Video: Yahoo Finance Presents: eBay CEO Jamie Iannone (Oktober 2024)
Ja, Yahoo har endelig slått på HTTPS-kryptering for sine Mail-brukere, men det ser ikke ut som om selskapet satset på å gjøre det på en meningsfullt sikker måte.
All Yahoo Mail-kommunikasjon - enten på Internett, mobilweb, mobilapper, eller til og med via IMAP, POP og SMTP - er nå kryptert som standard ved hjelp av 2, 048-biters sertifikater, skrev Jeff Bonforte, Yahoos senior visepresident for kommunikasjonsprodukter, om Yahoo Mail's Tumblr denne uken. Dette trekket vil beskytte alt innholdet i e-post, vedlegg, kontakter, kalenderinformasjon og til og med Messenger-data, når de beveger seg mellom brukerens nettleser og Yahoos servere. Sikkerhetseksperter advarte om at det ikke var nok.
"Yahoos kunngjøring om at den har aktivert HTTPS-kryptering for alle Yahoo Mail-brukere er ikke bare for lite for sent, men også ganske urovekkende, " sa Tod Beardsley, Metasploit Engineering Manager hos Rapid7.
Kreditt der kreditt forfaller
Yahoo begynte å tilby sikkerhetsbevisste brukere muligheten til å slå på HTTPS for seg selv i slutten av 2012. Den siste endringen betyr at krypteringen nå er slått på som standard, og beskytter alle, ikke bare de som har valgt mer sikkerhet. Tatt i betraktning at de fleste brukere aldri kaster seg rundt i innstillingene, er det en god ting Yahoo endelig har slått på HTTPS som standard. Gmail har hatt HTTPS som standard siden 2010, Microsoft lanserte Outlook.com i juli 2012 med denne funksjonen som standard, og Facebook begynte å rulle ut HTTPS som standard til brukere i november 2012.
Å være for sen til festen ville ikke være så ille hvis Yahoo faktisk hadde tenkt gjennom noen av sine sikkerhetsbeslutninger. Mens distribusjon av kryptering som standard er et "stort skritt fremover for Yahoo", overlater den "nye konfigurasjonen mye å være ønsket", sa Ivan Ristic, direktør for applikasjonssikkerhetsforskning i sikkerhetsfirmaet Qualys, til Security Watch . Den største saken har å gjøre med at Yahoo bestemte seg for ikke å støtte Perfect Forward Secrecy (PFS).
Uten fremoverhemmelighet er til og med krypterte data muligens utsatt for kompromiss med privatnøkkel, advarte Ristic.
En rask PFS-grunning
Med grunnleggende HTTPS-kryptering kan ikke hackere (eller myndighetsagenter) som fanger datastrømmen lese innholdet fordi de ikke har Yahoos private nøkkel. Imidlertid, hvis de skaffet nøkkelen på et senere tidspunkt, kunne de gå tilbake og dekryptere de tidligere fangede dataene. Hvis nettstedet implementerte Perfect Foward-hemmelighold, kan ikke personen, selv om noen fikk tilgang til nøkkelen på et senere tidspunkt, gå tilbake og låse opp alle de eldre øktene.
Det er flere måter den private nøkkelen kan bli utsatt for: et angrep på Yahoos servere for å stjele nøkkelen eller oppdage en svakhet i selve chifferen. Yahoo kan til og med overlate nøkkelen, enten frivillig eller på grunn av en domstol.
"Jeg kan ikke tenke på en legitim grunn til å foretrekke denne svakere krypteringsstrategien, " sa Beardsley.
Ikke god nok
Ifølge Ristic er det andre problemer med implementeringen av Yahoo. Noen av Yahoos HTTPS e-postservere bruker RC4 som foretrukket chiffer, men RC4 anses å være svak. Microsoft og Cisco faset nylig ut bruken av RC4. Det er også sårbart for angrep med distribusjonsnektelse-fra-tjenesten fordi det støtter klientinitiert reforhandling, ifølge en rapport fra SSL Labs.
SSL Labs klassifiserer nettsteder på overal sikkerhet for SSL-implementeringen. Yahoo har bare en "B" -vurdering.
Andre servere, for eksempel login.yahoo.com, bruker AES. AES er bedre enn RC4, men Yahoo implementerte ikke sikkerhetsbegrensninger for kjente angrep som BEAST, som er rettet mot TLS 1.0 og tidligere protokoller, og CRIME, et praktisk angrep mot hvordan TLS brukes i nettlesere. Nettstedet støtter også "bare eldre protokollversjoner, men ikke den nyeste og sikrere TLS 1.2, " ifølge en rapport fra SSL Labs.
Kanskje Yahoo jobber fremdeles med knekk, og bedre sikkerhet vil innfases i løpet av de neste ukene eller månedene. Men det hadde vært fint å forklare planene på forhånd. Hva med det Yahoo? Vil du tenke på brukersikkerhet, i stedet for hva som er enklere for teamet ditt å gjøre?
