ভিডিও: ये कà¥?या है जानकार आपके à¤à¥€ पसीने छà¥?ट ज (সেপ্টেম্বর 2024)
হ্যাঁ, ইয়াহু অবশেষে তার মেল ব্যবহারকারীদের জন্য এইচটিটিপিএস এনক্রিপশন চালু করেছে, তবে দেখে মনে হচ্ছে না যে এটি কোনও অর্থবহ সুরক্ষিত পদ্ধতিতে করার জন্য সংস্থা কোনও প্রচেষ্টা চালিয়েছে।
ওয়েব, মোবাইল ওয়েব, মোবাইল অ্যাপ্লিকেশন বা আইএমএপি, পিওপি এবং এসএমটিপি-র মাধ্যমে সমস্ত ইয়াহু মেল যোগাযোগগুলি এখন ২, ০৪৮-বিট শংসাপত্র ব্যবহার করে ডিফল্টরূপে এনক্রিপ্ট করা হয়েছে, যোগাযোগ পণ্যগুলির ইয়াহুর সিনিয়র সহ-সভাপতি জেফ বোনফোর্ট লিখেছেন এই সপ্তাহে ইয়াহু মেলের টাম্বলার। এই পদক্ষেপটি ইমেল, সংযুক্তি, পরিচিতি, ক্যালেন্ডার তথ্য এবং মেসেঞ্জার ডেটা সম্পর্কিত সমস্ত সামগ্রী রক্ষা করবে কারণ তারা ব্যবহারকারীর ব্রাউজার এবং ইয়াহুর সার্ভারগুলির মধ্যে স্থানান্তরিত করে। সুরক্ষা বিশেষজ্ঞরা হুঁশিয়ারি দিয়েছিলেন যে এটি যথেষ্ট নয়।
"ইয়াহুর এই ঘোষণা যে এটি সমস্ত ইয়াহু মেল ব্যবহারকারীদের জন্য এইচটিটিপিএস এনক্রিপশন সক্ষম করেছে কেবল খুব দেরীই নয়, বেশ ঝামেলাও বোধ করছে, " র্যাপিড 7-এর মেটাস্পপ্লাইট ইঞ্জিনিয়ারিং ম্যানেজার টোড বিয়ার্ডলে বলেছেন।
যেখানে দেনা আছে সেখানে দেনা পরিশোধ করুন
ইয়াহু সুরক্ষা-সচেতন ব্যবহারকারীদের 2012 সালের শেষের দিকে তাদের জন্য এইচটিটিপিএস চালু করার বিকল্পটি দেওয়া শুরু করেছিল The সর্বশেষ পরিবর্তনটির অর্থ এনক্রিপশনটি এখন ডিফল্টরূপে চালু করা হয়েছে, কেবল সুরক্ষিত নয়, যারা আরও সুরক্ষার পক্ষে ছিলেন। বেশিরভাগ ব্যবহারকারীর সেটিংসে কখনই উপহাস করা যায় না তা বিবেচনা করে ইয়াহু অবশেষে ডিফল্টরূপে এইচটিটিপিএস চালু করে দিয়েছে। ২০১০ সাল থেকে জিমেইলে এইচটিটিপিএস ছিল, মাইক্রোসফ্ট জুলাই ২০১২ এ আউটলুক ডটকমটি ডিফল্টরূপে এই বৈশিষ্ট্যটি নিয়ে চালু করেছিল এবং ফেসবুক ২০১২ সালের নভেম্বর মাসে ডিফল্টরূপে এইচটিটিপিএস চালু করতে শুরু করে।
পার্টিতে দেরি করা এতটা খারাপ হবে না যদি ইয়াহু তার সুরক্ষা সংক্রান্ত কিছু সিদ্ধান্তের দ্বারা সত্যই চিন্তা করত। ডিফল্টরূপে এনক্রিপশন মোতায়েন করা যখন "ইয়াহুর পক্ষে বড় পদক্ষেপ", তবে "নতুন কনফিগারেশনটি কাঙ্ক্ষিত হওয়ার জন্য অনেক কিছু ছেড়ে যায়" সিকিউরিটি ফার্ম কুলিয়াসের অ্যাপ্লিকেশন সুরক্ষা গবেষণার পরিচালক ইভান রিস্টিক সিকিউরিটি ওয়াচকে জানিয়েছেন। ইয়াহু পারফেক্ট ফরওয়ার্ড সিক্রেসি (পিএফএস) সমর্থন না করার সিদ্ধান্ত নিয়েছে তার সাথে সবচেয়ে বড় সমস্যা রয়েছে issue
"ফরওয়ার্ড সিক্রেসিটি ব্যতীত, এনক্রিপ্ট করা ডেটা এমনকি ব্যক্তিগত কী আপস থেকে ঝুঁকির মধ্যে রয়েছে, " রিস্টিক সতর্ক করেছিলেন।
একটি কুইক পিএফএস প্রাইমার
বেসিক এইচটিটিপিএস এনক্রিপশন সহ, হ্যাকার (বা সরকারী এজেন্ট) যারা ডেটা স্ট্রিম ক্যাপচার করে তারা সামগ্রীগুলি পড়তে পারে না কারণ তাদের কাছে ইয়াহুর ব্যক্তিগত কী নেই। যাইহোক, যদি তারা পরবর্তী কোনও তারিখে কীটি অর্জন করে তবে তারা ফিরে গিয়ে আগের ক্যাপচারিত ডেটা ডিক্রিপ্ট করতে পারে। যদি সাইটটি পারফেক্ট ফাউয়ার্ড সিক্রেসিটি প্রয়োগ করে, তবে পরে কেউ যদি কোনও পরবর্তী সময়ে কীটিতে অ্যাক্সেস পেয়ে থাকে তবেও সেই ব্যক্তি ফিরে যেতে পারেন না এবং পুরানো সমস্ত সেশন আনলক করতে পারবেন না।
ব্যক্তিগত কীটি উন্মোচিত হওয়ার বিভিন্ন উপায় রয়েছে: কীটি চুরি করতে ইয়াহুর সার্ভারগুলিতে আক্রমণ বা সিফারে নিজেই একটি দুর্বলতা আবিষ্কার করতে। ইয়াহু এমনকি স্বেচ্ছায় বা আদালতের আদেশের কারণে চাবিটি হস্তান্তর করতে পারে।
"এই দুর্বল এনক্রিপশন কৌশলটিকে প্রাধান্য দেওয়ার বৈধ কারণ সম্পর্কে আমি ভাবতে পারি না, " বিয়ার্ডস্লি বলেছেন।
যথেষ্ট ভাল না
রিস্টিক অনুসারে ইয়াহুর বাস্তবায়নে অন্যান্য সমস্যা রয়েছে। ইয়াহুর এইচটিটিপিএস এর কিছু ইমেল সার্ভারগুলি আরসি 4কে পছন্দসই সাইফার হিসাবে ব্যবহার করে, তবে আরসি 4 কে দুর্বল বলে মনে করা হয়। মাইক্রোসফ্ট এবং সিসকো সম্প্রতি পর্যায়ক্রমে আরসি 4 ব্যবহার শুরু করেছে। এটি এসএসএল ল্যাবগুলির একটি প্রতিবেদনে বলা হয়েছে যে এটি বিতরণ-অস্বীকৃত-পরিষেবার আক্রমণগুলিতে ঝুঁকিপূর্ণ কারণ এটি ক্লায়েন্ট-আরম্ভ করা পুনর্নির্দেশকে সমর্থন করে।
এসএসএল ল্যাবগুলি তার এসএসএল বাস্তবায়নের ওভারলাল সুরক্ষার জন্য ওয়েবসাইটগুলিকে গ্রেড করে। ইয়াহুতে কেবল একটি "বি" রেটিং রয়েছে।
অন্যান্য সার্ভারগুলি যেমন লগইন.ইহু ডট কম, এএস ব্যবহার করে। এইএস আরসি 4 এর চেয়ে ভাল, তবে ইয়াহু বেস্টের মতো পরিচিত আক্রমণগুলির জন্য সুরক্ষা প্রশমনগুলি কার্যকর করেনি, যা টিএলএস 1.0 এবং এর আগের প্রোটোকলগুলিকে লক্ষ্য করে এবং ক্রাইম, ব্রাউজারগুলিতে কীভাবে টিএলএস ব্যবহার করা হয় তার বিরুদ্ধে ব্যবহারিক আক্রমণ। এসএসএল ল্যাবগুলির একটি প্রতিবেদনে বলা হয়েছে, সাইটটি "কেবলমাত্র প্রবীণ প্রোটোকল ভারিওগুলি সমর্থন করে তবে সর্বাধিক সাম্প্রতিক এবং আরও সুরক্ষিত টিএলএস ১.২ নয়"।
সম্ভবত ইয়াহু এখনও কিঙ্কস নিয়ে কাজ করছে এবং আগামী কয়েক সপ্তাহ বা কয়েক মাসের মধ্যে আরও ভাল সুরক্ষা পর্যায়ক্রমে করা হবে। তবে এর পরিকল্পনাগুলি সামনে আলোচনা করে ভাল লাগত। ইয়াহু এটা কি? আপনার দলের পক্ষে কী করা সহজ, তার পরিবর্তে আপনি কি ব্যবহারকারী সুরক্ষা সম্পর্কে ভাবেন?
