집 보안 감시 야후는 보안 강화에 대한 찬사를받을 자격이 없습니다

야후는 보안 강화에 대한 찬사를받을 자격이 없습니다

2024

비디오: [ì¤íì¸í°ë·°]'ê°ìí ì¤í ë¦¬ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦ (십월 2024)

그렇습니다. Yahoo는 마침내 Mail 사용자를 위해 HTTPS 암호화를 설정했지만 회사가 의미있는 보안 방식으로이를 수행하는 것처럼 보이지는 않습니다.

웹, 모바일 웹, 모바일 앱 또는 IMAP, POP 및 SMTP를 통한 모든 Yahoo Mail 통신은 이제 기본적으로 2, 048 비트 인증서 인 Yahoo의 통신 제품 수석 부사장 인 Jeff Bonforte를 사용하여 기본적으로 암호화됩니다. 이번 주 Yahoo Mail의 Tumblr. 이렇게하면 전자 메일, 첨부 파일, 연락처, 일정 정보 및 메신저 데이터가 사용자의 브라우저와 Yahoo 서버간에 이동할 때 모든 내용이 보호됩니다. 보안 전문가들은 충분하지 않다고 경고했다.

Rapid7의 Metasploit Engineering Manager 인 Tod Beardsley는 "Yahoo는 야후 메일이 모든 Yahoo Mail 사용자들에게 HTTPS 암호화를 가능하게했다는 발표는 너무 늦을뿐만 아니라 상당히 문제가있다"고 말했다.

신용이 필요한 신용

야후는 보안에 민감한 사용자들에게 2012 년 후반에 HTTPS를 켤 수있는 옵션을 제공하기 시작했다. 최근의 변화는 암호화가 이제 기본적으로 켜져있어 더 많은 보안을 선택한 사람뿐만 아니라 모든 사람을 보호한다는 의미입니다. 대부분의 사용자가이 설정을 사용하지 않는 것을 고려하면 Yahoo가 기본적으로 HTTPS를 설정 한 것이 좋습니다. Gmail은 2010 년부터 기본적으로 HTTPS를 사용했으며, Microsoft는이 기능을 기본으로 2012 년 7 월에 Outlook.com을 시작했으며, Facebook은 2012 년 11 월에 기본적으로 사용자에게 HTTPS를 배포하기 시작했습니다.

야후가 실제로 일부 보안 결정을 통해 생각했다면 파티에 늦는 것은 그리 나쁘지 않을 것입니다. 보안 회사 인 Qualys의 애플리케이션 보안 연구 책임자 인 Ivan Ristic은 기본적으로 암호화를 배포하는 것이 "Yahoo에게는 큰 발전"이지만 "새로운 구성은 바람직하지 않다"고 Security Watch에 말했습니다. 가장 큰 문제는 Yahoo가 PFS (Perfect Forward Secrecy)를 지원하지 않기로 결정했다는 사실과 관련이 있습니다.

Ristic은 "Forward Secrecy가 없으면 암호화 된 데이터조차도 개인 키 손상으로 인해 위험에 처할 수 있습니다"라고 경고했습니다.

빠른 PFS 입문서

기본 HTTPS 암호화를 사용하면 데이터 스트림을 캡처하는 해커 (또는 정부 기관)는 Yahoo의 개인 키가 없기 때문에 내용을 읽을 수 없습니다. 그러나 나중에 키를 얻은 경우 이전에 캡처 한 데이터를 다시 해독 할 수 있습니다. 사이트에서 Perfect Foward Secrecy를 구현 한 경우 나중에 누군가가 키에 액세스 할 수 있어도 해당 사용자는 이전 세션을 모두 해제하고 잠금을 해제 할 수 없습니다.

개인 키가 노출 될 수있는 여러 가지 방법이 있습니다. 야후 서버에 대한 공격으로 키를 훔치거나 암호 자체의 약점을 발견했습니다. 야후는 심지어 자발적으로 또는 법원 명령으로 키를 양도 할 수도 있습니다.

Beardsley는 "이 약한 암호화 전략을 선호하는 정당한 이유는 생각할 수 없다"고 말했다.

충분하지

Ristic에 따르면 Yahoo의 구현에는 다른 문제가있다. 일부 Yahoo의 HTTPS 전자 메일 서버는 RC4를 기본 암호로 사용하지만 RC4는 약한 것으로 간주됩니다. Microsoft와 Cisco는 최근 RC4 사용을 단계적으로 폐지했습니다. SSL Labs의 보고서에 따르면 클라이언트 시작 재협상을 지원하기 때문에 분산 서비스 거부 공격에도 취약합니다.

SSL Labs는 SSL 구현의 전체 보안에 대해 웹 사이트를 평가합니다. Yahoo는 "B"등급 만 있습니다.

login.yahoo.com과 같은 다른 서버는 AES를 사용합니다. AES는 RC4보다 낫지 만 Yahoo는 TLS 1.0 및 이전 프로토콜을 대상으로하는 BEAST 및 브라우저에서 TLS가 사용되는 방식에 대한 실제 공격과 같은 알려진 공격에 대해서는 보안 완화를 구현하지 않았습니다. SSL Labs의 보고서에 따르면이 사이트는 또한 "이전 프로토콜 버전 만 지원하지만 가장 최신의 안전한 TLS 1.2는 지원하지 않습니다"라고합니다.

아마도 야후는 여전히 문제를 해결하고 있으며 앞으로 몇 주 또는 몇 달에 걸쳐 더 나은 보안이 단계적으로 진행될 것입니다. 그러나 계획을 미리 설명하는 것이 좋을 것입니다. 야후는 어때? 팀이보다 쉽게 할 수있는 것이 아니라 사용자 보안에 대해 생각하십니까?