Video: How to Make the Yahoo! Spam Filter Work : Internet Help & Basics (September 2024)
Ja, Yahoo har äntligen aktiverat HTTPS-kryptering för sina Mail-användare, men det ser inte ut som om företaget ansträngt sig för att göra det på ett meningsfullt säkert sätt.
All Yahoo Mail-kommunikation - antingen på webben, mobilwebben, mobilapparna eller till och med via IMAP, POP och SMTP - är nu standardkrypterad med 2, 048-bitars certifikat, skrev Jeff Bonforte, Yahoos senior vice president för kommunikationsprodukter, på Yahoo Mail's Tumblr den här veckan. Detta drag skyddar allt innehåll i e-postmeddelanden, bilagor, kontakter, kalenderinformation och till och med Messenger-data, när de rör sig mellan användarens webbläsare och Yahoos servrar. Säkerhetsexperter varnade för att det inte räckte.
"Yahoos tillkännagivande att den har aktiverat HTTPS-kryptering för alla Yahoo Mail-användare är inte bara för lite för sent, utan också ganska oroande", säger Tod Beardsley, Metasploit Engineering Manager på Rapid7.
Kredit där kredit förfaller
Yahoo började erbjuda säkerhetsmedvetna användare möjligheten att aktivera HTTPS för sig själva i slutet av 2012. Den senaste ändringen innebär att krypteringen nu är aktiverad som standard, vilket skyddar alla, inte bara de som har valt att få mer säkerhet. Med tanke på att de flesta användare aldrig krossar i inställningarna, är det bra att Yahoo äntligen har aktiverat HTTPS som standard. Gmail har haft HTTPS som standard sedan 2010, Microsoft lanserade Outlook.com i juli 2012 med denna funktion som standard, och Facebook började rulla ut HTTPS som standard till användare i november 2012.
Att vara sent till partiet skulle inte vara så illa om Yahoo faktiskt hade tänkt igenom några av sina säkerhetsbeslut. Medan distribuering av kryptering som standard är ett "stort steg framåt för Yahoo", "den nya konfigurationen lämnar mycket att önska", sa Ivan Ristic, chef för applikationssäkerhetsforskning på säkerhetsföretaget Qualys, till Security Watch . Den största frågan har att göra med att Yahoo beslutade att inte stödja Perfect Forward Secrecy (PFS).
"Utan framåtriktad sekretess är till och med krypterade data möjligt risk för en kompromiss med privat nyckel", varnade Ristic.
En snabb PFS-primer
Med grundläggande HTTPS-kryptering kan hackare (eller myndighetsagenter) som fångar dataströmmen inte läsa innehållet eftersom de inte har Yahoos privata nyckel. Men om de förvärvade nyckeln vid något senare datum, kan de gå tillbaka och dekryptera de tidigare fångade uppgifterna. Om webbplatsen implementerade Perfect Foward Secrecy, kan inte personen även gå tillbaka och låsa upp alla äldre sessioner även om någon fick tillgång till nyckeln vid ett senare tillfälle.
Det finns ett antal sätt den privata nyckeln kan utsättas för: en attack på Yahoos servrar för att stjäla nyckeln eller upptäcka en svaghet i själva chifferet. Yahoo kan till och med överlämna nyckeln, antingen frivilligt eller på grund av ett domstolsbeslut.
"Jag kan inte tänka mig ett legitimt skäl att föredra denna svagare krypteringsstrategi, " sade Beardsley.
Inte bra nog
Det finns andra problem med Yahoos implementering, enligt Ristic. Vissa av Yahoos HTTPS-e-postservrar använder RC4 som det föredragna chifferet, men RC4 anses vara svagt. Microsoft och Cisco avvecklade nyligen användningen av RC4. Det är också sårbart för attacker med distribuerad förnekelse av tjänst eftersom den stöder klientinitierad omförhandling, enligt en rapport från SSL Labs.
SSL Labs betygsätter webbplatser för överdrivet säkerhet för sin SSL-implementering. Yahoo har bara ett B-betyg.
Andra servrar, till exempel login.yahoo.com, använder AES. AES är bättre än RC4, men Yahoo implementerade inte säkerhetsminskningar för kända attacker som BEAST, som riktar sig till TLS 1.0 och tidigare protokoll, och CRIME, en praktisk attack mot hur TLS används i webbläsare. Webbplatsen stöder också "bara äldre protokollversioner, men inte den senaste och säkrare TLS 1.2", enligt en rapport från SSL Labs.
Kanske arbetar Yahoo fortfarande med knep och bättre säkerhet kommer att fasas in under de närmaste veckorna eller månaderna. Men det hade varit trevligt att förklara sina planer i förväg. Vad sägs om det Yahoo? Kommer du att tänka på användarsäkerhet istället för vad som är lättare för ditt team att göra?
