视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十二月 2024)
是的,雅虎终于为其邮件用户启用了HTTPS加密,但看起来该公司似乎并没有做出任何努力以有意义的安全方式进行加密。
Yahoo通信产品高级副总裁Jeff Bonforte写道,所有Yahoo Mail通信(无论是在Web,移动Web,移动应用程序上,还是通过IMAP,POP和SMTP进行通信)现在都默认使用2, 048位证书进行加密。雅虎邮件的Tumblr本周。 此举将保护电子邮件,附件,联系人,日历信息,甚至Messenger数据的所有内容,因为它们在用户浏览器和Yahoo服务器之间移动。 安全专家警告说,这还不够。
Rapid7的Metasploit工程经理Tod Beardsley说:“雅虎宣布已为所有Yahoo Mail用户启用HTTPS加密不仅太少了,而且还很麻烦。”
信用到期的地方
雅虎于2012年末开始向注重安全性的用户提供自行打开HTTPS的选项。最新更改意味着默认情况下,加密功能现在已打开,不仅保护了选择提高安全性的人,还保护了所有人。 考虑到大多数用户从来不会在设置中乱搞,因此,雅虎终于默认打开了HTTPS,这是一件好事。 自2010年以来,Gmail一直默认使用HTTPS; 2012年7月,Microsoft默认使用此功能启动了Outlook.com; Facebook于2012年11月开始默认向用户推出HTTPS。
如果雅虎实际上考虑了其一些安全决策,那么晚到聚会就不会太糟糕。 安全公司Qualys的应用程序安全研究主管Ivan Ristic告诉《 安全观察 》,虽然默认情况下部署加密是“雅虎迈出的一大步”,但“新配置仍有很多不足。” 最大的问题与Yahoo决定不支持Perfect Forward Secrecy(PFS)有关。
Ristic警告说:“没有前向保密性,即使加密数据也很可能受到私钥泄露的威胁。”
快速的PFS入门
使用基本的HTTPS加密,捕获数据流的黑客(或政府代理)无法读取内容,因为他们没有Yahoo的私钥。 但是,如果他们在以后的某个日期获得了密钥,则可以返回并解密先前捕获的数据。 如果该站点实施了Perfect Foward Secrecy,则即使某人在以后获得了该密钥的访问权限,该人也无法返回并解锁所有较旧的会话。
可以通过多种方式公开私钥:对Yahoo服务器进行攻击以窃取密钥或发现密码本身存在漏洞。 雅虎甚至可能自愿或由于法院命令移交密钥。
Beardsley说:“我没有合理的理由偏爱这种较弱的加密策略。”
还不够好
Ristic表示,雅虎的实施还有其他问题。 Yahoo的某些HTTPS电子邮件服务器使用RC4作为首选密码,但是RC4被认为是弱者。 Microsoft和Cisco最近逐步淘汰了RC4的使用。 根据SSL Labs的报告,由于它支持客户端启动的重新协商,因此它也容易受到分布式拒绝服务攻击。
SSL实验室根据SSL实施的总体安全性对网站进行评级。 雅虎只有“ B”等级。
其他服务器(例如login.yahoo.com)使用AES。 AES比RC4更好,但是Yahoo并未针对已知攻击实施安全缓解措施,例如针对TLS 1.0和更早协议的BEAST,以及针对浏览器中使用TLS的实用攻击CRIME。 根据SSL Labs的报告,该站点还支持“仅较旧的协议versios,但不支持最新的和更安全的TLS 1.2”。
也许Yahoo仍在解决问题,并且未来几周或几个月内将逐步采用更好的安全性。 但是提前解释其计划本来很好。 雅虎呢? 您会考虑用户安全性,而不是让您的团队更轻松地做什么?
