft. Эксплойт использует две так называемые cross-scripting уязвимости. Они проявляются в том, что связи между приложениями, например между сайтом веб-почты и финансовым сайтом, недостаточно надежно защищены.
Слемко сопоставил эти уязвимости с тем фактом, что после регистрации на Hotmail данные авторизации пользователя передаются в другие сервисы Passport — этот процесс может занимать до 15 минут. Если в этот промежуток времени объект читает особым образом составленное письмо, содержащийся в нем код извлекает cookies — записи с идентификационными данными пользователя. С их помощью атакующий может за 15 минут войти в другие сервисы под именем жертвы. «Чтобы додуматься до этого, мне понадобилось около 30 минут, — пишет Слемко в описании своей атаки. — Очевидно, что Microsoft либо не выделила достаточных ресурсов на предварительное обследование защиты своих сервисов и ПО, либо знает об этих недостатках. Корпорация считает, что захватить долю рынка важнее, чем заботиться о безопасности пользователей».
Microsoft признала проблемы защиты, назвав анализ Слемко «правомерным». В четверг компания временно закрыла службу Express Purchase на базе Passport Wallet, предотвратив возможность использования украденной информации, если кражи в действительности имели место.
«Нет никаких свидетельств того, что кто-то действительно воспользовался такой возможностью — и это существенно упрощает дело», — говорит менеджер продуктов из отделения стратегии платформы Microsoft .Net Адам Сон (Adam Sohn).
По его словам, Microsoft планирует сократить время процесса аутентификации примерно до минуты. К тому же Сон утверждает, что атака не может быть успешной, если потенциальная жертва использует Windows XP.
Технология Passport — это ось стратегии Microsoft .Net. Она аутентифицирует каждого человека, который пытается обратиться к той или иной службе через ПО Microsoft.
Поэтому для компании важно, чтобы все работало как следует. Однако Слемко сомневается, что Microsoft удастся добиться этого.
«Сегодня риск для пользователей существенно снижается тем, что действие Passport распространяется не дальше, чем на управление учетными записями Hotmail и персональной настройкой других сайтов Microsoft, — сказал он. — В том же случае, если Passport станет единой службой аутентификации пользователей для всего интернета, последствия ненадежной защиты будут ужасными».
Предыдущие публикации:
В продолжение темы:
|
|
| Skull - sibskullmail.ru 5 Nov 2001 3:33 PM |
Что-то это напоминает лису Алису и кота Базилио из "Буратино". "Несите ващи денежки...". :) |
|
| glassy 5 Nov 2001 7:28 PM |
Ты точно озабоченный ;))))
|
|
| Qrot 5 Nov 2001 9:32 PM |
гм... свидетельств у них нет, что кто-то воспользовался... дык, откуда им взятся-то? получил инфу о креде и использовал в другом месте - и никаких свидетельств. |
|
| Bravo 5 Nov 2001 10:29 PM |
есть - есть свидетельства! а кто меня и других заваливает предложениями получить покупку на свой адрес и переслать по другому? за бакшиш? |
|
| Президент России Владимир Путин - Putinmail.ru 6 Nov 2001 11:30 AM |
cross-site scripting - это когда можно выполнить внедренный код в контексте сайта и большинство сайтов уязвимы к этой проблеме. А не "Они проявляются в том, что связи между приложениями, например между сайтом веб-почты и финансовым сайтом", полный бред!
|
|
| glassy 6 Nov 2001 3:35 PM |
Сама новость вызовет повышенный интерес к взлому веб-сервисов. Ждите "Microsoft отказалась от .Net" через пару месяцев. |
|
| vIv 6 Nov 2001 6:16 PM |
2glassy такого не будет - лемминги привыкли к глюкам и багам. они уверены, что часть денег обязательно надо терять ;-) |
|
| glassy 7 Nov 2001 2:52 PM |
А М$ |
|
| glassy 7 Nov 2001 2:53 PM |
? |
|
| vIv 8 Nov 2001 9:28 AM |
а МСы дадут им новую, - "более правильную", - бирюльку, за которую "уж в этот-то раз деньги точно будут вложенны более правильное, чем раньше" ;-) |
|
|