Yahoo ไม่สมควรได้รับการยกย่องสำหรับความปลอดภัยขั้นสูง

ใช่แล้ว Yahoo ได้เปิดใช้การเข้ารหัส HTTPS สำหรับผู้ใช้งาน Mail แล้ว แต่ก็ไม่ได้ดูว่า บริษัท พยายามใช้วิธีการใดในการรักษาความปลอดภัยอย่างมีความหมาย

การสื่อสาร Yahoo Mail ทั้งหมดไม่ว่าจะเป็นบนเว็บ, เว็บบนมือถือ, แอพมือถือหรือแม้กระทั่งผ่าน IMAP, POP และ SMTP ตอนนี้จะถูกเข้ารหัสโดยค่าเริ่มต้นโดยใช้ใบรับรอง 2, 048 บิต, Jeff Bonforte รองประธานอาวุโสฝ่ายผลิตภัณฑ์สื่อสารของ Yahoo Tumblr ของ Yahoo Mail ในสัปดาห์นี้ การย้ายนี้จะปกป้องเนื้อหาทั้งหมดของอีเมลสิ่งที่แนบมาผู้ติดต่อข้อมูลปฏิทินและแม้แต่ข้อมูล Messenger เมื่อพวกเขาย้ายระหว่างเบราว์เซอร์ของผู้ใช้และเซิร์ฟเวอร์ของ Yahoo ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่ามันไม่เพียงพอ

Tod Beardsley ผู้จัดการฝ่ายวิศวกรรมของ Rapid7 กล่าวว่า Yahoo ประกาศว่า Yahoo ได้เปิดใช้งานการเข้ารหัส HTTPS สำหรับผู้ใช้ Yahoo Mail ทุกคนไม่เพียง แต่สายเกินไป แต่ยังมีปัญหาอีกมาก

เครดิตที่เครดิตครบกำหนด

Yahoo เริ่มเสนอตัวเลือกให้ผู้ใช้ที่ใส่ใจเรื่องความปลอดภัยในการเปิดใช้ HTTPS สำหรับตัวเองในช่วงปลายปี 2555 การเปลี่ยนแปลงล่าสุดหมายความว่าการเข้ารหัสจะเปิดใช้งานตามค่าเริ่มต้นปกป้องทุกคนไม่ใช่แค่ผู้ที่เลือกใช้เพื่อความปลอดภัยมากขึ้น เมื่อพิจารณาว่าผู้ใช้ส่วนใหญ่ไม่เคยโคลนในการตั้งค่ามันเป็นสิ่งที่ดีที่สุดที่ Yahoo ได้เปิด HTTPS ตามค่าเริ่มต้น Gmail มี HTTPS เป็นค่าเริ่มต้นตั้งแต่ปี 2010 Microsoft เปิดตัว Outlook.com ในเดือนกรกฎาคม 2012 ด้วยคุณสมบัตินี้โดยค่าเริ่มต้นและ Facebook เริ่มเปิดตัว HTTPS ตามค่าเริ่มต้นสำหรับผู้ใช้ในเดือนพฤศจิกายน 2012

การไปงานปาร์ตี้สายจะไม่เลวร้ายนักหาก Yahoo คิดผ่านการตัดสินใจด้านความปลอดภัยแล้ว ในขณะที่การปรับใช้การเข้ารหัสโดยค่าเริ่มต้นเป็น "ก้าวสำคัญสำหรับ Yahoo" การกำหนดค่าใหม่ทำให้มีความต้องการอย่างมาก "Ivan Ristic ผู้อำนวยการฝ่ายวิจัยความปลอดภัยของแอปพลิเคชันที่ บริษัท รักษาความปลอดภัย Qualys กล่าวกับ Security Watch ปัญหาที่ใหญ่ที่สุดเกี่ยวข้องกับข้อเท็จจริงที่ว่า Yahoo ตัดสินใจไม่สนับสนุน Perfect Forward Secrecy (PFS)

"หากไม่มีการส่งต่อความลับแม้แต่ข้อมูลที่เข้ารหัสจะมีความเสี่ยงจากการประนีประนอมคีย์ส่วนตัว" Ristic เตือน

Primer PFS ด่วน

ด้วยการเข้ารหัส HTTPS พื้นฐานแฮ็กเกอร์ (หรือตัวแทนรัฐบาล) ที่จับกระแสข้อมูลไม่สามารถอ่านเนื้อหาได้เนื่องจากไม่มีคีย์ส่วนตัวของ Yahoo อย่างไรก็ตามหากพวกเขาได้รับกุญแจในภายหลังพวกเขาสามารถย้อนกลับและถอดรหัสข้อมูลที่บันทึกไว้ก่อนหน้านี้ หากไซต์นั้นใช้งาน Perfect Foward Secrecy แม้ว่าใครบางคนจะสามารถเข้าถึงคีย์ได้ในภายหลังบุคคลนั้นจะไม่สามารถย้อนกลับและปลดล็อกเซสชันที่เก่ากว่าทั้งหมดได้

มีหลายวิธีที่คีย์ส่วนตัวอาจถูกเปิดเผย: การโจมตีบนเซิร์ฟเวอร์ของ Yahoo เพื่อขโมยคีย์หรือค้นหาจุดอ่อนในการเข้ารหัส Yahoo อาจมอบกุญแจไม่ว่าจะด้วยความสมัครใจหรือเนื่องจากคำสั่งศาล

"ฉันไม่สามารถคิดเหตุผลที่ถูกกฎหมายที่จะชอบกลยุทธ์การเข้ารหัสที่อ่อนแอกว่านี้" Beardsley กล่าว

ไม่ดีพอ

มีปัญหาอื่น ๆ เกี่ยวกับการใช้งานของ Yahoo ตาม Ristic เซิร์ฟเวอร์อีเมล HTTPS ของ Yahoo บางแห่งใช้ RC4 เป็นรหัสลับที่ต้องการ แต่ RC4 นั้นถือว่าอ่อนแอ Microsoft และ Cisco เพิ่งเลิกใช้ RC4 นอกจากนี้ยังมีความเสี่ยงต่อการถูกโจมตีแบบปฏิเสธการให้บริการเนื่องจากรองรับการเจรจาต่อรองที่ลูกค้าเป็นผู้ดำเนินการตามรายงานจาก SSL Labs

SSL Labs ให้คะแนนเว็บไซต์ในเรื่องความปลอดภัยโดยรวมของการติดตั้ง SSL Yahoo มีคะแนนเป็น "B" เท่านั้น

เซิร์ฟเวอร์อื่น ๆ เช่น login.yahoo.com ใช้ AES AES นั้นดีกว่า RC4 แต่ Yahoo ไม่ได้ใช้การลดความปลอดภัยสำหรับการโจมตีที่รู้จักเช่น BEAST ซึ่งมีเป้าหมายเป็น TLS 1.0 และโปรโตคอลก่อนหน้านี้และ CRIME เป็นการโจมตีเชิงปฏิบัติต่อวิธีการใช้ TLS ในเบราว์เซอร์ ไซต์ดังกล่าวสนับสนุน "เฉพาะโปรโตคอลเก่ากว่า แต่ไม่ใช่ TLS 1.2 ที่ปลอดภัยและล่าสุด" ตามรายงานจาก SSL Labs

บางที Yahoo ยังคงหาข้อผิดพลาดอยู่และความปลอดภัยที่ดีขึ้นจะค่อย ๆ หายไปในอีกไม่กี่สัปดาห์หรือหลายเดือนข้างหน้า แต่มันก็เป็นการดีที่จะอธิบายแผนล่วงหน้า แล้ว Yahoo ล่ะ คุณจะคิดถึงการรักษาความปลอดภัยของผู้ใช้แทนที่จะให้ทีมของคุณทำอะไรได้ง่ายขึ้น?