ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
はい、YahooはついにMailユーザーのHTTPS暗号化を有効にしましたが、会社が有意義な安全な方法でそれを行うための努力をしているようには見えません。
Web、モバイルWeb、モバイルアプリ、さらにはIMAP、POP、SMTPを介したすべてのYahooメール通信は、2, 048ビット証明書を使用してデフォルトで暗号化されるようになりました、Jeff Bonforteは、Yahooの通信製品の上級副社長です今週のYahoo MailのTumblr。 この移動により、メール、添付ファイル、連絡先、カレンダー情報、さらにメッセンジャーデータのすべてのコンテンツが、ユーザーのブラウザとYahooのサーバー間を移動するときに保護されます。 セキュリティの専門家は、それだけでは不十分だと警告しました。
Rapid7のMetasploitエンジニアリングマネージャーであるTod Beardsley氏は、「YahooがすべてのYahoo Mailユーザーに対してHTTPS暗号化を有効にしたという発表は遅すぎるだけでなく、非常に厄介な問題でもあります」と述べています。
クレジットが支払われるべき場所
ヤフーは、セキュリティに敏感なユーザーに、2012年後半にHTTPSを有効にするオプションを提供し始めました。最新の変更により、暗号化がデフォルトで有効になり、セキュリティを選択したユーザーだけでなく、全員が保護されるようになりました。 ほとんどのユーザーが設定をいじくり回すことは決してないことを考えると、YahooがついにデフォルトでHTTPSを有効にしたのは良いことです。 Gmailは2010年からデフォルトでHTTPSを使用しており、Microsoftはデフォルトでこの機能を備えた2012年7月にOutlook.comを起動し、Facebookは2012年11月にデフォルトでHTTPSのユーザーへの展開を開始しました。
ヤフーが実際にセキュリティ上の決定のいくつかを熟考していたなら、パーティーに遅れることはそれほど悪くないでしょう。 デフォルトで暗号化を展開することは「Yahooにとって大きな前進」ですが、「新しい構成には多くの要望が残されます」と、セキュリティ会社Qualysのアプリケーションセキュリティ調査ディレクターであるIvan Ristic氏は Security Watch に語りました。 最大の問題は、YahooがPerfect Forward Secrecy(PFS)をサポートしないことを決定したという事実に関係しています。
「Forward Secrecyがなければ、暗号化されたデータでさえも、秘密鍵が危険にさらされる可能性があります」とRisticは警告しました。
クイックPFS入門
基本的なHTTPS暗号化では、データストリームをキャプチャしたハッカー(または政府機関)は、Yahooの秘密キーを持っていないため、コンテンツを読み取ることができません。 ただし、後日キーを取得した場合は、以前に取得したデータに戻って解読できます。 サイトがPerfect Foward Secrecyを実装している場合、後日誰かがキーにアクセスしたとしても、その人は戻って古いセッションをすべてロック解除することはできません。
秘密鍵が公開される方法はいくつかあります。鍵を盗むためのYahooのサーバーへの攻撃、または暗号自体の脆弱性の発見。 ヤフーは、自発的に、または裁判所の命令により、鍵を渡すことさえあります。
「この弱い暗号化戦略を好む正当な理由は考えられません」とBeardsley氏は言います。
十分じゃない
Risticによると、Yahooの実装には他にも問題があります。 YahooのHTTPSメールサーバーの一部はRC4を優先暗号として使用していますが、RC4は脆弱であると考えられています。 マイクロソフトとシスコは最近、RC4の使用を段階的に廃止しました。 SSL Labsのレポートによると、クライアントが開始した再ネゴシエーションをサポートしているため、分散型サービス拒否攻撃に対しても脆弱です。
SSL Labsは、SSL実装の包括的なセキュリティについてWebサイトを評価しています。 Yahooの評価は「B」のみです。
login.yahoo.comなどの他のサーバーは、AESを使用します。 AESはRC4よりも優れていますが、Yahooは、TLS 1.0以前のプロトコルを標的とするBEASTや、ブラウザでのTLSの使用方法に対する実用的な攻撃であるCRIMEなどの既知の攻撃に対するセキュリティ緩和策を実装していません。 SSL Labsのレポートによると、このサイトは「古いプロトコルバージョンのみをサポートしますが、最新の安全なTLS 1.2はサポートしていません」。
おそらくYahooはまだ問題を解決しており、今後数週間または数か月でより良いセキュリティが段階的に導入されるでしょう。 しかし、その計画を前もって説明しておくと良かったでしょう。 ヤフーはどうですか? チームが簡単にできることではなく、ユーザーのセキュリティについて考えますか?
