Video: ZEITGEIST: MOVING FORWARD | OFFICIAL RELEASE | 2011 (Decembris 2024)
Jā, Yahoo beidzot ir ieslēdzis HTTPS šifrēšanu saviem Mail lietotājiem, taču neizskatās, it kā uzņēmums pieliktu pūles, lai to izdarītu saturīgi drošā veidā.
Visi Yahoo Mail sakari - tīmeklī, mobilajā tīmeklī, mobilajās lietotnēs vai pat izmantojot IMAP, POP un SMTP - tagad pēc noklusējuma tiek šifrēti, izmantojot 2048 bitu sertifikātus, Jeff Bonforte, Yahoo vecākais komunikāciju produktu viceprezidents, rakstīja Yahoo Mail's Tumblr šonedēļ. Šis solis aizsargās visu e-pasta ziņojumu, pielikumu, kontaktu, kalendāra informācijas un pat Messenger datu saturu, jo tie pārvietojas starp lietotāja pārlūku un Yahoo serveriem. Drošības eksperti brīdināja, ka ar to nepietiek.
"Yahoo paziņojums, ka tas ir ļāvis HTTPS šifrēšanu visiem Yahoo Mail lietotājiem, ir ne tikai par maz, par vēlu, bet arī diezgan satraucošs, " sacīja Rapid7 Metasploit inženieru menedžeris Tods Bedslijs.
Kredīts gadījumos, kad pienāk kredīts
Yahoo 2012. gada beigās sāka piedāvāt lietotājiem, kas apzinās drošību, lietotājiem iespēju pašiem ieslēgt HTTPS. Jaunākās izmaiņas nozīmē, ka šifrēšana tagad ir ieslēgta pēc noklusējuma, aizsargājot visus, ne tikai tos, kuri izvēlējās lielāku drošību. Ņemot vērā to, ka vairums lietotāju iestatījumos nekad nesmīd, tas ir labi, ka Yahoo pēc noklusējuma beidzot ir ieslēdzis HTTPS. Gmail noklusējuma HTTPS ir bijis kopš 2010. gada, Microsoft 2012. gada jūlijā palaida programmu Outlook.com ar šo funkciju pēc noklusējuma, un Facebook sāka lietot HTTPS pēc noklusējuma lietotājiem 2012. gada novembrī.
Vēlēties partijai nebūtu tik slikti, ja Yahoo patiesībā būtu pārdomājis dažus no saviem drošības lēmumiem. Kaut arī šifrēšanas izvietošana pēc noklusējuma ir "liels solis uz priekšu Yahoo", "jaunā konfigurācija atstāj daudz ko vēlēties, " drošības dienesta Qualys lietojumprogrammu drošības pētījumu direktors Ivans Ristiks sacīja. Lielākā problēma ir saistīta ar faktu, ka Yahoo nolēma neatbalstīt Perfect Forward Secrecy (PFS).
"Bez priekšnoslēpuma slepenības, pat šifrētiem datiem ir reāli draudi ar privāto atslēgu kompromitēšanu, " brīdināja Ristic.
Ātrs PFS gruntējums
Izmantojot pamata HTTPS šifrēšanu, hakeri (vai valdības pārstāvji), kuri uztver datu straumi, nevar nolasīt saturu, jo viņiem nav Yahoo privātās atslēgas. Tomēr, ja viņi atslēgu iegādājās vēlāk, viņi varētu atgriezties un atšifrēt iepriekš sagūstītos datus. Ja vietnē tika ieviesta Perfect Foward Secrecy, tad pat ja kāds vēlāk piekļūst atslēgai, šī persona nevar atgriezties un atbloķēt visas vecākās sesijas.
Privāto atslēgu var atklāt vairākos veidos: uzbrukums Yahoo serveriem, lai nozagtu atslēgu vai atklātu pašas šifra nepilnības. Yahoo pat var brīvprātīgi vai tiesas rīkojuma dēļ nodot atslēgu.
"Es nevaru iedomāties likumīgu iemeslu dot priekšroku šai vājākai šifrēšanas stratēģijai, " sacīja Bardslijs.
Nav pietiekami labs
Pēc Ristic domām, Yahoo ieviešanā ir arī citas problēmas. Daži no Yahoo HTTPS e-pasta serveriem kā vēlamo šifru izmanto RC4, bet RC4 tiek uzskatīts par vāju. Nesen Microsoft un Cisco pakāpeniski izbeidza RC4 izmantošanu. Tas ir arī neaizsargāts pret izplatītajiem pakalpojumu atteikšanas uzbrukumiem, jo atbalsta klientu iniciētas atkārtotas sarunas, teikts SSL Labs ziņojumā.
SSL Labs vērtē tīmekļa vietnes par tās SSL ieviešanas vispārējo drošību. Yahoo ir tikai "B" vērtējums.
Citos serveros, piemēram, login.yahoo.com, tiek izmantots AES. AES ir labāks par RC4, taču Yahoo neīstenoja zināmu uzbrukumu, piemēram, BEAST, kuru mērķis ir TLS 1.0 un iepriekšējie protokoli, drošības mazināšanu un CRIME - praktisku uzbrukumu TLS izmantošanai pārlūkprogrammās. Vietne atbalsta arī "tikai vecākus protokolu versijas, bet ne visjaunāko un drošāko TLS 1.2", teikts SSL Labs ziņojumā.
Iespējams, ka Yahoo joprojām izstrādā veidus, un nākamo nedēļu vai mēnešu laikā tiks ieviesta labāka drošība. Bet būtu bijis jauki jau iepriekš izskaidrot tā plānus. Kas par to Yahoo? Vai jūs domājat par lietotāju drošību, nevis par to, ko jūsu komandai ir vieglāk izdarīt?
