Facebook为雅虎账户开发额外安全保护

Facebook为雅虎账户开发额外安全保护

入侵渗透访客2021-10-12 1:14:007323A+A-

  雅虎于2013年6月决定重新启用那些12个月以上未被使用的雅虎帐号。这个做法激起了公众的强烈质疑,人们担心此举会造成安全隐患和隐私泄露问题。因为如果这些“复活”的雅虎邮箱账户曾绑定了第三方网站,邮箱新主人只需重置密码即可登录这些第三方网站,这样一来第三方网站上的用户信息(原邮箱主人)就很容易被心怀不轨者盗取。

  在那些使用雅虎邮箱绑定的第三方网站中,Facebook第一个站出来表示:像雅虎这种做法我们需要做出额外的安保措施。

  Facebook的防护方案

  针对这次事件,Facebook工程师与雅虎合作开发了一个SMTP扩展,并命名为RRVS(Require-Recipient-Valid-Since)。当Facebook最新一次确认过发来邮件的雅虎邮箱是谁在使用时,它会在邮件的顶部插入相应的时间戳作为标记(用于辨识雅虎邮箱的当前主人的身份)。

  Facebook软件工程师Murray Kucherawy表示:

  “如果在我们确认该邮箱账户已被易手,那么发给该邮箱的消息会直接丢掉,以防止私密信息传到错误的人手中。”

  Facebook表示:他们最关心的是,如何保护那些雅虎邮箱账户绑定的第三方帐号的安全。使用了RRVS扩展后,就可以阻止系统把邮箱原主人的敏感讯息(如重置密码的确认邮件)发给邮箱新主人。

  根据草案中描述的技术方案,FreeBuf做了如下整理:

  接收邮件的系统可以对此次发邮件的时间点进行校验。每次收到邮件时,Facebook设计的SMTP扩展会仔细确认发件人身份,如果是原主人才会在邮件头打上相应的时间戳。因此,如果接收系统检验到发邮件的时间晚于最新的时间戳,那就说明当前邮箱主人有可能不是原主人。一旦出现这种情况,接收系统就会阻止此次邮件的发送,并告知此次邮件的发送方。

  业界良心

  这不是Facebook第一次出手保护自己的用户信息。五月份,Facebook向邮件商发出请求,要求他们启用对STARTTLS(某纯文本通信协议的扩展)的支持。到了八月份,Facebook对95%的外传邮件使用PFS(Perfect Forward Secrecy)进行了加密。

  就在上周,由于数据泄露事件,Facebook发布了一款新的工具,它可以在如Pastebin、Github以及那些黑客论坛上自动筛选出Facebook失窃账户的凭据。如果Facebook能由此找回用户账号凭证的话,它会在第一时间内告知原用户。

  紧接着是另一条新闻,Facebook会在年底为在其广告代码中发现漏洞的人支付双倍奖金。

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 莣萳莺时2022-06-03 19:47:45
  • ward Secrecy)进行了加密。  就在上周,由于数据泄露事件,Facebook发布了一款新的工具,它可以在如Pastebin、Github以及那些黑客论坛上自动筛选出Facebook失窃账
  • 萌懂南殷2022-06-03 17:45:55
  • 们确认该邮箱账户已被易手,那么发给该邮箱的消息会直接丢掉,以防止私密信息传到错误的人手中。”  Facebook表示:他们最关心的是,如何保护那些雅虎邮箱账户绑定的第三方帐号的安全。使用了RRVS扩展后,就可以阻止系统把邮箱原主人的敏感讯息(如重置密码的确认邮件)发给邮箱新主人。
  • 双笙颇倔2022-06-04 01:59:31
  • 账户已被易手,那么发给该邮箱的消息会直接丢掉,以防止私密信息传到错误的人手中。”  Facebook表示:他们最关心的是,如何保护那些雅虎邮箱账户绑定的第三方帐号的安全。使用了RRVS扩展后,就可以阻止系统把邮箱原主人的敏感讯息(如重置密码的确认邮件)发给邮箱新主人。  根据草案中描

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理