雅虎山河重整:明年年初啟動全部網(wǎng)絡(luò)郵件會話加密
雅虎將從明年年初開始為其用戶提供網(wǎng)絡(luò)郵件會話加密服務(wù)���,即所有雅虎郵箱連接都將采用HTTPS(即超文本傳輸協(xié)議安全)標(biāo)準(zhǔn)�����。
長久以來�,安全專家、隱私倡導(dǎo)者以及用戶本身一直要求雅虎在服務(wù)產(chǎn)品中加入這一特性����。事實上,其它主要網(wǎng)絡(luò)郵件供應(yīng)商都已經(jīng)實現(xiàn)了這一點�。
去年十一月,電子前沿基金會連同其它隱私���、安全及人權(quán)組織聯(lián)名致函雅虎公司CEO Marissa Mayer���,要求對方為自己的通信服務(wù),包括電子郵件與即時消息產(chǎn)品���,添加HTTPS支持���。
作為一套將HTTP網(wǎng)絡(luò)通信協(xié)議與安全套接層(簡稱SSL)加密協(xié)議相結(jié)合的機制,HTTPS目前被廣泛應(yīng)用于網(wǎng)絡(luò)用戶與網(wǎng)站之間的連接領(lǐng)域��,意在防止敏感數(shù)據(jù)在傳輸?shù)倪^程中被未授權(quán)方截獲并讀齲
雅虎自去年年底開始為雅虎郵箱服務(wù)提供一套全新Web界面�,其中也包含針對全會話的HTTPS支持能力,但僅作為備選方案存在��。要激活該功能,用戶需要登錄自己的郵箱賬戶并在“使用 SSL”對話框中勾選“安全性”項目���。
“自2014年1月8號開始����,我們將向所有雅虎郵箱用戶推行加密HTTPS連接標(biāo)準(zhǔn)�,”雅虎公司通信產(chǎn)品高級副總裁Jeffrey Bonforte在本周一的一篇博文中表示。“我們的團隊正努力實施雅虎郵箱默認(rèn)HTTPS連接所必需的變更�,我們也期待著屆時為廣大用戶奉上這一附加安全保護機制。”
近期美國國家安全局及其它國家情報機構(gòu)被披露正在運行涵蓋范圍廣泛的電子監(jiān)控方案��,雅虎公司此舉似乎是為了回應(yīng)用戶對于在線隱私及安全性的激烈爭論�����。
根據(jù)前國安局雇員愛德華·斯諾登泄露的文件����,我們發(fā)現(xiàn)美國國安局正利用一部分程序從上游攔截發(fā)往全球網(wǎng)絡(luò)的互聯(lián)網(wǎng)流量���,并從包括雅虎�����、微軟��、谷歌����、蘋果、Facebook以及AOL等在線服務(wù)供應(yīng)商處收集數(shù)據(jù)�。
《華盛頓郵報》在報道中稱,國安局從雅虎��、Hotmail��、Facebook���、Gmail以及其它郵件與聊天程序中收集由國外電信企業(yè)和專職情報服務(wù)所控制的互聯(lián)網(wǎng)接入點信息���,并將結(jié)果匯總成在線地址記錄。
這類上游數(shù)據(jù)收集活動正是HTTPS的主要防范對象���,當(dāng)然前提是執(zhí)行流程切實到位�����。服務(wù)供應(yīng)商很可能迫于政府壓力而將自己手中已經(jīng)過解密的數(shù)據(jù)移交情報機關(guān)�,但即使如此、數(shù)據(jù)攔截活動至少能夠得到有效扼制���。
除了防止政府機關(guān)對數(shù)據(jù)的瘋狂掠奪之外��,HTTPS還能夠防止黑客攻擊���,例如那些通過不安全無線網(wǎng)絡(luò)或者跨站點腳本攻擊竊取身份驗證cookie的惡意活動。
“作為全球人氣最高的免費網(wǎng)絡(luò)郵件服務(wù)供應(yīng)商之一���,雅虎公司在過去幾個月內(nèi)受到眾多網(wǎng)絡(luò)犯罪分子的密切關(guān)注�����,并因此引發(fā)XXS攻擊����、cookie竊取以及隨之而來的賬戶濫用狀況�,”Bitdefender安全公司高級電子威脅分析師Bogdan Botezatu指出��。“SSL的介入很可能抑制這種不良行為���,當(dāng)然也將作用于其它潛在威脅�����。”
Botezatu認(rèn)為���,各種類型的數(shù)字通信機制應(yīng)該在很早以前就全面普及HTTPS/SSL���。雖然與其它網(wǎng)絡(luò)郵件供應(yīng)商相比、雅虎在這方面顯得有些太過遲緩��,但最終決定棄暗投明的做法仍然非常有益����,他評論稱。
谷歌公司早在2008年就開始將全會話HTTPS作為Gmail服務(wù)中的備選設(shè)置�,并于2010年初正式將其作為標(biāo)準(zhǔn)化方案。微軟于2010年11月為Hotmail添加了這一選項���,并在2012年將其作為Outlook.com網(wǎng)絡(luò)郵件服務(wù)的默認(rèn)機制���。
Twitter的默認(rèn)HTTPS普及之路開始于2011年8月,F(xiàn)acebook則開始于2012年11月;而且兩家的服務(wù)都從2011年年初就開始將HTTPS支持作為可選機制�����。
根據(jù)Botezatu的說明,雅虎的下一步計劃在于將雅虎Messenger連接也推向默認(rèn)SSL道路���。“在一些地區(qū)����,雅虎Messenger的使用率仍然高于其它即時通訊客戶端��,而且客戶們依賴它處理地各種通信事務(wù)——從個人到企業(yè)事務(wù)皆有涉及��。不過目前這些通信內(nèi)容仍然以純文本形式存在�����,這就使其更易于被未經(jīng)授權(quán)的惡意人士所窺探��。”
