雅虎山河重整:明年年初啟動(dòng)全部網(wǎng)絡(luò)郵件會(huì)話加密
雅虎將從明年年初開(kāi)始為其用戶提供網(wǎng)絡(luò)郵件會(huì)話加密服務(wù),即所有雅虎郵箱連接都將采用HTTPS(即超文本傳輸協(xié)議安全)標(biāo)準(zhǔn)�。
長(zhǎng)久以來(lái),安全專家�����、隱私倡導(dǎo)者以及用戶本身一直要求雅虎在服務(wù)產(chǎn)品中加入這一特性。事實(shí)上�����,其它主要網(wǎng)絡(luò)郵件供應(yīng)商都已經(jīng)實(shí)現(xiàn)了這一點(diǎn)�����。
去年十一月�,電子前沿基金會(huì)連同其它隱私、安全及人權(quán)組織聯(lián)名致函雅虎公司CEO Marissa Mayer�,要求對(duì)方為自己的通信服務(wù)�,包括電子郵件與即時(shí)消息產(chǎn)品,添加HTTPS支持����。
作為一套將HTTP網(wǎng)絡(luò)通信協(xié)議與安全套接層(簡(jiǎn)稱SSL)加密協(xié)議相結(jié)合的機(jī)制,HTTPS目前被廣泛應(yīng)用于網(wǎng)絡(luò)用戶與網(wǎng)站之間的連接領(lǐng)域��,意在防止敏感數(shù)據(jù)在傳輸?shù)倪^(guò)程中被未授權(quán)方截獲并讀齲
雅虎自去年年底開(kāi)始為雅虎郵箱服務(wù)提供一套全新Web界面���,其中也包含針對(duì)全會(huì)話的HTTPS支持能力�,但僅作為備選方案存在�����。要激活該功能,用戶需要登錄自己的郵箱賬戶并在“使用 SSL”對(duì)話框中勾選“安全性”項(xiàng)目���。
“自2014年1月8號(hào)開(kāi)始��,我們將向所有雅虎郵箱用戶推行加密HTTPS連接標(biāo)準(zhǔn)��,”雅虎公司通信產(chǎn)品高級(jí)副總裁Jeffrey Bonforte在本周一的一篇博文中表示�����。“我們的團(tuán)隊(duì)正努力實(shí)施雅虎郵箱默認(rèn)HTTPS連接所必需的變更���,我們也期待著屆時(shí)為廣大用戶奉上這一附加安全保護(hù)機(jī)制。”
近期美國(guó)國(guó)家安全局及其它國(guó)家情報(bào)機(jī)構(gòu)被披露正在運(yùn)行涵蓋范圍廣泛的電子監(jiān)控方案��,雅虎公司此舉似乎是為了回應(yīng)用戶對(duì)于在線隱私及安全性的激烈爭(zhēng)論�����。
根據(jù)前國(guó)安局雇員愛(ài)德華·斯諾登泄露的文件�,我們發(fā)現(xiàn)美國(guó)國(guó)安局正利用一部分程序從上游攔截發(fā)往全球網(wǎng)絡(luò)的互聯(lián)網(wǎng)流量,并從包括雅虎��、微軟、谷歌�、蘋(píng)果、Facebook以及AOL等在線服務(wù)供應(yīng)商處收集數(shù)據(jù)���。
《華盛頓郵報(bào)》在報(bào)道中稱�,國(guó)安局從雅虎��、Hotmail��、Facebook�����、Gmail以及其它郵件與聊天程序中收集由國(guó)外電信企業(yè)和專職情報(bào)服務(wù)所控制的互聯(lián)網(wǎng)接入點(diǎn)信息��,并將結(jié)果匯總成在線地址記錄����。
這類上游數(shù)據(jù)收集活動(dòng)正是HTTPS的主要防范對(duì)象����,當(dāng)然前提是執(zhí)行流程切實(shí)到位。服務(wù)供應(yīng)商很可能迫于政府壓力而將自己手中已經(jīng)過(guò)解密的數(shù)據(jù)移交情報(bào)機(jī)關(guān)��,但即使如此、數(shù)據(jù)攔截活動(dòng)至少能夠得到有效扼制�。
除了防止政府機(jī)關(guān)對(duì)數(shù)據(jù)的瘋狂掠奪之外,HTTPS還能夠防止黑客攻擊����,例如那些通過(guò)不安全無(wú)線網(wǎng)絡(luò)或者跨站點(diǎn)腳本攻擊竊取身份驗(yàn)證cookie的惡意活動(dòng)。
“作為全球人氣最高的免費(fèi)網(wǎng)絡(luò)郵件服務(wù)供應(yīng)商之一���,雅虎公司在過(guò)去幾個(gè)月內(nèi)受到眾多網(wǎng)絡(luò)犯罪分子的密切關(guān)注��,并因此引發(fā)XXS攻擊����、cookie竊取以及隨之而來(lái)的賬戶濫用狀況���,”Bitdefender安全公司高級(jí)電子威脅分析師Bogdan Botezatu指出�����。“SSL的介入很可能抑制這種不良行為���,當(dāng)然也將作用于其它潛在威脅。”
Botezatu認(rèn)為���,各種類型的數(shù)字通信機(jī)制應(yīng)該在很早以前就全面普及HTTPS/SSL���。雖然與其它網(wǎng)絡(luò)郵件供應(yīng)商相比�����、雅虎在這方面顯得有些太過(guò)遲緩�����,但最終決定棄暗投明的做法仍然非常有益��,他評(píng)論稱�。
谷歌公司早在2008年就開(kāi)始將全會(huì)話HTTPS作為Gmail服務(wù)中的備選設(shè)置��,并于2010年初正式將其作為標(biāo)準(zhǔn)化方案��。微軟于2010年11月為Hotmail添加了這一選項(xiàng)���,并在2012年將其作為Outlook.com網(wǎng)絡(luò)郵件服務(wù)的默認(rèn)機(jī)制。
Twitter的默認(rèn)HTTPS普及之路開(kāi)始于2011年8月�����,F(xiàn)acebook則開(kāi)始于2012年11月;而且兩家的服務(wù)都從2011年年初就開(kāi)始將HTTPS支持作為可選機(jī)制。
根據(jù)Botezatu的說(shuō)明���,雅虎的下一步計(jì)劃在于將雅虎Messenger連接也推向默認(rèn)SSL道路��。“在一些地區(qū)�,雅虎Messenger的使用率仍然高于其它即時(shí)通訊客戶端�����,而且客戶們依賴它處理地各種通信事務(wù)——從個(gè)人到企業(yè)事務(wù)皆有涉及�����。不過(guò)目前這些通信內(nèi)容仍然以純文本形式存在�����,這就使其更易于被未經(jīng)授權(quán)的惡意人士所窺探���。”
