Videó: How to Turn Off Yahoo Mail Notifications (November 2024)
Igen, a Yahoo végre bekapcsolta a HTTPS titkosítást a Mail-felhasználók számára, de nem tűnik úgy, mintha a vállalat minden erőfeszítést megtenne annak érdekében, hogy értelmesen biztonságos módon csinálja.
Az összes Yahoo Mail kommunikáció - akár az interneten, a mobil weben, a mobilalkalmazásokon, akár akár az IMAP, POP és SMTP útján is - alapértelmezés szerint titkosítva 2.048 bites tanúsítványokkal, írta Jeff Bonforte, a Yahoo kommunikációs termékekkel foglalkozó vezető alelnöke. A Yahoo Mail Tumblr ezen a héten. Ez a lépés védi az e-mailek, a mellékletek, a kapcsolatok, a naptári információk és még az Messenger összes tartalmát, mivel a felhasználó böngészője és a Yahoo szerverei között mozog. A biztonsági szakértők figyelmeztették, hogy nem elég.
"A Yahoo bejelentése, miszerint lehetővé tette a HTTPS titkosítást minden Yahoo Mail felhasználó számára, nemcsak túl késő, hanem nagyon zavaró is" - mondta Tod Beardsley, a Rapid7 Metasploit mérnöki vezetője.
Hitel, ahol esedékes a hitel
A Yahoo 2012 végén kezdte el kínálni a biztonságtudatos felhasználók számára a HTTPS bekapcsolásának lehetőségét. A legutóbbi változtatás azt jelenti, hogy a titkosítás alapértelmezés szerint be van kapcsolva, és mindenki védelmét szolgálja, nem csak azokat, akik a nagyobb biztonság mellett döntöttek. Figyelembe véve, hogy a legtöbb felhasználó soha nem gúnyolódik a beállításokban, jó dolog, hogy a Yahoo alapértelmezés szerint végre bekapcsolta a HTTPS-t. A Gmailnek alapértelmezés szerint HTTPS-je 2010 óta van, a Microsoft 2012 júliusában indította el az Outlook.com-ot, alapértelmezés szerint ezt a funkciót, és a Facebook 2012 novemberében kezdte el alapértelmezésben a HTTPS-t a felhasználók számára.
A párthoz késés nem lenne olyan rossz, ha a Yahoo valójában átgondolta volna néhány biztonsági döntését. Miközben a titkosítás alapértelmezés szerint "nagy előrelépést jelent a Yahoo számára", az "új konfiguráció nagyon sok kívánnivalót hagy maga után" - nyilatkozta Ivan Ristic, a Qualys biztonsági cég alkalmazásbiztonsági kutatásának igazgatója. A legnagyobb probléma azzal a ténnyel kapcsolatos, hogy a Yahoo úgy döntött, hogy nem támogatja a tökéletes továbbítási titkot (PFS).
"Előzetes titoktartás nélkül a titkosított adatokat is valószínűleg veszélyezteti a magánkulcs-kompromisszum" - figyelmeztette Ristic.
Gyors PFS alapozó
Az alapvető HTTPS titkosítással az adatfolyamot elfogó hackerek (vagy állami ügynökök) nem tudják elolvasni a tartalmat, mert nincsenek a Yahoo privát kulcsa. Ha azonban később megszerezték a kulcsot, akkor visszatérhetnek és visszafejthetik a korábban rögzített adatokat. Ha a webhely a Perfect Foward titkot valósította meg, akkor még ha valaki később is hozzáférést kapott a kulcshoz, akkor az a személy nem léphet vissza, és nem oldhatja fel az összes régebbi munkamenetet.
A privát kulcsot számos módon lehet feltárni: támadás a Yahoo szerverei ellen, hogy ellopják a kulcsot, vagy magának a rejtjelnek gyengesége fedezhető fel. A Yahoo akár önként is, akár bírósági végzés alapján átadhatja a kulcsot.
"Nem gondolok olyan legitim indokot, hogy ezt a gyengébb titkosítási stratégiát részesítsem előnyben" - mondta Beardsley.
Nem elég jó
A Ristic szerint más problémák is vannak a Yahoo megvalósításában. Néhány Yahoo HTTPS e-mail szerver az RC4-et használja előnyben részesített rejtjelként, de az RC4-et gyengenek tekintik. A Microsoft és a Cisco nemrégiben megszüntette az RC4 használatát. Az SSL Labs jelentése szerint kiszolgáltatott az elosztott szolgáltatásmegtagadási támadásoktól is, mert támogatja az ügyfelek által kezdeményezett újratárgyalást.
Az SSL Labs osztályozza a webhelyeket az SSL megvalósításának átfogó biztonságáról. A Yahoo csak "B" besorolással rendelkezik.
Más szerverek, például a login.yahoo.com, az AES-t használják. Az AES jobb, mint az RC4, de a Yahoo nem hajtott végre biztonsági enyhítést az ismert támadásokhoz, mint például a BEAST, amely a TLS 1.0-t és a korábbi protokollokat célozza, és a CRIME, amely a TLS böngészőkben történő használatának gyakorlati támadása. A webhely támogatja "csak a régebbi protokoll-verziókat, de nem a legfrissebb és biztonságosabb TLS 1.2-et", az SSL Labs jelentése szerint.
Lehet, hogy a Yahoo továbbra is kidolgozza a rokonokat, és a jobb biztonság fokozatosan bevezetésre kerül a következő hetekben vagy hónapokban. De jó lett volna előre megmagyarázni a tervét. Mi a helyzet a Yahoo-val? Gondolkodni fog a felhasználói biztonságra, ahelyett, hogy mi a csapata számára?
