“自2014年1月8号开始,我们将向所有雅虎邮箱用户推行加密HTTPS连接标准,”雅虎公司通信产品高级副总裁Jeffrey Bonforte在本周一的一篇博文中表示。“我们的团队正努力实施雅虎邮箱默认HTTPS连接所必需的变更,我们也期待着届时为广大用户奉上这一附加安全保护机制。”即雅虎将从2014年初开始为其用户提供网络邮件会话加密服务,所有雅虎邮箱连接都将采用HTTPS(即超文本传输协议安全)标准。
作为一套将HTTP网络通信协议与安全套接层(简称SSL)加密协议相结合的机制,HTTPS目前被广泛应用于网络用户与网站之间的连接领域,意在防止敏感数据在传输的过程中被未授权方截获并读取。
长久以来,安全专家、隐私倡导者以及用户本身一直要求雅虎在服务产品中加入这一特性。事实上,其它主要网络邮件供应商都已经实现了这一点。
去年十一月,电子前沿基金会连同其它隐私、安全及人权组织联名致函雅虎公司CEO Marissa Mayer,要求对方为自己的通信服务,包括电子邮件与即时消息产品,添加HTTPS支持。
雅虎自去年年底开始为雅虎邮箱服务提供一套全新Web界面,其中也包含针对全会话的HTTPS支持能力,但仅作为备选方案存在。要激活该功能,用户需要登录自己的邮箱账户并在“使用 SSL”对话框中勾选“安全性”项目。
近期美国国家安全局及其它国家情报机构被披露正在运行涵盖范围广泛的电子监控方案,雅虎公司此举似乎是为了回应用户对于在线隐私及安全性的激烈争论。
根据前国安局雇员爱德华·斯诺登泄露的文件,我们发现美国国安局正利用一部分程序从上游拦截发往全球网络的互联网流量,并从包括雅虎、微软、谷歌、苹果、Facebook以及AOL等在线服务供应商处收集数据。
除了防止政府机关对数据的疯狂掠夺之外,HTTPS还能够防止黑客攻击,例如那些通过不安全无线网络或者跨站点脚本攻击窃取身份验证cookie的恶意活动。
“作为全球人气最高的免费网络邮件服务供应商之一,雅虎公司在过去几个月内受到众多网络犯罪分子的密切关注,并因此引发XXS攻击、cookie窃取以及随之而来的账户滥用状况,”Bitdefender安全公司高级电子威胁分析师Bogdan Botezatu指出。“SSL的介入很可能抑制这种不良行为,当然也将作用于其它潜在威胁。”
虽然与其它网络邮件供应商相比、雅虎在这方面显得有些太过迟缓,但最终决定弃暗投明的做法仍然非常有益。Botezatu认为,各种类型的数字通信机制应该在很早以前就全面普及HTTPS/SSL。
雅虎下一步计划
雅虎的下一步计划在于将雅虎Messenger连接也推向默认SSL道路。根据Botezatu的说明,“在一些地区,雅虎Messenger的使用率仍然高于其它即时通讯客户端,而且客户们依赖它处理地各种通信事务——从个人到企业事务皆有涉及。不过目前这些通信内容仍然以纯文本形式存在,这就使其更易于被未经授权的恶意人士所窥探。”
小知识之雅虎Messenger
雅虎Messenger是雅虎官方推出的手机联络即时聊天软件。