Geen https-login door Hotmail-bug
Gepubliceerd: Maandag 28 maart 2011
Auteur: Tonie van Ringelestijn
Een bug in Hotmail heeft veroorzaakt dat https-encryptie in de webmaildienst in enkele landen in het Midden-Oosten uitgeschakeld stond.
Microsoft heeft nadat de bug was ontdekt dit weekend de https-versleuteling weer geactiveerd. Hoe de bug ervoor zorgde dat https stond uitgeschakeld in Hotmail in een aantal landen is onduidelijk. Het ging om onder meer Syrië, Marokko, Algerije, Iran, Libanon, Soedan, Bahrain, Jordanië, Iran, Congo, Myanmar, Nigeria, Kazachstan, Oezbekistan, Turkmenistan, Tadzjikistan en Kirgizië. Meerdere gebruikers meldden dat op Twitter en blogs.
Geen opzet
De Electronic Frontier Foundation (EFF) meldt dat Hotmail-gebruikers in die landen risico liepen. Microsoft heeft de fout tegenover EFF toegegeven, maar stelt niet opzettelijk uitzonderingen te hebben gemaakt.
Microsoft meldt tegenover de Britste techsite The Register dat Hotmail-gebruikers die de https-versie van de webmaildienst al hadden ingeschakeld die nog steeds konden gebruiken. Alleen Hotmailers in bepaalde landen en met bepaalde talen die https voor de eerste keer probeerden in te schakelen werden door de bug geblokkeerd.
Firesheep
Microsoft heeft de versleutelde toegang in december ingevoerd om Hotmail beter te beveiligen. Door https is webmailverkeer niet te onderscheppen via tools als Firesheep en overheden die activisten en journalisten bespioneren. De Hotmail-bug deed zich opvallend genoeg alleen voor in landen waar de vrijheid van meningsuiting onder vuur ligt. "Juist in die landen is beveiligde communicatie erg belangrijk", aldus de EFF.
Die organisatie biedt Hotmail-gebruikers ook een mogelijkheid om altijd https te gebruiken bij Hotmail-gebruik via de Firefox-plugin HTTPS Everywhere. Het is onbekend of gebruikers die deze plugin gebruiken niet vatbaar waren voor de bug.
