Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

我本以为 Windows Live Wave3 正式发布了吧,已知的 Bug 应该解决了吧,再退一步说,至少明显、严重的 Bug 及安全隐患应该全部解决、消除了吧,但事实并非如此。

07 年的今天(3 月 29 日),Pal 最初发现了这个问题 – 通过不存在的 Email 地址发送 Email 邮件。过了一年多即 08 年中旬,尽管我们和 Kip 一起向 Windows Live Hotmail 团队提交了这个 Bug,并且他们也在 1 个工作日里采用了临时解决方案,但当时并未引起 Windows Live Hotmail 及 Mail 团队的太多响应。

09 年 3 月 29 日,我出于好奇再次尝试了那个涉及 Windows Live Hotmail(我认定是 Hotmail 的问题)及 Windows Live Mail 的 Bug,看下图大家就应该能明白了(点击以显示原图),同时请注意橙色边框中的内容:

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

足够清楚额?恩,我的确用了不存在的 Email 地址([email protected])发送了邮件,并且 Windows Live Hotmail 和 Mail 没有明显提供任何可以帮助用户作出判断的信息。若不信,推荐留言要求我发送一封 LiveSino 的广告邮件以亲身体验。

更严重的问题是,该安全隐患的根源并没有得到解决,我仍然可以利用 Hotmail 根据想象利用根本不存在的 Email,比如:[email protected],甚至发送带有欺诈性质的邮件内容(出于此点我不公开方法,也请不要问我具体方法)。

我得说明的是,查看邮件源的确可以识别该问题,但真正有多少收件人会如此谨慎呢?事实上,无论是 Hotmail, Gmail, Yahoo! Mail, QQ Mail 等的用户,都可能受到这一问题的威胁(若有涉及产品的官方人士,可以留言,我会协助),如下图:

Windows Live Hotmail 及 Mail 的安全隐患,两年后仍在?

这是偶然事件?再讲一则更古老的趣事。

Windows Live Messenger 8.0 Beta3 刚推出那时,我偶然间撞上了个能够通过 Windows Live Spaces 地址找 Windows Live ID 的 Bug,并需要配合 Windows Live Messenger 一起才能撞上,同时我也认定问题是出在 Messenger 上。

那时的我竟幼稚到通过 feedback.live.com 反馈了该 Bug,并且充满期待地等着 Windows Live Messenger 8.0 Final,不过最后连 8.0 Final 更新版也未修复该 Bug。好在过了一年后,终于在 Windows Live Messenger 8.5 中证实被修复。

讽刺的是,当我用该 Bug 联系了 Messenger 和 Spaces 团队的大部分 PM 之后,他们才开始调查,修复该 Bug 耗时近半年

比起 Windows Live 服务 Spam 猖獗的现象,我更不能理解的是为何如此明显、况且已经直接交涉过的安全隐患却被搁置叻如此之久。Hotmail 项目经理 Omar Shahine 的 Email 也曾经被劫持过了,Windows Live 团队是该有些长进了吧,但好像我还没看出来有多少进步。

直达:微软中国官方商城 - 购买 Surface、Xbox 和配件促销

12 条评论
  • stardust

    莫非退信问题还没解决?不记得非outlook的客户端会不会用**@xx.com代表***@xx.com的邮件头了。web的hotmail里面应该会有这样的显示的。是哦不可能让每封信都去看它的邮件头源码。

    2009 年 03 月 29 日 4:36 下午 回复

    • Picturepan2

      @stardust 没额,Web 版的现在又没叻。。

      2009 年 03 月 29 日 7:28 下午

  • 蓝蓝小雪

    我想知道这是怎么弄的……给我发一份看看……

    2009 年 03 月 29 日 4:51 下午 回复

  • 阳光男孩

    自己搭建一个SMTP服务器,都可以这样发邮件。 你凭什么说这个邮件是Hotmail发出来的?

    2009 年 03 月 29 日 4:56 下午 回复

    • Picturepan2

      @阳光男孩 您的意思是,Hotmail 没问题? 好吧。。官方来的人总没错的。。还要我改文章额?

      2009 年 03 月 29 日 7:31 下午

  • TurnRight W.

    这个是Send and receive mail from other e-mail accounts的BUG吧?老毛病了,早就不抱希望他们会fix了。 本身这个不应该不被报警,可是hotmail的server又有send id,结果就这样了,可见send id也是挺愚蠢的

    2009 年 03 月 29 日 9:30 下午 回复

    • Picturepan2

      @TurnRight W. 关键问题,在验证归属那一步上犯下的错误是很严重的。。

      2009 年 03 月 29 日 9:39 下午

  • Amai

    记得最初在韩国上学的时候发现一个很让自己惊讶的事儿: 那儿的手机都可以很简单地把自己的发信号码删掉,发送匿名短信。 更严重的是,还可以假冒别人的手机号来发送信息 -.-| 有次我问怎么可以这样,网络一哥们儿说,终端上显示的是一回事,中心记录是另一回事儿。 一看这bug,我一下就跑题想起来这个了.......

    2009 年 03 月 29 日 11:37 下午 回复

  • mynetx

    我认为这个问题是重现大部分电子邮件服务提供商和决算。我会抓住你的调查结果,并谈论他们在我的博客上以及在的Windows Live会所。

    2009 年 03 月 30 日 12:19 上午 回复

  • 大帝007

    我尻,这个还没解决,看样大家都用几个微软的账号给比尔盖茨多发些邮件了,呵呵

    2009 年 03 月 31 日 12:16 上午 回复

  • Scott Xu

    I have reported this bug to window live experience. The PMs focus on this now.

    2009 年 04 月 09 日 11:04 上午 回复

发表评论