http://arstechnica.com/security/2015...in-plain-text/
Da muss nichts entschlüsselt werden. Die Seiten machen einen Request nach https://cid-<user id>.users.storage.live.com.