Il link di ripristino della password Microsoft per la password porta a URL diversi?

2

... Sono davvero seccato e sconvolto dall'email di reimpostazione della password appena ricevuta da Microsoft.

Cosa dovrei pensare di questo? Il mio client di posta elettronica mi ha detto correttamente che l'URL sottostante non è lo stesso di quello pubblicizzato ...

Ho preparato uno screenshot carino ma non riesco a pubblicarlo a causa della reputazione mancante ...

Il testo dell'e-mail è:

 View this email in your browser

   Reset your Microsoft Online Services password   Microsoft     
   We've received a request to reset the password for your [email protected] Microsoft Online Services account. 

Click the link below and then follow the instructions in your web browser.

Reset your password now 

If clicking the link didn't work, copy the following URL and paste it into your browser window. 

https://prs-scu.passwordreset.microsoftonline.com/Default.aspx?o=EJbpn[...]

If you did not initiate this request, please contact support.  


   Microsoft Corporation | One Microsoft Way Redmond, WA 98052-6399
This message was sent from an unmonitored email address. Please do not reply to this message.
Privacy | Legal
   Microsoft 

E i link denominati prs-scu.passwordreset.microsoftonline.com... portano effettivamente a http://click.email.microsoftonline.com/?qs=bc7f[...]

Modifica, ho acquisito i diritti di copia delle immagini, quindi ecco lo screenshot:

    
posta Reto Höhener 02.08.2013 - 21:24
fonte

3 risposte

5

Sono il Program Manager responsabile dell'esperienza di reimpostazione della password per i Microsoft Online Services e volevo chiarire alcune delle cose che stai vedendo. Prima di tutto, grazie per il tuo feedback; cerchiamo sempre di migliorare il nostro servizio e commenti come questi ci aiutano davvero a migliorare le cose nel tempo.

La voce DNS root per il nostro servizio è passwordreset.microsoftonline.com. Questa voce DNS si trova di fronte a un sistema di bilanciamento del carico che indirizza il traffico verso i data center specifici della regione che hanno record DNS diversi, da cui il sottodominio prs-scu (come parte, mentre esegui la reimpostazione della password, usiamo anche questo bilanciamento del carico per garantire che la tua sessione sia altamente disponibile in caso di problemi specifici del data center.

Ora, quando inviamo l'e-mail al tuo account per reimpostare la tua password, la inviamo tramite un servizio di posta elettronica condiviso di proprietà di un diverso team in Microsoft. Questo è lo stesso servizio di posta elettronica che utilizziamo per inviare e-mail di notifica e e-mail informative per Office 365 nel suo complesso.

Il motivo per cui vedi un link diverso nella porzione href dell'URL (ad es. click.email.microsoftonline vs. passwordreset.microsoftonline) è perché il servizio che usiamo per inviare le nostre email mette un reindirizzamento di fronte a ogni URL in uscita a prevenire gli attacchi di phishing. Abbiamo scelto di includere la versione in chiaro dell'url nel corpo per risolvere il caso in cui il client di posta elettronica dell'utente non gestisce correttamente l'HTML.

Se desideri discutere ulteriormente di ciò o di cosa possiamo fare per migliorare la tua esperienza in futuro, non esitare a contattarmi all'indirizzo [email protected].

    
risposta data 23.12.2013 - 21:10
fonte
3

Se sei preoccupato per la proprietà di un link, puoi controllare il certificato che appare nel link per vedere a chi è registrato, o potresti voler controllare le informazioni whois.

microsoftonline.com è registrato in Microsoft:

Registrant:
    Domain Administrator
    Microsoft Corporation
    One Microsoft Way
     Redmond WA 98052
    US
    [email protected] +1.4258828080 Fax: +1.4259367329

Domain Name: microsoftonline.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Administrator
    Microsoft Corporation
    One Microsoft Way
     Redmond WA 98052
    US
    [email protected] +1.4258828080 Fax: +1.4259367329
Technical Contact, Zone Contact:
    MSN Hostmaster
    Microsoft Corporation
    One Microsoft Way
     Redmond WA 98052
    US
    Email Masking [email protected] +1.4258828080 Fax: +1.4259367329

Created on..............: 2002-07-09.
Expires on..............: 2014-07-09.
Record last updated on..: 2013-06-08.

Domain servers in listed order:

ns2.bdm.microsoftonline.com
ns1.bdm.microsoftonline.com 

Il numero di telefono sopra elencato è il numero di telefono Microsoft PR @ link

Inoltre, se visiti https://prs-scu.passwordreset.microsoftonline.com/ e guardi le informazioni del CERT SSL, vedrai che è associato a Microsoft, ma dovrebbero ottenere un certificato EV per renderlo più chiaro.

Sembra che volessero mostrare un semplice link all'utente, ma avere il token di tracciamento o reset non mostrato. Cose del genere devono essere valutate caso per caso.

    
risposta data 03.08.2013 - 18:47
fonte
2

È meno rischioso dell'invio a freddo di e-mail che ti chiedono di accedere a siti Web casuali, come è noto a certe società (Bank of America). Penso che dal momento che si tratta di una e-mail richiesta da Microsoft, generalmente si può pensare che sia probabilmente sicuro, soprattutto perché se qualcuno avesse compromesso la tua e-mail, potrebbe semplicemente utilizzare il link per la reimpostazione della password. È ancora un po 'strano, ma qui non vedo un grosso rischio per la sicurezza.

Probabilmente lo fanno per mantenere l'aspetto dell'e-mail sul servizio che hai richiesto una reimpostazione della password anche se gli account Live (o qualunque cosa lo chiamino in questi giorni) sono gestiti centralmente in quanto è proprio servizio. Questo ha senso dal punto di vista del non voler addestrare gli utenti ad accedere a qualsiasi e-mail che dica loro di andare da qualche parte, ma anche male in quanto l'utente leggermente più attento si accorgerà che il link non corrisponde.

Aggiornamento: poiché è solo un sottodominio che è cambiato, questo è probabilmente ancora meno un problema. Sembra che stiano usando un click tracker per e-mail che reindirizza tramite un breve URL alla pagina effettiva indicata dal link. Questa è pratica più o meno standard per molte e-mail.

    
risposta data 02.08.2013 - 21:29
fonte

Leggi altre domande sui tag