雅虎山河重整:明年年初启动全部网络邮件会话加密

雅虎山河重整:明年年初启动全部网络邮件会话加密

雅虎将从明年年初开始为其用户提供网络邮件会话加密服务,即所有雅虎邮箱连接都将采用HTTPS(即超文本传输协议安全)标准。

长久以来,安全专家、隐私倡导者以及用户本身一直要求雅虎在服务产品中加入这一特性。事实上,其它主要网络邮件供应商都已经实现了这一点。

去年十一月,电子前沿基金会连同其它隐私、安全及人权组织联名致函雅虎公司CEO Marissa Mayer,要求对方为自己的通信服务,包括电子邮件与即时消息产品,添加HTTPS支持。

作为一套将HTTP网络通信协议与安全套接层(简称SSL)加密协议相结合的机制,HTTPS目前被广泛应用于网络用户与网站之间的连接领域,意在防止敏感数据在传输的过程中被未授权方截获并读龋

雅虎自去年年底开始为雅虎邮箱服务提供一套全新Web界面,其中也包含针对全会话的HTTPS支持能力,但仅作为备选方案存在。要激活该功能,用户需要登录自己的邮箱账户并在“使用 SSL”对话框中勾选“安全性”项目。

“自2014年1月8号开始,我们将向所有雅虎邮箱用户推行加密HTTPS连接标准,”雅虎公司通信产品高级副总裁Jeffrey Bonforte在本周一的一篇博文中表示。“我们的团队正努力实施雅虎邮箱默认HTTPS连接所必需的变更,我们也期待着届时为广大用户奉上这一附加安全保护机制。”

近期美国国家安全局及其它国家情报机构被披露正在运行涵盖范围广泛的电子监控方案,雅虎公司此举似乎是为了回应用户对于在线隐私及安全性的激烈争论。

根据前国安局雇员爱德华·斯诺登泄露的文件,我们发现美国国安局正利用一部分程序从上游拦截发往全球网络的互联网流量,并从包括雅虎、微软、谷歌、苹果、Facebook以及AOL等在线服务供应商处收集数据。

《华盛顿邮报》在报道中称,国安局从雅虎、Hotmail、Facebook、Gmail以及其它邮件与聊天程序中收集由国外电信企业和专职情报服务所控制的互联网接入点信息,并将结果汇总成在线地址记录。

这类上游数据收集活动正是HTTPS的主要防范对象,当然前提是执行流程切实到位。服务供应商很可能迫于政府压力而将自己手中已经过解密的数据移交情报机关,但即使如此、数据拦截活动至少能够得到有效扼制。

除了防止政府机关对数据的疯狂掠夺之外,HTTPS还能够防止黑客攻击,例如那些通过不安全无线网络或者跨站点脚本攻击窃取身份验证cookie的恶意活动。

“作为全球人气最高的免费网络邮件服务供应商之一,雅虎公司在过去几个月内受到众多网络犯罪分子的密切关注,并因此引发XXS攻击、cookie窃取以及随之而来的账户滥用状况,”Bitdefender安全公司高级电子威胁分析师Bogdan Botezatu指出。“SSL的介入很可能抑制这种不良行为,当然也将作用于其它潜在威胁。”

Botezatu认为,各种类型的数字通信机制应该在很早以前就全面普及HTTPS/SSL。虽然与其它网络邮件供应商相比、雅虎在这方面显得有些太过迟缓,但最终决定弃暗投明的做法仍然非常有益,他评论称。

谷歌公司早在2008年就开始将全会话HTTPS作为Gmail服务中的备选设置,并于2010年初正式将其作为标准化方案。微软于2010年11月为Hotmail添加了这一选项,并在2012年将其作为Outlook.com网络邮件服务的默认机制。

Twitter的默认HTTPS普及之路开始于2011年8月,Facebook则开始于2012年11月;而且两家的服务都从2011年年初就开始将HTTPS支持作为可选机制。

根据Botezatu的说明,雅虎的下一步计划在于将雅虎Messenger连接也推向默认SSL道路。“在一些地区,雅虎Messenger的使用率仍然高于其它即时通讯客户端,而且客户们依赖它处理地各种通信事务——从个人到企业事务皆有涉及。不过目前这些通信内容仍然以纯文本形式存在,这就使其更易于被未经授权的恶意人士所窥探。”