Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/03/2011
Microsoft restaura el xifrat en Hotmail per a usuaris de Síria i altres països
Microsoft ha tornat a activar la funcionalitat de xifrat SSL continu, per als seus usuaris de Hotmail en tot el món, després que usuaris en països com Bahrain, Iran, Síria i Uzbekistan es veieren incapaços d'utilitzar aquesta opció.
Microsoft ha dit que "no recolzem intencionadament cap limitació per països o un altre índole geogràfic, i aquest problema no va estar limitat a cap regió concreta" i van demanar disculpes per les molèsties a través d'una entrada en el seu Centre de Solucions.
Divendres passat, en un informe (enllaç en anglés) en el seu bloc "Deeplinks Blog", l'Electronic Frontier Foundation (EFF), ha informat que Microsoft va suspendre el xifrat SSL continu ("usar sempre HTTPS") per al seu servei gratuït Hotmail en determinats països. Els usuaris de Hotmail, que van especificar en el seu perfil països com Bahrain, Marroc, Algeria, Síria, Sudan, Iran, Líban, Jordània, Congo, Myanmar, Nigèria, Kazajstán, Uzbekistan, Turkmenistan, Tadjikistan o Kirguistán, només van veure el missatge d'error "El seu compte de Windows Live no pot usar HTTPS automàticament, perquè aquesta opció no està disponible per al seu tipus de compte", segons l'activista de l'EFF, Eva Galperin. El problema va ser advertit inicialment per un estudiant d'enginyeria informàtica durant els altercats a Síria. L'estudiant va adjuntar una imatge del missatge anterior.
L'EFF està especialment preocupada per aquest assumpte, ja que afecta països els governs dels quals tenen poca consideració amb la llibertat d'expressió i fan un crida perquè es restablisca ràpidament aquest servei. Segons Microsoft, els usuaris a Bahames, Illes Caiman i Fiji també van ser afectats per l'error. L'error va eliminar aparentment la funcionalitat, basant-se en quin país diu l'usuari que està, no basant-se en l'adreça IP des de la qual procedeix. Els usuaris van poder solucionar aquest problema canviant la configuració del seu país a un altre que no estiguera bloquejat.
Microsoft no ha explicat què va causar la fallada. L'empresa va presentar la caracterísitca de "usar sempre HTTPS" en novembre del 2010; abans d'açò, només el procés de loguet estava xifrat amb SSL. En xarxes WiFi insegures, permetia a atacants utilitzar eines com Firesheep, per tal de llegir correus dels usuaris i fins i tot, accés als comptes copiant les galetes (cookies) del navegador.