Foxmail十大安全隐患解决方法(4)

　　四、地址簿暴露漏洞

　　继续上一步，在“写邮件”窗口中单击“收件人”或“抄送”按钮，可以打开“选择地址”对话框，打开“地址簿”下拉列表，你会发现地址簿里的联系人的地址都在这里了。单击“新建”按钮，可以往地址簿里添加联系人;单击“属性”，还可以查看联系人的详细资料。

　　另外Foxmail在保存地址簿和邮件时，也未做任何加密处理。进入FoxmailAddress目录，其中有很多以.IND和.BOX为扩展名的文件，用记事本任意打开一个.IND文件，虽然有乱码，但仍能清楚地看到其中的E-mail地址。再用记事本打开对应的.BOX文件，你就可以查看联系人的详细资料了。

　　解决方法:同一、三两个漏洞的解决方法。

　　为什么将Account.stg这个文件复制到别人的账户文件夹下，就有这么大的“威力”呢?用“记事本”打开该文件看看就明白了(图3)!

　　图三

　　事实上，你在Foxmail的“帐户→属性”菜单中设置的所有内容几乎都包括在其中了(如果你细心的话，会发现“属性”中的“模板”并没有包含在内)，其中也包括了经过加密的信箱密码密文，也就是“POP3Password=”后面的部分。

　　而众所周知，Foxmail的加密密钥是“~draGon~”，Foxmail就是用它来加密我们设定的邮箱密码。那么如何将密文转换为明文呢?只要把~draGon~这个单词对应的ASCII码:7E 64 72 61 47 6F 6E 7E给记下来，再将口令的密文两两分开，经过一番简单的异或运算就可以得到密码明文!具体方法就不多说了，毕竟我们这里不是教大家怎样破解Foxmail的邮箱密码。那么别人怎么会知道我们的信箱的口令长度为几位呢?很简单，只要用密文长度÷2再减去1就可以得到了。

　　解决方法:在新建账户时不要选择保存密码，如果已经选择了，可以右击账户，在弹出菜单中选择“属性”，会出现“账户属性”窗口，选择“邮件服务器” (图4)，然后将“密码”栏中的密码清除即可。这样，当别人再打开account.stg文件时，会发现“POP3Password=”后面是空空如也，现在就不怕别人发现你的密码了。

　　图四