局部泄露用户的电子邮件地址和兴趣

是一家日常电子邮件通讯服务,可以向您发送“您收件箱中最受欢迎的故事”。yabo88软件下载为了削减局部简短的描述,它将获取从Twitter搜索API提供的任何关键字上的顶部消息,并向您发送每日电子邮件,其中包含顶部链接。该服务还将您的电子邮件地址和兴趣订阅列表泄漏到公共网络上。

更新():主题网站停止运营

局部清楚地想要创造一个无摩擦的服务。注册主题时,没有必需的身份验证。相反,您只需输入您的电子邮件地址,第二天您将收到您的第一封电子邮件。

大多数大型电子邮件列表提供商需要所谓的Double Opt-in他们要求用户在提供任何进一步的电子邮件之前单击确认链接。这样做是为了在电子邮件系统和垃圾邮件分类列表中保持良好的声誉。

每个电子邮件地址都被分配了一个唯一的帐户标识符。该标识符不是通过散列这样的过程从电子邮件地址本身导出(这意味着如果您已经知道电子邮件地址,则不猜到它是不是猜测),而是一种名为UUID版本4的格式的任意标识符。

这样的标识符包含122位随机性,几乎不可能猜测。这个标识符是唯一需要查看电子邮件地址和兴趣所需的内容用户。在安全条件下,帐户标识符(“用户名”)也是帐户秘密(“密码”)

对于Web服务来保持秘密,我们给予他们保留是很重要的。不幸的是,局部渴望创造易于使用和无摩擦的服务意味着秘密根本不能很好地保护。电子邮件中的每个链接都会向自己的网站发送点。

这些链接还包含帐户标识符,使用户能够在没有任何额外步骤的情况下修改其兴趣订阅。主题的网站不使用HTTPS,这意味着帐户标识符在此时已经容易受到攻击者中拦截攻击。

当用户通过与他人共享给他们发送给他们的链接时,实际问题开始。由于链接中包含其独特的帐户身份,因此他们无意中地交出他们订阅的主题列表及其电子邮件地址。yabo88 app

一些类似Google Chrome的Web浏览器,IE浏览器而且Microsoft Edge甚至为各种目的收集用户的浏览历史记录,包括扩展搜索索引。

您还可以通过常规Web搜索引擎找到包含唯一用户标识符和主题用户的电子邮件地址的大量链接集合。

单击主题网站上的其他网站的链接时,帐户标识符也会泄漏。正如我以前讨论过的那样,账户秘密和私人信息可以通过HTTP推荐请求标题泄漏(SIC)。主题是这个问题的一个典范。

您受到了受损的帐户?

用户只能订阅5个主题,其中包含一个电子邮件地址。yabo88 app虽然该服务表明通过使用不同的电子邮件收件员来解决自己的任意限制。

我不确定这是一种误导的努力,人为地增加了投资者的活跃用户数量,或者如果他们确实有稳定的技术原因,为什么用户仅限于每个电子邮件地址的5个主题。yabo88 app我怀疑前者是这种情况。

我找不到任何证据表明主题在保护账户标识符方面取得了任何尝试。它通过不安全的饼干,推荐人标题,以及纯粹的疏忽来泄漏服务。

账户uuids实际上是不可能猜测的。但是,你甚至不需要知道帐户持有人的标识符来进入他们的帐户信息您所需要的只是一个目标的电子邮件地址。鉴于注册的电子邮件地址,您可以在此过程中注册 - 并且在此过程中,服务将查找任何现有帐户并将您登录到它,或者在飞行中创建新帐户。所以,只需通过在某人的电子邮件地址输入服务中,您就会知道哪些主题 - 如果有的话 - 他们已经订阅了。yabo88 app

攻击者可以自由地查看用户的注册电子邮件地址,他们订阅的主题列表,也可以自由地改变目标将收到每日电子邮件更新的主题。yabo88 app

您可以使用此类攻击提高产品发布,推动人们对新软件的关注 - 这是伪装的恶意软件 - 或局部的其他创意利用。

可以做些什么来减少风险?

明显的解决方案是要求用户进行身份验证,但每个人都讨厌密码,并且显然是局部的设计目标,以避免 - 无论成本如何。

可以在许多方面避免泄露账户标识符的风险。首先,通过将所有网站通信移动到HTTPS,以密切关注包含帐户标识符的请求地址或cookie的任何人的中间攻击。

局部发出的电子邮件通讯应该永远不会包含账户令牌。(至少不是一个持久的帐户令牌。)有些人向他们的朋友和同龄人前进通讯。

没有什么可以建议他们不应该像其他其他时事通讯一样从题单转发电子邮件。这只是一个时事通讯,对吗?

任何包含时间限制登录令牌的电子邮件应使用重定向来从URL中删除令牌。这可以像加载一样简单/示例?UID =令牌,设置帐户cookie,然后立即重定向到/例

通过隐藏令牌,您可以降低分类的风险,无论是通过在Twitter上发布到一个单击时,包含HTTP推荐(SIC)请求标头的单击。

最后,您应该指示搜索引擎从不索引包含令牌的页面。这将减少通过“良好”搜索引擎的发现和易于发现帐户。有几种记录的方法可以从搜索引擎中排除一些东西,而是局部没有做任何一个。

它不仅仅是一个人的机智,可以创建一个满足内容的毫无努力的认证要求的服务。但是,您必须投入工作,并测试以确保用户数据不会泄漏。

通过电子邮件通知主题是关于此问题的通知但是没有以任何方式承认这一点。局部是由众多公司之一制作的,其中rincatapp有限公司名称。他们网站上的版权页脚说他们上一条关于推特上的最后一条消息在一年前发布了。该服务似乎被其创造者放弃了。