HTTPS 漏洞泄露Microsoft 帐户的个人信息

HTTPS 连接通常为用户提供一定程度的隐私和安全性，但当用户使用HTTPS 连接到Microsoft 用户帐户页面、Outlook.com 或OneDrive.com 时，该连接可能会使用一种独特的方式。标识符已泄露。以明文显示用户名和个人资料照片。

该漏洞最先由北京的一位博主发现，后经Ars Technica测试证实。捕获连接到Outlook.com 或OneDrive.com Windows 帐户页面的数据包可以以cid-[用户的CID].users.storage.live.com 格式显示主机DNS 查询请求。他们说是这样。测试还发现，用于保护服务进程的传输层安全交换（SNI）扩展数据也包含用户的CID信息。

这意味着您可以使用CID 检索用户的头像，还可以通过OneDrive 站点检索用户的帐户显示名称。通过使用CID 访问Microsoft Live 服务的元数据，其他用户还可以获得有关帐户上次访问和创建时间的信息。相同的元数据可以公开与实时日历应用程序相关的信息，例如用户的位置。

即使您使用Tor 网络进行连接，此类漏洞也可能允许其他人使用您的CID 作为跟踪器。将对象ID 与来自同一IP 地址的其他流量相关联。 Tor等匿名网络可以屏蔽源点，但一旦离开Tor出口节点，就可以通过CID信息识别对方。

微软发言人告诉Ars Technica，该公司已经意识到这个问题并正在努力修复。