拉斯维加斯——六个月前,亚历克斯斯塔莫斯加入雅虎,成为新的首席信息安全官(CISO)。Stamos不仅试图维持现状,还制定了一些积极的计划来提高雅虎及其数百万用户的安全性。在8月7日举行的黑帽美国大会上,他仅站在会议室与观众分享了这些信息。他的计划是为雅虎邮件用户提供端到端加密。
在某些方面,提供端到端加密的目标可以被视为对后斯诺登时代的回应,尽管Stamos表示,这一举措是为了帮助用户更容易获得安全性。
Stamos拒绝接受一些安全和IT专业人士所持的观点,即用户有愚蠢的想法,并且有机会这样做,这会把事情搞砸。他说:“如果普通人不能使用这个系统,那么我们就会失败。”“是的,的确,普通用户可以在任何东西上输入密码,但这只是意味着我们必须摆脱密码。”
Stamos表示,安全专业人士需要代表普通用户做出决策,成为“安全家长”,并补充说高级用户仍然可以定制和选择。
加密电子邮件长期以来一直是高级用户的一个领域,因为这项技术中使用的工具通常很复杂,不容易与基于网络的电子邮件系统(如雅虎邮件)集成。Stamos认为,雅虎邮件需要对所有用户都可用的简单电子邮件加密。
为此,他宣布新聘请的安全专家颜柱将帮助建立雅虎邮箱的加密功能。朱一直在电子前沿基金会(EFF)担任技术人员,是HTTPS Everywhere和Privacy Badger浏览器插件的维护者。
该计划是在一个系统中为所有雅虎邮件用户提供完整的端到端加密,该系统将与谷歌的Gmail服务无缝配合,这样雅虎用户将能够安全地向Gmail用户发送加密电子邮件,反之亦然。反之亦然。
Stamos表示,雅虎计划在2015年推出这项技术,还将以开源的形式提供一个插件。
在Stamos会议后的问答环节,一位听众询问,计划中的端到端加密将如何影响雅虎从邮件用户中获利的能力。目前,雅虎邮件和Gmail为依赖电子邮件内容的用户提供电子邮件广告,以提供合适的上下文。如果电子邮件完全加密,电子邮件提供商将无法执行任何级别的邮件扫描,从而使显示相关广告变得更加困难。
Stamos表示,虽然雅虎将无法扫描加密电子邮件发送相关广告,但这些类型的消息可能与广告商无关。
他说:“我们预计加密电子邮件的工作永远不会影响收入。”“事实是,电子邮件的目标类型不适用于个人对个人的电子邮件。”
Stamos表示,电子邮件定位对于企业对消费者的关系非常有效,例如,当酒店向用户发送确认电子邮件时。在这种情况下,网络邮件系统可以根据对用户有吸引力的位置来定位广告。
Stamos说:“我觉得Webmail还是可以赚钱的,没有任何问题。”