• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

Webmail安全问题莫忽视

发布: 2007-7-02 21:50 | 作者: admin | 来源: | 查看: 10次 | 进入软件测试论坛讨论

领测软件测试网 1. 什么是Webmail?

    收发邮件有2种方式,一种是通过Outlook Express, Foxmail等客户端软件邮件;另外一种是登陆服务商的站点收发邮件,后者,我们称为Webmail。

2. 那些服务商提供Webmail服务?

    大部分国内的门户站点都提供Webmail服务,因为只有登陆Webmail才可以修改邮箱密码,设置自动转发,自动回复等。但是各个服务商提供的Webmail质量却大不相同,一般来说,门户站点,专业的邮箱服务商提供的Webmail会比较完善,支持多语言,安全性也较好;随赠送的邮箱的Webmail会比较简陋,中文支持不好,安全漏洞也多。

3. Webmail的优点和缺点?

    Webmail与Outlook Express和Foxmail等客户端软件比较,其优点在于:
    a. 可以随时随地收发邮件,不受PC机环境的影响,适合在公司局域网外收发邮件;
    b. 在Webmail可以修改密码,设置自动转发,自动回复等;
    c. 每次登陆都要求输入账号密码,所以不容易忘记密码;
    d. 在Webmail可以了解邮箱已使用容量,及时清理邮箱,防止爆满;
    e. 可以设定邮件过滤规则,直接在服务器端拒收垃圾邮件;
    f. 邮件发送速度比通过Outlook Express和Foxmail等要快捷。
    Webmail虽然简单易用,但是它仍然有不少的缺陷
    a. 大部分服务商Webmail的密码保护能力较弱;
    b. 不可以很方便的管理多个邮箱,集中保存信件;
    c. 缺少第三方软件的支持,邮件备份等功能很难实现;
    d. 如果是免费的Webmail,则不可避免的会比Outlook, Foxmail用户面对更多的广告;
    e. 多语言支持能力不如Outlook (Express),经常有乱码现象;
    f. HTML邮件编辑功能较弱。

4. Webmail存在哪些安全隐患?

    现在我们集中来讨论一下Webmail的安全问题,微软的IE浏览器功能非常强大,容错性极高,但是同时也带来了安全方面的隐患,不断的有IE的安全漏洞被公布,随之而来的是针对这些漏洞的邮件病毒,所以Webmail的安全威胁之一来源于HTML邮件,这些邮件里面可能含有病毒代码,也有可能含有能够修改用户的自动转发等属性的黑客代码。
    早期的门户站点提供的Webmail有一个著名的漏洞,就是可以通过在Email中嵌入JavaScript代码,发送给某人,收件人如果在Webmail阅读此信则JavaScript代码会被执行,执行的效果是修改了收件人的自动转发属性到一个特定的地址。
这个漏洞在各大学的BBS公布后,门户站点很快修补了此漏洞,以后在Webmail读信时JavaScript等Script代码会被屏蔽,以确保安全性。
    尽管如此,黑客们仍然可以利用一些HTML的高级技巧间接的嵌入一些有害的JavaScript代码,例如臭名昭著的蠕虫病毒尼姆达就是利用HTML中的IFrame语法进行传播,当时就有大量的Webmail用户受到感染,所以之后某些站点的Webmail对Iframe,Frameset等代码也进行了过滤。
    Webmail的安全威胁之二来自非法的网络窃听软件,这些软件会窃听网络上传输的数据,分析其中的网址甚至是包含的账号密码,提留黑客认为用利用价值的数据,然后伺机发送攻击。为了防止黑客截取了用户登陆Webmail后的一些网址(URL),专业的Webmail服务商都会使用网址(URL)与IP、Cookie绑定的安全登陆方式,从而防止黑客窃取网址后在其他机器登陆;为了确保安全,这些Webmail网址都具有时效性,一般半小时后就会失效,点击"退出"按钮也会让这些网址马上失效,一些粗心的Webmail用户,喜欢通过直接关闭浏览器,而不是点击Webmail的"退出"按钮退出Webmail。这样可能造成一个问题:别人在历史记录找到尚未失效的的网址,进入该用户的Webmail界面。这种问题是经常发生在公用的电脑上的。
    因为浏览网页最常用的HTTP协议是明文协议,所以黑客有可能在网关或者路由器上获得用户的账号和密码,这个是更大的安全威胁,要避免这个安全隐患就要求使用加密的HTTP协议HTTPS,但目前只有少数收费的Webmail支持这项功能。
,

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网