Google Søk via SSL har en ups

Google tilbyr nå SSL-krypteringsfunksjoner for søkefunksjonen deres. Men det er et problem som du må være klar over.

-------------------------------------------------- ------------------------------------

I følge Googles blogg for Web Search Help har søkegiganten bestemt seg for at det er viktig å beholde søkehenvendelser fra de nysgjerrige øyne:

"Med Google-søk over SSL kan du ha en ende-til-ende-kryptert søkeløsning mellom datamaskinen og Google. Denne sikrede kanalen hjelper til med å beskytte søkeordene og søkeresultatsidene dine mot å bli oppfanget av en tredjepart. Dette gir deg en sikrere og privat søkeopplevelse. "

TechRepublics Chad Perrin har nylig skrevet en artikkel om fordelene med SSL-kryptert websøk. Han anbefaler også forsiktighet ettersom noen søk ikke er beskyttet av SSL-kryptering og under visse omstendigheter er SSL sårbar.

Når jeg får vite at en applikasjon påstår å bruke SSL, liker jeg å sjekke og sørge for meg selv. Noen ganger er det overraskelser og når det gjelder sikkerhet; det er ikke bra. Jeg fyrte opp Wireshark, og som nevnt ovenfor, var søketrafikken søppel som vist nedenfor:

Klikk for å forstørre.

Det er flott. Men jeg så noe i pakketrafikken som jeg ikke forsto, så jeg gikk til Laura Chappells nettsted. Jeg har tatt flere av klassene hennes og anser henne som en av de fremste ekspertene når det gjelder å analysere pakker. Jeg fant ikke det jeg lette etter, men jeg kom over en ganske overraskelse.

Bufret lenke

I søkeresultatene har Google det de kaller en hurtigbufret lenke:

I teorien er det fornuftig å bruke en hurtigbufret kobling, som forklart av Google:

"Google tar et øyeblikksbilde av hver side som blir undersøkt når den gjennomsøker nettet og cacher disse som en sikkerhetskopi i tilfelle den originale siden ikke er tilgjengelig. Hvis du klikker på" Bufret "-koblingen, vil du se websiden slik den så ut da Vi indekserte det. Bufret innhold er innholdet Google bruker for å bedømme om denne siden er en relevant kamp for søket ditt. "

Selvfølgelig, hvis du klikker på den hurtigbufrede lenken, vil du vite det. Google viser fremtredende et vindu som forklarer den lastede siden er et øyeblikksbilde av den faktiske websiden og er muligens ikke aktuell:

Klikk for å forstørre.

Ms Chappell fant ut at trafikken i hurtigbufret lenke ikke er kryptert. Jeg gikk tilbake til testing, og sikker nok på at hvis du klikker på den hurtigbufrede lenken, går den tilbake til http. Legg merke til URL-en i lysbildet over.

Søket ble sendt ukryptert

Det er å forvente, men det som ikke forventes, er at den opprinnelige søkeinformasjonen sendes til Google Web-cache-server i det fjerne. La oss se om vi kan fange det. Det første lysbildet nedenfor er svaret på min DNS-spørring for webcache.googleusercontent.com. Det er der cachen ligger:

Klikk for å forstørre.

Neste lysbilde er trafikken min datamaskin sender til webcache.googleusercontent.com. Som du ser inneholder den uthevede pakken min originale søk.

Klikk for å forstørre. Siste tanker

I følge Googles uttalelse ovenfor skal all søkstrafikk være kryptert mellom datamaskinene og serverne deres. Det er ikke i alle tilfeller, og jeg følte det som viktig å sørge for at alle er klar over det.

© Copyright 2021 | pepebotifarra.com