HTTPS 连接通常可以为用户带来一定程度的私密性和安全性,但是据透露,当用户使用 HTTPS 连接到他们的微软用户帐户页面 Outlook.com 或者 OneDrive.com 的时候,连接泄漏了唯一标识,可用于检索用户姓名和个人资料照片明文。
该漏洞最早发现由北京一位博主发现,然后由 Ars Technica 测试确认。他们表示,捕获连接 Outlook.com 或者 OneDrive.com Windows 帐户页面的数据包,可以显示主机对 DNS 查询请求,格式为 cid- [用户的 CID] .users.storage.live.com。测试还发现,用于确保服务进程安全的传输层安全交换(SNI)的扩展数据当中也包含了用户的 CID 信息。
总之,这意味着,该 CID 可用于检索用户的头像,并且也可以经由 OneDrive 站点用于检索用户的帐户显示名称。通过从微软的 Live 服务与 CID 访问元数据,别人也可以检索有关账户上次访问和创建时间信息。相同的元数据可以曝光与 Live 日历应用程序相关信息,包括用户位置信息。
这类漏洞可能允许其他人使用 CID 作为一个跟踪器,即使在用户使用 Tor 网络连接。从相同的 IP 地址的其它流量来关联对象身份。尽管 Tor 等匿名网络可以掩盖来源点,但是一旦对方脱离 Tor 出口节点,CID 信息可以识别对方身份。
微软发言人告诉 Ars Technica,该公司已经意识到这个问题,并准备进行修正。