Facebook為雅虎賬戶開發額外安全保護
責編:admin |2014-11-03 16:23:05雅虎于2013年6月決定重新啟用那些12個月以上未被使用的雅虎帳號。這個做法激起了公眾的強烈質疑,人們擔心此舉會造成安全隱患和隱私泄露問題。因為如果這些“復活”的雅虎郵箱賬戶曾綁定了第三方網站,郵箱新主人只需重置密碼即可登錄這些第三方網站,這樣一來第三方網站上的用戶信息(原郵箱主人)就很容易被心懷不軌者盜取。
在那些使用雅虎郵箱綁定的第三方網站中,Facebook第一個站出來表示:像雅虎這種做法我們需要做出額外的安保措施。
Facebook的防護方案
針對這次事件,Facebook工程師與雅虎合作開發了一個SMTP擴展,并命名為RRVS(Require-Recipient-Valid-Since)。當Facebook最新一次確認過發來郵件的雅虎郵箱是誰在使用時,它會在郵件的頂部插入相應的時間戳作為標記(用于辨識雅虎郵箱的當前主人的身份)。
Facebook軟件工程師Murray Kucherawy表示:
“如果在我們確認該郵箱賬戶已被易手,那么發給該郵箱的消息會直接丟掉,以防止私密信息傳到錯誤的人手中。”
Facebook表示:他們最關心的是,如何保護那些雅虎郵箱賬戶綁定的第三方帳號的安全。使用了RRVS擴展后,就可以阻止系統把郵箱原主人的敏感訊息(如重置密碼的確認郵件)發給郵箱新主人。
根據草案中描述的技術方案,FreeBuf做了如下整理:
接收郵件的系統可以對此次發郵件的時間點進行校驗。每次收到郵件時,Facebook設計的SMTP擴展會仔細確認發件人身份,如果是原主人才會在郵件頭打上相應的時間戳。因此,如果接收系統檢驗到發郵件的時間晚于最新的時間戳,那就說明當前郵箱主人有可能不是原主人。一旦出現這種情況,接收系統就會阻止此次郵件的發送,并告知此次郵件的發送方。
業界良心
這不是Facebook第一次出手保護自己的用戶信息。五月份,Facebook向郵件商發出請求,要求他們啟用對STARTTLS(某純文本通信協議的擴展)的支持。到了八月份,Facebook對95%的外傳郵件使用PFS(Perfect Forward Secrecy)進行了加密。
就在上周,由于數據泄露事件,Facebook發布了一款新的工具,它可以在如Pastebin、Github以及那些黑客論壇上自動篩選出Facebook失竊賬戶的憑據。如果Facebook能由此找回用戶賬號憑證的話,它會在第一時間內告知原用戶。
緊接著是另一條新聞,Facebook會在年底為在其廣告代碼中發現漏洞的人支付雙倍獎金。