Video: Warum Lob keine Anerkennung ist (Dezember 2024)
Ja, Yahoo hat die HTTPS-Verschlüsselung für seine E-Mail-Benutzer endlich aktiviert, aber es sieht nicht so aus, als ob das Unternehmen Anstrengungen unternimmt, um dies auf eine aussagekräftige und sichere Weise zu tun.
Die gesamte Yahoo Mail-Kommunikation - ob im Web, im mobilen Web, in mobilen Apps oder sogar über IMAP, POP und SMTP - wird jetzt standardmäßig mit 2.048-Bit-Zertifikaten verschlüsselt, schrieb Jeff Bonforte, Senior Vice President für Kommunikationsprodukte bei Yahoo Tumblr von Yahoo Mail in dieser Woche. Diese Verschiebung schützt den gesamten Inhalt von E-Mails, Anhängen, Kontakten, Kalenderinformationen und sogar Messenger-Daten, wenn diese zwischen dem Browser des Benutzers und den Servern von Yahoo verschoben werden. Sicherheitsexperten warnten, dass es nicht genug sei.
"Die Ankündigung von Yahoo, die HTTPS-Verschlüsselung für alle Yahoo Mail-Benutzer zu aktivieren, ist nicht nur zu spät, sondern auch beunruhigend", sagte Tod Beardsley, Technischer Leiter von Metasploit bei Rapid7.
Kredit Wo Kredit fällig ist
Yahoo bietet sicherheitsbewussten Nutzern seit Ende 2012 die Möglichkeit, HTTPS für sich selbst zu aktivieren. Die neueste Änderung bedeutet, dass die Verschlüsselung jetzt standardmäßig aktiviert ist und alle schützt, nicht nur diejenigen, die sich für mehr Sicherheit entschieden haben. In Anbetracht der Tatsache, dass die meisten Benutzer niemals an den Einstellungen herumspielen, ist es gut, dass Yahoo HTTPS standardmäßig aktiviert hat. Google Mail verwendet seit 2010 standardmäßig HTTPS, Microsoft hat Outlook.com im Juli 2012 standardmäßig mit dieser Funktion gestartet, und Facebook hat im November 2012 damit begonnen, HTTPS standardmäßig für Benutzer bereitzustellen.
Zu spät zur Party zu kommen wäre nicht so schlimm, wenn Yahoo tatsächlich einige seiner Sicherheitsentscheidungen durchdacht hätte. Während die standardmäßige Bereitstellung der Verschlüsselung für Yahoo einen "großen Schritt nach vorne" darstellt, lässt die "neue Konfiguration viel zu wünschen übrig", sagte Ivan Ristic, Direktor für Anwendungssicherheitsforschung bei der Sicherheitsfirma Qualys, gegenüber Security Watch . Das größte Problem hat damit zu tun, dass Yahoo sich entschieden hat, Perfect Forward Secrecy (PFS) nicht zu unterstützen.
"Ohne Forward Secrecy sind selbst verschlüsselte Daten durch die Gefährdung durch private Schlüssel gefährdet", warnte Ristic.
Ein schneller PFS-Primer
Bei der einfachen HTTPS-Verschlüsselung können Hacker (oder Regierungsagenten), die den Datenstrom erfassen, den Inhalt nicht lesen, da sie nicht über den privaten Schlüssel von Yahoo verfügen. Wenn sie den Schlüssel jedoch zu einem späteren Zeitpunkt erwerben, können sie die zuvor erfassten Daten erneut entschlüsseln. Wenn die Site Perfect Foward Secrecy implementiert hat, kann diese Person auch dann nicht alle älteren Sitzungen wieder freischalten, wenn sie zu einem späteren Zeitpunkt Zugriff auf den Schlüssel hat.
Es gibt eine Reihe von Möglichkeiten, den privaten Schlüssel freizulegen: einen Angriff auf die Server von Yahoo, um den Schlüssel zu stehlen oder eine Schwachstelle in der Chiffre selbst zu entdecken. Yahoo kann den Schlüssel sogar freiwillig oder aufgrund eines Gerichtsbeschlusses übergeben.
"Ich kann mir keinen legitimen Grund vorstellen, diese schwächere Verschlüsselungsstrategie zu bevorzugen", sagte Beardsley.
Nicht gut genug
Laut Ristic gibt es andere Probleme bei der Implementierung von Yahoo. Einige HTTPS-E-Mail-Server von Yahoo verwenden RC4 als bevorzugte Verschlüsselung, RC4 wird jedoch als schwach eingestuft. Microsoft und Cisco haben kürzlich die Verwendung von RC4 eingestellt. Laut einem Bericht von SSL Labs ist es auch anfällig für Distributed-Denial-of-Service-Angriffe, da es eine vom Client initiierte Neuverhandlung unterstützt.
SSL Labs bewertet Websites hinsichtlich der allgemeinen Sicherheit ihrer SSL-Implementierung. Yahoo hat nur eine "B" Bewertung.
Andere Server wie login.yahoo.com verwenden AES. AES ist besser als RC4, aber Yahoo hat keine Sicherheitsminderungen für bekannte Angriffe wie BEAST, das auf TLS 1.0 und frühere Protokolle abzielt, und CRIME, einen praktischen Angriff auf die Verwendung von TLS in Browsern, implementiert. Die Site unterstützt laut einem Bericht von SSL Labs auch "nur ältere Protokollversionen, aber nicht das neueste und sicherere TLS 1.2".
Vielleicht ist Yahoo noch dabei, die Probleme zu beheben, und in den nächsten Wochen oder Monaten wird die Sicherheit schrittweise verbessert. Aber es wäre schön gewesen, seine Pläne im Voraus zu erklären. Was ist mit Yahoo? Denken Sie über die Benutzersicherheit nach, anstatt darüber, was für Ihr Team einfacher ist?