Video: Forberedelse til passage til Zanzibar [farer for sejlbåd i Afrika] Patrick Childress sejl tips (Oktober 2024)
Ja, Yahoo har endelig tændt HTTPS-kryptering for sine Mail-brugere, men det ser ikke ud som om virksomheden har gjort en indsats for at gøre det på en meningsfuld sikker måde.
Al Yahoo Mail-kommunikation - hvad enten det er på internettet, mobilweb, mobile apps eller endda via IMAP, POP og SMTP - er nu krypteret som standard ved hjælp af 2.048-bit-certifikater, skrev Jeff Bonforte, Yahoos senior vicepræsident for kommunikationsprodukter, om Yahoo Mail's Tumblr denne uge. Dette træk vil beskytte alt indholdet i e-mails, vedhæftede filer, kontakter, kalenderoplysninger og endda Messenger-data, når de bevæger sig mellem brugerens browser og Yahoos servere. Sikkerhedseksperter advarede om, at det ikke var nok.
"Yahoos meddelelse om, at den har aktiveret HTTPS-kryptering for alle Yahoo Mail-brugere, er ikke kun for lidt for sent, men også ganske urolig, " sagde Tod Beardsley, Metasploit Engineering Manager hos Rapid7.
Kredit, hvor kredit forfalder
Yahoo begyndte at tilbyde sikkerhedsbevidste brugere muligheden for at tænde HTTPS for sig selv i slutningen af 2012. Den seneste ændring betyder, at krypteringen nu er slået til som standard, hvilket beskytter alle, ikke kun dem, der har valgt mere sikkerhed. I betragtning af at de fleste brugere aldrig kaster sig rundt i indstillingerne, er det en god ting, at Yahoo endelig har aktiveret HTTPS som standard. Gmail har haft HTTPS som standard siden 2010, Microsoft lancerede Outlook.com i juli 2012 med denne funktion som standard, og Facebook begyndte med at rulle HTTPS som standard ud til brugere i november 2012.
At være for sent til festen ville ikke være så slemt, hvis Yahoo faktisk havde tænkt gennem nogle af sine sikkerhedsbeslutninger. Mens implementering af kryptering som standard er et "stort skridt fremad for Yahoo", efterlader den "nye konfiguration meget at ønske, " fortalte Ivan Ristic, direktør for applikationssikkerhedsundersøgelser hos sikkerhedsfirmaet Qualys, til Security Watch . Det største problem har at gøre med det faktum, at Yahoo besluttede ikke at støtte Perfect Forward Secrecy (PFS).
"Uden fremadrettet hemmeligholdelse er selv krypterede data muligvis i fare for kompromis med privat nøgle, " advarede Ristic.
En hurtig PFS Primer
Med grundlæggende HTTPS-kryptering kan hackere (eller regeringsagenter), der fanger datastrømmen, ikke læse indholdet, fordi de ikke har Yahoos private nøgle. Men hvis de erhvervede nøglen på et senere tidspunkt, kunne de gå tilbage og dekryptere de tidligere indfangede data. Hvis webstedet implementerede Perfect Foward-hemmeligholdelse, kan personen ikke gå tilbage og låse alle de ældre sessioner op, selvom nogen fik adgang til nøglen på et senere tidspunkt.
Der er en række måder, den private nøgle kan blive udsat for: et angreb på Yahoos servere for at stjæle nøglen eller opdage en svaghed i selve koderen. Yahoo kan endda overlevere nøglen, enten frivilligt eller på grund af en retsafgørelse.
"Jeg kan ikke tænke på en legitim grund til at foretrække denne svagere krypteringsstrategi, " sagde Beardsley.
Ikke godt nok
Der er andre problemer med Yahoos implementering, ifølge Ristic. Nogle af Yahoos HTTPS e-mail-servere bruger RC4 som den foretrukne kode, men RC4 betragtes som svag. Microsoft og Cisco afsluttede for nylig brugen af RC4. Det er også sårbart over for distribueret benægtelse af tjeneste-angreb, fordi det understøtter klientinitieret genforhandling, ifølge en rapport fra SSL Labs.
SSL Labs klassificerer websteder på overal sikkerhed for dens SSL-implementering. Yahoo har kun en "B" -klassificering.
Andre servere, såsom login.yahoo.com, bruger AES. AES er bedre end RC4, men Yahoo implementerede ikke sikkerhedsbegrænsninger for kendte angreb som BEAST, der er rettet mod TLS 1.0 og tidligere protokoller, og CRIME, et praktisk angreb mod, hvordan TLS bruges i browsere. Webstedet understøtter også "kun ældre protokolversioner, men ikke den seneste og mere sikre TLS 1.2, " ifølge en rapport fra SSL Labs.
Måske arbejder Yahoo stadig med kninks, og bedre sikkerhed indfases i løbet af de næste par uger eller måneder. Men det ville have været rart at forklare sine planer på forhånd. Hvad med det Yahoo? Vil du tænke på brugersikkerhed i stedet for hvad der er lettere for dit team at gøre?
