邮箱网 0条评论 6915次浏览 2013年01月11日 星期五 10:19
【中国邮箱网 电子邮件频道】1月11日引自每日科技新闻消息:Yahoo终于在用户浏览所有雅虎邮箱活动的时候启用了包括Facebook,Gmail和Twitter用户已经使用了多年的HTTPS安全加密协议。
如果不使用HTTPS,用户在一个开放的网络环境下访问在线数据就可能会被攻击者盗取或毁坏,比如机场的WIFI热点、咖啡厅或酒店。
“我们非常高兴雅虎将于2013年使用这样的权利,让雅虎邮件用户通过HTTPS安全的访问他们的电子邮件账户。”在周一发表的博客中,电子前沿基金会的Seth Schoen如是说。
电子前沿基金会一直倡导的HTTPS 加密所有的通信,早在11月份就向时任新的雅虎CEO梅耶尔发出了邮件,要求其在雅虎的服务中实现HTTPS的加密通信。
在雅虎邮件中HTTPS默认情况下是不开启的,但用户可以通过“邮件选项”选择“常规”设置来“打开SSL”。
关上一扇门,打开一扇窗
不幸的是,在今年1月6日阿拉伯联合酋长国安全研究专家展示了"HTTPS不会终止一切恶意攻击"。
沙欣Ramezany发布一个跨站点脚本(XSS)漏洞,允许任何人用正确的代码和技术知识进入陌生人的雅虎帐户访问YouTube的视频演示。
他说在漏洞没有完全修复之前,使用专业的调试工具和特殊代码他都不会发现。Ramezany表明使用者可以由恶意网站捕获cookie,从一个Yahoo用户然后转移到另一个,给第二用户访问任意的帐户的权限。
(Ramezany说,在他给Twitter的爆料同时,他也给了雅虎的全部细节,然后再发布的视频。)
该漏洞似乎与我们在11月份报道的在地下线上集贸市场的700美元被出售的新闻极其相似。当时,雅虎被说成是一个补丁。
完全修复了么?
周二,雅虎对The Next Web证实Ramezany的漏洞证明已确认并得到修复。
Ramezany的争议还存在。“雅虎修补了漏洞,但补丁没有足够有效,用户仍然存在风险。”他在博客上张贴了视频来显示漏洞依然存在。
雅虎邮箱的用户可以保护自己,至少在一定程度上,运行可靠的反病毒软件,屏幕为恶意内容网站的XSS漏洞。(这适用于XSS缺陷的Mac,iOS,Android和Linux用户,因为用户平台之间不没有区别)。
在漏洞没有完全修复前,要避免在雅虎邮件中点击不明链接信息,直至完全修补的漏洞。
文章来源:TechNewsDaily (酷邮差)