“自2014年1月8號開始，我們將向所有雅虎郵箱用戶推行加密HTTPS連接標(biāo)準(zhǔn)，”雅虎公司通信產(chǎn)品高級副總裁Jeffrey Bonforte在本周一的一篇博文中表示?！拔覀兊膱F隊正努力實施雅虎郵箱默認HTTPS連接所必需的變更，我們也期待著屆時為廣大用戶奉上這一附加安全保護機制?！奔囱呕?014年初開始為其用戶提供網(wǎng)絡(luò)郵件會話加密服務(wù)，所有雅虎郵箱連接都將采用HTTPS（即超文本傳輸協(xié)議安全）標(biāo)準(zhǔn)。

作為一套將HTTP網(wǎng)絡(luò)通信協(xié)議與安全套接層（簡稱SSL）加密協(xié)議相結(jié)合的機制，HTTPS目前被廣泛應(yīng)用于網(wǎng)絡(luò)用戶與網(wǎng)站之間的連接領(lǐng)域，意在防止敏感數(shù)據(jù)在傳輸?shù)倪^程中被未授權(quán)方截獲并讀取。

長久以來，安全專家、隱私倡導(dǎo)者以及用戶本身一直要求雅虎在服務(wù)產(chǎn)品中加入這一特性。事實上，其它主要網(wǎng)絡(luò)郵件供應(yīng)商都已經(jīng)實現(xiàn)了這一點。

去年十一月，電子前沿基金會連同其它隱私、安全及人權(quán)組織聯(lián)名致函雅虎公司CEO Marissa Mayer，要求對方為自己的通信服務(wù)，包括電子郵件與即時消息產(chǎn)品，添加HTTPS支持。

雅虎自去年年底開始為雅虎郵箱服務(wù)提供一套全新Web界面，其中也包含針對全會話的HTTPS支持能力，但僅作為備選方案存在。要激活該功能，用戶需要登錄自己的郵箱賬戶并在“使用 SSL”對話框中勾選“安全性”項目。

近期美國國家安全局及其它國家情報機構(gòu)被披露正在運行涵蓋范圍廣泛的電子監(jiān)控方案，雅虎公司此舉似乎是為了回應(yīng)用戶對于在線隱私及安全性的激烈爭論。

根據(jù)前國安局雇員愛德華·斯諾登泄露的文件，我們發(fā)現(xiàn)美國國安局正利用一部分程序從上游攔截發(fā)往全球網(wǎng)絡(luò)的互聯(lián)網(wǎng)流量，并從包括雅虎、微軟、谷歌、蘋果、Facebook以及AOL等在線服務(wù)供應(yīng)商處收集數(shù)據(jù)。

除了防止政府機關(guān)對數(shù)據(jù)的瘋狂掠奪之外，HTTPS還能夠防止黑客攻擊，例如那些通過不安全無線網(wǎng)絡(luò)或者跨站點腳本攻擊竊取身份驗證cookie的惡意活動。

“作為全球人氣最高的免費網(wǎng)絡(luò)郵件服務(wù)供應(yīng)商之一，雅虎公司在過去幾個月內(nèi)受到眾多網(wǎng)絡(luò)犯罪分子的密切關(guān)注，并因此引發(fā)XXS攻擊、cookie竊取以及隨之而來的賬戶濫用狀況，”Bitdefender安全公司高級電子威脅分析師Bogdan Botezatu指出?！癝SL的介入很可能抑制這種不良行為，當(dāng)然也將作用于其它潛在威脅。”

雖然與其它網(wǎng)絡(luò)郵件供應(yīng)商相比、雅虎在這方面顯得有些太過遲緩，但最終決定棄暗投明的做法仍然非常有益。Botezatu認為，各種類型的數(shù)字通信機制應(yīng)該在很早以前就全面普及HTTPS/SSL。

雅虎下一步計劃

雅虎的下一步計劃在于將雅虎Messenger連接也推向默認SSL道路。根據(jù)Botezatu的說明，“在一些地區(qū)，雅虎Messenger的使用率仍然高于其它即時通訊客戶端，而且客戶們依賴它處理地各種通信事務(wù)——從個人到企業(yè)事務(wù)皆有涉及。不過目前這些通信內(nèi)容仍然以純文本形式存在，這就使其更易于被未經(jīng)授權(quán)的惡意人士所窺探?！?/p>

admin

收藏 海報分享