微软Passport服务网络安全性

　　既然使用Passport方便了用户，可安全性如何呢？微软声称深知珍视个人隐私的重要性，并理解保护个人信息的重要性，所以采用了很多具体的保护措施来保证Passport的安全性。Cookie是一个小型文本文件，网站将其保存到计算机的硬盘上，以此来存储您提供的个人信息或您的首选项。每次当您登录到参与 Passport 服务的站点时，Passport 都会使用 Cookie 中的数据。Passport 站点会将您的独一无二的标识符、您登录的时间、您选择与参与站点共享的Passport档案文件信息存储在您硬盘上一个安全并且经过加密的Cookie中。Cookie 允许您在参与站点上从一个页面移动到另一个页面，而无需在每个页面上再次登录。如果您退出了Passport，那么所有 Passport 参与站点中与 Passport 有关的 Cookies 将从您的计算机上删除。

　　但是您访问的站点可能会在您的计算机上存储其自身的Cookies，并且这些Cookies可能会在您退出了Passport 后仍被保留。AT&T实验室的研究人员鲁宾和大卫也发现，已经在数十家在线商店中得到应用的微软Passport服务存在着巨大的安全隐患。鲁宾说：尽管微软的服务是基于XML而不是传统的HTML，但仍然存在安全隐患。Passport的确很棒，但它使用的协议导致了整个系统的风险性。鲁宾还说，在去年，他们就此事与微软接触时，微软的一名官员表示，这与 Passport无关，是由互联网的本质决定的。

　　微软声称Passport 信息被存储在受控制设备保护的安全的 Passport 服务器上。用户只有输入正确的密码才能访问自己的 Passport 信息，密码永远不会被 Passport 参与站点共享。另外为了确保在 Internet 上安全地传输信息，Passport 将会通过“工业标准安全技术”对此类信息加密。可就在8月份，因特网安全专家耶米尔﹒格劳斯曼两次攻击了微软免费邮件系统Hotmail和Passport服务系统。在第一次攻击中，耶米尔只使用了3行代码即成功绕过了Hotmail的过滤器，并取得了Passport其他用户的身份标识和信用卡资料。第二次，耶米尔只用了一行代码就达到了上述目的。值得庆幸的是，耶米尔并没有从中偷取任何有价值的资料。相反地，他把上述漏洞通报给了微软公司，让微软可以在恶意黑客利用该漏洞之前打上相应的安全补丁。

　　所以人们会象初期对待ASP（应用服务提供商）那样存在疑虑，自己的资料放在微软那儿安全吗？

　　关于微软Passport服务的隐私问题

　　其实安全性会随着技术的提高逐步得到解决，可是否存在隐私泄露问题是近日大家关注的最重要的话题。
　　美国隐私保护组织说他们关心的是Passport认证服务违背了 FTC 的法令，因为它潜在的追踪并且监视因特网用户，将引起严重的隐私泄露。10月24日在华盛顿召开的新闻发布会上，新泽西州Green Brook的Junkbuster公司的总裁Jason Catlett说，FTC没能对微软采取公共的行动保护消费者。“微软应该停止声明或暗示，利用微软发布的Passport对于Internet是必须的，微软不是因特网的主人。” 早在前几个月公众就对微软Passport认证服务的隐私保护提出了质疑，微软公司也采取了一些措施，例如将Passport认证功能同用户档案数据库和帐单系统分离，从而在Passport登录的时候尽量少地获取用户信息。隐私保护组织表示，就算微软作出了这些更正，隐私威胁仍然存在。电子隐私信息中心（EPIC）的法律顾问Chris Hoofnagle表示，这是重要的一步，但是微软还需要做更多的工作以确保隐私安全，目前这些改进还不足以解决数据库信息传输中的隐私威胁。

　　微软否认了它使用欺骗手段获取用户信息，并且继续指责EPIC和其他一些组织只是在媒体上发牢骚而不是与微软合作来解决问题。微软发言人Klause 说微软已经提出了与EPIC共同讨论他们担心的问题。另外微软还表示，公司没有任何计划要使用Passport来进行营销。公司还将要求所有Passport的合作伙伴都遵从P3P（隐私保护平台）政策的要求，公司还表示，不光是微软Passport的合作伙伴们，P3P同时还是所有的电子商务从业者都需要遵照的信条。但人们会相信微软的说法吗？微软Passport 服务的用意何在呢？

　　向互联网方向转移，拥有客户资源，一统天下

　　微软Passport 服务的主要目的之一是向互联网方向转移，“.NET”是微软对未来网络社会结构提出的一种设想，它希望通过大量先进的技术把因特网和操作系统两种概念结合起来，使因特网成为新的操作系统基础。最近微软提出的冰雹计划则是其策略中的重要一环，冰雹（Hailstorm）是一种.Net构件块（building block），而.Net构件块是一种互联网服务，用于让开发者、解决方案提供商和用户定制化处理或者开发更多的应用程序，并使这些程序和互联网实现无缝集成。在微软四月份每年春季例行的高层人事变动和内部机构调整中，最引人注目的是新成立了一个独立的集团，其地位与Windows和Office集团相当，该集团负责的就是冰雹计划。冰雹的核心是微软Passport认证服务，可通过网络将信息、服务传送到不同数字装置，如掌上电脑、手机、PC等。微软希望利用HailStorm，从网络免付费内容服务转入到付费服务。Passport 服务的实施可以让微软在互联网领域站稳脚跟，有效地遏制美国在线-时代华纳公司进军互联网的步伐。

　　在以客户为中心的时代，拥有客户资源并进行分析将是企业发展的重点因素。微软表示，公司没有任何计划要使用Passport来进行营销，可谁会相信呢？在CRM（客户关系管理）理念的指导下，拥有大量的客户信息将是一笔很大的财富，对客户数据库的分析整理可以指导公司营销策略的制定和修改。同时利用这些信息可以及时与客户保持联系，加强即时的客户关怀，牢牢拴住客户，使客户与公司形成利益共同体。

　　微软正努力吸引更多厂商参与到Passport 服务从来，如果微软的计划能成功，或许就象Visa已经成为信用卡交易的标准形式一样，Passport 服务将一统天下。（完）