Будинки Securitywatch Yahoo не заслуговує на похвалу за підвищену безпеку

Yahoo не заслуговує на похвалу за підвищену безпеку

Відео: whatsaper ru Недетские анекдоты про Вовочку (Листопад 2024)

Відео: whatsaper ru Недетские анекдоты про Вовочку (Листопад 2024)
Anonim

Так, Yahoo нарешті увімкнув шифрування HTTPS для своїх користувачів пошти, але це не виглядає так, якби компанія доклала жодних зусиль для того, щоб зробити це в значущо захищеному порядку.

Усі комунікації Yahoo Mail - будь то в Інтернеті, мобільній мережі Інтернет, мобільних додатках або навіть через IMAP, POP та SMTP - тепер за замовчуванням шифруються за допомогою 2, 048-бітових сертифікатів, написав Джефф Бонфорте, старший віце-президент Yahoo з комунікаційних продуктів, Tumblr Yahoo Mail цього тижня. Цей хід захистить увесь вміст електронної пошти, вкладених файлів, контактів, інформації календаря та навіть даних Messenger, коли вони переміщуються між браузером користувача та серверами Yahoo. Експерти з безпеки попередили, що цього недостатньо.

"Оголошення Yahoo про те, що воно дозволило шифрувати HTTPS для всіх користувачів Yahoo Mail, є не лише надто пізно, але й досить тривожно", - сказав Тод Бердслі, менеджер з інженерних процесів Metasploit в Rapid7.

Кредит, де належить отримання кредиту

Yahoo почав пропонувати користувачам, орієнтованим на безпеку, можливість увімкнути HTTPS для себе наприкінці 2012 року. Остання зміна означає, що шифрування тепер увімкнено за замовчуванням, захищаючи всіх, а не лише тих, хто вибирав додаткову безпеку. Зважаючи на те, що більшість користувачів ніколи не забуває в налаштуваннях, це добре, що Yahoo нарешті включив HTTPS за замовчуванням. У Gmail за замовчуванням було встановлено HTTPS з 2010 року, Microsoft запустила Outlook.com у липні 2012 року з цією функцією за замовчуванням, а Facebook почав впроваджувати HTTPS за замовчуванням для користувачів у листопаді 2012 року.


Запізнитися на вечірку було б не так вже й погано, якби Yahoo насправді продумав деякі свої рішення щодо безпеки. Хоча розширення шифрування за замовчуванням є «великим кроком вперед для Yahoo», «нова конфігурація залишає бажати кращого», - розповів Security Watch Іван Рістич, директор з досліджень безпеки при застосуванні фірми безпеки Qualys. Найбільша проблема пов'язана з тим, що Yahoo вирішив не підтримувати Perfect Forward Secrecy (PFS).

"Без передачі секретності навіть зашифровані дані піддаються ризику через компроміс із приватними ключами", - попередив Рістік.

Швидкий праймер PFS

За допомогою базового шифрування HTTPS хакери (або державні агенти), які захоплюють потік даних, не можуть читати вміст, оскільки у них немає приватного ключа Yahoo. Однак якщо вони придбали ключ на якусь пізнішу дату, вони могли б повернутися назад і розшифрувати раніше захоплені дані. Якщо сайт реалізував Perfect Foward Secrecy, то навіть якщо хтось отримав доступ до ключа пізніше, ця людина не може повернутися та розблокувати всі старіші сеанси.

Існує декілька способів відкрити приватний ключ: атака серверів Yahoo для крадіжки ключа або виявлення слабкості самого шифру. Yahoo може навіть здати ключ, добровільно або через рішення суду.

"Я не можу придумати законних причин віддати перевагу цій слабкій стратегії шифрування", - сказав Бердслі.

Недостатньо достатньо

За словами Ristic, існують інші проблеми з впровадженням Yahoo. Деякі сервери електронної пошти Yahoo HTTPS використовують RC4 як кращий шифр, але RC4 вважається слабким. Microsoft і Cisco нещодавно припинили використання RC4. Він також вразливий до атак на розповсюдження-відмову в обслуговуванні, оскільки він підтримує ініційовану клієнтом переговори, згідно з повідомленням з лабораторій SSL.

Веб-сайти лабораторій SSL оцінюють безпеку її впровадження SSL. Yahoo має лише рейтинг "B".

Інші сервери, такі як login.yahoo.com, використовують AES. AES кращий, ніж RC4, але Yahoo не застосовував пом'якшення безпеки для відомих атак, таких як BEAST, націлений на TLS 1.0 та більш ранні протоколи, і CRIME - практичну атаку проти використання TLS у браузерах. Сайт також підтримує "лише старіші версії протоколу, але не найновіший і більш безпечний TLS 1.2", згідно з повідомленням з лабораторій SSL.

Можливо, Yahoo все ще працює над перешкодами, і краща безпека буде поступово використана протягом наступних кількох тижнів чи місяців. Але добре було б заздалегідь пояснити свої плани. Що з цим Yahoo? Чи будете ви думати про безпеку користувачів, а не про те, що легше робити вашій команді?

Yahoo не заслуговує на похвалу за підвищену безпеку