Дом Securitywatch Yahoo не заслуживает похвалы за усиленную безопасность

Yahoo не заслуживает похвалы за усиленную безопасность

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)
Anonim

Да, Yahoo наконец-то включила HTTPS-шифрование для своих пользователей Mail, но не похоже, что компания прилагает какие-либо усилия для того, чтобы сделать это надежным способом.

Все сообщения Yahoo Mail - будь то в Интернете, в мобильном Интернете, в мобильных приложениях или даже через IMAP, POP и SMTP - теперь шифруются по умолчанию с использованием 2048-битных сертификатов, пишет старший вице-президент Yahoo по коммуникационным продуктам Джефф Бонфорте. Tumblr Yahoo Mail на этой неделе. Этот шаг защитит все содержимое электронных писем, вложений, контактов, информации календаря и даже данных Messenger, поскольку они перемещаются между браузером пользователя и серверами Yahoo. Эксперты по безопасности предупреждают, что этого недостаточно.

«Объявление Yahoo о том, что оно включило HTTPS-шифрование для всех пользователей Yahoo Mail, не только слишком поздно, но и весьма тревожно», - сказал Тод Бирдсли, технический менеджер Metasploit в Rapid7.

Кредит, где кредит должен

Yahoo начала предлагать пользователям, которые заботятся о безопасности, возможность включить HTTPS для себя в конце 2012 года. Последнее изменение означает, что шифрование теперь включено по умолчанию, защищая всех, а не только тех, кто решил повысить безопасность. Учитывая, что большинство пользователей никогда не вмешиваются в настройки, хорошо, что Yahoo наконец-то включила HTTPS по умолчанию. Gmail имеет HTTPS по умолчанию с 2010 года, Microsoft запустила Outlook.com в июле 2012 года с этой функцией по умолчанию, а Facebook начал развертывать HTTPS по умолчанию для пользователей в ноябре 2012 года.

Опоздание на вечеринку не было бы так плохо, если бы Yahoo на самом деле продумала некоторые свои решения по безопасности. Хотя развертывание шифрования по умолчанию является «большим шагом вперед для Yahoo», «новая конфигурация оставляет желать лучшего», - сказал Иван Ристик, директор по исследованиям безопасности приложений в фирме по обеспечению безопасности Qualys, Security Watch . Самая большая проблема связана с тем, что Yahoo решила не поддерживать Perfect Forward Secrecy (PFS).

«Без прямой секретности даже зашифрованные данные могут оказаться под угрозой из-за компрометации закрытого ключа», - предупреждает Ристик.

Быстрый учебник PFS

С базовым HTTPS-шифрованием хакеры (или правительственные агенты), которые захватывают поток данных, не могут прочитать содержимое, потому что у них нет личного ключа Yahoo. Однако, если они получат ключ позднее, они могут вернуться и расшифровать ранее записанные данные. Если на сайте реализована Perfect Foward Secrecy, то даже если кто-то получит доступ к ключу позднее, он не сможет вернуться и разблокировать все старые сеансы.

Существует несколько способов раскрытия закрытого ключа: атака на серверы Yahoo с целью кражи ключа или обнаружение уязвимости в самом шифре. Yahoo может даже передать ключ добровольно или по решению суда.

«Я не могу придумать разумную причину, чтобы предпочесть эту более слабую стратегию шифрования», - сказал Бердсли.

Не достаточно хорош

Есть и другие проблемы с реализацией Yahoo, согласно Ristic. Некоторые серверы электронной почты HTTPS от Yahoo используют RC4 в качестве предпочтительного шифра, но RC4 считается слабым. Microsoft и Cisco недавно прекратили использование RC4. Согласно отчету SSL Labs, он также уязвим для атак распределенного отказа в обслуживании, поскольку поддерживает пересогласование, инициированное клиентом.

SSL Labs оценивает сайты по общей безопасности своей реализации SSL. У Yahoo есть только рейтинг "B".

Другие серверы, такие как login.yahoo.com, используют AES. AES лучше, чем RC4, но Yahoo не реализовала меры безопасности для известных атак, таких как BEAST, которая нацелена на протоколы TLS 1.0 и более ранних версий, и CRIME, практическая атака против использования TLS в браузерах. Сайт также поддерживает «только старые версии протокола, но не самый последний и более безопасный TLS 1.2», согласно отчету SSL Labs.

Возможно, Yahoo все еще решает проблемы, и в ближайшие несколько недель или месяцев будет повышена безопасность. Но было бы неплохо объяснить свои планы заранее. Как насчет этого Yahoo? Будете ли вы думать о безопасности пользователей, а не о том, что легче сделать вашей команде?

Yahoo не заслуживает похвалы за усиленную безопасность