免费邮件遭袭击

　　关于最近几次困扰免费互联网电子邮件服务的安全漏洞事件，Lycos的WhoWhere表示他们在本周修复了影响上百万帐户--包括属于MailCity和iVillage的帐户--的问题。

　　WhoWhere的代表不会透露到底有多少人曾经在公司MailCity注过册，他们也不会对有多少其他帐户可能已经处于危险之中或者病毒会存在多长时间作出估计。女性门户站点iVillage的代表说公司的免费电子邮件服务有490万用户。

　　WhoWhere的发言人布雷安.得戈尼亚证实说服务确实有问题，但他说直到星期一CNET News.com联系他们之前公司没有还没有收到任何关于安全漏洞的抱怨。

　　安全专家表示，这些漏洞让入侵者能够追踪电子邮件和发送信息，就如同帐号就像他们自己的。这就是最近免费互联网电子邮件服务所遇到的普遍深入的安全问题。

　　这个问题是在上星期被一位iVillage的用户发现的。阿伦.雷德帕斯，在网上绰号为“乔迪.艾尔”，说他注意到该公司免费电子邮件服务使网站能够搜集可以让入侵者进入密码保护的帐户的数据。

访问这些帐户是通过一种名为“Site Meter”的程序实现的。这种程序被一些网站用来收集访问数据。如果某人通过一个包含在iVillage或MailCity发送的电子邮件里的连接访问了一个网页，记录在Site Meter里的参考日志可能会被用来获取这个帐户。

　　曾经追捕到数起在线安全和隐私故障的安全顾问理查德.史密斯表示该问题是由于WhoWhere的确认程序造成的，这个程序是用来检验用户登录名和口令信息的。

　　“这种事情通常是利用检查用户是否从正确的电脑上登录的cookie来防止的，”他说，“然而，WhoWhere把登录信息放在网站地址中，这样它就能被外来者获取。”

cookie是一种存放在电脑硬盘中方便浏览网页的电子标签。

　　得戈尼亚证实说免费电子邮件服务没有使用cookie鉴定，而是将登录和口令包含在互联网地址（URL）里。但是他说该服务使用另外的安全措施来解决鉴定问题。他解释说，公司使用代理服务器来保护诸如登录名和口令等对话信息，以免落入贼人之手。

　　史密斯今天说，WhoWhere已经修复这个问题。“他们需要找出每一个有可能出现漏洞的地方，”他说，“他们似乎本周已经发现了一个。但是这并不意味着他们以后不会再发现。”