Yahoo per crittografare le sessioni di webmail per impostazione predefinita a partire da gennaio

Yahoo inizierà a crittografare le sessioni di webmail dei suoi utenti all'inizio del 2014 rendendo HTTPS (Hypertext Transfer Protocol Secure) standard per tutte le connessioni Yahoo Mail.

Esperti di sicurezza, sostenitori della privacy e utenti hanno richiesto a Yahoo questa funzionalità per molto tempo. Altri principali provider di webmail lo offrono già.

Nel novembre 2012, la Electronic Frontier Foundation con altre organizzazioni per la privacy, la sicurezza e i diritti umani, ha inviato una lettera al CEO di Yahoo Marissa Mayer chiedendo alla società di aggiungere il supporto HTTPS ai suoi servizi di comunicazione, inclusi e-mail e messaggistica istantanea.

HTTPS, che combina il protocollo di comunicazione Web HTTP con il protocollo di crittografia Secure Sockets Layer (SSL), è ampiamente utilizzato per proteggere le connessioni tra utenti Web e siti Web e impedisce che i dati sensibili vengano intercettati e letti da parti non autorizzate durante il trasporto.

Yahoo ha iniziato a implementare una nuova interfaccia Web per Yahoo Mail alla fine dell'anno scorso che ha fornito supporto per HTTPS a sessione intera, ma solo come opzione. Per abilitare la funzione, gli utenti possono accedere alle impostazioni dell'account e-mail e selezionare la casella "Usa SSL" nella sezione "Sicurezza".

"A partire dall'8 gennaio 2014, realizzeremo connessioni https crittografate standard per tutti gli utenti di Yahoo Mail", ha dichiarato Jeffrey Bonforte, vicepresidente senior dei prodotti di comunicazione di Yahoo, in un post sul blog. "I nostri team stanno lavorando duramente per apportare le modifiche necessarie alle connessioni https predefinite su Yahoo Mail e non vediamo l'ora di fornire questo ulteriore livello di sicurezza per tutti i nostri utenti."

La mossa arriva in un momento in cui vi è una maggiore discussione sulla privacy e la sicurezza online a seguito delle rivelazioni secondo cui la National Security Agency degli Stati Uniti e le agenzie di intelligence di altri paesi stanno conducendo ampi programmi di sorveglianza elettronica.

Alcuni dei programmi NSA rivelati da documenti trapelati dall'ex appaltatore NSA Edward Snowden riguardano l'intercettazione a monte del traffico Internet mentre passa attraverso le reti globali, nonché la raccolta di dati da fornitori di servizi online tra cui Yahoo, Microsoft, Google, Apple, Facebook, AOL e altri.

Il Washington Post ha riferito martedì che la NSA ha raccolto in massa rubriche online da Yahoo, Hotmail, Facebook, Gmail e altri programmi di posta elettronica e chat presso i punti di accesso a Internet controllati da società di telecomunicazioni straniere e servizi di intelligence alleati.

Questo tipo di raccolta di dati a monte è qualcosa che HTTPS può potenzialmente prevenire, a condizione che l'implementazione sia abbastanza forte. Il fornitore di servizi potrebbe in seguito essere costretto a consegnare i dati decifrati alla sua fine, ma almeno in quel caso l'intercettazione sarebbe fatta con le sue conoscenze.

Oltre a impedire la raccolta di dati in blocco da parte di agenzie governative, HTTPS può anche prevenire attacchi di hacker, come il furto di cookie di autenticazione su reti wireless non sicure o attraverso attacchi di scripting tra siti.

"Come uno dei fornitori di servizi di webmail gratuiti più famosi al mondo, Yahoo ha attirato sgradita attenzione dai criminali informatici negli ultimi mesi con conseguenti attacchi XSS che si sono conclusi con il furto di cookie e il successivo abuso di account", ha affermato Bogdan Botezatu, analista senior di minacce elettroniche presso Bitdefender . "L'introduzione di SSL probabilmente limiterà questo comportamento, tra gli altri pericoli".

Botezatu ritiene che tutti i tipi di comunicazioni digitali avrebbero dovuto passare a HTTPS / SSL molto tempo fa. Tuttavia, anche se Yahoo sarà in ritardo per consentirlo rispetto ad altri provider di webmail, la sua decisione è ancora salutare, ha detto.

Google ha implementato HTTPS a sessione intera come impostazione opzionale in Gmail nel 2008 e lo ha reso standard all'inizio del 2010. Microsoft ha aggiunto l'opzione in Hotmail a novembre 2010 e l'ha abilitata per impostazione predefinita per il suo servizio di webmail Outlook.com nel 2012.

Twitter ha iniziato a implementare HTTPS per impostazione predefinita nell'agosto 2011 e Facebook a novembre 2012. Entrambi i servizi hanno supportato HTTPS come opzione dall'inizio del 2011.

Il prossimo passo per Yahoo sarebbe quello di cambiare anche le connessioni di Yahoo Messenger a SSL per impostazione predefinita, ha affermato Botezatu. "In alcune regioni, l'utilizzo di Yahoo Messenger supera ancora di gran lunga gli altri client di messaggistica istantanea e i clienti si affidano ad esso per ogni tipo di comunicazione, da quella personale a quella aziendale, ma queste conversazioni vengono comunque inviate in testo semplice, il che rende più semplice curiosare da persone non autorizzate parti ".

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.