Google search με HTTPS, για εσένα που ανησυχείς για την ασφάλεια

by Stefanos Kofopoulos • On 20-10-2011 • AT 2:00 pm • 11 ΣΧΟΛΙΑ
Τεχνολογία

Google search με HTTPS, για εσένα που ανησυχείς για την ασφάλεια

Το Google κάνει ακόμα ένα μεγάλο βήμα στην ασφάλεια του internet. HTTPS για όλους και ασφάλεια για όλους. Τέρμα πια η παρακολούθηση των αναζητήσεων από τον χάκερ δεκαπεντάχρονο γείτονα, το σχολείο, την δουλειά αλλά και την κυβέρνηση. Τα πάντα μεταξύ χρηστών και του εκάστοτε Google server που έχει αναλάβει την εξυπηρέτηση είναι πλέον κρυπτογραφημένα και δεν μπορεί να τα δει κανείς άλλος εκτός από τον υπολογιστή σου και τον server. Μπορείς πλέον με ασφάλεια να ψάξεις οτιδήποτε σε απασχολεί χωρίς να ντρέπεσαι κάθε φορά που συναντιέσαι στον διάδρομο με τον IT manager της εταιρίας. Facebook, Twitter και Google έχουν κάνει την μετάβαση, για ένα ασφαλέστερο διαδίκτυο φυσικά.

 

Ενημέρωση: Το άρθρο αυτό αρχικά δημοσιεύθηκε από διαφορετικό συντάκτη.
Τροποποιήθηκε, βελτιώθηκε και επαναδημοσιεύθηκε από τον Titanas

CareerNet.gr: Βρείτε τώρα τη δουλειά που σας ταιριάζει!

11 ΣΧΟΛΙΑ

  1. Ο IT manager μπορεί πάντα να εφαρμόσει man in the middle attacks ή πολύ απλά να παρακολουθεί τα desktops των υπαλλήλων (σε παλιά εταιρία που δούλευα είχαν παντού VNC).

    • Εφαρμόζει MITM attack και τι καταφέρνει; Παίρνει έναν κουβά κρυπτογραφημένα δεδομένα.

      • Το αντίθετο, παίρνει κανονικότατα ακρυπτογράφητα (ή καλύτερα, άμεσα αποκρυπτογραφήσιμα) δεδομένα τα οποία τα κρυπτογραφεί και αποκρυπτογραφεί με τα δικά του κλειδιά και με τα keys Google και χρήστη. Δες το λίγο καλύτερα. Ο μόνος τρόπος να φανεί μια τέτοια επίθεση στον χρήστη είναι αν ελέγξει το πιστοποιητικό του “απέναντι”.
        Σε γενικές γραμμές γίνεται με μια τέτοια επίθεση να δεις τα δεδομένα που ανταλλάζει ένας χρήστης μέσω SSL.

        Βέβαια ένας IT manager μπορεί πολύ απλά να κόψει οτιδήποτε φεύγει προς τη 443 και 8443 ή να ορίσει υποχρεωτικό proxy για την πρόσβαση στο δίκτυο… γενικά λύσεις υπάρχουν που δε χρειάζονται black hat μεθόδους.

      • Είσαι σίγουρος ότι ξέρεις πώς δουλεύει η ασύμμετρη κρυπτογραφία;

      • Είμαι αρκετά σίγουρος γι’ αυτό που λέω, μήπως εσύ έχεις μπερδευτεί με κάτι; Σε μια τέτοιου είδους επίθεση (που δεν είναι και η ιδανική λύση για παρακολούθηση υπαλλήλων) η κρυπτογράφηση δεν είναι ίδια end-to-end, στη μέση αλλάζει από αυτόν που κάνει την επίθεση με τα δικά του κλειδιά και κατά τη διαδικασία αυτή ο επιτιθέμενος έχει ακρυπτογράφητα τα δεδομένα, αν έχεις μελετήσει λίγο το πώς δουλεύει το SSL θα το καταλάβεις πιστεύω. Είναι δύσκολο να το εξηγήσω σε ένα σχόλιο, ειδικά αν δε γνωρίζω το υπόβαθρο του αναγνώστη.

        Για να σε διαφωτίσω σου προτείνω να διαβάσεις αυτό ή αν έχεις πρόσβαση σε ηλεκτρονικούς εκδότες εκεί θα βρεις καλύτερα άρθρα.

      • Μα γι’αυτό τo SSL κάνει authenticate τον server ΠΡΙΝ ξεκινήσει την ανταλλαγή δεδομένων. Και γι’αυτό σε περίπτωση MITM ο browser θα σε προειδόποιήσει ότι το πιστοποιητικό του server είναι untrusted ή ότι δεν αντιστοιχεί στο domain που πήγες να συνδεθείς.

        Το άρθρο του 2002 που παραθέτεις βασίζεται είτε στη βλάκεία του χρήστη αν αγνοήσει τις προειδοποιήσεις (όπως λέει και ο ίδιος “Sure, one can fool the naive user, but if the
        user is savvy, then the attacker stands a good risk of being exposed”), είτε σε κακή υλοποίηση του client όπως τότε του ΙΕ (ποιός ξέρει ποιάς έκδοσης) η οποία φυσικά έχει μετά από 9 χρόνια διορθωθεί.

        Με τα παραπάνω φυσικά δεν λέω πως αν σε κυνηγάει η CIA ή ο καλύτερος hacker του κόσμου δεν θα βρει τρόπο να υποκλέψει τα δεδομένα σου ακόμα κι αν συνδεθείς με https, αλλά σε καμία περίπτωση δεν υπάρχει τρόπος “έτσι απλά” με έτοιμα εργαλεία να σπάσει το SSL ο κάθε ΙΤ manager.

  2. Καλόόόόό

  3. To encrypted.google.com πάντως υπάρχει εδώ και ενάμιση χρόνο περίπου.

    • Φυσικά, αλλά εδώ και λίγες μέρες έγινε default για όλους.

      • Σε εμένα πάντως αν πατήσω google.com είναι το απλό google και όχι το https

  4. και μένα είναι σκέτο http που βρίσκω τις επιλογές να το κάνω https?

Top

Show Buttons
Hide Buttons