為了保護使用者連線安全,建立連線時使用 HTTPS 是必然之選,但即使用了 HTTPS 也不是無憂無慮。最近發現即使用家透過 HTTPS 連線至 Microsoft 帳戶頁、Outlook.com 或 Onedrive.com 時,仍會泄露用家的唯一標式符(unique identifier),其他人可從中獲得姓名和個人頭像。
用 CID 偷取用戶名稱和個人頭像
雖然有使用 HTTPS,但唯一標式符,即 CID 仍然泄露。原因是 CID 是以 DNS lookup 的一部分傳送,DNS lookup 會尋找儲存了個人資料的伺服器的地址; CID 也是加密連線初始化的一部分。所以,當用家透過電腦或流動裝置連接服務時,CID 就可以追蹤用家個人資料。
外國媒體 Ars Technica 做了一次實驗,證實了這個方法。從與 Microsoft 帳戶頁、Outlook.com 或 Onedrive.com 連線截獲的封包(packet)中,可以看到 DNS lookup 請求是以 cid-[用家的 CID ].users.storage.live.com 呈現。在 TSL 進行「交握」(handshake)交換資料時,CID 也會在 Server Name Indication(SNI)中顯示。
CID 可以獲得用家的個人頭像;透過 OneDrive 也可以獲得用家的展示名稱。如果人們以 CID 讀取於 Microsoft Live 服務的元數據(Metadata),也可以得到帳戶的建立和最後登入日期,相同的元數據也可以泄露 Live Calendar 的資料。微軟指他們已知悉事件,並準備回應。
Source : Ars technica