Webmail攻防实战(8)

  浏览器的漏洞和恶意脚本程序导致了cookie信息的泄漏,与cookie信息泄漏不同,URL会话信息被泄漏,则是完全出在HTTP协议上,除非修改HTTP协议。虽然RFC2616里指出referer域是敏感信息(Sensitive Information),建议浏览器提供友好界面让用户能够允许或禁用传输敏感信息域,不过目前尚未有哪一家浏览器提供了这样的功能界面。


  可见,无论是cookie会话跟踪还是URL会话跟踪,都存在着不少的安全问题,所以WebMail系统有必要采取措施加强会话安全:


  (1) 灵活使用会话跟踪技术:客户端支持cookie时,使用相对比较安全的临时型cookie会话跟踪机制,否则,使用URL会话跟踪,JSP等开发程序能很容易做到这一点。


  (2) 结合多种会话跟踪技术:同时结合cookie、URL会话跟踪技术进行会话跟踪,大大增加攻击者难度。


  (3) 跟客户端IP地址相结合:21cn.com、qmail的sqWebMail等WebMail系统,就是把当前会话与客户端IP地址结合在一起来加强安全的。


  (4) 合理设置会话超时时间:在一定时间内客户端没有连接请求则认为会话超时(timeout)。太短了,给用户带来不便;太长了,给攻击者带来方便。


  七、WebMail其他安全


  如果用户在WebMail里设置了自动回复,攻击者利用这一点,在另一个邮箱里也设置自动回复,并发一封邮件给用户,那么邮件很快就会塞满用户的邮箱,迫使用户不得不取消自动回复,所以,良好的自动回复策略应该是在一定时间内来自同一邮件地址的第二封邮件不应该被自动回复。


  攻击者还会在邮件附件中夹带病毒、木马等恶性程序来攻击用户的电脑,甚至用来窃取WebMail密码,所以,对于不明邮件,用户不要奢望那是攻瑰和情书,在对附件进行病毒查杀之前,不要轻易打开它的附件。


  为了防止垃圾邮件,WebMail系统应有良好的反垃圾邮件功能,一是系统级的垃圾邮件过滤,对一些被投诉和列入反垃圾邮件组织黑名单的邮件地址进行过滤,二是用户级的垃圾邮件过滤,使WebMail用户可以定制自己的邮件过滤规则,拒绝不受欢迎的邮件,免受垃圾邮件的困扰。


  使用一些嗅探监听程序,攻击者甚至不需要很高深的专业知识,就能很轻易地嗅探监听到用户WebMail的密码、邮件内容等。有一个叫“密码监听器”的黑客程序,几乎能监听到国内所有免费邮箱的密码。所以,WebMail系统有必要支持SSI,对浏览器与服务器之间传输的数据进行加密,防止被嗅探监听。

  一些WebMail系统支持数字签名和数字加密,在WebMail内可以导入基于公钥加密机制(如CA认证中心颁发的数字证书)产生的公私密钥对,能有效地保证邮件的保密性、完整性和不可抵赖性,不过,鉴于WebMail在其他方面的安全问题,一旦攻击者侵入用户的WebMail,用户反而得不偿失,甚至会导致私钥的泄漏。


  WebMail系统程序上的漏洞也值得关注,如IMHO WebMail远程帐户劫持漏洞、BasiliX WebMail远程任意文件泄露漏洞、W3Mail WebMail执行任意命令漏洞等,甚至21cn.com都曾有过重要路径泄漏漏洞。


  从上面我们可以看到,WebMail的安全问题不容乐观,如果要较好地解决它,一方面要增强WebMail系统的安全性,另一方面则依赖于用户对WebMail的正确使用,这些在上面都有讨论,在此就不赘述。如果用户在正确使用WebMail后仍然存在安全问题,那么剩下的,就是去选择一个好的邮件服务商,或者通过邮件客户端软件来收发邮件,不过,使用outlook等邮件客户端软件又会引发其它的安全问题,例如爱虫、求职信等病毒就是利用outlook的漏洞来扩散传播和危害用户的。