Rumah Jam keamanan Yahoo tidak pantas dipuji karena keamanan yang ditingkatkan

Yahoo tidak pantas dipuji karena keamanan yang ditingkatkan

Video: Kematian Yahoo! karena terlalu sombong, kesalahan fatal mengikuti (Desember 2024)

Video: Kematian Yahoo! karena terlalu sombong, kesalahan fatal mengikuti (Desember 2024)
Anonim

Ya, Yahoo akhirnya menyalakan enkripsi HTTPS untuk para pengguna Mail-nya, tetapi sepertinya perusahaan itu tidak melakukan upaya apa pun untuk melakukannya dengan cara yang aman dan bermakna.

Semua komunikasi Yahoo Mail - baik di Web, Web seluler, aplikasi seluler, atau bahkan melalui IMAP, POP, dan SMTP - sekarang dienkripsi secara default menggunakan sertifikat 2.048-bit, Jeff Bonforte, wakil presiden senior produk komunikasi Yahoo, menulis di Tumblr Yahoo Mail minggu ini. Langkah ini akan melindungi semua konten email, lampiran, kontak, informasi Kalender, dan bahkan data Messenger, saat bergerak antara browser pengguna dan server Yahoo. Pakar keamanan memperingatkan bahwa itu tidak cukup.

"Pengumuman Yahoo bahwa itu telah mengaktifkan enkripsi HTTPS untuk semua pengguna Yahoo Mail tidak hanya terlalu sedikit terlambat, tetapi juga cukup mengganggu, " kata Tod Beardsley, Manajer Rekayasa Metasploit di Rapid7.

Kredit Dimana Kredit jatuh tempo

Yahoo mulai menawarkan kepada pengguna yang sadar akan keamanan opsi untuk mengaktifkan HTTPS untuk diri mereka sendiri di akhir 2012. Perubahan terbaru berarti enkripsi sekarang dihidupkan secara default, melindungi semua orang, bukan hanya mereka yang memilih untuk keamanan lebih. Mempertimbangkan bahwa sebagian besar pengguna tidak pernah berkutat dalam pengaturan, ada baiknya Yahoo akhirnya menyalakan HTTPS secara default. Gmail telah memiliki HTTPS secara default sejak 2010, Microsoft meluncurkan Outlook.com pada Juli 2012 dengan fitur ini secara default, dan Facebook mulai meluncurkan HTTPS secara default kepada pengguna pada November 2012.

Terlambat menghadiri pesta tidak akan seburuk itu jika Yahoo benar-benar memikirkan beberapa keputusan keamanannya. Sementara menyebarkan enkripsi secara default adalah "langkah besar ke depan bagi Yahoo, " "konfigurasi baru meninggalkan banyak yang harus diinginkan, " Ivan Ristic, direktur penelitian keamanan aplikasi di perusahaan keamanan Qualys, mengatakan kepada Security Watch . Masalah terbesar berkaitan dengan fakta bahwa Yahoo memutuskan untuk tidak mendukung Perfect Forward Secrecy (PFS).

"Tanpa Kerahasiaan Teruskan, bahkan data yang dienkripsi layak berisiko dari kompromi kunci pribadi, " Ristic memperingatkan.

Primer PFS Cepat

Dengan enkripsi HTTPS dasar, peretas (atau agen pemerintah) yang menangkap aliran data tidak dapat membaca konten karena mereka tidak memiliki kunci pribadi Yahoo. Namun, jika mereka memperoleh kunci di beberapa waktu kemudian, mereka bisa kembali dan mendekripsi data yang sebelumnya diambil. Jika situs menerapkan kerahasiaan Foward Sempurna, maka bahkan jika seseorang mendapatkan akses ke kunci di kemudian hari, orang itu tidak dapat kembali dan membuka kunci semua sesi yang lebih lama.

Ada beberapa cara kunci privat dapat diekspos: serangan pada server Yahoo untuk mencuri kunci atau menemukan kelemahan dalam sandi itu sendiri. Yahoo bahkan dapat menyerahkan kunci, baik secara sukarela atau karena perintah pengadilan.

"Saya tidak bisa memikirkan alasan yang sah untuk memilih strategi enkripsi yang lebih lemah ini, " kata Beardsley.

Tidak cukup baik

Ada masalah lain dengan implementasi Yahoo, menurut Ristic. Beberapa server email HTTPS Yahoo menggunakan RC4 sebagai sandi pilihan, tetapi RC4 dianggap lemah. Microsoft dan Cisco baru-baru ini menghapus penggunaan RC4. Itu juga rentan terhadap serangan penolakan layanan karena itu mendukung negosiasi ulang yang diprakarsai klien, menurut laporan dari SSL Labs.

SSL Labs menilai Situs web pada keamanan keseluruhan penerapan SSL-nya. Yahoo hanya memiliki peringkat "B".

Server lain, seperti login.yahoo.com, menggunakan AES. AES lebih baik daripada RC4, tetapi Yahoo tidak menerapkan mitigasi keamanan untuk serangan yang diketahui seperti BEAST, yang menargetkan TLS 1.0 dan protokol sebelumnya, dan CRIME, serangan praktis terhadap bagaimana TLS digunakan dalam browser. Situs ini juga mendukung "hanya versios protokol lama, tetapi bukan TLS 1.2 yang paling baru dan lebih aman, " menurut laporan dari SSL Labs.

Mungkin Yahoo masih menyelesaikan masalah dan keamanan yang lebih baik akan dilakukan secara bertahap dalam beberapa minggu atau bulan ke depan. Tetapi akan lebih baik untuk menjelaskan rencananya di muka. Bagaimana dengan Yahoo? Apakah Anda akan memikirkan keamanan pengguna, alih-alih yang lebih mudah dilakukan tim Anda?

Yahoo tidak pantas dipuji karena keamanan yang ditingkatkan