今天早上,收到了吴鲁加发来的邮件,他给我看了他写得
blog,关于365kit的。
昨天写到了“用户在教育我们”,今天就得到了新的教育。鲁加是安全专家,这方面确实是我们做得不够的。受教了。我们得到了一次免费的安全咨询。赚到了:D
365kit上线以来,我们得到了3份非常有价值的测试建议。第一份是吕欣欣的,从应用,从功能,甚至网站细节,种种方面都提出了很好的建议。第二份是昨天晚上我的一个朋友发来的,和欣欣的类似,但她作为普通用户,对用户感受提得更多。今天早上得到了鲁加的,是第三份,关于安全。
好了,具体说说鲁加提出的意见吧,透明化是我们要坚持的。一切问题,我们都愿意放在大家面前谈,以便让大家放心。
看鲁加提出的几个问题:
1、365kit 走的是 HTTP 协议,所有数据传送全部明文,局域网内容易被人窃听密码和数据(例如,这样就是访问我建的一个用户数据,并不需要客户端)。没有验证码,容易被人暴力猜测口令;
这是个问题。其实最开始是采用https协议的,不过因为传输数据量太大,https比较慢,再考虑到因为需要outlook,事实上用户都应该是在安全的地方使用365kit(家里或是公司的计算机上),这个威胁并不大,所以最后发布的时候改成了http。现在我们正在做新的协议,提高效率,降低数据传输,这样,就可以采用https的安全连接了。大概1-2周后,新版本就会发布出来,客户端默认采用https连接,通过web访问的用户我们也将强烈建议使用https连接。
2、在通讯薄填入超长用户名(我测试的是 256 位)可能导致 365kit & outlook 崩溃,那么至少恶意好友能够利用网络更新的机会溢出你的机器。
这个我没测试出来。我的outlook只允许我输入255个字符,且没有崩溃。我给鲁加发了邮件,详细询问此问题,收到回复后再写吧。
3、在安装目录下存在365kit.dat文件,默认保存登陆信息(启动 outlook 后并不需要每次输入密码),如果被窃取可能导致数据泄露;
是的,所有客户端应用几乎都会碰上这个难题。无论是qq,msn还是ie,firefox。其实这和cookies是一样的,cookies也容易被盗取,但用户照样乐此不疲——方便。或许365kit的客户端应该提供一个“不要保存密码”的选项?
4、部份 web 程序还存在问题,利用得当,说不定也能获取更多信息,比如点这里会出现500错误。
这个地方,鲁加高估我了。这是个错误,但并非鲁加猜测的字段超常导致的溢出,而是程序捕捉到了错误,输出错误,格式化信息的时候出的错。这地方不存在溢出问题,但出错的原因确实比较可笑。已经修正了。
5、可以暴力猜测目标的注册邮箱
这个......除非给每人随机分配一个号码,否则总是难以防止被猜测。但用号码的方式实在太不友好了。365kit通过隐私级别来控制。如果用户默认设置的是允许察看最少信息,那么其他用户猜测到了,加入联系人了也没什么用处。
另外,过几天的新版会加入验证码功能。
安全永远是最大的威胁,没有什么系统可以说完全没问题,也没有什么方法可以一劳永逸的解决问题,只能不断的发现,完善,
发现,完善。让我们共同努力吧!
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=483013