Video: DNA: Analyzing the reasons behind Yahoo's downfall (Nobyembre 2024)
Oo, sa wakas ay na-on ng Yahoo ang pag-encrypt ng HTTPS para sa mga gumagamit nito sa Mail, ngunit hindi ito mukhang kung ang kumpanya ay naglalagay sa anumang pagsisikap patungo sa paggawa nito sa isang makabuluhang paraan.
Ang lahat ng mga komunikasyon sa Yahoo Mail - kung sa Web, mobile Web, mobile apps, o kahit sa pamamagitan ng IMAP, POP at SMTP - ay naka-encrypt ngayon sa pamamagitan ng default gamit ang 2, 048-bit na mga sertipiko, si Jeff Bonforte, ang senior na bise-presidente ng mga produkto ng komunikasyon, isinulat sa Tumblr ng Yahoo Mail ngayong linggo. Ang hakbang na ito ay protektahan ang lahat ng mga nilalaman ng mga email, mga kalakip, contact, impormasyon sa Kalendaryo, at maging ang data ng Messenger, habang lumilipat sila sa pagitan ng browser ng gumagamit at mga server ng Yahoo. Nagbabala ang mga eksperto sa seguridad na hindi ito sapat.
"Ang anunsyo ng Yahoo na pinagana nito ang pag-encrypt ng HTTPS para sa lahat ng mga gumagamit ng Yahoo Mail ay hindi lamang masyadong huli, ngunit masyadong nakakagambala, " sabi ni Tod Beardsley, Metasploit Engineering Manager sa Rapid7.
Credit Kung Saan Ang Kredito
Ang Yahoo ay nagsimulang mag-alok ng mga gumagamit na may kamalayan sa seguridad na opsyon na i-on ang HTTPS para sa kanilang sarili sa huli na ang 2012. Ang pinakabagong pagbabago ay nangangahulugang ang pag-encrypt ay naka-on ngayon sa pamamagitan ng default, na pinoprotektahan ang lahat, hindi lamang ang mga taong pumili ng para sa higit pang seguridad. Isinasaalang-alang na ang karamihan sa mga gumagamit ay hindi nag-iikot-ikot sa mga setting, ito ay isang magandang bagay na sa wakas ay naka-on ang HTTPS sa default. Ang Gmail ay nagkaroon ng HTTPS bilang default mula noong 2010, inilunsad ng Microsoft ang Outlook.com noong Hulyo 2012 sa default na tampok na ito, at sinimulan ng Facebook na ilunsad ang HTTPS nang default sa mga gumagamit noong Nobyembre 2012.
Ang pagiging huli sa partido ay hindi magiging masama kung ang Yahoo ay talagang naisip sa pamamagitan ng ilan sa mga desisyon sa seguridad. Habang ang pag-encrypt ng pag-encrypt nang default ay isang "malaking hakbang para sa Yahoo, " ang "bagong pagsasaayos ay nag-iiwan ng maraming nais, " si Ivan Ristic, direktor ng pagsasaliksik ng seguridad ng aplikasyon sa security firm na Qualys, sinabi sa Security Watch . Ang pinakamalaking isyu ay may kinalaman sa katotohanan na ang Yahoo ay nagpasya na huwag suportahan ang Perfect Forward Secrecy (PFS).
"Kung walang Forward Secrecy, kahit na ang naka-encrypt na data ay maaaring mapanganib mula sa pribadong key kompromiso, " babala ni Ristic.
Isang Mabilis na PFS Primer
Sa pangunahing pag-encrypt ng HTTPS, ang mga hacker (o mga ahente ng gobyerno) na kumukuha ng data stream ay hindi mabasa ang mga nilalaman dahil wala silang pribadong key ng Yahoo. Gayunpaman, kung nakuha nila ang susi sa ilang susunod na petsa, maaari silang bumalik at i-decrypt ang dating nakuha na data. Kung ang site ay ipinatupad ang Perfect Foward Secrecy, pagkatapos kahit na ang isang tao ay nakakuha ng access sa susi sa ibang araw, ang taong iyon ay hindi maaaring bumalik at i-unlock ang lahat ng mga mas lumang session.
Mayroong isang bilang ng mga paraan na maaaring mailantad ang pribadong key: isang pag-atake sa mga server ng Yahoo upang magnakaw ng susi o pagtuklas ng isang kahinaan sa cipher mismo. Maaari ring ibigay ng Yahoo ang susi, kusang-loob o dahil sa isang utos ng korte.
"Hindi ko maisip ang isang lehitimong dahilan upang mas gusto ang mas mahina na diskarte sa pag-encrypt, " sinabi ni Beardsley.
Hindi sapat
Mayroong iba pang mga problema sa pagpapatupad ng Yahoo, ayon kay Ristic. Ang ilan sa mga server ng email ng HTTPS ng Yahoo ay gumagamit ng RC4 bilang ginustong cipher, ngunit ang RC4 ay itinuturing na mahina. Kamakailan lamang ay tinanggal ng Microsoft at Cisco ang paggamit ng RC4. Masusugatan din ito sa mga na-distribusyon-pagtanggi-ng-serbisyo na pag-atake dahil sinusuportahan nito ang sinimulang pagbago ng kliyente, ayon sa isang ulat mula sa SSL Labs.
Ang mga marka ng SSL Labs Mga Website sa sobrang seguridad ng pagpapatupad ng SSL nito. Ang Yahoo ay may rating lamang na "B".
Ang iba pang mga server, tulad ng login.yahoo.com, ay gumagamit ng AES. Ang AES ay mas mahusay kaysa sa RC4, ngunit hindi ipinatupad ng Yahoo ang mga pagpapagaan sa seguridad para sa mga kilalang pag-atake tulad ng BEAST, na target ang TLS 1.0 at mas maaga na mga protocol, at CRIME, isang praktikal na pag-atake laban sa kung paano ginagamit ang TLS sa mga browser. Sinusuportahan din ng site ang "mga mas lumang mga bersyon ng protocol lamang, ngunit hindi ang pinakabagong at mas ligtas na TLS 1.2, " ayon sa isang ulat mula sa SSL Labs.
Marahil ang Yahoo ay nagsusumikap pa rin sa mga kink at mas mahusay na seguridad ay mai-phased sa susunod na ilang linggo o buwan. Ngunit masarap ipaliwanag ang mga plano nito nang paitaas. Ano ang tungkol sa Yahoo? Iisipin mo ang tungkol sa seguridad ng gumagamit, sa halip na kung ano ang mas madali para sa iyong koponan na gawin?
