Video: Yahoo groups Shutting down on december 15, 2020 (November 2024)
Áno, spoločnosť Yahoo konečne zapla šifrovanie HTTPS pre svojich používateľov pošty, ale nevyzerá to, akoby spoločnosť vynaložila akékoľvek úsilie na to, aby to urobila zmysluplne bezpečným spôsobom.
Všetka komunikácia prostredníctvom Yahoo Mail - či už na webe, mobilnom webe, mobilných aplikáciách alebo dokonca prostredníctvom IMAP, POP a SMTP - je teraz štandardne šifrovaná pomocou 2 048-bitových certifikátov. Jeff Bonforte, hlavný viceprezident spoločnosti Yahoo pre komunikačné produkty, napísal Yahoo Mail je Tumblr tento týždeň. Tento krok ochráni všetok obsah e-mailov, príloh, kontaktov, informácií z Kalendára a dokonca aj údajov aplikácie Messenger, keď sa pohybujú medzi prehliadačom používateľa a servermi Yahoo. Odborníci na bezpečnosť varovali, že to nestačí.
„Oznámenie spoločnosti Yahoo o tom, že umožnilo šifrovanie HTTPS pre všetkých používateľov Yahoo Mail, je nielen príliš neskoro, ale tiež dosť znepokojujúce, “ povedal Tod Beardsley, Metasploit Engineering Manager spoločnosti Rapid7.
Kredit, ak je splatný úver
Spoločnosť Yahoo začala koncom roka 2012 ponúkať používateľom, ktorí si uvedomujú bezpečnosť, možnosť zapnúť HTTPS. Posledná zmena znamená, že šifrovanie je predvolene zapnuté, čo chráni všetkých, nielen tých, ktorí sa rozhodli pre väčšiu bezpečnosť. Vzhľadom na to, že väčšina používateľov v nastaveniach nikdy nezasahuje, je to dobrá vec, ktorú spoločnosť Yahoo v predvolenom nastavení nakoniec zaplala. Gmail má v predvolenom nastavení HTTPS od roku 2010, spoločnosť Microsoft spustila program Outlook.com v júli 2012 s touto funkciou v predvolenom nastavení a Facebook začal používať HTTPS v predvolenom nastavení používateľom v novembri 2012.
Neskoro na stranu by nebolo také zlé, keby Yahoo skutočne premyslel niektoré zo svojich bezpečnostných rozhodnutí. Hoci nasadenie šifrovania v predvolenom nastavení je pre Yahoo „veľkým krokom vpred“, „nová konfigurácia si vyžaduje veľa, “ povedal pre agentúru Security Watch Ivan Ristic, riaditeľ výskumu bezpečnosti aplikácií v bezpečnostnej spoločnosti Qualys. Najväčší problém súvisí s tým, že spoločnosť Yahoo sa rozhodla nepodporovať Perfect Forward Secrecy (PFS).
„Bez Forward Secrecy sú dokonca aj šifrované údaje reálne ohrozené kompromitáciou súkromného kľúča, “ varoval Ristic.
Rýchly primer PFS
Pri základnom šifrovaní HTTPS hackeri (alebo vládni agenti), ktorí zachytávajú dátový tok, nemôžu čítať obsah, pretože nemajú súkromný kľúč Yahoo. Ak však kľúč získali neskôr, mohli by sa vrátiť a dešifrovať predtým zachytené údaje. Ak stránka implementovala Perfect Foward Secrecy, potom, aj keď niekto získal prístup ku kľúču neskôr, táto osoba sa nemôže vrátiť späť a odomknúť všetky staršie relácie.
Existuje mnoho spôsobov, ako by sa mohol odhaliť súkromný kľúč: útok na servery Yahoo na ukradnutie kľúča alebo odhalenie slabosti samotnej šifry. Spoločnosť Yahoo môže kľúč odovzdať dokonca aj dobrovoľne alebo na základe súdneho príkazu.
„Neviem si predstaviť legitímny dôvod uprednostňovať túto slabšiu stratégiu šifrovania, “ povedal Beardsley.
Nie je dosť dobrý
Podľa Ristic existujú ďalšie problémy s implementáciou Yahoo. Niektoré e-mailové servery HTTPS spoločnosti Yahoo používajú RC4 ako preferovanú šifru, ale RC4 sa považuje za slabú. Microsoft a Cisco nedávno ukončili používanie RC4. Podľa správy od laboratórií SSL je tiež zraniteľná voči útokom distribuovaného odmietnutia služby, pretože podporuje opätovné vyjednávanie iniciované klientom.
SSL Labs hodnotí webové stránky z hľadiska celkového zabezpečenia implementácie SSL. Yahoo má iba hodnotenie „B“.
Iné servery, napríklad login.yahoo.com, používajú AES. AES je lepšia ako RC4, ale spoločnosť Yahoo nezaviedla zmiernenie zabezpečenia známych útokov, ako je BEAST, ktoré sa zameriavajú na protokoly TLS 1.0 a staršie protokoly, a CRIME, praktický útok proti použitiu protokolu TLS v prehľadávačoch. Stránka tiež podporuje „iba staršie verzie protokolov, ale nie najnovšie a bezpečnejšie TLS 1.2“, podľa správy od laboratórií SSL.
Možno Yahoo stále pracuje na zlomychách a v priebehu niekoľkých najbližších týždňov alebo mesiacov bude postupne zavádzaná lepšia bezpečnosť. Bolo by však pekné vysvetliť svoje plány vopred. A čo Yahoo? Rozmýšľate nad bezpečnosťou používateľov namiesto toho, čo je ľahšie urobiť pre váš tím?