فعال شدن پیش فرض HTTPS در یاهو
موسسه خبری سایبربان: همانطور که در نوامبر سال گذشته اعلام شده بود, رمزنگاری اس اس ال ۲۰۱۴ بیت در یاهومیل بطور پیشفرض و برای تمام کانکشنها به این سرویس فعال شد. در یک یادداشت کوتاه یاهو گزارش داد که بالاخره رمزنگاری تمامی ارتباطات بین کاربران و رایانامهی یاهو را آغاز کرده است.
در این صورت، هرگاه که از طریق مرورگر اینترنت، برنامههای کاربردی تلفنهمراه و یا از طریق پروتکلهای SMTP ،POP و IMAP با رایانامهی یاهو ارتباطی برقرار شود، تمامی اطلاعات به صورت رمزشده در این ارتباط جابهجا خواهد شد، منظور از تمامی اطلاعات، محتویات رایانامه، پروندههای پیوست، مخاطبان، تقویم و پیامرسان برخط میباشد.
البته Ivan Ristic بنیانگذار آزمایشگاههای SSL میگوید تعدادی از کارگزاران را بررسی کرده است و پیکربندی HTTPS پیادهسازیشده نمیتواند تمامی محتویاتی که یاهو ادعا کرده است را رمزنگاری کند. پس از گذشت سالهای زیاد که رقبای یاهو یعنی گو گل و مایکروسافت از فناوری رمزنگاری در سرویس رایانامهی خود استفاده میکنند، باید امیدوار بود که بالاخره یاهو نیز قدمی در این زمینه برداشته است.
محقق امنیتی Tod Beardsley، مدیر Metasploit در شرکت Rapid7 نیز عنوان داشته است که این نحوهی رمزنگاری رایانامه در یاهو نه تنها بسیار دیر است، بلکه بیشتر شبیه به خیانت به کاربرانش به نظر میرسد. اگر یاهو از روش Forward Secrecy استفاده نکند، در صورتی که جلسات کاری کاربر توسط یک مهاجم (بخوانید NSA) ضبط شود، و این مهاجم بعداً به کلید خصوصی یاهو دسترسی پیدا کند(که فرض ما این است که NSA این کلید را بدون دردسر دارد!) میتواند تمامی این جلسات را رمزگشایی کند.
در روش Forward Secrecy، قبل از اینکه جلسات HTTPS شروع شود، یک جلسهی رمزشدهی دیگر باز میشود و این جلسهی جدید از کلیدهای موقتی استفاده میکند که قبلاً در هیچ جای دیگر استفاده نشده است و اگر در بدترین حالت مهاجم به کلیدهای موقتی دسترسی پیدا کند، این کلیدها فقط برای رمزگشایی همان جلسه است و ارزش دیگری ندارد. استفاده از روشهای منحنیهای بیضوی و الگوریتم DiffieHelman در پیادهسازی Forward Secrecy و تولید کلیدهای یکبار مصرف پرکاربرد است. به نظر میرسد یاهو زمان زیادی نیاز دارد تا پروتکلهای رمزنگاری را به درستی پیادهسازی کند و البته باید در مورد برنامههای خود در این زمینه کمی شفافتر باشد.
