拉斯维加斯-六个月前,亚历克斯·斯塔莫斯(Alex Stamos)加入雅虎,担任新的首席信息安全官(CISO)。Stamos不仅试图维持现状,还制定了一些积极的计划来提高Yahoo及其数百万用户的安全性,他在8月7日举行的Black Hat USA会议上与仅站在会议室的听众分享了这一信息。他的计划是努力为Yahoo Mail用户提供端到端加密。
在某些方面,提供端到端加密的目标可以看作是后斯诺登时代的一种反应,尽管Stamos称该举措是为了帮助使用户更容易获得安全性。
Stamos拒绝了某些安全和IT专业人员持有的想法,即用户有愚蠢的想法,并且有机会这样做会弄乱事情。他说:“如果普通人不能使用该系统,那我们就失败了。” “是的,的确,普通用户可以将他们的密码键入任何内容,但这仅意味着我们必须摆脱密码。”
Stamos说,安全专业人员需要代表常规用户做出决策,并成为“安全家长”,并补充说,高级用户仍然可以进行自定义和选择。
加密电子邮件长期以来一直是高级用户的领域,因为该技术使用的工具通常很复杂,通常不容易与基于Web的电子邮件系统(例如Yahoo Mail)集成。Stamos认为Yahoo Mail中需要对所有用户可用的简单电子邮件加密。
为此,他宣布,刚刚聘用的安全专家Yan Zhu将帮助建立Yahoo Mail的加密功能。Zhu一直在电子前沿基金会(EFF)担任技术人员,并且是HTTPS Everywhere和Privacy Badger浏览器插件的维护者。
该计划是在一个系统中为所有Yahoo Mail用户提供完整的端到端加密,该系统还将与Google的Gmail服务无缝协作,以便Yahoo用户将能够安全地将加密的电子邮件发送给Gmail用户,反之亦然。反之亦然。
Stamos说,雅虎计划在2015年推出该技术,并且还将有一个插件以开源的形式提供。
在Stamos会议之后的问答期间,一位听众询问了计划中的端到端加密将如何影响Yahoo通过邮件用户获利的能力。当前,Yahoo Mail和Gmail都向依赖电子邮件内容的用户提供电子邮件广告,以提供适当的上下文。如果电子邮件已完全加密,则电子邮件提供者将无法执行任何级别的邮件扫描,从而使显示相关广告更加困难。
Stamos说,尽管雅虎将无法扫描加密的电子邮件来发送相关的广告,但是这些类型的消息可能与广告商无关。
他说:“我们预计加密邮件的工作绝对不会对收入产生影响。” “事实是,针对电子邮件的定向类型不适用于个人对个人电子邮件。”
Stamos说,电子邮件定位对于企业对消费者的关系非常有效,例如,当酒店向用户发送确认邮件时。在这种情况下,Webmail系统可以根据可能对用户有吸引力的位置来定位广告。
Stamos说:“我认为Webmail公司仍然可以赚钱不会有任何问题。”
