Yahoo om webmailsessies standaard vanaf januari te versleutelen

Yahoo zal begin 2014 beginnen met het versleutelen van de webmailsessies van zijn gebruikers door HTTPS (Hypertext Transfer Protocol Secure) standaard te maken voor alle Yahoo Mail-verbindingen.

Beveiligingsexperts, privacyadvocaten en gebruikers hebben Yahoo al lang om deze functie gevraagd. Andere grote webmailproviders bieden het al aan.

In november 2012 stuurde de Electronic Frontier Foundation met andere privacy-, beveiligings- en mensenrechtenorganisaties een brief naar Yahoo CEO Marissa Mayer met het verzoek om HTTPS-ondersteuning toe te voegen aan zijn communicatiediensten, waaronder e-mail en instant messaging.

HTTPS, dat het HTTP-webcommunicatieprotocol combineert met het Secure Sockets Layer (SSL) -coderingsprotocol, wordt veel gebruikt om verbindingen tussen webgebruikers en websites te beveiligen en voorkomt dat gevoelige gegevens worden onderschept en gelezen door onbevoegde partijen tijdens het transport.

Yahoo begon eind vorig jaar met het uitrollen van een nieuwe webinterface voor Yahoo Mail die ondersteuning bood voor HTTPS over de volledige sessie, maar alleen als optie. Om de functie in te schakelen, kunnen gebruikers naar hun e-mailaccountinstellingen gaan en het vakje "SSL gebruiken" in het gedeelte "Beveiliging" aanvinken.

"Vanaf 8 januari 2014 zullen we versleutelde https-verbindingen standaard maken voor alle Yahoo Mail-gebruikers", zei Jeffrey Bonforte, Yahoo's senior vice-president van communicatieproducten, maandag in een blogpost. "Onze teams werken er hard aan om de nodige wijzigingen aan te brengen in standaard https-verbindingen op Yahoo Mail, en we kijken ernaar uit om al onze gebruikers deze extra beveiligingslaag te bieden."

De verhuizing komt op een moment dat er meer discussie is over privacy en beveiliging online na onthullingen dat de Amerikaanse National Security Agency en de inlichtingendiensten van andere landen uitgebreide elektronische bewakingsprogramma's uitvoeren.

Sommige van de NSA-programma's die zijn onthuld in documenten die zijn gelekt door de voormalige NSA-aannemer Edward Snowden, hebben betrekking op het upstream onderscheppen van internetverkeer terwijl het door wereldwijde netwerken gaat, evenals gegevensverzameling van online serviceproviders zoals Yahoo, Microsoft, Google, Apple, Facebook, AOL en anderen.

De Washington Post meldde dinsdag dat de NSA in grote hoeveelheden online adresboeken heeft verzameld van Yahoo, Hotmail, Facebook, Gmail en andere e-mail- en chatprogramma's op internettoegangspunten die worden beheerd door buitenlandse telecommunicatiebedrijven en geallieerde inlichtingendiensten.

Dit type upstream-gegevensverzameling is iets dat HTTPS mogelijk kan voorkomen, zolang de implementatie sterk genoeg is. De serviceprovider kan later worden gedwongen de gedecodeerde gegevens aan het einde over te dragen, maar in dat geval zou de onderschepping in ieder geval met zijn medeweten worden gedaan.

Naast het voorkomen van massale gegevensverzameling door overheidsinstanties, kan HTTPS ook aanvallen van hackers voorkomen, zoals diefstal van authenticatiecookies via onveilige draadloze netwerken of via cross-site scripting-aanvallen.

"Als een van 's werelds populairste gratis webmailserviceproviders, kreeg Yahoo de afgelopen maanden ongewenste aandacht van cybercriminelen, resulterend in XSS-aanvallen die eindigden in cookiediefstal en vervolgens misbruik van accounts," zei Bogdan Botezatu, een senior e-threat analyst bij Bitdefender . "De introductie van SSL zal dit gedrag waarschijnlijk onder andere beperken."

Botezatu is van mening dat alle soorten digitale communicatie al lang geleden hadden moeten worden overgeschakeld naar HTTPS / SSL. Hoewel Yahoo te laat zal zijn in vergelijking met andere webmailproviders, is zijn beslissing echter nog steeds heilzaam, zei hij.

Google implementeerde HTTPS in volledige sessie als een optionele instelling in Gmail in 2008 en maakte het begin 2010 standaard. Microsoft heeft de optie in Hotmail in november 2010 toegevoegd en standaard ingeschakeld voor zijn Outlook.com-webmailservice in 2012.

Twitter start standaard met het uitrollen van HTTPS in augustus 2011 en Facebook in november 2012. Beide services ondersteunden HTTPS als optie sinds begin 2011.

De volgende stap voor Yahoo zou zijn om standaard Yahoo Messenger-verbindingen naar SSL te schakelen, zei Botezatu. "In sommige regio's is het gebruik van Yahoo Messenger nog steeds talrijker dan dat van andere instant messaging-klanten, en klanten vertrouwen erop voor allerlei soorten communicatie, van persoonlijk tot zakelijk, maar deze gesprekken worden nog steeds in platte tekst verzonden, waardoor het gemakkelijker is om door onbevoegden te snuffelen partijen. "

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.