Domanda:
Qual è la differenza tra https://google.com e https://encrypted.google.com?
BlueBerry - Vignesh4303
2013-03-10 20:03:15 UTC
view on stackexchange narkive permalink

C'è qualche differenza tra la ricerca Google crittografata (su https://encrypted.google.com) e la normale ricerca Google HTTPS (su https://google.com)?

In termini di sicurezza, quali sono stati i vantaggi della navigazione tramite la ricerca Google crittografata?

Tieni presente che questa non è una domanda su HTTP rispetto a HTTPS . Questi sono due servizi Google.

Non esiste una barra di navigazione superiore in crittografia.
@John Whoa. L'ho reso il mio motore di ricerca predefinito ora. Non mi interessano i referrer (li ho comunque disabilitati) ma la barra superiore mancante è una caratteristica killer.
@KonradRudolph L'intestazione del referer http è una delle cose più utili per i webmaster. Se provieni da un sito Web https, non viene inviato comunque, quindi nessun dato viene trapelato. Puoi considerare di abilitarlo di nuovo per il nostro bene.
@Luc Può essere utile ma è anche una grossolana invasione della privacy dell'utente. Un sito web generalmente non ha affari sapere come ci arrivo. Sono d'accordo che è * utile * che il sito web lo sappia, ma solo in rari casi l '* utente * ne trae profitto.
@KonradRudolph Ad esempio, ieri ho guardato i siti di riferimento da un sito web che gestisco e ho trovato alcune cose che non mi aspettavo che le persone cercassero. Conoscendoli (un esempio di ricerca è stato "harbor roermond", in olandese) possiamo ottimizzare il sito web in modo che possiamo essere trovati più facilmente; non siamo stati i migliori mentre alcuni sopra di noi erano linkspam inutili. Io non l'ho mai fatto, ma anche se questo fosse solo per fare soldi, anche in quel caso l'utente potrebbe trarne profitto. Ma questa potrebbe diventare una discussione molto lunga. Sentiti libero di mandarmi un ping nella DMZ o in un'altra stanza se vuoi discuterne;)
@KonradRudolph Il profitto dell'utente è possibile, indirettamente: il `referer` permette di registrare l'origine dei link esterni (da Y a X); a volte questi collegamenti generano un errore 404 in X; se il webmaster di X si preoccupa abbastanza, potrebbe mettersi in contatto con il webmaster di Y in modo che i collegamenti possano essere riparati. Dalla quantità di collegamenti interrotti che vedo, concludo che ciò viene fatto molto raramente. Il modo migliore per gestire i collegamenti interrotti è ovviamente quello di evitarli in primo luogo, con URL stabili.
Ho notato che i risultati della ricerca differiscono su questi domini. Qualcuno ha una spiegazione per questo?
Cinque risposte:
Adi
2013-03-10 20:52:26 UTC
view on stackexchange narkive permalink

Secondo Google, la differenza sta nel gestire le informazioni sui referrer quando si fa clic su un annuncio.

Dopo una nota di AviD e con con l'aiuto di Xander abbiamo condotto alcuni test ed ecco i risultati

1. Facendo clic su un annuncio:

  • https://google.com : Google ti porterà a una pagina di reindirizzamento HTTP dove aggiungerebbero la tua query di ricerca alle informazioni del referrer.

  • https://encrypted.google.com : se l'inserzionista utilizza HTTP, Google non comunicherà all'inserzionista la tua query. Se l'inserzionista utilizza HTTPS, riceverà normalmente le informazioni sul referrer (inclusa la query di ricerca).

2. Facendo clic su un normale risultato di ricerca:

  • https://google.com : se il sito web utilizza HTTP, Google ti porterà a una pagina di reindirizzamento HTTP e non aggiungerà la query di ricerca alle informazioni del referrer. Diranno solo al sito web che vieni da Google. Se utilizza HTTPS, riceverà normalmente le informazioni sul referrer.

  • https://encrypted.google.com : se il sito web su cui fai clic nei risultati utilizza HTTP, non avrà idea di dove ti trovi " proviene da o qual è la tua query di ricerca. Se utilizza HTTPS, riceverà normalmente le informazioni sui referrer.

Lo stesso argomento è stato trattato in un post del blog EFF.

MODIFICA : Google ha eliminato encrypted.google.com il 30 aprile 2018. Secondo Google, questo dominio è stato utilizzato per offrire agli utenti un modo per eseguire ricerche in sicurezza la rete. Ora tutti i prodotti Google e la maggior parte dei browser più recenti, come Chrome, utilizzano automaticamente le connessioni HTTPS.

Un vantaggio di questo: la copia di un collegamento da un risultato di ricerca di Google ti darà un collegamento a una pagina web, non il caos confuso di un collegamento di reindirizzamento.
@EvanTeitelman Il collegamento diventa un reindirizzamento quando clicco su di esso.
@Adnan, Quindi questo è tutto? Voglio dire, hanno creato encrypted.google.com solo per fare quella cosa del referrer?
@EvanTeitelman, No, non funziona, provalo.
@Pacerier In origine, no. Il dominio "criptato" era il luogo in cui Google ha introdotto per la prima volta il supporto SSL. Tuttavia, dopo aver aggiunto il supporto SSL al dominio principale, questa è diventata la differenza.
Inoltre, encrypted.google.com non reindirizza a nessun sito web Google regionale.
@Adi, Qual è il comportamento / aggiornamento ora che Google non è più supportato encrypted.google.com?
Colonel Panic
2013-07-02 22:00:23 UTC
view on stackexchange narkive permalink

Al momento della scrittura (luglio 2013), i due siti hanno preferenze diverse per gli algoritmi di scambio delle chiavi. Per ispezionare in Chrome, fai clic sull'icona del lucchetto e seleziona la scheda "connessione".

Contro Chrome 28, vanilla google.com utilizza ECDHE_RSA, encrypted.google.com utilizza ECDHE_ECDSA. Entrambi gli algoritmi danno la massima segretezza. https://www.imperialviolet.org/2011/11/22/forwardsecret.html

Per i dettagli, confronta le configurazioni utilizzando il test del server SSL Labs

  • https://www.ssllabs.com/ssltest/analyze.html?d=encrypted.google.com
  • https: // www .ssllabs.com / ssltest / analyse.html? d = google.com
  • https://www.ssllabs.com/ssltest/analyze.html?d=www. google.com
    • Questa risposta non è più corretta.Ora entrambi usano ECDHE_ECDSA.Vedi, ad esempio, https://www.ssllabs.com/ssltest/analyze.html?d=google.com&s=74.125.70.113.
    @D.W .: Sei sicuro?Vedo ancora ECDHE_RSA su www.google.com.
    @Mehrdad, www.google.com è diverso da google.com e encrypted.google.com e finisce con differenti ciphersuites.Questa risposta sta parlando di google.com vs encrypted.google.com.Guarda la simulazione della stretta di mano per l'ultima versione di Chrome.Otteniamo: google.com => ECDHE_ECDSA, encrypted.google.com => ECDHE_ECDSA, www.google.com => ECDHE_RSA.
    @D.W .: "google.com" non reindirizza semplicemente a "www.google.com"?Come usi anche il primo senza usare il secondo?
    @Colonel, Quindi, dopo che Google ha chiuso encrypted.google.com, hanno davvero "incorporato" la potente funzionalità SSL nella pagina principale di Google?
    Rob W
    2018-03-18 21:46:21 UTC
    view on stackexchange narkive permalink

    Oggi (marzo 2018), encrypted.google.com è obsoleto e, dal 30 aprile 2018, encrypted.google.com reindirizzerà a www.google.com.

    Dal punto di vista dell'infrastruttura (server, certificati, parametri TLS) non ci sono più differenze significative. Sebbene le richieste siano gestite dagli stessi server (vedi la fine di questa risposta), ci sono ancora alcune differenze tra i due domini:

    • Reindirizzamenti di dominio localizzati
      encrypted.google.com non reindirizza ad altri domini, mentre google.com tenta di reindirizzare a un dominio specifico del Paese ( ccTLD).
      Per evitare questo reindirizzamento, https://google.com/ncr viene spesso proposto. Tuttavia, funziona solo se i cookie sono abilitati. Per evitare che il reindirizzamento avvenga senza richiedere i cookie, aggiungi il parametro gws_rd = cr all'URL.

      (per i punti seguenti, non distinguerò più tra www.google.com e ccTLD)

    • Branding di Ricerca Google
      A differenza di google.com, l'interfaccia utente di encrypted.google.com non mostra collegamenti ad altri prodotti / app Google. Per esempio. confronta l'intestazione su google.com (archiviato) con encrypted.google.com (archiviato). Ciò è probabilmente dovuto al fatto che encrypted.google.com è stato introdotto specificamente per la ricerca crittografata (al giorno d'oggi, il supporto https è un'impostazione predefinita ben consolidata; all'epoca https veniva introdotto come funzionalità opzionale).

    • Perdita dal referrer e tracciamento degli utenti
      In entrambi i casi, il referer HTTP per i normali risultati di ricerca non contiene i termini di ricerca originali in chiaro (sebbene ci siano molti parametri URL oscuri che possono essere potenzialmente utilizzati per tracciare l'utente, il che è ancora più probabile se il sito utilizza servizi Google come Google Analytics).
      Questa parola chiave che nasconde è spesso (a seconda del browser, del dispositivo, delle funzionalità del browser come JavaScript) implementata non collegandosi direttamente alla destinazione finale, ma utilizzando un URL di reindirizzamento intermedio come risultato della ricerca, ad es. [dominio google] / url? q = [URL di destinazione] (gli annunci vengono indirizzati attraverso più URL di reindirizzamento e includono i termini di ricerca originali, indipendentemente dal dominio Google).
      A volte (di nuovo, a seconda sul browser, ecc.) Google utilizza <meta content = "origin" name = "referrer" > per rimuovere il referer HTTP e metodi alternativi per il monitoraggio (ad es. beacon o controllo dei collegamenti ipertestuali).

      (Al momento della scrittura, encrypted.google.com utilizza il primo in Google Chrome e www.google.com utilizza il secondo metodo. Ma questo in realtà non significa molto. Ad esempio in Internet Explorer 11 , il primo metodo viene utilizzato per entrambi i domini Google.

      Per mantenere l'URL di destinazione originale senza perdere il referrer, è possibile utilizzare l'estensione del browser "Don't Track Me Google": https: //github.com/Rob--W/dont-track-me-google

      (Anche senza alcun intervento da siti web come Google, è possibile pulire anche il referer HTTP. Ad esempio , quando il mittente è HTTPS e la destinazione HTTP, o quando viene utilizzata la modalità di navigazione privata di Firefox, o se l'utente utilizza flag o estensioni che disabilitano / rimuovono il referer ( esempio per Chrome, esempi per Firefox)).

    In passato c'era anche una differenza nella fuga di informazioni tramite HTTP Referer, ma questo è non è più così. Confronta le pagine della guida per la ricerca SSL:

    Il seguente test mostra che i due diversi domini di Google possono risolversi in diversi indirizzi IP e che questi indirizzi IP sono in grado di gestire le query di ricerca per qualsiasi dominio di ricerca di Google. 

      $ host encrypted .google.comencrypted.google.com è un alias per www3.l.google.com.www3.l.google.com ha indirizzo 172.217.20.78 www.3.l.google.com ha indirizzo IPv6 2a00: 1450: 400e: 80a: : 200e $ host www.google.comwww.google.com ha indirizzo 172.217.20.68 www.google.com ha indirizzo IPv6 2a00: 1450: 400e: 800 :: 2004 $ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.68$ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.78$ curl -I https: // www.google.com/?gws_rd=cr --resolve www.google.com:443:172.217.20.68$ curl -I https://www.google.com/?gws_rd=cr --resolve www.google.com : 443: 172.217.20.78 $ curl -I https://www.google.nl/?gws_rd=cr --resolve www.google.nl:443:172.217.20.78

    l'ultimo curl comanda tutti ricevere i risultati della ricerca senza ulteriori reindirizzamenti (non ho incluso il loro output in questa risposta). Per visualizzare i dettagli SSL, sostituire -I con -vvv o utilizzare qualcosa come openssl s_client -connect google.com:443.

    Wow, hai fatto questa ricerca tutto da solo?
    @Pacerier Sì.Stavo cercando un modo per cercare senza reindirizzamenti dopo la deprecazione di encrypted.google.com e ho cercato la sua cronologia e i dettagli tecnici.Sapevo già della perdita di referrer a causa del mio precedente lavoro su Don't Track Me Google, e tutti insieme ho fondamentalmente una risposta aggiornata a questa domanda, quindi ho deciso di postarla.
    MikeP
    2017-01-17 09:00:24 UTC
    view on stackexchange narkive permalink

    Secondo la domanda dell'OP, "In termini di sicurezza, quali sono stati i vantaggi di navigare attraverso la ricerca crittografata di Google?"

    Non c'è differenza.

    Dettagli: esaminandoli entrambi oggi, 16 gennaio 2017, l'unica differenza che vedo è che quello "crittografato" non ha l'icona di Google Apps in alto a destra.

    Il DNS per www.google.com punta a 6 voci nello spazio 74.x, mentre encrypted.google.com va a solo uno nello spazio 216. Pertanto, sembra che www sia più / meglio bilanciato del carico rispetto a quello crittografato.

    Entrambi usano lo stesso certificato, quindi se qualcuno è preoccupato per una perdita di chiave privata per uno o per l'altro, è lo stesso.

    Leggendo il forum di Google, encrypted.google.com è stato implementato per i test e lo sviluppo e non è necessario utilizzarlo. Poiché www.google.com ora è https, non è più necessario utilizzare encrypted.google.com per quanto riguarda la sicurezza / crittografia.

    Guardando la risposta di "curl" sono quasi identici e non vedo alcuna differenza funzionale.

    Google potrebbe avere uno script diverso da parte loro? Certo, ma questo non cambierebbe la risposta alla domanda OP.

    Hai guardato le intestazioni dei referer?E gli algoritmi di crittografia?
    @noɥʇʎԀʎzɐɹƆ, Il mio referer è origin o è vuoto.Gli algoritmi di crittografia non sono rilevanti secondo me, poiché hanno la tendenza a cambiare spesso e senza preavviso.
    puoi elencare quello che hai controllato?Non c'è molto di un corpo qui.
    schroeder
    2017-01-22 01:02:50 UTC
    view on stackexchange narkive permalink

    Secondo Google nel 2010, era un mezzo per le ricerche crittografate passare attraverso un sottodominio denominato in modo che le organizzazioni che volevano filtrare le ricerche (scuole, ecc.) potessero ancora ispezionare le ricerche in corso SSL e blocca le ricerche crittografate che non hanno potuto ispezionare.

    Nota come l'attuale motivo della taglia è "le risposte attuali sono obsolete".
    Sì.Ho capito.Ma se le ragioni non sono cambiate ...
    fornire prove che allora non hanno
    Questa risposta descrive l'intento di progettazione per la differenza (la capacità di bloccare le ricerche crittografate).Le altre risposte hanno verificato la differenza funzionale.L'intento progettuale rimane invariato.È un fatto storico a questo punto.


    Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
    Loading...