AT&T实验室的研究人员鲁宾和大卫发现,已经在数十家在线商店中得到应用的微软Passport服务存在着巨大的安全隐患。
他们二人曾在2000年7月份的《IEEE计算机网络上》讨论了这一问题,在第一 次发表时,没有引起多少注意。直到一个匿名的读者在上周末向Slashdot.org提 交了一个指向该文章的链接,这一问题才引起人们的注意。
问题发生在用户结束使用这一服务时,可能导致没有被授权的人使用另一个 Passport会员的帐户。鲁宾和大卫还在文章中指出,由于Passport是一种“集中 式”的服务,因此,可能是Dos攻击的理想目标。
微软的官员目前还没有就这一问题发表评论。
据Passport网站上的资料称,Passport的目的是使会员在使用互联网和在线 购物时更方便、快捷和安全,它得到了包括CostCo、OfficeMax和Victoria Secret在内的诸多著名在线商店的支持。
鲁宾表示,尽管微软的服务是基于XML而不是传统的HTML,但仍然存在安全隐患。Passport的确很棒,但它使用的协议导致了整个系统的风险性。
鲁宾还说,在去年,他们就此事与微软接触时,微软的一名官员表示,这与 Passport无关,是由互联网的本质决定的。
|