近日某安全研究员发现自己的微软邮箱莫名注册了一些平台的账号,仔细调查后发现了惊天大秘密。
这些平台对他自然不陌生,是他进行安全测试时用邮箱进行了账号申请,但并未进行验证和确认,当再次进入时却发现账号验证完毕。循着这个线索,他把目标定在了平台向邮箱发送的确认链接,最后调查发现果然如此。如同某些Wordpress后台插件会对内容超链进行静默域名解析,Bing引擎也会对用户邮箱里收到的邮件中的链接进行索引,索引完成后机械的访问就导致了账号注册的确认,是否成功带有一定随机性,要看是索引访问先还是令牌过期先。好在从安全性考虑,只是注册一个自己邮箱的空账号并不会有安全上的问题,但是带来的隐私问题切实存在。不管是微软还是平台都要考虑下隐私安全和验证策略。[阅读原文]
发表评论
您还未登录,请先登录。
登录