Bij het dichten van een door de Nederlander Alex de Vries ontdekt lek in Hotmail heeft Microsoft half werk afgeleverd. Andermans Hotmail overnemen is nog steeds mogelijk.
“Hotmail is nog steeds kwetsbaar voor dit soort aanvallen”, aldus De Vries. “De exploit die ik publiceerde, hebben ze vrij snel opgelost, maar de algemene veiligheid van MSN-sites laat nog op zich wachten.”
De Vries publiceerde begin deze maand over een cross site scripting (xss) lek bij Hotmail waarbij werd gebruikgemaakt van de site http://ilovemessenger.msn.com. Microsoft besloot daarop de betreffende site offline te halen. Volgens De Vries zijn er echter nog diverse andere MSN-sites die kunnen worden misbruikt bij een aanval op Hotmail.
De Vries’ lezing wordt bevestigd door beveiligingsexpert Martijn Brinkers. Brinkers ontdekte diverse xss-exploits op verschillende MSN-sites. Ook bij Yahoo Mail ontdekte Brinkers onlangs een xss-exploit. Yahoo reageerde snel en zegt het probleem inmiddels te hebben verholpen.
De Vries heeft flinke bedenkingen over de beveiliging van Hotmail. “Ik betwijfel of Hotmail ooit veilig zal zijn voor dit soort aanvallen. Mijn advies aan Microsoft is dan ook om Hotmail en de MSN-sites in de prullenbak te gooien en het van de grond af aan weer op te bouwen. Ik hoop dat ze de programmeurs dit keer genoeg tijd geven om hun werk door te lopen op beveiligingsfouten.”
Single sign on
Volgens Brinkers zijn zulke drastische maatregelen niet nodig. Hij wijst er op dat MSN en Yahoo veel problemen kunnen voorkomen als ze beter omspringen met het principe van ‘single sign on’ (sso).
Dit principe houdt in dat een gebruiker die inlogt bij Hotmail of Yahoo, meteen toegang krijgt tot alle beveiligde delen van het Hotmail- en Yahoo-domein. Gebruikers krijgen bij het inloggen een cookie op hun pc waardoor ze zich maar één keer hoeven aan te melden om toegang te krijgen tot alle Hotmail- en Yahoo-sites.
“De sso-functie is eenvoudig voor gebruikers van MSN en Yahoo. Het nadeel is echter dat deze portals nu zo groot zijn geworden dat de kans op het maken van een xss-fout zeer groot is”, stelt Brinkers. “Een kleine fout in bijvoorbeeld een Koreaanse MSN-pagina kan ervoor zorgen dat het Hotmail-account van een Nederlandse gebruiker wordt gehackt.”
“Sso hoeft niet tot problemen te leiden, zolang het maar goed wordt gedaan”, meent Brinkers. “Het zou al een stuk veiliger worden als Hotmail en Yahoo per subdomein andere cookies verstrekken aan hun gebruikers.” De toegangscode (cookie) voor een Koreaanse MSN-site is dan anders dan de toegangscode voor Hotmail.