Yahoo til at kryptere webmailsessioner som standard fra januar

Yahoo vil begynde at kryptere brugernes webmail-sessioner i begyndelsen af ​​2014 ved at gøre HTTPS (Hypertext Transfer Protocol Secure) standard for alle Yahoo Mail-forbindelser.

Sikkerhedseksperter, fortalere for privatliv og brugere har bedt Yahoo om denne funktion i lang tid. Andre store webmailudbydere tilbyder allerede det.

I november 2012 sendte Electronic Frontier Foundation med andre organisationer til beskyttelse af personlige oplysninger, sikkerhed og menneskerettigheder et brev til Yahoo CEO Marissa Mayer, der bad virksomheden om at tilføje HTTPS support til sine kommunikationstjenester, herunder e-mail og instant messaging.

HTTPS, der kombinerer HTTP-webkommunikationsprotokol med SSL-krypteringsprotokollen (Secure Sockets Layer), er vidt brugt til at sikre forbindelser mellem webbrugere og websteder og forhindrer, at følsomme data bliver opsnappet og læst af uautoriserede parter under transport.

Yahoo begyndte udrulning af en ny webgrænseflade til Yahoo Mail sidst på året, der gav support til HTTPS i fuld session, men kun som en mulighed. For at aktivere funktionen kan brugere gå ind i deres e-mail-kontoindstillinger og markere afkrydsningsfeltet "Brug SSL" i afsnittet "Sikkerhed".

"Fra 8. januar 2014 vil vi gøre krypterede https-forbindelser standard for alle Yahoo Mail-brugere," sagde Jeffrey Bonforte, Yahoos senior vicepræsident for kommunikationsprodukter, mandag i et blogindlæg. "Vores teams arbejder hårdt for at foretage de nødvendige ændringer i standard https-forbindelser på Yahoo Mail, og vi ser frem til at give dette ekstra lag af sikkerhed for alle vores brugere."

Flytningen kommer på et tidspunkt, hvor der er øget diskussion om privatliv og sikkerhed online efter afsløringer af, at det amerikanske nationale sikkerhedsagentur og efterretningsorganerne i andre lande kører omfattende elektroniske overvågningsprogrammer.

Nogle af NSA-programmerne, der er afsløret af dokumenter lækket af den tidligere NSA-entreprenør Edward Snowden, involverer opstrøms opfangning af internettrafik, når den passerer gennem globale netværk, samt dataindsamling fra onlineudbydere, herunder Yahoo, Microsoft, Google, Apple, Facebook, AOL og andre.

Washington Post rapporterede tirsdag, at NSA indsamlede online adressebøger i bulk fra Yahoo, Hotmail, Facebook, Gmail og andre e-mail- og chatprogrammer på internetadgangspunkter kontrolleret af udenlandske telekommunikationsfirmaer og allierede efterretningstjenester.

Denne type opstrøms dataindsamling er noget, som HTTPS potentielt kan forhindre, så længe implementeringen er stærk nok. Tjenesteudbyderen er måske senere tvunget til at udlevere de dekrypterede data ved udgangen, men i det mindste i dette tilfælde ville aflytningen ske med dens viden.

Ud over at forhindre indsamling af bulkdata fra regeringsorganer kan HTTPS også forhindre hackerangreb, f.eks. Tyveri af autentificeringscookies over usikre trådløse netværk eller via script-angreb på tværs af websteder.

"Som en af ​​verdens mest populære udbydere af gratis webmail-tjenester fik Yahoo uvelkomne opmærksomhed fra cyberkriminelle i de sidste måneder, hvilket resulterede i XSS-angreb, der endte med cookiestyveri og efterfølgende misbrug af konti," sagde Bogdan Botezatu, en senior e-trusselsanalytiker hos Bitdefender . "Indførelsen af ​​SSL vil sandsynligvis begrænse denne opførsel blandt andre farer."

Botezatu mener, at alle typer digital kommunikation burde have været skiftet til HTTPS / SSL for længe siden. Selvom Yahoo vil være for sent til at aktivere det sammenlignet med andre webmailudbydere, er dens beslutning stadig hilsen, sagde han.

Google implementerede HTTPS i fuld session som en valgfri indstilling i Gmail tilbage i 2008 og gjorde den standard i begyndelsen af ​​2010. Microsoft tilføjede indstillingen i Hotmail i november 2010 og aktiverede den som standard for sin Outlook.com webmail-service i 2012.

Twitter begyndte at udrulde HTTPS som standard i august 2011 og Facebook i november 2012. Begge tjenester understøttede HTTPS som en mulighed siden begyndelsen af ​​2011.

Det næste trin for Yahoo ville være at skifte Yahoo Messenger-forbindelser til SSL som standard også, sagde Botezatu. "I nogle regioner er Yahoo Messenger-forbruget stadig flere end andre instant messaging-klienter, og kunderne er afhængige af det for al slags kommunikation, fra personlig til forretning, men disse samtaler sendes stadig i almindelig tekst, hvilket gør det lettere at snuppe på af uautoriseret parter."

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.