یاہو سیکیورٹی میں اضافے کے قابل نہیں ہے

ہاں ، یاہو نے بالآخر اپنے میل صارفین کے ل HT ایچ ٹی ٹی پی ایس انکرپشن کو آن کر دیا ہے ، لیکن ایسا نہیں لگتا ہے جیسے کمپنی نے معنی خیز انداز میں اسے کرنے کی طرف کوئی کوشش کی ہے۔

یاہو کے تمام مواصلات ، خواہ وہ ویب ، موبائل ویب ، موبائل ایپس ، یا یہاں تک کہ آئی ایم اے پی ، پی او پی اور ایس ایم ٹی پی کے توسط سے ہوں - اب ، 2،048 بٹ سرٹیفکیٹ کا استعمال کرتے ہوئے بطور ڈیفالٹ خفیہ کاری کی جاتی ہے ، یاہو کے مواصلاتی مصنوعات کے سینئر نائب صدر ، جیف بونفورٹ نے لکھا۔ یاہو میل کا ٹمبلر اس ہفتے۔ یہ اقدام ای میلز ، منسلکات ، رابطوں ، کیلنڈر سے متعلق معلومات ، اور یہاں تک کہ میسنجر کے اعداد و شمار کے تمام مشمولات کی حفاظت کرے گا ، کیونکہ وہ صارف کے براؤزر اور یاہو کے سرورز کے مابین حرکت کرتے ہیں۔ سیکیورٹی ماہرین نے متنبہ کیا کہ یہ کافی نہیں ہے۔

ریپڈ 7 کے میٹاسپلوائٹ انجینئرنگ مینیجر ، ٹوڈ بیارڈسلی نے کہا ، "یاہو کے اعلان نے کہ اس نے یاہو میل کے تمام صارفین کے لئے ایچ ٹی ٹی پی ایس کو خفیہ کاری کا اہل بنادیا ہے ، نہ صرف بہت دیر سے بلکہ بہت پریشان کن ہے۔"

کریڈٹ جہاں کریڈٹ واجب ہے

یاہو نے سیکیورٹی سے آگاہ صارفین کو 2012 کے آخر میں خود کے لئے ایچ ٹی ٹی پی ایس آن کرنے کا آپشن پیش کرنا شروع کیا۔ تازہ ترین تبدیلی کا مطلب ہے کہ خفیہ کاری اب ڈیفالٹ کے ذریعہ آن کردی گئی ہے ، ہر ایک کی حفاظت کرنا ، نہ صرف ان لوگوں نے جس نے زیادہ سیکیورٹی کا انتخاب کیا ہے۔ اس بات کو مد نظر رکھتے ہوئے کہ زیادہ تر صارف کبھی بھی ترتیبات میں گھوم نہیں پاتے ، یہ اچھی بات ہے کہ یاہو نے بالآخر ڈیفالٹ کے ذریعہ ایچ ٹی ٹی پی ایس کو آن کیا ہے۔ 2010 کے بعد سے جی میل میں ایچ ٹی ٹی پی ایس موجود ہے ، مائیکروسافٹ نے جولائی 2012 میں آؤٹ لک ڈاٹ کام کو اس فیچر کے ساتھ بطور ڈیفالٹ لانچ کیا تھا ، اور فیس بک نے نومبر 2012 میں صارفین کو HTTPS ڈیفالٹ کے ذریعہ متعارف کرایا تھا۔

پارٹی کو دیر سے ہونا اتنا برا نہیں ہوگا اگر یاہو نے اپنے حفاظتی فیصلوں میں سے کچھ سوچا ہو۔ سیکیورٹی فرم کیلیس میں ایپلی کیشن سیکیورٹی ریسرچ کے ڈائریکٹر ایوان ریسٹیک نے ، سیکیورٹی واچ کو بتایا کہ ، اگرچہ ڈیفالٹ کے ذریعہ خفیہ کاری کو "یاہو کے لئے آگے بڑھنا" ہے ، لیکن "نئی تشکیل سے مطلوبہ بہت کچھ باقی ہے۔" سب سے بڑا مسئلہ اس حقیقت سے ہے کہ یاہو نے پرفیکٹ فارورڈ سیکیریسی (پی ایف ایس) کی حمایت نہیں کرنے کا فیصلہ کیا ہے۔

"فارورڈ رازداری کے بغیر ، یہاں تک کہ خفیہ کردہ اعداد و شمار کو نجی کلیدی سمجھوتہ سے خطرہ ہے۔"

ایک فوری پی ایف ایس پرائمر

بنیادی HTTPS انکرپشن کے ساتھ ، ہیکرز (یا سرکاری ایجنٹ) جو ڈیٹا اسٹریم پر قبضہ کرتے ہیں وہ مندرجات نہیں پڑھ سکتے ہیں کیونکہ ان کے پاس یاہو کی نجی کلید نہیں ہے۔ تاہم ، اگر انہوں نے کچھ دیر کے بعد یہ چابی حاصل کرلی تو ، وہ واپس جاسکتے ہیں اور پہلے میں پکڑے گئے ڈیٹا کو ڈیکرپٹ کرسکتے ہیں۔ اگر سائٹ نے کامل فوورڈ رازداری کو نافذ کیا ہے ، تب بھی اگر کسی کو بعد کی تاریخ میں کلید تک رسائی حاصل ہوجائے تو ، وہ شخص واپس نہیں جاسکتا اور تمام پرانے سیشنوں کو انلاک نہیں کرسکتا۔

نجی کلید کو بے نقاب کرنے کے متعدد طریقے ہیں: یاہو کے سرورز پر چابی چوری کرنے یا حملہ کرنے سے ہی سائپر میں ہی کوئی کمزوری دریافت ہوسکتی ہے۔ یاہو اپنی مرضی سے یا تو رضاکارانہ طور پر یا عدالتی حکم کی وجہ سے بھی چابی دے سکتا ہے۔

بیرڈسلی نے کہا ، "میں اس خفیہ کاری کی اس کمزوری حکمت عملی کو ترجیح دینے کے لئے کسی جائز وجہ کے بارے میں نہیں سوچ سکتا۔

انتا اچھا نہیں

رِسٹک کے مطابق ، یاہو کے نفاذ میں دیگر مسائل ہیں۔ یاہو کے کچھ HTTPS ای میل سرور RC4 کو ترجیحی سائفر کے بطور استعمال کرتے ہیں ، لیکن RC4 کو کمزور سمجھا جاتا ہے۔ مائیکرو سافٹ اور سسکو نے حال ہی میں آر سی 4 کے استعمال کو مرحلہ وار بنا دیا۔ ایس ایس ایل لیبز کی ایک رپورٹ کے مطابق ، یہ تقسیم سے انکارکرنے والے خدمت حملوں کا بھی خطرہ ہے کیونکہ وہ کلائنٹ سے شروع کردہ دوبارہ مذاکرات کی حمایت کرتا ہے۔

ایس ایس ایل لیبس ویب سائٹ کو اس کے ایس ایس ایل کے نفاذ کی اوورل سیکیورٹی پر درجہ دیتا ہے۔ یاہو کے پاس صرف "B" کی درجہ بندی ہے۔

دوسرے سرورز ، جیسے login.yahoo.com ، AES کا استعمال کرتے ہیں۔ AES RC4 سے بہتر ہے ، لیکن یاہو نے BEAST جیسے معلوم حملوں کے لئے حفاظتی تخفیفوں پر عمل درآمد نہیں کیا ، جو TLS 1.0 اور اس سے قبل کے پروٹوکول کو نشانہ بناتا ہے ، اور CRIME ، براؤزرز میں TLS کے استعمال کے طریقہ کار کے خلاف ایک عملی حملہ ہے۔ ایس ایس ایل لیبز کی ایک رپورٹ کے مطابق ، سائٹ صرف "صرف پرانے پروٹوکول وریوس کی حمایت کرتی ہے ، لیکن حالیہ اور زیادہ محفوظ TLS 1.2 کی حمایت نہیں کرتی ہے۔"

شاید یاہو اب بھی کشمکش پر کام کر رہا ہے اور آئندہ چند ہفتوں یا مہینوں میں بہتر سیکیورٹی مرحلہ وار کردی جائے گی۔ لیکن اس کے منصوبوں کو واضح طور پر سمجھانا اچھا ہوتا۔ یاہو اس کے بارے میں کیا خیال ہے؟ کیا آپ اپنی ٹیم کے لئے آسان تر کرنے کے بجائے صارف کی حفاظت کے بارے میں سوچیں گے؟