文档介绍:你的EMAIL账号安全吗?
一提到电子邮件,我们就会想到垃圾邮件、病毒入侵、内容泄密等,但常常小视了我们的账号是否安全了,如果我们的账号和密码已被窃取,自己还浑然不知,那多可怕呀。
现在比较流行的是在WEB界面上处理邮件,因为方便不需要装任何软件,只要通过浏览器打开邮箱登陆界面即可。这种方式有一大弱点,一般是通过CGI来接受用户传递的表单FORM参数,包括username和password,如果正确,就可以进入处理邮件的页面,而我们现在的网络环境大多处于局域网中,网络结构均是外网+网络设备+内网(局域网)。我们向外网发出的数据都要通过网络设备,如果EMAIL账号不安全,都可以在网络设备中捕捉到了。本人试了几个邮件服务商,以下是通过专门的捕捉软件捕捉到的数据包,均试着以用户名和密码ADMIN试着登陆,当然都是不存在帐号和密码,虽然在WEB界面上都显示登陆错误,但从捕捉的数据包仍可看到账号和密码,一目了然了。如下图所示:
163邮箱 SOHU邮箱
SINA邮箱 TOM邮箱
以上是利用专门的数据包捕捉软件得到的数据了。怎么样,让你大吃一惊吧,但如果是采用雅虎或者126邮箱,就不会出现这种情况了。为什么会这样呢?主要是它们采用的,后者是HTTPS了(注意观察在邮箱登陆页面中地址栏中协议)。它们有什么不一样呢?
HTTPS和HTTP的区别
1、https协议需要到ca申请证书,一般免费证书很少,需要交费。
2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。
补救措施:
1、采用使用HTTPS协议的邮箱:当然对于大多数用户来讲,都习惯了自己长时间使用的邮箱了,再加上很多地方信息变更的麻烦,都不方便了,可以采用第二种方法了。
2、安装专门的邮箱软件,比如Foxmail及微软的OUTlook,它们均通过安全套接层(SSL)协议收发邮件,可以充分保证邮箱帐号的安全了。