雅虎山河重整:明年年初啟動全部網絡郵件會話加密
雅虎將從明年年初開始為其用戶提供網絡郵件會話加密服務,即所有雅虎郵箱連接都將采用HTTPS(即超文本傳輸協(xié)議安全)標準。
長久以來,安全專家、隱私倡導者以及用戶本身一直要求雅虎在服務產品中加入這一特性。事實上,其它主要網絡郵件供應商都已經實現(xiàn)了這一點。
去年十一月,電子前沿基金會連同其它隱私、安全及人權組織聯(lián)名致函雅虎公司CEO Marissa Mayer,要求對方為自己的通信服務,包括電子郵件與即時消息產品,添加HTTPS支持。
作為一套將HTTP網絡通信協(xié)議與安全套接層(簡稱SSL)加密協(xié)議相結合的機制,HTTPS目前被廣泛應用于網絡用戶與網站之間的連接領域,意在防止敏感數(shù)據在傳輸?shù)倪^程中被未授權方截獲并讀取。
雅虎自去年年底開始為雅虎郵箱服務提供一套全新Web界面,其中也包含針對全會話的HTTPS支持能力,但僅作為備選方案存在。要激活該功能,用戶需要登錄自己的郵箱賬戶并在“使用 SSL”對話框中勾選“安全性”項目。
“自2014年1月8號開始,我們將向所有雅虎郵箱用戶推行加密HTTPS連接標準,”雅虎公司通信產品高級副總裁Jeffrey Bonforte在本周一的一篇博文中表示。“我們的團隊正努力實施雅虎郵箱默認HTTPS連接所必需的變更,我們也期待著屆時為廣大用戶奉上這一附加安全保護機制。”
近期美國國家安全局及其它國家情報機構被披露正在運行涵蓋范圍廣泛的電子監(jiān)控方案,雅虎公司此舉似乎是為了回應用戶對于在線隱私及安全性的激烈爭論。
根據前國安局雇員愛德華·斯諾登泄露的文件,我們發(fā)現(xiàn)美國國安局正利用一部分程序從上游攔截發(fā)往全球網絡的互聯(lián)網流量,并從包括雅虎、微軟、谷歌、蘋果、Facebook以及AOL等在線服務供應商處收集數(shù)據。
《華盛頓郵報》在本周二的報道中稱,國安局從雅虎、Hotmail、Facebook、Gmail以及其它郵件與聊天程序中收集由國外電信企業(yè)和專職情報服務所控制的互聯(lián)網接入點信息,并將結果匯總成在線地址記錄。
這類上游數(shù)據收集活動正是HTTPS的主要防范對象,當然前提是執(zhí)行流程切實到位。服務供應商很可能迫于政府壓力而將自己手中已經過解密的數(shù)據移交情報機關,但即使如此、數(shù)據攔截活動至少能夠得到有效扼制。
除了防止政府機關對數(shù)據的瘋狂掠奪之外,HTTPS還能夠防止黑客攻擊,例如那些通過不安全無線網絡或者跨站點腳本攻擊竊取身份驗證cookie的惡意活動。
“作為全球人氣最高的免費網絡郵件服務供應商之一,雅虎公司在過去幾個月內受到眾多網絡犯罪分子的密切關注,并因此引發(fā)XXS攻擊、cookie竊取以及隨之而來的賬戶濫用狀況,”Bitdefender安全公司高級電子威脅分析師Bogdan Botezatu指出。“SSL的介入很可能抑制這種不良行為,當然也將作用于其它潛在威脅。”
Botezatu認為,各種類型的數(shù)字通信機制應該在很早以前就全面普及HTTPS/SSL。雖然與其它網絡郵件供應商相比、雅虎在這方面顯得有些太過遲緩,但最終決定棄暗投明的做法仍然非常有益,他評論稱。
谷歌公司早在2008年就開始將全會話HTTPS作為Gmail服務中的備選設置,并于2010年初正式將其作為標準化方案。微軟于2010年11月為Hotmail添加了這一選項,并在2012年將其作為Outlook.com網絡郵件服務的默認機制。
Twitter的默認HTTPS普及之路開始于2011年8月,F(xiàn)acebook則開始于2012年11月;而且兩家的服務都從2011年年初就開始將HTTPS支持作為可選機制。
根據Botezatu的說明,雅虎的下一步計劃在于將雅虎Messenger連接也推向默認SSL道路。“在一些地區(qū),雅虎Messenger的使用率仍然高于其它即時通訊客戶端,而且客戶們依賴它處理地各種通信事務——從個人到企業(yè)事務皆有涉及。不過目前這些通信內容仍然以純文本形式存在,這就使其更易于被未經授權的惡意人士所窺探。”