Блог Яндекса Голосов: 7 Адрес блога: http://company.yandex.ru/blog/ Добавлен: 2007-12-13 21:24:18 блограйдером Luber

Почему браузеры нужно обновлять

2015-05-25 18:55:14 (читать в оригинале)

Почта и другие сервисы Яндекса, имеющие дело с персональными данными пользователей, работают только по протоколу HTTPS, который обеспечивает шифрование данных в интернете. Благодаря этому никто не может прочитать ваши письма или перехватить пароль, когда они передаются от вашего компьютера на серверы Яндекса — даже в том случае, если вы пользуетесь незащищённым соединением, например открытыми сетями Wi-Fi.

Однако прогресс не стоит на месте, и вместе с новыми технологиями защиты появляются и новые уязвимости безопасности, и новые атаки.

Недавно исследователи из Мичиганского университета и их коллеги сообщили о новой уязвимости под названием Logjam. Она связана с тем, что с 70-х до 2000-х годов в США действовал запрет на экспорт стойких криптографических алгоритмов. В результате программы, которые распространялись за пределами США, несли в себе ослабленную криптографию, уязвимую к различным атакам. Эти алгоритмы обозначались суффиксом EXPORT. Среди них был алгоритм Диффи-Хеллмана, который применяется для выработки ключей шифрования при установке защищённого соединения. Уязвимость касается экспортного варианта алгоритма, который использует достаточно слабые параметры и может быть взломан злоумышленниками.

Яндекс никогда не использовал экспортный вариант алгоритма Диффи-Хеллмана, поэтому данные на наших серверах защищены. Пользователям Яндекс.Браузера также не о чем беспокоиться: в нём применяются современные криптографические алгоритмы, в том числе для хранения и синхронизации пользовательских данных.

Тем не менее, существует много браузеров, которые по историческим причинам всё ещё используют старые алгоритмы:

• Firefox до 27 версии,
• Opera до 14 версии,
• Google Chrome до 22 версии,
• Internet Explorer 6, 7 и 8 на Windows XP.

При использовании этих браузеров ваши данные могут оказаться под угрозой, если вы подключитесь к уязвимым сайтам даже по безопасному протоколу HTTPS. Помимо ослабленной криптографии, браузеры устаревших версий могут содержать и другие уязвимости. Если вы нашли свой браузер в этом списке, обновите его. Это можно сделать через встроенную систему обновлений или здесь. Узнать версию браузера можно в настройках.

Мы регулярно обновляем системы безопасности на серверах Яндекса — скажем, уже перешли на более современный, стойкий и быстрый вариант алгоритма Диффи-Хеллмана с использованием так называемых эллиптических кривых. Но, чтобы быть защищёнными от современных угроз, пользователям необходимо обновлять и браузер — ведь новые методы защиты не могут работать на старом софте.