https連接配接通常可以為使用者帶來一定程度的私密性和安全性,但是據透露,當使用者使用https連接配接到他們的微軟使用者帳戶頁面outlook.com或者onedrive.com的時候,連接配接洩漏了唯一辨別,可用于檢索使用者姓名和個人資料照片明文。
該漏洞最早發現由北京一位部落客發現,然後由ars technica測試确認。他們表示,捕獲連接配接outlook.com 或者onedrive.com windows帳戶頁面的資料包,可以顯示主機對dns查詢請求,格式為cid- [使用者的cid] .users.storage.live.com。測試還發現,用于確定服務程序安全的傳輸層安全交換(sni)的擴充資料當中也包含了使用者的cid信 息。
總之,這意味着,該cid可用于檢索使用者的頭像,并且也可以經由onedrive站點用于檢索使用者的帳戶顯示名稱。通過從微軟的 live服務與cid通路中繼資料,别人也可以檢索有關賬戶上次通路和建立時間資訊。相同的中繼資料可以曝光與live月曆應用程式相關資訊,包括使用者位置信 息。
這類漏洞可能允許其他人使用cid作為一個跟蹤器,即使在使用者使用tor網絡連接配接。從相同的ip位址的其它流量來關聯對象身份。盡管tor等匿名網絡可以掩蓋來源點,但是一旦對方脫離tor出口節點,cid資訊可以識别對方身份。
微軟發言人告訴ars technica,該公司已經意識到這個問題,并準備進行修正。
