神刀安全网

谷歌、微软与雅虎:我们希望修复漏洞以避免邮件窥探行为

谷歌、微软与雅虎:我们希望修复漏洞以避免邮件窥探行为

各网络巨头正联手修复STARTTLS安全问题,希望解决其面临的加密连接降级攻击威胁。

Amazon、Facebook、谷歌、微软以及雅虎等多家技术巨头正努力推进STARTTLS扩展方案——旨在将SMTP上的纯文本连接升级为全新加密版本。

不过根据谷歌公司最近发布的研究报告,STARTTLS采用的“机会型加密”机制有可能导致该系统遭受“开放性攻击”,这意味着即使存在异常状况,电子邮件仍会以未加密方式发送——此种状况亦被称为“纯文本”问题。

这一设计原本是为了鼓励用户采纳STARTTLS。然而研究结果发现,攻击者能够轻松利用网络设备迫使其降级至非加密通道。

举例来说,突尼斯的研究人员们发现,由当地发往Gmail的全部邮件中有96%处于“纯文本”状态。

目前谷歌、雅虎、Comcast、微软、领英以及1&1 Mail & Media开发与技术公司正希望通过一项名为SMTP严格传输安全的IETF建议解决此类问题。

其需要解决的另一个问题则与消息传输代理(简称MTA)服务器中的验证机制有关。

其中一项提案要求在交付机制处于非安全状态时,停止对消息进行交付。具体来讲,其要求通过SMTP STS策略记录允许发送服务检查收件人的执行策略,并在检查通过后方执行邮件发送。

“SMTP STS是一种要求邮件服务供应商申报自身接收TLS保护型连接能力的机制,旨在借此声明具体证书验证方法并要求SMTP服务器对无法安全交付的情况进行上报并/或拒绝交付消息,”这份建议草案指出。

这份IETF草案已经由各网络企业于上周五提交,审核日期截止至今年9月19日。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 谷歌、微软与雅虎:我们希望修复漏洞以避免邮件窥探行为

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮