У дома Securitywatch Yahoo не заслужава похвала за подобрена сигурност

Yahoo не заслужава похвала за подобрена сигурност

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)
Anonim

Да, Yahoo най-накрая е включил HTTPS криптиране за своите потребители на Mail, но не изглежда така, сякаш компанията е положила някакви усилия да го направи по смислено сигурен начин.

Всички комуникации на Yahoo Mail - независимо дали в мрежата, мобилните мрежи, мобилните приложения или дори чрез IMAP, POP и SMTP - сега са шифровани по подразбиране, като се използват 2, 048-битови сертификати, пише Jeff Bonforte, старши вицепрезидент на Yahoo по комуникационните продукти, пише Tumblr на Yahoo Mail тази седмица. Този ход ще защити цялото съдържание на имейли, прикачени файлове, контакти, информация от календара и дори данни на Messenger, тъй като те се движат между браузъра на потребителя и сървърите на Yahoo. Експертите по сигурността предупредиха, че това не е достатъчно.

„Съобщението на Yahoo, че е позволило криптиране на HTTPS за всички потребители на Yahoo Mail, е не само твърде малко твърде късно, но и доста тревожно“, казва Тод Беърдсли, мениджър на Metasploit Engineering в Rapid7.

Кредит Когато кредитът се дължи

Yahoo започна да предлага на потребителите, съобразени със сигурността, възможността да включат HTTPS за себе си в края на 2012 г. Последната промяна означава, че криптирането вече е включено по подразбиране, защитавайки всички, а не само онези, които са се включили за повече сигурност. Имайки предвид, че повечето потребители никога не се заглушават в настройките, добре е Yahoo накрая да включи HTTPS по подразбиране. Gmail има HTTPS по подразбиране от 2010 г., Microsoft стартира Outlook.com през юли 2012 г. с тази функция по подразбиране, а Facebook започна да въвежда HTTPS по подразбиране за потребителите през ноември 2012 г.

Закъснението на партията не би било толкова лошо, ако Yahoo всъщност беше обмислил някои свои решения за сигурност. Въпреки че внедряването на криптиране по подразбиране е "голяма стъпка напред за Yahoo", "новата конфигурация оставя много да се желае", каза пред Security Watch Иван Ристич, директор на изследванията за сигурност на приложенията в охранителната фирма Qualys. Най-големият проблем е свързан с факта, че Yahoo реши да не поддържа Perfect Forward Secrecy (PFS).

"Без препращане на тайна дори криптирани данни са изложени на риск от компромис с частния ключ", предупреди Ристич.

Бърз PFS грунд

С основно криптиране на HTTPS, хакери (или правителствени агенти), които улавят потока от данни, не могат да четат съдържанието, тъй като нямат личен ключ на Yahoo. Ако обаче придобият ключа на някаква по-късна дата, те могат да се върнат назад и да дешифрират предварително заснетите данни. Ако сайтът внедри Perfect Foward Secret, дори ако някой получи достъп до ключа на по-късна дата, този човек не може да се върне назад и да отключи всички по-стари сесии.

Има няколко начина, по които частният ключ може да бъде изложен: атака срещу сървърите на Yahoo за открадване на ключа или откриване на слабост в самия шифър. Yahoo може дори да предаде ключа, доброволно или поради съдебно разпореждане.

"Не мога да измисля основателна причина да предпочитам тази по-слаба стратегия за криптиране", каза Беърдсли.

Не е достатъчно добър

Има други проблеми с внедряването на Yahoo според Ristic. Някои от имейл сървърите на Yahoo HTTPS използват RC4 като предпочитан шифър, но RC4 се счита за слаб. Microsoft и Cisco наскоро прекратиха използването на RC4. Той е уязвим и при атаки на разпространение, отказ на услуга, тъй като поддържа инициирано от клиента предоговаряне, според доклад на SSL Labs.

SSL Labs оценява Уебсайтовете за свръх сигурността на неговата SSL внедряване. Yahoo има само "B" рейтинг.

Други сървъри, като login.yahoo.com, използват AES. AES е по-добър от RC4, но Yahoo не прилага смекчаване на сигурността за известни атаки като BEAST, която е насочена към TLS 1.0 и по-ранни протоколи и CRIME, практическа атака срещу начина, по който TLS се използва в браузърите. Сайтът също така поддържа „само по-стари версии на протоколи, но не и най-новите и по-сигурни TLS 1.2“, според доклад от SSL Labs.

Може би Yahoo все още разработва препятствия и по-добрата сигурност ще бъде въведена през следващите няколко седмици или месеци. Но би било хубаво да обясним плановете си предварително. Какво става с Yahoo? Ще мислите ли за сигурността на потребителите, вместо за това, какво е по-лесно за вашия екип?

Yahoo не заслужава похвала за подобрена сигурност