Domanda:
Google sta esagerando costringendomi a utilizzare TLS?
tylerl
2014-03-26 01:20:27 UTC
view on stackexchange narkive permalink

Gmail è stato recentemente modificato per richiedere HTTPS per tutti, indipendentemente dal fatto che lo vogliano utilizzare o meno. Anche se mi rendo conto che HTTPS è più sicuro, cosa succede se non ci si interessa della sicurezza per determinati account?

Alcuni hanno criticato Google per essere il Male costringendoli a una connessione sicura anche se non vogliono essere protetti. Sostengono che se è solo il loro account, non dovrebbero essere loro gli unici a decidere se proteggersi o meno?

Nota: Questa domanda è stata pubblicata in riferimento all'articolo collegato sopra per fornire una risposta canonica alla domanda che viene posta fuori dal sito (motivo per cui ha ricevuto risposta dalla stessa persona che l'ha posta).

Potresti non voler proteggere te stesso, ma posso scommettere che il 99% delle altre persone vuole essere al sicuro, specialmente quando cose come la NSA sono ancora in circolazione. Voglio dire, non vorrei che uno sconosciuto leggesse le mie conversazioni su Skype: sono private. Ecco perché li abbiamo su Internet e non da qualche parte pubblica. Non vorrei che uno sconosciuto dall'altra parte del mondo leggesse le mie e-mail. Ho spesso molte email sensibili che sono molto personali (non in quel modo!;).
A volte è possibile applicare la sicurezza. HTTPS è un esempio per questo. Sebbene non sia perfetto, è di gran lunga migliore del puro HTTP. Fondamentalmente non costa nulla e rende più difficile la sorveglianza di massa. Si pensava addirittura che HTTP 2.0 fosse solo SSL.
Google sta esagerando costringendoti ad accedere con una password?
È Google mal per costringendo a usare l'HTML? ̶ o un browser? ̶ o, ̶ dire, ̶ Internet? ̶ purtroppo trovo che questa domanda non rende molto ̶s̶e̶n̶s̶e̶.̶.̶. Non ho letto la tua risposta. La domanda non aveva molto senso finché non mi sono reso conto che avresti potuto chiedertelo e poi volevo rispondere, quindi dovevi chiedere prima
Il governo ti sta esagerando perché ti chiede di indossare la cintura di sicurezza durante la guida?
Probabilmente non ti interessa la tua privacy online, ma altre persone lo fanno, anche con TLS google (o qualsiasi terza parte che utilizza SSL / TLS) può accedere al tuo account perché hanno la chiave utilizzata per la crittografia.
Affinché questo sia "malvagio", dovresti sostenere che causa qualche tipo di danno.
@JeffGohlke: Ma qualcuno deve raccogliere le parti del corpo, così posso capire quella decisione. E quella persona non ha fatto niente di male, è il suo lavoro.
Voglio l'opzione per saltare dall'aereo esp. quando ho un paracadute e so che sto per atterrare a terra.
@Shiki Questo è un argomento un po 'specioso. Posso usare la tua logica per vietare qualsiasi comportamento umano. Ognuno ha diritto e potere sulla propria vita. Indipendentemente da ciò, l'esempio originale in realtà non è pertinente alla domanda in questione. Un governo si trova in una posizione diversa rispetto a un'azienda, e in realtà pago le strade e gli agenti di polizia pagando le tasse, mentre un utente di Google riceve un servizio gratuito e quindi deve "votare" in base ai servizi che decide di utilizzare. Se odi che Google ti faccia utilizzare TLS, usa Yahoo! o qualche altro servizio. È così che funzionano gli affari.
Personalmente, accolgo con favore questo cambiamento. Sono rimasto piacevolmente sorpreso quando la ricerca (ovvero "https: // www.google.com /") è stata caricata tramite TLS su un Chromebook connesso a una rete che utilizzava il sottodominio "nossl". Francamente, se ogni sito web improvvisamente iniziasse a forzare TLS (_good_ TLS; 1.1 o superiore e [con segretezza in avanti] (https://security.stackexchange.com/a/54233/42192)), sarei molto più felice. \ * borbotta qualcosa sul fatto che nessun browser tradizionale abbia una funzione force-TLS incorporata \ *
Non ottengo questa domanda ... Perché qualcuno dovrebbe obiettare contro una migliore sicurezza?
Sì, Google è malvagio costringendoti a utilizzare un protocollo basato su transazioni come http e, per estensione, https, per un'applicazione basata su sessioni come il loro servizio di posta elettronica. Qualsiasi servizio basato sulla sessione dovrebbe utilizzare una connessione persistente anziché http; Google dovrebbe fornire chiaramente il proprio servizio di posta elettronica tramite TLS diretto anziché https.
In che modo questa domanda è diversa da, diciamo, * Slashdot mi costringe a usare TCP / IP e HTTP per parlare con loro. Oppure questo terminale WYSE con schermatura color ambra mi costringe a utilizzare un cavo RS-232 per collegarmi al computer. Oppure questo lavoratore di fast food insiste per prendere ordini solo in inglese. * (Non sono sarcastico; qualcuno me lo fa notare. È perché coinvolge un meccanismo di sicurezza?)
Quando disattivi le ragionevoli misure di sicurezza, assicurati di renderlo molto chiaro a tutti i tuoi contatti: "Mi oppongo alla protezione dei tuoi dati. Fai attenzione se mi invii messaggi con informazioni personali. Non solo Google avrà pieno accesso a quei dati, ma anche qualsiasi persona che ascolti la mia interazione in chiaro con i server di Google ". Non sono solo i * tuoi * dati, amico!
Sono sorpreso dei commenti sulla presunta privacy online quando in realtà Google non solo sta attivamente abusando delle tue e-mail, ma le inoltra attivamente anche alle agenzie statunitensi (che non è colpa loro, hanno poca scelta). TLS può impedire a quel ragazzino di 14 anni di Kiev di leggere la tua posta, ma le persone di cui dovresti preoccuparti, quelle davvero viziose, stanno ricevendo tutto comunque. La privacy online è un'illusione.
@Damon Questo è davvero un ottimo punto. Sono sorpreso che non sia ancora stato sollevato in tutta questa discussione. Immagino che l '"illusione della privacy" funzioni davvero.
C'è un argomento contro "https". L'handshake è notevolmente più lento su reti lontane dagli Stati Uniti e su computer con specifiche basse. Questo potrebbe essere uno dei motivi per cui StackExchange ha mantenuto le proprie pagine sul nippier http.
@joeytwiddle SE si sta muovendo verso https ovunque. Hanno funzionato in molte aree ma è ancora in corso. Il problema più grande è che una pagina https richiede che tutte le risorse (comprese le terze parti) vengano consegnate anche tramite https. Questo può essere problematico con immagini inline e simili.
{Tinfoil Hat on}: Google ha utilizzato He * rtbl ** d per ottenere alcuni dati dai browser degli utenti. {Tinfoil Hat off}, non ho idea del motivo per cui lo farebbero visto che hanno già catturato tutti i tal dei tali senza trucchi extra.
Dodici risposte:
tylerl
2014-03-26 01:35:00 UTC
view on stackexchange narkive permalink

Non si tratta solo di te . Costringendo gli utenti a utilizzare TLS, creano un ambiente più sicuro per tutti.”

Senza TLS rigorosamente applicata, gli utenti sono suscettibili ad attacchi come sslstrip. In sostanza, rendere le connessioni non crittografate una opzione porta alla possibilità che gli aggressori costringano gli utenti a connessioni non crittografate .

Ma non è così tutti. La richiesta di TLS è il primo passo verso l'applicazione dell ' HSTS nel dominio google.com. Google fa già imposizione opportunistica dell'HSTS, vale a dire che non richiedono TLS, ma limita i certificati che possono essere utilizzati su Google.com (nb: questa tecnica è ora chiamato HPKP) . Si tratta di un miglioramento, ma in definitiva non è una soluzione.

Per l'applicazione completa dell'HSTS, devono garantire che la richiesta di TLS su tutti i servizi Google all'interno del dominio non interrompa le soluzioni necessariamente di terze parti. Una volta che l'applicazione è attivata, non può essere disattivata facilmente. Quindi, spostando i servizi uno per uno verso l'applicazione rigorosa di TLS, stanno aprendo la strada per rendere l'applicazione dell'HSTS in tutto il dominio una realtà.

Una volta che questa applicazione è in atto, i browser si rifiuteranno semplicemente di connettersi a Google tramite una connessione non sicura o compromessa. Inviando questa impostazione nel browser stesso, l'elusione diventerà effettivamente impossibile.

Dichiarazione di non responsabilità: lavoro per Google ora ma non lavoravo per Google quando ho scritto Questo. Questa è la mia opinione, non quella di Google (come dovrebbe essere immediatamente chiaro a chiunque abbia una conoscenza di base della cronologia).

* Non riguarda solo te. * Non dovrebbe essere questo * Non riguarda solo me. *
@VarunAgw analizza meglio in questo modo. Una conversazione tra due persone diverse è mentalmente più facile da seguire rispetto a un monologo confuso.
Questo è simile a come essere immunizzati da una malattia aiuta tutti (non essendo più in grado di contrarre la malattia da te), non solo te stesso.
Uno dei motivi citati per l'utilizzo di connessioni non crittografate in detto articolo è la prestazione. Potresti migliorare la tua risposta menzionando che è probabile che i servizi Google e il browser Chrome utilizzino SPDY, che per costruzione evita molti degli svantaggi delle prestazioni che HTTPS ha. Ci sarà solo un canale crittografato che viene multiplexato su tutte le connessioni, quindi tutto il sovraccarico di negoziazione e l'avvio lento del TCP saranno spariti.
Ho una domanda sull'aspetto tecnico della tua risposta. In che modo questo impedisce tecniche come sslstrip? Come uomo nel mezzo, non puoi ancora connetterti a Google tramite TLS, ma agire come un server HTTP senza SSL per servire Google in una forma non crittografata? Forse dovresti eliminare anche un po 'di Javascript che controlla TLS sul lato client. Non vedo come potresti prevenire quel tipo di attacco, se il browser stesso non ha una regola incorporata come "non visitare mai google.com senza TLS" Ma finché HSTS non è supportato, ciò non accadrà
Non solo gli utenti sono protetti, ma Google è protetto dall'utilizzo come strumento per scopi dannosi. Cioè se Google consentisse connessioni non protette e di conseguenza gli account venissero compromessi, tali account potrebbero essere utilizzati per avviare campagne e-mail di phishing, distribuzione di malware o altre truffe da tali account Gmail. Si potrebbe discutere se Google fosse "malvagio" / responsabile per aver consentito alla sua base di utenti di gestire gli account in modo insicuro che consentiva a tali eventi di verificarsi.
+1 per [HSTS] (https://www.owasp.org/index.php/HTTP_Strict_Transport_Security)
Questa è una risposta così pacchiana.Se qualcuno ha il controllo della tua attività a monte, può fare quello che vuole.O il tuo browser accetta tutto o ti dà un messaggio di errore.Nel caso di Google, supportano ancora HTTP per Ricerca Google, BTW.
Tom Leek
2014-03-26 01:54:40 UTC
view on stackexchange narkive permalink

Permettimi di riformulare la tua domanda con alcuni dettagli extra, che sono impliciti ma forse non ovvi per tutti:

"Google non è malvagio fornendomi un servizio di posta elettronica gratuito e gigabyte di spazio di archiviazione e costringendomi a una connessione sicura quando accedo a quel servizio che mi hanno generosamente concesso e che nessuno mi obbliga a usare anche se non voglio essere sicuro ? Se è solo il mio account sui loro server e mi viene dato gratuitamente, in base solo ai termini di utilizzo che ho accettato , non dovrei essere l'unico a decidere cosa dovrebbe accadere ai LORO server e se proteggermi o meno con una tecnologia i cui costi sono interamente sul lato server e senza alcun reale svantaggio per me ? "

Davvero, il coraggio che hanno con Google!

Commento: le reazioni contro Google a questo riguardo sembrano riflessi istintivi: automatici, mirati in modo imperfetto e non coinvolgendo qualsiasi cervello a tutto.

**IL MALE**. Questo è ciò che dey ar. Dandomi roba gratis e assicurandomi di stare al sicuro. Questo è l'affare del diavolo, cioè.
Che il servizio sia gratuito o meno (e se ci pensi, Gmail non è gratuito - la transazione semplicemente non coinvolge $ s) non ha nulla a che fare con la domanda. La domanda è semplicemente se è positivo o negativo che HTTPS sia richiesto e non lasciato alla scelta degli utenti. Libero o no non c'entra niente. La domanda sembra perfettamente valida (senza il riferimento al "male", sebbene il "male" sia fondato su un riferimento non così sottile a Google non è cattivo e consente agli utenti di avere il controllo sui propri dati).
@LB2: ciò che conta è che ci sia una transazione: utilizzi Gmail in base a termini di utilizzo concordati. La mancanza di scambio di denaro significa che l'utente non ha la leva per dettare le proprie condizioni. Il tono di fondo è che le persone spesso dimenticano che Google non è un servizio pubblico che hanno _ il titolo_ di utilizzare, alle loro condizioni.
@TomLeek Sono d'accordo con te! È una transazione; è esattamente l'opposto quando rispondi "_fornendomi un servizio di posta elettronica gratuito_". È una transazione e significa che l'utente rinuncia a _qualcosa_ in cambio di qualcosa. Pagare $ 0 contro $ 1 fornisce in modo equivalente la stessa quantità di leva finanziaria o di capacità da utilizzare sui "_il loro termini_", e la mia tesi è che è _contestualmente_ irrilevante. Nonostante le osservazioni diaboliche, ho letto il post di OP come "perché Google non consentirebbe l'accesso http e lascerebbe la sicurezza dell'utente alla sua discrezione?" (a cui la mia risposta è la necessità di mantenere tutti al sicuro, ed è una buona cosa).
Google non è gratuito? Si prega di modificare. Pago Google come la maggior parte dei servizi online venendo bombardato da aggiunte. Alcuni servizi consentono una versione a pagamento senza aggiunte, inclusa la licenza di Google tramite licenze aziendali.
@DeanMeehan Si paga per visualizzare gli annunci?
-1
"Se non stai pagando per il servizio, sei il prodotto"
Bella risposta: adoro l'ironia!
-1
@DeanMeehan Avere annunci sui servizi che utilizzi non ti costa nulla, quindi non stai pagando. Gli annunci di YouTube prima dei video, che ti fanno perdere tempo, sono l'eccezione.
@Brian Costa anche "tempo" alla ricerca di aggiunte basate su una pagina web. l'unica differenza tra l'aggiunta di un sito Web e l'aggiunta di video è che l'aggiunta di un sito Web contiene 1 frame che richiede meno tempo per trasmettere il messaggio. Quel mezzo secondo del mio tempo mi costa tempo, costa i soldi dell'inserzionista e fa guadagnare al webmaster
Google è cattivo, anche se non a causa di questa politica in particolare. Sono malvagi a causa dell'abominio che hanno creato chiamato "Android".
HTTPS non è tutto lato server: se fosse tutto lato server non saresti in grado di completare la connessione sicura al tuo computer. Tutti i protocolli HTTPS richiedono calcoli crittografici sulla macchina dell'utente finale. Anche con SPDY è ancora necessario eseguire la crittografia sui dati protetti, anche se senza sovraccarico.
Ora so cosa mi ha ricordato la serie "malvagia" della Compagnia Nera di The Long Earth ...
Brian
2014-03-26 01:27:37 UTC
view on stackexchange narkive permalink

Se Google desidera che il contenuto dei suoi server venga trasferito in modo sicuro, ciò è interamente a sua discrezione, anche se quel contenuto è la tua casella di posta elettronica.

Ivaylo Slavov
2014-03-26 13:17:07 UTC
view on stackexchange narkive permalink

In effetti, no, Google non è male con questo, per niente.

La prima cosa importante è che l'uso della connessione sicura non è una preferenza dell'utente o un'impostazione personalizzata . Alcune persone potrebbero trovare questo aspetto confuso perché hanno familiarità con un sistema solo dalla posizione di un utente finale . Essendo io stesso uno sviluppatore di software, posso dirti che la sicurezza viene eseguita a livello di applicazione e interessa tutti gli utenti del sistema. Non è possibile imporre tecnicamente la sicurezza dell'autenticazione basata sulla scelta dell'utente senza compromettere la sicurezza dell'intero sistema e di tutti gli altri utenti, la maggior parte dei quali potrebbe fare affidamento sulla protezione dei propri dati da parte del sistema. Tuttavia, se possibile, mi piacerebbe sicuramente sapere come.

La scelta logica per Google, come fornitore di servizi pubblici, è creare un ambiente sicuro per tutti i suoi utenti. Non è solo per motivi di sicurezza per gli utenti, ma anche per l'azienda. Immagina, se qualcuno diventa vittima di una violazione della sicurezza e spara una causa contro Google e dimostra che sono loro i responsabili? Questo potrebbe essere il caso se non adottassero le misure standard per proteggere i dati degli utenti e potrebbero dover affrontare un'intera comunità di utenti arrabbiati in tribunale. Il mancato utilizzo di HTTPS è un esempio per una cosa del genere: chiunque può intercettare la tua richiesta web e vedere le informazioni come testo normale. I dati degli utenti di Google sono sensibili. Sembra un semplice indirizzo email e una password, ma questi due elementi costituiscono una chiave per tutti i tuoi contatti, la corrispondenza e i servizi Google personalizzati.

Inoltre, Google è un provider OpenID, il che significa che la stessa password utente (quella dell'account Google) può essere utilizzata per autenticarsi a sistemi esterni (come il siti nella rete StackExchange, incluso questo, YouTube, Disqus, Picasa e molti altri sistemi popolari). È difficile per me immaginare che si preferisca che la sua "chiave" per tanti account e servizi non sia protetta.

In generale, questa è una misura dei requisiti tecnici, piuttosto che l'applicazione delle preferenze dell'utente . Personalmente, non mi fiderei mai di un sistema che non applica le condizioni minime di sicurezza come la connessione sicura e l'autenticazione, quando si tratta di e-mail, pagamenti online e altri servizi che lavorano con i miei dati privati ​​.

Craig
2014-03-27 03:43:35 UTC
view on stackexchange narkive permalink

Male per averti costretto a usare una connessione sicura?

No, non penso sia male. Protegge la comunità in generale senza alcun aspetto negativo per te come individuo.

Penso che sia l'unico male se ti costringono a utilizzare SSL / TLS, quindi non riesci a utilizzare la segretezza in avanti, quindi dando a te ea chiunque altro utilizzi il servizio un falso senso di sicurezza.

Senza la segretezza in avanti, la tua sessione può essere archiviata per un periodo di tempo indeterminato, il le chiavi ottenute in seguito (con qualsiasi mezzo; ingegneria sociale, furto, governo) e la sessione di tanto tempo fa decrittografata.

Con segretezza in avanti e chiavi effimere, tale preoccupazione viene seriamente mitigata.

Chi può enumerare gli svantaggi dell'utilizzo di una connessione SSL / TLS? Qualcuno? :-)

Ci possono problemi di prestazioni, ma in realtà solo se il sito web è mal progettato in modo da richiedere molte e molte nuove connessioni per servire i contenuti da una pagina. Questo tipo di progettazione avrà un grave impatto negativo anche su una normale sessione HTTP non sicura.

Il calo delle prestazioni da HTTPS è praticamente tutto nell'handshake della connessione poiché richiede più round trip e un po ' di crittografia asimmetrica ad alta intensità di calcolo per sgranare la chiave di sessione simmetrica sul server e decrittografarla sul client (la crittografia asimmetrica è molto costosa rispetto alla crittografia simmetrica).

Il costo di calcolo della crittografia e decrittografia dell'effettivo i dati di sessione con una crittografia simmetrica dopo lo scambio iniziale della chiave sono trascurabili.

Quanto costa una sessione SSL / TLS forzata? A prima vista, onestamente non credo che ci sia un costo misurabile per te.

Un costo per me è che potrebbe essere una mossa verso l'applicazione di TLS ovunque. Non mi piacciono gli strati inutili.
D'altra parte, molte persone credono che un uso più diffuso di HTTP sicuro sia una buona idea, o in altre parole, SSL / TLS potrebbe essere un livello * necessario *. Ogni volta che un servizio richiede credenziali, queste devono essere protette con SSL / TLS. Se l'autenticazione è sicura, l'intera sessione deve essere protetta (attacchi MIM). Utilizzare SSL / TLS per proteggere l'autenticazione, quindi passare avanti e indietro un token di autenticazione non protetto è un errore, è un bene che Google abbia smesso di farlo. SSL / TLS è già nel tuo browser. Usare un sito sicuro non ti complica la vita. Dovrebbe diventare la norma.
Storicamente i certificati sono costati troppo e sul lato server è richiesta una piccola configurazione, ma con la crescita del mercato il prezzo scenderà. Non mi piace punire le persone che non proteggono i loro server, ma un server non protetto è aperto a tutti i tipi di spoofing e situazioni main-in-the-middle da cui un server protetto protegge naturalmente.
decisamente necessario su molti siti. Google (o chiunque altro) dovrebbe provare a forzarlo su * l'intero Internet *? Quasi certamente no. Google sta cercando di farlo? Non lo so, ma se lo sono, questo è un passo in quella direzione. Ci sono prove che vogliono forzarlo su tutta Internet - vedi Chrome che rifiuta le connessioni HTTP / 2.0 non TLS. Forse sono solo troppo paranoico.
per qualche motivo il sito non accetterà @Craig nel commento precedente, quindi ecco un altro ping.
@immibis Non mi fido necessariamente di tutto ciò che potrebbero fare, ma penso che in larga misura Google (e Microsoft, Yahoo e altri) lo stiano facendo in reazione a cose come la saga di spionaggio della NSA in corso e problemi relativi alle richieste FISA dove sono stati costretti a consegnare molti e molti dati senza essere autorizzati a notificare i proprietari dei dati. Stanno, almeno di nome, spingendo per una maggiore sicurezza e privacy per le masse non lavate. Non penso necessariamente che * Google * stia spingendo per "HTTPS ovunque", ma alcune persone nel governo lo sono sicuramente.
@immibis, sono là fuori per farti amico.
@immibis non è solo Google che sta spingendo affinché l'intera Internet sia su TLS, così è EFF, Mozilla, Microsoft ... molte altre grandi aziende. infatti, l'IETF sta valutando / ha considerato di rendere TLS una parte richiesta delle specifiche HTTP / 2.0. Non ho mai esaminato il risultato di ciò, ma l'ultima volta ho sentito che avrebbero fatto una forte raccomandazione e consigliano di disattivarlo solo in ambienti sicuri (ad esempio intranet aziendali).
inoltre, annuncio del servizio pubblico: TLS non è più costoso dal punto di vista computazionale. e non è stato per molto tempo. https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
@strugee è vero, tuttavia la spesa computazionale non è l'unico fattore rilevante. La latenza di rete è un grosso problema che deve essere preso in considerazione. HTTPS richiede il doppio dei round trip per sessione rispetto a HTTP per stabilire la connessione. Se il tuo tempo di ping è di 50 ms, ci vuole quasi un quarto di secondo per stabilire una connessione HTTPS a causa della sola latenza di andata e ritorno. Ecco perché è così importante riutilizzare le connessioni, combinare script e file css, utilizzare sprite css invece di molte richieste per piccole immagini e così via. Tutti questi metodi velocizzerebbero notevolmente anche le pagine HTTP. Vinci vinci.
ovviamente, HTTP / 2.0, IIRC, può riutilizzare le connessioni TLS / TCP per più richieste HTTP. giusto? quindi la cosa "risorse multiple" non si applica realmente. (Potrei sbagliarmi sul riutilizzo, però. Non sono del tutto sicuro.)
Richieste multiple ti rallenteranno comunque. Peggio ancora, però, è una richiesta piena di richieste ad altri siti (JavaScript di analisi include, chiunque?), Perché ciascuna di * quelle * connessioni richiede una nuova connessione HTTPS. È inconcepibile per le persone non caricare almeno questo tipo di script in modo asincrono.
@strugee Solo un'osservazione, ma quell'articolo afferma che l'hardware "moderno" può eseguire 1.500 handshake al secondo per core, utilizzando chiavi a 1024 bit. Ma le chiavi a 1024 bit non sono solo considerate troppo deboli ora, non puoi nemmeno ottenere certificati SSL / TLS con chiavi così piccole. Tasti più grandi = operazioni asimmetriche più lente. Ciò non invalida il tuo argomento; solo un altro fattore. http://www.networking4all.com/en/ssl+certificates/ssl+news/your+1024-bit+ssl+certificate+will+no+longer+work+after+october+1st+2013/, https: / /www.google.com/#newwindow=1&q=1024%20bit%20vs%202048%20bit%20certificates, ecc.
@Craig non c'è bisogno di convincermi, sono ben consapevole del passaggio alle chiavi a 2048 bit. Non posso certo affermare di essere un esperto; Sto solo sottolineando un lato diverso dell'argomento.
@strugee Lo apprezzo - ti rendi conto che sto sostenendo * a favore * di SSL / TLS, giusto? :-) Tuttavia, i certificati da 2.048 bit richiedono 4 volte più CPU rispetto ai certificati da 1.024 bit. Quindi le 1.500 strette di mano al secondo con chiavi a 1.024 bit scendono a 375 strette di mano al secondo con chiavi a 2.048 bit. Non è niente. Sì, le specifiche HTTP 2.0 consentono di mantenere in vita HTTP, ma ciò non significa che vengano sempre utilizzati, e tutti gli altri argomenti sul consolidamento di CSS e del contenuto di script, sull'utilizzo di sprite CSS e sull'adozione di misure per ridurre al minimo il numero di richieste vera differenza su HTTP, * doppiamente * così per HTTPS.
@Craig sì, me ne rendo conto. ma mi piace un buon dibattito tecnico tanto quanto il ragazzo successivo: D. e sì, ovviamente tutte quelle cose dovrebbero essere fatte. Sono pienamente d'accordo con la minificazione e tutto il resto (a patto che tu possa vedere la fonte, per il copyleftist in me).
@Craig il mio tempo di ping su molti server (stackoverflow.com testato, imgur.com, reddit.com, mit.edu, facebook.com, tvtropes.org, dropbox.com) è dell'ordine di 200-400 ms. ~ 40 ms a google.com, presumibilmente perché utilizza un server geograficamente vicino a me, ma la stragrande maggioranza dei siti non può permettersi di avere server ovunque.
inoltre, a parte il problema della latenza, mi oppongo a TLS ovunque per lo stesso motivo per cui mi oppongo a qualsiasi modifica standard, come Microsoft che vuole che gli sviluppatori passino da GDI a GDI + a WinForms a WPF a HTML5 a Metro (sono sicuro che quella sequenza di tecnologie è sbagliato, ma non è questo il punto).
Le cose di @immibis cambiano, così com'è. Tuttavia, HTTPS non è uno standard diverso da HTTP. È solo una piccola configurazione di trasporto aggiuntiva sul server e non è una modifica * gratuita * e migliora radicalmente la sicurezza. Inoltre, mi attengo alle mie armi sull'intera questione della latenza che ha gravi effetti anche su HTTP. Ho app in esecuzione su HTTPS che sono incredibilmente veloci rispetto ad altre app che ho visto in esecuzione su HTTP. Penso che la questione della latenza sia una falsa pista e una scusa per continuare a tollerare un cattivo design. Sto solo dicendo che * è * un problema da tenere a mente durante la progettazione.
Inoltre, considera l'hardware avanzato. Quando il Web stava appena iniziando a diventare una cosa pubblica, una macchina nuova di zecca * urlante * era un Pentium single-core da 60 o 66 Mhz. La velocità di clock di una tipica CPU del server è almeno 40 volte quella odierna, oltre a progressi radicali nella tecnologia della CPU (super pipeline, funzionalità RISC, ecc.) Che consentono alle CPU di oggi di eseguire molte più istruzioni per ciclo di clock, ** più ** il fatto che le CPU siano tutte multi-core. Intel sta distribuendo 12 CPU Xeon core con hyperthreading (24 thread) e questo aumenterà solo.
Inoltre hai la possibilità di utilizzare GPU massicciamente parallele o ASIC personalizzati nei server per semplificare il lavoro dei calcoli crittografici. Sì, le nuove CPU Xeon sono costose, ma le persone possono ospitare sempre più spesso le proprie app su servizi VPS come AWS o Azure (e molti altri) dove pagano solo per il tempo invece di pagare per il proprio hardware (costoso e rapidamente obsoleto) e pagare per la co-location (anche non economica). Immagina $ 5.000 per 25 mesi di un servizio VPS a $ 200 / mese, o $ 5.000 per un nuovo server robusto, più costi di co-locazione o ISP.
Ora, la sicurezza del servizio cloud è un argomento a parte !! :-)
E se esistesse una classe di record DNS per specificare se TLS deve essere sempre utilizzato su quel dominio?
Bene, c'è * * [HSTS] (https://www.owasp.org/index.php/HTTP_Strict_Transport_Security)
Guest dude
2014-03-26 05:24:28 UTC
view on stackexchange narkive permalink

È triste che la prima reazione delle persone sia difendere Google utilizzando l'errore "NON DEVI usarlo". Per quanto riguarda le transazioni di denaro, non pensi che le tue informazioni personali che vendono agli inserzionisti abbiano un valore di monitoraggio? Google non è gratuito, richiede comunque un pagamento che la maggior parte delle persone non si rende nemmeno conto di effettuare.

Ora, per rispondere alla domanda, non penso che stiano esagerando o "malvagi" per facendo questo. Che cosa succede se cerchi informazioni che potrebbero danneggiare gli altri se trapelate (ad esempio, cercare su Google qualcosa come "come tratto l'herpes di mia figlia"), o se stai inviando un'e-mail a un'altra persona che vuole essere protetta. Dovrebbe dipendere da te se ciò che LORO inviano è crittografato o meno? Potresti non preoccuparti della sicurezza, ma altre persone lo fanno, ed è solo end-to-end se entrambe le estremità applicano effettivamente la sicurezza. Tuttavia, preferirei che Google fornisse un metodo per utilizzare connessioni non TLS se ci sono ancora dispositivi che utilizzano Google ma che sono troppo affamati di memoria / risorse / entropia per stabilire una connessione sicura.

+1 per aver detto che no, le società di software non ti danno servizi gratuiti per la loro natura gentile e il loro cuore gentile. Vogliono realizzare un profitto e tu non devi loro nulla per questo. Sei libero di fare tutte le richieste che ti piacciono, anche se sono assurde come questa, e sono liberi di rifiutare.
Jens Erat
2014-03-28 19:46:49 UTC
view on stackexchange narkive permalink

Google non protegge solo te e i tuoi dati, ma anche se stesso.

La stragrande maggioranza degli utenti di Internet non conosce la sicurezza e non se ne cura. Quando si offre qualsiasi percorso insicuro come riserva, l'utente lo userebbe e se si tratta di un man-in-the-middle che rompe tutto il resto.

Se il tuo account è compromessi, non è solo un problema per te e i tuoi dati, ma anche per Google :

  • I messaggi di spam potrebbero essere inviati utilizzando i loro servizi
  • la credibilità di Google per l'autenticazione (single sign-on) ne risentirà
  • Un utente malintenzionato potrebbe utilizzare in modo improprio i servizi, comportando costi (per Google) per cui potrebbe non essere in grado di ottenere un risarcimento per
  • Il ripristino dell'account richiedono l'interazione manuale, che comporta dei costi

La sicurezza può anche essere una questione di risparmio di denaro.

inoltre, la possibilità di azioni legali, come menzionato in altre risposte.
The Spooniest
2014-03-27 17:50:18 UTC
view on stackexchange narkive permalink

Google ha fatto male a chiederti di utilizzare il protocollo HTTP invece del protocollo Gopher? Non credo che la maggior parte delle persone sosterrebbe che lo fosse. Ma se richiedere l'uso di un protocollo rispetto a un altro non è un male, allora perché dovrebbe essere un male in questo caso particolare: avvolgere SSL attorno a HTTP?

user42884
2014-03-27 22:38:28 UTC
view on stackexchange narkive permalink

Le mani di Google sono legate. Google non lo fa solo per proteggerti. Lo stanno facendo per proteggersi. Non vogliono che altre persone pasticciano con le tue cose perché le stanno portando per te e hanno un sacco di obblighi legali che derivano dall'ospitare cose di altre persone. Sono obbligati a impedire che qualsiasi account venga utilizzato in un modo che crei un problema per gli altri.

Paŭlo Ebermann
2014-03-27 05:27:27 UTC
view on stackexchange narkive permalink

Come dicono altri, normalmente non hai nulla da perdere utilizzando la crittografia invece della non crittografia, anche se pensi di non aver bisogno della crittografia.

Ma se vuoi davvero accedervi non criptato (forse per dimostrare a qualcuno che osserva la tua linea che non stai facendo nulla di male), potresti configurare qualche server HTTP, che si connette a Google tramite HTTPS, e inoltrare tutte le richieste e le risposte (opportunamente adattate).

Dovresti modificare il logo e parte del testo in modo che non sembri che tu stia utilizzando direttamente Google. E dovresti pensare di utilizzare HTTPS almeno per la procedura di accesso.

Questo dovrebbe funzionare per ogni server "malvagio" che supporta solo HTTPS.

Lodewijk
2014-03-27 05:07:38 UTC
view on stackexchange narkive permalink

TL; DR: È migliore, ma non è abbastanza buono.

La possibilità di avere una connessione intercettata rispetto ai costi di questo tipo di sicurezza è ovvia e non richiede ulteriori considerazioni se non "sì, questo è required ".

È fondamentale ricordare che SSL potrebbe non essere perfetto ed è molto improbabile che le implementazioni siano impermeabili. Inoltre, soprattutto in un caso come Google, la tua privacy e il segreto delle lettere non vengono preservati utilizzando SSL.

In effetti l'unico rischio che Google previene sono forme di spionaggio da parte di attori non abbastanza potenti da sovvertire il tuo computer, Google o SSL. Potrebbe anche aumentare lo sforzo per altri attori.

Non impedisce tutti i tipi di SSLStrip, come SSLstrip può fare nella rielaborazione del transito o persino nei reindirizzamenti. Un utente comune non noterà la mancanza di un piccolo blocco SSL. Un po 'di magia in più potrebbe persino riportare un nuovo lucchetto di sicurezza.

Non è chiaro se (costo della connessione intercettata * possibilità di connessione intercettata)> costo di TLS. Ma se a Google non dispiace pagare il costo aggiuntivo (se ce n'è uno), è una loro scelta.
Il motivo è principalmente che TLS è molto economico rispetto a qualsiasi tipo di disastro umano. Forse non è nemmeno SEMPRE vero, ma non è una discussione interessante. Data la scelta, qualcuno sceglierà invariabilmente la modalità "Crea problemi per me".
Non sto dicendo che sia un male, almeno non per questo motivo. Quando moltiplichi un numero enorme e un numero piccolo, è difficile sapere se il risultato è enorme o piccolo. Google sta solo commettendo un errore sul lato della cautela, il che è una buona cosa.
Esattamente! :) ________
Eric G
2014-03-26 01:51:24 UTC
view on stackexchange narkive permalink

Forse dovrebbero offrire un'opzione per disabilitare SSL, se necessario. Forse ci sono alcune limitazioni di crittografia in alcuni paesi o requisiti di rete che impedirebbero agli utenti di accedere al servizio. Vedo un valore commerciale e per gli utenti nel fornire opzioni non sicure, ma le impostazioni predefinite dovrebbero essere sicure.

Tuttavia, Google probabilmente l'ha presa come decisione aziendale e tu sei vincolato dai termini del loro servizio. Google crittografa sempre altre informazioni, come i risultati di ricerca quando sei connesso, in modo che i server di log e le statistiche non possano leggere le parole chiave della tua ricerca. Se non sei soddisfatto del servizio fornito (troppo poca o troppa sicurezza) puoi sempre cambiare fornitore. Nel caso della posta elettronica, è banale utilizzare IMAP per trasferire i dati e importarli altrove.

Non credo nemmeno che da un po 'di tempo sia consentito l'accesso IMAP / POP senza crittografia.

Anche la possibilità di connettersi a HTTP invece che a HTTPS apre la porta ad attacchi man-in-the-middle. Non è una buona opzione per qualsiasi server che fornisce l'accesso a dati critici.
@Craig: si prega di elaborare? C'è un attacco che lascerebbe l'utente a pensare che sta usando una connessione sicura quando non lo è?
@immibis bene, se il sito funzionerà su HTTP o HTTPS, il malware (l'ho visto un certo numero di volte) sul computer stesso potrebbe reindirizzare silenziosamente il browser alla versione HTTP dei siti. Se il server non funziona su HTTP, questo ovviamente non funzionerebbe. Inoltre, SSLSTRIP (e per associazione i suoi parenti MIM) è menzionato almeno una volta in altri post su questa pagina. :-)
@Craig Le persone che hanno davvero a cuore la sicurezza avranno verificato di utilizzare https, sicuramente?
@immibis, senza dubbio hai acquisito una visione del passato su quanto la maggior parte delle persone "normali" siano esperte su queste cose, giusto? :-) Semplicemente non ci pensano, e questo fa parte del problema - il fatto che così tante persone non sanno nemmeno quale sia la fine e ne vengono approfittate senza nemmeno capire cosa sta succedendo loro. Onestamente penso che sia positivo avere alcune protezioni in atto per la gente media ordinaria. Una caratteristica di SSL / TLS su un server web è che il browser web ti abbaia se il certificato non corrisponde al nome di dominio. C'è solo una barra più alta con HTTPS.
E "gente comune ordinaria" non è in alcun modo un peggiorativo. Alcune persone (e con "alcuni" intendo "la maggior parte") si guadagnano da vivere essendo molto competenti in cose * diverse * dall'informatica e dalla tecnologia delle comunicazioni. Per loro, questa roba è un mezzo per un fine, e non dovrebbe intralciarli o causare loro del male essendo pericoloso se non tengono la testa nel modo giusto mentre lo usano.
@Craig Sì, ho capito che accetteranno http://www.google.com.evilhackervirusalert.co.za/ o anche solo http://evilhackervirusalert.co.za/ e quindi non ha senso provare a salvare quelle persone.
@immibis il problema principale con il controllo di HTTPS è che è qualcosa di attivo che devi ricordarti di fare. Mi considero competente nell'utilizzo di Internet e dei computer in modo sicuro, ma nemmeno io controllo regolarmente HTTPS. il difetto nell'attuale pratica di sicurezza è che non c'è modo di sapere quando un sito è legittimamente HTTP e quando vieni forzato su HTTP - e per questo motivo, i browser non possono visualizzare un avviso quando viene utilizzato HTTP. pertanto, gli indicatori di sicurezza sono passivi. se l'intera Internet fosse su TLS, questo non sarebbe un problema.
e nota che quello che ho appena detto non riguardava tanto la sicurezza tecnica quanto l'esperienza dell'utente. è praticamente impossibile ricordarsi di verificare la presenza di un indicatore passivo. un indicatore attivo è facile da individuare; non è nemmeno necessario verificarlo (per definizione).
@strugee cosa faresti per l'HTTPS autofirmato?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...