现在提供免费Email服务的网站越来越多,国外著名的有Hotmail、NetAddress和Yahoo等等,国内有凯利、163和新开通的263等等。许多网友都申请了免费Email地址,有的甚至有好几个,当你在使用免费Email服务传递重要信息时,是否考虑到了它的安全性问题?
提供免费Email服务的网站都遵循尊重个人隐私权的原则,因此不必担心存放在服务器上的信件被免费服务提供商偷偷阅读。这里所说的安全性问题是指第三方采用各种攻击手段,侵入受害者的信箱并窃取重要信息。由于大多数免费Email都是以WWW方式提供服务,用户使用浏览器连接免费服务提供商的主页,输入用户名和口令后方能进入自己的信箱,在用户选择注销(Logout)之前,浏览器一直可以访问用户的信箱,针对这个过程存在着多种攻击方法。下面以Hotmail为例简单介绍一下这些攻击方法,并给出相应的对策供网友们参考。
·当受害者在某台机器上访问了Hotmail后却忘记了注销,攻击者只需在浏览器的地址栏中键入http://www.hotmail.com/cgi-bin/start/victimsusername就可直接进入受害者的信箱,其中"victimsuername"是受害者的用户名。如果受害者所在网络是通过代理服务器连接至Hotmail的话,攻击者可以在该网络上的任何一台机器上访问受害者的信箱。显而易见,牢记每次收发完邮件后要注销,就是对付这种攻击手段的最好方法。另外,Hotmail已升级了其服务器的软件,当用户超过一定时间不访问信箱后会自动注销,不过笔者认为不再使用Hotmail时就立即注销才是良策。
·攻击者把Hotmail的登录主页保存到本地机器,修改其源码,改变传回用户名和口令的方法(此处不介绍具体方法),然后在浏览器中打开该页,在地址栏中键入http://www.hotmail.com,但不按回车键,看起来就好像浏览器刚刚打开了Hotmail的登录主页;受害者来使用这台机器时可能不加思索地键入用户名和口令并按下登录按钮,修改过的主页会把用户名和口令信息组合在链接地址中,浏览器则会把这个地址存入到历史记录中,攻击者只需查看历史记录就可轻易获得口令。为了对付这种欺骗手段,每次登录时都应重新连接Hotmail,调出新的登录主页。
·如果受害者在查看自己的信件时从Inbox中直接打开每封信(不是用上一封或下一封打开),那么浏览器会把这些信件长期保存在历史记录和缓存中,攻击者可以在脱机方式下查看历史记录,找出受害者的信件。因此,当你在公用的机器上连接Hotmail并接收了重要信息后,应该清除浏览器的历史记录和缓存,以防止别有用心的人查看这些信息。
·另一种类型的攻击方法是向受害者发送欺骗性邮件来骗取口令,例如:攻击者在Hotmail申请一个信箱,用户名取成像Hotmail的技术支持小组一样,然后向受害者发送一封邮件,说Hotmail正在更换服务器等等之类的话,最后要求受害者回复此信,并把他的用户名和口令放在Subject中,往往有不少人相信了并轻易给出了口令。实际上,Hotmail一再强调自己绝对不会通过Email或电话向用户询问口令,如果你有一天接到了此类邮件,一定不要回信。
·除了上面这些手段外,攻击者还可用Telnet到Hotmail的110端口上等方法来猜测受害者的口令。为了提高安全性,你还应该定期更换口令,所取口令的长度要大于6个字符,最好能同时包含大写和小写字母。
前面讨论了使用Hotmail时应注意的安全性问题,这些也基本适用于其它免费Email提供商,所以当网友们使用免费Email服务传递重要信息时应注意安全,必要时可用PGP对信件内容加密。
(责任编辑:zhaohb)
|
· 时代亿信企业级信息安.. · 时代亿信企业级安全电.. · 基于角色的终端安全访.. · Windows年底再现图片漏.. · MBSA本地审核策略建议 · 年终岁末,注意病毒给.. |
· “熊猫烧香”病毒制造.. · 中国黑客超强X档案 第2.. · 中国黑客超强X档案 第2.. · 不错的安全策略设置工具 · IT系统安全白皮书 · 安全产品征稿,确认写.. |
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · SQL Server 2005全解 · ARP攻击防范与解决方案 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · 三层交换技术专题 |
· SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 · Windows操作系统安装 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 黄琨 的博客 |
|
| ·网名接龙--之大话黄琨 ^o^ ·ARP欺骗引发的“冤案”—.. |
·ARP欺骗的原理、步骤和危.. ·利用负载均衡技术针对Web.. |
| 王春海 的博客 |
|
| ·VMware Workstation 6.01.. ·Windows Server 2008 RC0.. |
·ISA Server 2006的全自动.. ·ISA Server、虚拟机、托.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· IT基础教程 · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· AMD三核心处理器解析 痛.. · 服务器基础知识入门 · Rambus第二?看全缓冲内.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
