Yahoo! loopt jaren achter door onveilige verbinding
Als je gebruik maakt van de diensten van Yahoo, weet dan dat het internetverkeer met Yahoo standaard wagenwijd openstaat. Het verkeer met haar gebruikers versleutelt Yahoo namelijk niet. Gevoelige informatie (zoals persoonlijke e-mail) kan daardoor gemakkelijk worden onderschept. Over de gehele wereld lopen gebruikers gevaar door onverantwoord handelen van Yahoo. Door haar diensten standaard op een onveilige manier aan te bieden loopt Yahoo al jaren achter de feiten aan.
Yahoo is bekend van haar zoekmachine Yahoo-Search (nu ‘powered by’ Bing), chatdienst Yahoo-Messenger, fotodienst Flickr en social-bookmarkingsite Delicious. Maar een beveiligde verbinding is nog wel het meest essentieel voor haar e-mailservice Yahoo-Mail. Het versleutelen van de verbinding met gebruikers is een simpele noodzaak voor de beveiliging van e-mail. Yahoo’s directe concurrenten op de e-mailmarkt, Microsoft en Google, hebben al jaren de HTTPS beveiligingsstandaard geïmplementeerd om hun gebruikers te beschermen tegen hacking en spionage. Yahoo-Mail is de enige grote web-based e-mailservice waar gebruikers standaard met een onveilige verbinding worden opgescheept.
De meeste gebruikers hebben geen idee van de risico’s van het onderscheppen van gegevens bij het gebruik van (openbare) draadloze netwerken. In een tijd waar het enorm makkelijk is om mee te luisteren op draadloze netwerken in de trein of café, is het essentieel dat Yahoo zo snel mogelijk standaard de verbinding met haar gebruikers beveiligd. Niet alleen voor de veiligheid van haar gebruikers, maar ook voor het vertrouwen in de veiligheid van online-diensten.
De afgelopen jaren is Yahoo door beveiligingsexperts herhaaldelijk op de risico’s van een onversleutelde verbinding gewezen. Maar met het advies om HTTPS-verbindingen te gebruiken heeft Yahoo nog niets gedaan. Yahoo brengt hierdoor haar gebruikers in gevaar. In Nederland is Yahoo-Mail geen grote speler op de e-mailmarkt, maar de dienst is dat wel in veel onderdrukte landen. Er zijn regelmatig meldingen van politieke activisten en overheidscritici die kopieën van hun eigen e-mailberichten onder ogen krijgen bij verhoren als bewijs. Het is van groot belang dat Yahoo bijna vanzelfsprekende maatregelen neemt om de privacy van haar gebruikers te beschermen. Daarom hebben wij een brief van de EFF ondertekend om Yahoo ertoe te bewegen HTTPS in te stellen voor al haar diensten.
N.B. Gebruik de browser-plugin HTTPS Everywhere om jouw internetverbindingen zoveel mogelijk te versleutelen en veiliger gebruik te maken van websites.
Patrick
Maak je er toch niet zo druk om. Yahoo wordt in Nederland bijna niet gebruikt. Iedereen heeft Gmail, Hotmail of de e-mail van z’n provider.
Rens
Korte opmerking: yahoo search bestaat al een tijdje niet meer. De resultaten worden in samenwerking met (als ik me niet vergis) Bing opgesteld.
Niels Westerlaken
Je hebt gelijk. Scherp!
HiddenKnowledge
Dat betekent toch niet dat we mensen niet moeten waarschuwen of dat het niet veranderd moet worden.
En ik weet dat in andere landen Yahoo toch nog best veel word gebruikt.
En als jij dus een email stuurt naar iemand met Yahoo kan die dus onderschept worden omdat de verbinding niet beveiligd is.
Axel A.
Facebook, toch aardig veel gebruikt over de hele wereld, en waar gebruikers aardig veel gevoelige info op zetten/delen, begint pas vanaf deze week met standaard HTTPS: http://techcrunch.com/2012/11/18/facebook-https/
We hebben niet veel beters, maar belangrijk is om te realiseren dat HTTPS ook zo lek is als een Windows besturingssysteem. De veronderstelde cybersecurity die van HTTPS uitgaat, is in sommige gevallen zelfs gevaarlijker dan helemaal geen beveiliging (zie Iraanse activisten en Diginotar).
Daarom lijkt het me als conceptueel idee interessant, om al het internetverkeer open te gooien. Alles wat je doet online, standaard zichtbaar voor iedereen die er maar van wil afweten. Veel internet security experts hanteren sowieso al die basishouding.
Effectueert alleen een volledig transparante internetwereld betekenisvolle cybersecurity?