Video: Suspense: The 13th Sound / Always Room at the Top / Three Faces at Midnight (Oktober 2024)
Da, Yahoo je končno vklopil šifriranje HTTPS za svoje uporabnike pošte, vendar ni videti, kot da bi se družba trudila, da bi to storila na smiselno varen način.
Vse Yahoo Mail komunikacije - bodisi v spletu, mobilnem spletu, mobilnih aplikacijah ali celo prek IMAP, POP in SMTP - so zdaj privzeto šifrirane z uporabo 2.048-bitnih potrdil, je napisal Jeff Bonforte, višji podpredsednik Yahoojevega komunikacijskega izdelka. Yahoo Mail je Tumblr ta teden. Ta poteza bo zaščitila vso vsebino e-poštnih sporočil, prilog, stikov, podatkov o koledarju in celo podatke Messengerja, ko se premikajo med brskalnikom uporabnika in strežniki Yahoo. Varnostni strokovnjaki so opozorili, da to ni dovolj.
"Najava Yahooja, da je omogočil šifriranje HTTPS za vse uporabnike Yahoo Mail, je ne le prepozno, ampak tudi precej moteča, " je dejal Tod Beardsley, vodja metasploit inženiringa pri Rapid7.
Kredit, kadar je zapadel kredit
Yahoo je uporabnikom, ki so pozorni na varnost, začel ponujati možnost vklopa HTTPS zase konec leta 2012. Zadnja sprememba pomeni, da je šifriranje zdaj privzeto vklopljeno in ščiti vse, ne le tiste, ki so se odločili za večjo varnost. Glede na to, da se večina uporabnikov nikoli ne zatika v nastavitvah, je dobro, da je Yahoo končno vklopil HTTPS. Gmail je privzeto imel HTTPS od leta 2010, Microsoft je julij 2012 privzeto predstavil Outlook.com s to funkcijo, Facebook pa je novembra 2012 privzeto začel uvajati HTTPS za uporabnike.
Zamuda na zabavo ne bi bila tako slaba, če bi Yahoo dejansko premišljeval o nekaterih svojih varnostnih odločitvah. Medtem ko je privzeto uvajanje šifriranja "velik korak naprej za Yahoo", "nova konfiguracija pušča veliko želenega, " je za Security Watch povedal Ivan Ristič, direktor raziskav varnosti aplikacij varnostne družbe Qualys. Največje vprašanje je povezano s tem, da se je Yahoo odločil, da ne bo podpiral Perfect Forward Secrecy (PFS).
"Brez posredovanja tajnosti je celo šifriran podatek ogrožen zaradi kompromisa z zasebnimi ključi, " je opozoril Ristič.
Hiter PFS Primer
Z osnovnim šifriranjem HTTPS hekerji (ali vladni agenti), ki zajemajo podatkovni tok, ne morejo prebrati vsebine, ker nimajo Yahoojevega zasebnega ključa. Če pa bodo ključ pridobili pozneje, se lahko vrnejo in dešifrirajo prej zajete podatke. Če je spletno mesto izvajalo Perfect Foward Secrecy, potem tudi če je kdo pozneje dobil dostop do ključa, ta oseba ne more iti nazaj in odkleniti vseh starejših sej.
Zasebni ključ je lahko izpostavljen na več načinov: napad na Yahoojeve strežnike za krajo ključa ali odkrivanje šibkosti same šifre. Yahoo lahko ključ celo izroči prostovoljno ali zaradi sodne odredbe.
"Ne morem si zamisliti upravičenega razloga, da bi raje uporabil to šibkejšo šifrirno strategijo, " je dejal Beardsley.
Ne dovolj dobro
Po Rističevem mnenju obstajajo tudi druge težave pri izvajanju Yahooja. Nekateri Yahoojevi e-poštni strežniki HTTPS uporabljajo RC4 kot najprimernejši šifrant, vendar se RC4 šteje za šibkega. Microsoft in Cisco sta pred kratkim ukinila uporabo RC4. Poročilo iz laboratorijev SSL je tudi ranljivo za napade distribuiranega zavračanja storitve, saj podpira ponovna pogajanja s strankami.
SSL laboratoriji ocenjujejo spletna mesta glede previdne varnosti njegove implementacije SSL. Yahoo ima le "B" oceno.
Drugi strežniki, kot je login.yahoo.com, uporabljajo AES. AES je boljši od RC4, vendar Yahoo ni izvedel varnostnih ukrepov za znane napade, kot je BEAST, ki cilja na TLS 1.0 in starejše protokole, in CRIME, praktičen napad proti načinu uporabe TLS v brskalnikih. Spletno mesto podpira tudi "le starejše protokole verzije, ne pa tudi najnovejšega in varnejšega TLS 1.2", kaže poročilo SSL Labs.
Morda Yahoo še vedno dela težave, zato bo v naslednjih nekaj tednih ali mesecih izboljšana varnost. Vendar bi bilo lepo, da bi svoje načrte razložili vnaprej. Kaj pa Yahoo? Boste razmišljali o varnosti uporabnikov, namesto o tem, kaj lažje počne vaša ekipa?
