12

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

我本以为 Windows Live Wave3 正式发布了吧,已知的 Bug 应该解决了吧,再退一步说,至少明显、严重的 Bug 及安全隐患应该全部解决、消除了吧,但事实并非如此。

07 年的今天(3 月 29 日),Pal 最初发现了这个问题 – 通过不存在的 Email 地址发送 Email 邮件。过了一年多即 08 年中旬,尽管我们和 Kip 一起向 Windows Live Hotmail 团队提交了这个 Bug,并且他们也在 1 个工作日里采用了临时解决方案,但当时并未引起 Windows Live Hotmail 及 Mail 团队的太多响应。

09 年 3 月 29 日,我出于好奇再次尝试了那个涉及 Windows Live Hotmail(我认定是 Hotmail 的问题)及 Windows Live Mail 的 Bug,看下图大家就应该能明白了(点击以显示原图),同时请注意橙色边框中的内容:

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

足够清楚额?恩,我的确用了不存在的 Email 地址(picturepan2@microsoft.com)发送了邮件,并且 Windows Live Hotmail 和 Mail 没有明显提供任何可以帮助用户作出判断的信息。若不信,推荐留言要求我发送一封 LiveSino 的广告邮件以亲身体验。

更严重的问题是,该安全隐患的根源并没有得到解决,我仍然可以利用 Hotmail 根据想象利用根本不存在的 Email,比如:picturepan2@google.com,甚至发送带有欺诈性质的邮件内容(出于此点我不公开方法,也请不要问我具体方法)。

我得说明的是,查看邮件源的确可以识别该问题,但真正有多少收件人会如此谨慎呢?事实上,无论是 Hotmail, Gmail, Yahoo! Mail, QQ Mail 等的用户,都可能受到这一问题的威胁(若有涉及产品的官方人士,可以留言,我会协助),如下图:

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

这是偶然事件?再讲一则更古老的趣事。

Windows Live Messenger 8.0 Beta3 刚推出那时,我偶然间撞上了个能够通过 Windows Live Spaces 地址找 Windows Live ID 的 Bug,并需要配合 Windows Live Messenger 一起才能撞上,同时我也认定问题是出在 Messenger 上。

那时的我竟幼稚到通过 feedback.live.com 反馈了该 Bug,并且充满期待地等着 Windows Live Messenger 8.0 Final,不过最后连 8.0 Final 更新版也未修复该 Bug。好在过了一年后,终于在 Windows Live Messenger 8.5 中证实被修复。

讽刺的是,当我用该 Bug 联系了 Messenger 和 Spaces 团队的大部分 PM 之后,他们才开始调查,修复该 Bug 耗时近半年

比起 Windows Live 服务 Spam 猖獗的现象,我更不能理解的是为何如此明显、况且已经直接交涉过的安全隐患却被搁置叻如此之久。Hotmail 项目经理 Omar Shahine 的 Email 也曾经被劫持过了,Windows Live 团队是该有些长进了吧,但好像我还没看出来有多少进步。

12 条评论

发表评论

您正在使用 IE 6 浏览器访问本博客。简单几步,您就可以升级:Internet Explorer

X