Webmail安全問題莫忽視

1． 什么是Webmail?

    收發郵件有2種方式，一種是通過Outlook Express, Foxmail等客戶端軟件郵件；另外一種是登陸服務商的站點收發郵件，后者，我們稱為Webmail。

2． 那些服務商提供Webmail服務？

    大部分國內的門戶站點都提供Webmail服務，因為只有登陸Webmail才可以修改郵箱密碼，設置自動轉發，自動回復等。但是各個服務商提供的Webmail質量卻大不相同，一般來說，門戶站點，專業的郵箱服務商提供的Webmail會比較完善，支持多語言，安全性也較好；隨贈送的郵箱的Webmail會比較簡陋，中文支持不好，安全漏洞也多。

3． Webmail的優點和缺點?

    Webmail與Outlook Express和Foxmail等客戶端軟件比較，其優點在于：
    a. 可以隨時隨地收發郵件，不受PC機環境的影響，適合在公司局域網外收發郵件；
    b. 在Webmail可以修改密碼，設置自動轉發，自動回復等；
    c. 每次登陸都要求輸入賬號密碼，所以不容易忘記密碼；
    d. 在Webmail可以了解郵箱已使用容量，及時清理郵箱，防止爆滿；
    e. 可以設定郵件過濾規則，直接在服務器端拒收垃圾郵件；
    f. 郵件發送速度比通過Outlook Express和Foxmail等要快捷。
    Webmail雖然簡單易用，但是它仍然有不少的缺陷：
    a. 大部分服務商Webmail的密碼保護能力較弱；
    b. 不可以很方便的管理多個郵箱，集中保存信件；
    c. 缺少第三方軟件的支持，郵件備份等功能很難實現；
    d. 如果是免費的Webmail，則不可避免的會比Outlook, Foxmail用戶面對更多的廣告；
    e. 多語言支持能力不如Outlook (Express)，經常有亂碼現象；
    f. HTML郵件編輯功能較弱。

4． Webmail存在哪些安全隱患?

    現在我們集中來討論一下Webmail的安全問題，微軟的IE瀏覽器功能非常強大，容錯性極高，但是同時也帶來了安全方面的隱患，不斷的有IE的安全漏洞被公布，隨之而來的是針對這些漏洞的郵件病毒，所以Webmail的安全威脅之一來源于HTML郵件，這些郵件里面可能含有病毒代碼，也有可能含有能夠修改用戶的自動轉發等屬性的黑客代碼。
    早期的門戶站點提供的Webmail有一個著名的漏洞，就是可以通過在Email中嵌入JavaScript代碼，發送給某人，收件人如果在Webmail閱讀此信則JavaScript代碼會被執行，執行的效果是修改了收件人的自動轉發屬性到一個特定的地址。
這個漏洞在各大學的BBS公布后，門戶站點很快修補了此漏洞，以后在Webmail讀信時JavaScript等Script代碼會被屏蔽，以確保安全性。
    盡管如此，黑客們仍然可以利用一些HTML的高級技巧間接的嵌入一些有害的JavaScript代碼，例如臭名昭著的蠕蟲病毒尼姆達就是利用HTML中的IFrame語法進行傳播，當時就有大量的Webmail用戶受到感染，所以之后某些站點的Webmail對Iframe,Frameset等代碼也進行了過濾。
    Webmail的安全威脅之二來自非法的網絡竊聽軟件，這些軟件會竊聽網絡上傳輸的數據，分析其中的網址甚至是包含的賬號密碼，提留黑客認為用利用價值的數據，然后伺機發送攻擊。為了防止黑客截取了用戶登陸Webmail后的一些網址(URL)，專業的Webmail服務商都會使用網址(URL)與IP、Cookie綁定的安全登陸方式，從而防止黑客竊取網址后在其他機器登陸；為了確保安全，這些Webmail網址都具有時效性，一般半小時后就會失效，點擊"退出"按鈕也會讓這些網址馬上失效，一些粗心的Webmail用戶，喜歡通過直接關閉瀏覽器，而不是點擊Webmail的"退出"按鈕退出Webmail。這樣可能造成一個問題：別人在歷史記錄找到尚未失效的的網址，進入該用戶的Webmail界面。這種問題是經常發生在公用的電腦上的。
    因為瀏覽網頁最常用的HTTP協議是明文協議，所以黑客有可能在網關或者路由器上獲得用戶的賬號和密碼，這個是更大的安全威脅，要避免這個安全隱患就要求使用加密的HTTP協議HTTPS，但目前只有少數收費的Webmail支持這項功能。
,

原文轉自：http://www.kjueaiud.com