Question:
Est-ce que Google va trop loin en m'obligeant à utiliser TLS?
tylerl
2014-03-26 01:20:27 UTC
view on stackexchange narkive permalink

Gmail a été récemment modifié pour exiger HTTPS pour tout le monde, qu'il veuille l'utiliser ou non. Bien que je réalise que HTTPS est plus sécurisé, que se passe-t-il si l'on ne se soucie pas de la sécurité de certains comptes?

Certains ont critiqué Google pour être maléfique en les forçant à une connexion sécurisée même s'ils ne veulent pas être sécurisés. Ils soutiennent que s'il ne s'agit que de leur propre compte, ne devraient-ils pas être les seuls à décider de se sécuriser ou non?

Remarque: Cette question a été publiée en référence à l'article lié ci-dessus afin de fournir une réponse canonique à la question posée hors site (c'est pourquoi elle a été répondue par la même personne qui l'a posée).

Vous ne voudrez peut-être pas vous protéger, mais je peux parier que 99% des autres personnes veulent être en sécurité, en particulier lorsque des choses comme la NSA sont toujours là. Je veux dire que je n'aimerais pas qu'un étranger lise mes conversations Skype - elles sont privées. C'est pourquoi nous les avons sur Internet et non dans un endroit public. Je n'aimerais pas qu'un étranger à l'autre bout du monde lise mes e-mails. J'ai souvent beaucoup de courriels sensibles qui sont très personnels (pas de cette façon!;).
Parfois, la sécurité peut être appliquée. HTTPS en est un exemple. Bien qu'il ne soit pas parfait, il est bien meilleur que HTTP pur. Cela ne coûte pratiquement rien et rend la surveillance en masse plus difficile. Il y avait même des pensées pour que HTTP 2.0 soit SSL uniquement.
Google va-t-il trop loin en vous obligeant à vous connecter avec un mot de passe?
GOOGLE est EViL pour forcer vous utiliser Html? ̶ ou d'un navigateur? ̶ oR, ̶ DIRE, ̶ INTErNET? ̶ MALHEUREUSEMENT Je conclus que cette QueStion doesnt ̶s̶e̶n̶s̶e̶.̶.̶ faire beaucoup. Je n'ai pas lu votre réponse. La question n'avait pas beaucoup de sens jusqu'à ce que je réalise que vous pourriez vous poser la question et que vous vouliez y répondre, vous deviez donc la poser d'abord (;
Le gouvernement vous insiste-t-il pour vous obliger à porter une ceinture de sécurité au volant?
Vous ne vous souciez probablement pas de votre confidentialité en ligne, mais d'autres personnes, même avec TLS google (ou tout tiers qui utilise SSL / TLS) peuvent accéder à votre compte car ils ont la clé utilisée pour le cryptage.
Pour que cela soit «maléfique», vous devez affirmer que cela cause une sorte de mal.
@JeffGohlke: Mais quelqu'un doit ramasser les parties du corps, donc je peux comprendre cette décision. Et cette personne n'a rien fait de mal, c'est son travail.
Je veux la possibilité de sauter de l'avion esp. quand j'ai un parachute et que je sais que je vais atterrir sur terre.
@Shiki C'est un peu un argument spécieux. Je peux utiliser votre logique pour interdire tout comportement humain. Chacun a droit et pouvoir sur sa propre vie. Quoi qu'il en soit, l'exemple original n'est en fait pas pertinent par rapport à la question en question. Un gouvernement est dans une position différente de celle d'une entreprise, et je paie en fait les routes et les policiers en payant des impôts, alors qu'un utilisateur de Google reçoit un service gratuit et doit donc "voter" en fonction des services qu'il décide d'utiliser. Si vous détestez que Google vous fasse utiliser TLS, utilisez Yahoo! ou un autre service. Voilà comment les affaires fonctionnent.
Personnellement, je salue ce changement. J'ai été agréablement surpris lorsque Search (c'est-à-dire `https: // www.google.com /`) chargé via TLS sur un Chromebook connecté à un réseau utilisant le sous-domaine `nossl.`. Franchement, si chaque site Web commençait soudainement à forcer TLS (_good_ TLS; 1.1 ou mieux et [avec forward secrecy] (https://security.stackexchange.com/a/54233/42192)), je serais beaucoup plus heureux. \ * marmonne quelque chose à propos de l'absence de navigateur grand public ayant une fonction force-TLS intégrée \ *
Je ne comprends pas cette question ... Pourquoi quelqu'un s'opposerait-il à une meilleure sécurité?
Oui, Google fait du mal en vous obligeant à utiliser un protocole basé sur les transactions comme http, et par extension https, pour une application basée sur une session comme leur service de messagerie. Tout service basé sur une session doit utiliser une connexion persistante plutôt que http; Google devrait clairement fournir son service de messagerie via TLS direct au lieu de https.
En quoi cette question est-elle différente de, disons, * Slashdot me force à utiliser TCP / IP et HTTP pour leur parler. Ou ce terminal WYSE à blindage orange me force à utiliser un câble RS-232 pour me connecter à l'ordinateur. Ou ce fast-food insiste pour ne prendre les commandes qu'en anglais. * (Je ne suis pas sarcastique; quelqu'un me le fait remarquer. Est-ce parce que cela implique un mécanisme de sécurité?)
Lorsque vous désactivez les mesures de sécurité raisonnables, assurez-vous de le préciser très clairement à tous les membres de vos contacts: "Je m'oppose à la protection de vos données. Sachez si vous m'envoyez des e-mails contenant des informations personnelles. Non seulement Google aura un accès complet à ces données, mais aussi toute personne qui écoute mon interaction non chiffrée avec les serveurs de Google ". Ce ne sont pas seulement * vos * données, mec!
Je suis surpris des commentaires sur la confidentialité en ligne présumée alors qu'en fait, Google non seulement abuse activement de vos e-mails, mais les transmet également activement aux agences américaines (ce qui n'est pas de leur faute, elles n'ont pas le choix). TLS peut empêcher ce gamin de 14 ans de Kiev de lire votre courrier, mais les gens dont vous devriez vous inquiéter, ceux qui sont vraiment vicieux, obtiennent de toute façon tout. La confidentialité en ligne est une illusion.
@Damon C'est en fait un très, très bon point. Je suis surpris qu'il n'ait pas encore été abordé dans toute cette discussion. Je suppose que "l'illusion de la vie privée" fonctionne réellement.
Il y a un argument contre `https`. La poignée de main est nettement plus lente sur les réseaux éloignés des États-Unis et sur les ordinateurs à faibles spécifications. Cela pourrait expliquer en partie pourquoi StackExchange a conservé ses pages sur le site http nippier.
@joeytwiddle SE évolue partout vers https. Ils l'ont fait fonctionner dans de nombreux domaines, mais il est toujours en cours. Le plus gros problème est qu'une page https nécessite que tous les actifs (y compris les tiers) soient également livrés via https. Cela peut être problématique avec les images intégrées et autres.
{Tinfoil Hat on}: Google a utilisé He * rtbl ** d pour obtenir des données des navigateurs des utilisateurs. {Tinfoil Hat off}, aucune idée de la raison pour laquelle ils le feraient puisqu'ils ont déjà tout le monde à côté d'untel, c'est déjà sans astuces supplémentaires.
Douze réponses:
tylerl
2014-03-26 01:35:00 UTC
view on stackexchange narkive permalink

Il ne s'agit pas seulement de vous . En forçant les utilisateurs à utiliser TLS, ils créent un environnement plus sécurisé pour tout le monde .^

Sans que TLS soit strictement appliquée, les utilisateurs sont vulnérables aux attaques telles que sslstrip. Essentiellement, faire des connexions non chiffrées une option conduit à la possibilité que les attaquants forcent les utilisateurs à des connexions non chiffrées .

Mais ce n'est pas le cas tout. L'exigence de TLS est la première étape vers l'application de la HSTS sur le domaine google.com. Google fait déjà une application opportuniste du HSTS - c'est-à-dire qu'ils ne nécessitent TLS, mais ils limitent les certificats autorisés à être utilisés sur Google.com (nb: cette technique s'appelle désormais HPKP) . C'est une amélioration, mais ce n'est pas en fin de compte une solution.

Pour une application complète du HSTS, ils doivent s'assurer que l'exigence de TLS sur tous les services Google du domaine ne cassera pas nécessairement les solutions tierces. Une fois que l'application est activée, elle ne peut pas être facilement désactivée. Ainsi, en déplaçant les services un par un vers une application TLS stricte, ils ouvrent la voie à la réalisation de l'application du HSTS dans tout le domaine.

Une fois cette application en place, les navigateurs refuseront simplement de se connecter à Google via une connexion non sécurisée ou compromise. En envoyant ce paramètre dans le navigateur lui-même, le contournement deviendra effectivement impossible.

Clause de non-responsabilité: Je travaille pour Google maintenant, mais je ne travaillais pas pour Google lorsque j'ai écrit ce. Ceci est mon opinion, pas celle de Google (comme cela devrait être immédiatement clair pour toute personne ayant une compréhension de base de la chronologie).

* Il ne s'agit pas que de vous. * Cela ne devrait-il pas être * Il ne s'agit pas que de moi. *
@VarunAgw il analyse mieux de cette façon. Une conversation entre deux personnes différentes est mentalement plus facile à suivre qu'un monologue confus.
C'est similaire à la façon dont le fait d'être vacciné contre une maladie aide tout le monde (en ne pouvant plus contracter la maladie de vous), pas seulement vous-même.
L'une des raisons invoquées pour l'utilisation de connexions non chiffrées dans ledit article est la performance. Vous pouvez améliorer votre réponse en mentionnant que les services Google par rapport au navigateur Chrome sont susceptibles d'utiliser SPDY, ce qui évite par construction bon nombre des inconvénients de performances du HTTPS. Il n'y aura qu'un seul canal chiffré qui est multiplexé sur toutes les connexions, donc tous les frais généraux de négociation et le démarrage lent TCP ont disparu.
J'ai une question sur l'aspect technique de votre réponse. Comment cela empêche-t-il des techniques comme sslstrip? En tant qu'homme au milieu, ne pouvez-vous toujours pas vous connecter à Google via TLS, mais agir comme un serveur HTTP sans SSL pour servir Google sous une forme non chiffrée? Vous devrez peut-être supprimer également du Javascript qui vérifie TLS du côté client. Je ne vois pas comment vous pourriez empêcher ce type d'attaque, si le navigateur lui-même n'a pas de règle intégrée comme "ne jamais visiter google.com sans TLS" Mais tant que HSTS n'est pas pris en charge, cela ne se produira pas
Non seulement les utilisateurs sont protégés, mais Google est protégé contre l'utilisation comme un outil à des fins malveillantes. C'est à dire. si Google autorisait les connexions non sécurisées et que les comptes étaient compromis en conséquence, ces comptes pourraient être utilisés pour lancer des campagnes de phishing par e-mail, la distribution de logiciels malveillants ou d'autres escroqueries à partir de ces comptes Gmail. On pourrait se demander si Google était "diabolique" / responsable de permettre à sa base d'utilisateurs d'exploiter des comptes d'une manière non sécurisée qui permettait à de tels événements d'avoir lieu.
+1 pour [HSTS] (https://www.owasp.org/index.php/HTTP_Strict_Transport_Security)
C'est une réponse tellement collante.Si quelqu'un contrôle votre amont, il peut faire ce qu'il veut.Soit votre navigateur accepte tout, soit vous donne un message d'erreur.Dans le cas de Google, ils prennent toujours en charge HTTP pour la recherche Google, BTW.
Tom Leek
2014-03-26 01:54:40 UTC
view on stackexchange narkive permalink

Permettez-moi de reformuler votre question avec quelques détails supplémentaires, qui sont implicites mais peut-être pas évidents pour tout le monde:

"Google n'est-il pas maléfique en me fournissant un service de messagerie gratuit et gigaoctets de stockage et me forçant à une connexion sécurisée lorsque j'accède à ce service qu'ils m'ont généreusement accordé et que personne ne m'oblige à utiliser même si je ne veux pas être sécurisé ? S'il ne s'agit que de mon propre compte sur leurs serveurs et qui m'est offert gratuitement, en fonction uniquement de leurs conditions d'utilisation que j'ai acceptées , ne devrais-je pas être le seul à décider que doit-il se passer avec LEURS serveurs et me sécuriser ou non avec une technologie dont les coûts sont entièrement du côté serveur et sans réel inconvénient pour moi ? "

Vraiment, le courage qu'ils ont à Google!

Commentaire: les réactions contre Google à cet égard ressemblent à des réflexes instinctifs: automatiques, imparfaitement ciblés et non impliquant n'importe quel cerveau un t tout.

**MAL**. C'est ce que dey ar. Donnez-moi des trucs gratuits et assurez-vous que je reste en sécurité. C'est le marché du diable, en fait.
Que le service soit gratuit ou non (et si vous y réfléchissez, gmail n'est pas gratuit - la transaction n'implique tout simplement pas $ s) n'a rien à voir avec la question. La question est simplement de savoir s'il est bon ou mauvais que HTTPS soit requis et non laissé au choix des utilisateurs. Libre ou pas n'a rien à voir avec ça. La question semble parfaitement valable (sans référence `` diabolique '', bien que `` mal '' étant fondé sur une référence pas si subtile à Google, ne soyez pas mal et permettant aux utilisateurs d'avoir le contrôle sur leurs données).
@LB2:, ce qui compte, c'est qu'il y ait une transaction: vous utilisez Gmail selon des conditions d'utilisation convenues. Le manque de change signifie que l'utilisateur n'a pas de levier pour dicter ses propres conditions. Le ton sous-jacent est que les gens oublient souvent que Google n'est pas un service public qu'ils sont autorisés à utiliser, selon leurs propres conditions.
@TomLeek Je suis d'accord avec vous! C'est une transaction; est tout à fait le contraire lorsque vous répondez "_fournissez-moi un service de messagerie gratuit_". C'est une transaction et signifie que l'utilisateur abandonne _quelque chose_ en échange de quelque chose. Payer 0 $ contre 1 $ donne de manière équivalente le même iota d'effet de levier ou la même capacité à utiliser sur «leurs propres conditions», et mon argument est que c'est _contextuellement_ sans importance. Nonobstant les mauvaises remarques, j'ai lu le message OP comme "pourquoi Google n'autorise pas l'accès http et laisse la sécurité de l'utilisateur à sa discrétion?" (à laquelle ma réponse est la nécessité de protéger tout le monde, et c'est une bonne chose).
Google n'est pas gratuit? Veuillez modifier. Je paie pour Google comme la plupart des services en ligne en étant bombardé d'annonces. Certains services permettent une version payante sans ajouts, y compris Google via une licence d'entreprise.
@DeanMeehan Vous payez pour voir les annonces?
Le paiement @Brian n'est pas nécessairement en espèces
"Si vous ne payez pas pour le service, vous êtes le produit"
Bonne réponse - j'adore l'ironie!
@Brian Je paie ** par ** affichage ajoute
@DeanMeehan Avoir des publicités sur les services que vous utilisez ne vous coûte rien, donc vous ne payez pas. Les publicités YouTube avant les vidéos, qui vous coûtent du temps, sont l'exception.
@Brian Cela coûte également du «temps» à la recherche d'une page Web basée sur des ajouts. la seule différence entre les ajouts de sites Web et les ajouts de vidéos est qu'un ajout de site Web contient 1 image qui prend moins de temps pour transmettre leur message. Cette 1/2 seconde de mon temps me coûte du temps, coûte de l'argent à l'annonceur et rend le webmaster $$$
Google est diabolique, mais pas à cause de cette politique en particulier. Ils sont mauvais à cause de l'abomination qu'ils ont créée appelée "Android".
HTTPS n'est pas uniquement côté serveur: si tout était côté serveur, vous ne pourriez pas établir la connexion sécurisée avec votre ordinateur. Tous les protocoles HTTPS nécessitent des calculs cryptographiques sur la machine de l'utilisateur final. Même avec SPDY, vous devez toujours faire de la cryptographie sur les données sécurisées, mais sans frais généraux.
Maintenant, je sais ce que m'a rappelé la série «diabolique» Black Company of The Long Earth ...
Brian
2014-03-26 01:27:37 UTC
view on stackexchange narkive permalink

Si Google souhaite que le contenu de ses serveurs soit transféré en toute sécurité, cela est entièrement à sa discrétion, même si ce contenu est votre boîte e-mail.

Ivaylo Slavov
2014-03-26 13:17:07 UTC
view on stackexchange narkive permalink

En fait, non, Google n'est pas mauvais avec ça, pas du tout.

La première chose importante à ce sujet est que l'utilisation d'une connexion sécurisée n'est pas une préférence de l'utilisateur ou un paramètre personnalisé . Certaines personnes peuvent trouver cela déroutant car elles ne connaissent un système qu'à partir de la position d'un utilisateur final . Étant moi-même développeur de logiciels, je peux vous dire que la sécurité se fait au niveau de l'application et concerne tous les utilisateurs du système. Il n'y a aucun moyen d'appliquer techniquement la sécurité d'authentification basée sur le choix de l'utilisateur sans compromettre la sécurité de l'ensemble du système et de tous les autres utilisateurs, dont la plupart pourraient s'appuyer sur la protection de leurs données par le système. Pourtant, si c'est possible, j'aimerais sûrement savoir comment.

Le choix logique pour Google, en tant que fournisseur de services publics, est d'établir un environnement sécurisé pour tous ses utilisateurs. Ce n'est pas uniquement pour la sécurité des utilisateurs, mais aussi pour l'entreprise. Imaginez, si quelqu'un devient victime d'une faille de sécurité, lance un procès contre Google et prouve que ce sont eux qui sont responsables? Cela pourrait être le cas s'ils ne prenaient pas les mesures standard pour protéger les données des utilisateurs, et pourraient devoir faire face à toute une communauté d'utilisateurs en colère devant les tribunaux. Ne pas utiliser HTTPS est un exemple d'une telle chose - n'importe qui peut intercepter votre requête Web et voir les informations sous forme de texte brut. Les données utilisateur de Google sont sensibles. Cela ressemble à une simple adresse e-mail et un mot de passe, mais ces deux éléments constituent une clé pour tous vos contacts, votre correspondance et vos services Google personnalisés.

De plus, Google est un fournisseur OpenID, ce qui signifie que le même mot de passe utilisateur (celui du compte Google) peut être utilisé pour s'authentifier auprès de systèmes externes (comme le sites du réseau StackExchange, y compris celui-ci, YouTube, Disqus, Picasa et de nombreux autres systèmes populaires). Il m'est difficile d'imaginer que l'on préférerait avoir sa "clé" pour que tant de comptes et de services ne soient pas garantis.

En général, il s'agit d'une mesure des exigences techniques, plutôt que de l'application des préférences de l'utilisateur . Personnellement, je ne ferais jamais confiance à un système qui n'applique pas les conditions de sécurité minimales telles que la connexion sécurisée et l'authentification, en ce qui concerne les e-mails, les paiements en ligne et d'autres services fonctionnant avec mes données privées .

Craig
2014-03-27 03:43:35 UTC
view on stackexchange narkive permalink

Le mal de vous forcer à utiliser une connexion sécurisée?

Non, je ne pense pas que ce soit le mal. Cela protège la communauté dans son ensemble sans aucun inconvénient pour vous en tant qu'individu.

Je pense que c'est le seul mal de vous obliger à utiliser SSL / TLS, puis de ne pas utiliser le secret de transmission, donc vous donnant, ainsi qu'à tous les autres utilisateurs du service, un faux sentiment de sécurité.

Sans le secret de transmission, votre session peut être archivée pour une durée indéterminée, le privé clé obtenue plus tard (par quelque moyen que ce soit; ingénierie sociale, vol, gouvernement) et votre session de longue date décryptée.

Avec la confidentialité et les clés éphémères, ce problème est sérieusement atténué.

Qui peut énumérer les inconvénients de l'utilisation d'une connexion SSL / TLS? N'importe qui? :-)

Il peut y avoir des problèmes de performances, mais en réalité seulement si le site Web est mal conçu, de sorte qu'il nécessite beaucoup, beaucoup de nouvelles connexions pour diffuser le contenu d'une page. Ce type de conception aura également un impact négatif sérieux sur une session HTTP non sécurisée régulière.

Les performances de HTTPS sont pratiquement toutes liées à la connexion car cela prend plus d'allers-retours et un peu du chiffrement asymétrique intensif en calcul pour obtenir la clé de session symétrique sur le serveur et la déchiffrer sur le client (le chiffrement asymétrique est vraiment cher par rapport au chiffrement symétrique).

Le coût de calcul du chiffrement et du déchiffrement de la les données de session avec un chiffrement symétrique après l'échange de clé initial sont négligeables.

Combien coûte une session SSL / TLS appliquée vous ? De façon désinvolte, je ne crois honnêtement pas qu'il y ait un coût mesurable pour vous.

L'un des coûts pour moi est que cela pourrait être une évolution vers l'application du TLS partout. Je n'aime pas les couches inutiles.
D'un autre côté, beaucoup de gens pensent qu'une utilisation plus répandue du HTTP sécurisé est une bonne idée, ou en d'autres termes, SSL / TLS pourrait bien être une couche * nécessaire *. Chaque fois qu'un service nécessite des informations d'identification, les informations d'identification doivent être protégées avec SSL / TLS. Si l'authentification est sécurisée, alors toute la session doit être sécurisée (attaques MIM). Utiliser SSL / TLS pour protéger l'authentification, puis transmettre un jeton d'authentification non sécurisé par la suite est une erreur, bien que Google ait arrêté de le faire. SSL / TLS est déjà dans votre navigateur. L'utilisation d'un site sécurisé ne vous complique pas la vie. Cela devrait devenir la norme.
Les certificats ont toujours coûté trop cher et une petite configuration est requise du côté serveur, mais à mesure que le marché se développe, le prix baissera. Je ne suis pas fan de punir les personnes qui ne sécurisent pas leurs serveurs, mais un serveur non sécurisé est largement ouvert à toutes sortes d'usurpations et de situations principales contre lesquelles un serveur sécurisé protège naturellement.
nécessaire sur de nombreux sites définitivement. Google (ou quelqu'un d'autre) devrait-il essayer de le forcer sur * tout Internet *? Presque certainement pas. Est-ce que Google essaie de faire ça? Je ne sais pas, mais s'ils le sont, c'est un pas dans cette direction. Il est prouvé qu'ils veulent le forcer sur tout Internet - voir Chrome rejetant les connexions HTTP / 2.0 non TLS. Peut-être que je suis trop paranoïaque.
pour une raison quelconque, le site n'acceptera pas @Craig dans le commentaire précédent, alors voici un autre ping.
@immibis Je ne fais pas nécessairement confiance à tout ce qu'ils pourraient faire, mais je pense que dans une large mesure, Google (et Microsoft et Yahoo et d'autres) le font en réaction à des choses comme la saga d'espionnage en cours de la NSA et les problèmes liés aux demandes de la FISA. où ils ont été contraints de transmettre des lots, des lots de données sans être autorisés à en informer les propriétaires des données. Ils militent, du moins en nom, pour une meilleure sécurité et une meilleure confidentialité pour les masses non lavées. Je ne pense pas nécessairement que * Google * pousse pour «HTTPS partout», mais certaines personnes au gouvernement le sont certainement.
@immibis, ils sont là-bas pour vous trouver mon pote.
@immibis, ce n'est pas seulement Google qui pousse pour que tout Internet soit sur TLS - tout comme l'EFF, Mozilla, Microsoft ... de nombreuses autres grandes entreprises. en fait, l'IETF envisage / a envisagé de faire de TLS une partie obligatoire de la spécification HTTP / 2.0. Je n'ai jamais regardé le résultat de cela, mais j'ai entendu dire pour la dernière fois qu'ils allaient faire une forte recommandation à ce sujet et recommander de ne le désactiver que dans des environnements connus comme sûrs (par exemple, les intranets d'entreprise).
aussi, annonce de service public: TLS n'est plus coûteux en calcul. et cela ne fait pas longtemps. https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
@strugee vrai, mais les frais de calcul ne sont pas le seul facteur pertinent. La latence du réseau est un gros problème qui doit être pris en compte. HTTPS nécessite deux fois plus d'allers-retours par session que HTTP pour établir la connexion. Si votre temps de ping est de 50 ms, il faut près d'un quart de seconde pour établir une connexion HTTPS en raison de la latence aller-retour uniquement. C'est pourquoi il est si important de réutiliser les connexions, de combiner des scripts et des fichiers css, d'utiliser des sprites css au lieu de beaucoup de demandes de petites images, etc. Toutes ces méthodes accéléreraient également considérablement les pages HTTP. Gagnez, gagnez.
bien sûr, HTTP / 2.0, IIRC, peut réutiliser les connexions TLS / TCP pour plusieurs requêtes HTTP. droite? donc le truc des «ressources multiples» ne s'applique pas vraiment. (Je me trompe peut-être sur la réutilisation, cependant. Je ne suis pas entièrement sûr.)
Les demandes multiples vous ralentiront toujours. Pire encore, les requêtes sont pleines de requêtes vers d'autres sites (l'analyse JavaScript comprend, n'importe qui?), Car chacune de * ces * connexions nécessite une nouvelle connexion HTTPS. Il est déconseillé aux gens de ne pas au moins charger ces types de scripts de manière asynchrone.
@strugee Juste une observation, mais cet article affirme que le matériel "moderne" peut effectuer 1 500 handshakes par seconde et par cœur, en utilisant des clés de 1024 bits. Mais les clés 1024 bits ne sont pas seulement considérées comme trop faibles maintenant, vous ne pouvez même pas obtenir de certificats SSL / TLS avec des clés aussi petites. Touches plus grandes = opérations asymétriques plus lentes. Cela n'invalide pas votre argument; juste un autre facteur. http://www.networking4all.com/en/ssl+certificates/ssl+news/your+1024-bit+ssl+certificate+will+no+longer+work+after+october+1st+2013/, https: / /www.google.com/#newwindow=1&q=1024%20bit%20vs%202048%20bit%20certificates, etc.
@Craig pas besoin de me convaincre, je suis bien conscient du passage aux clés 2048 bits. Je ne peux certainement pas prétendre être un expert; Je souligne simplement un aspect différent du sujet.
@strugee Je l'apprécie - vous réalisez que je préconise * en faveur * de SSL / TLS, non? :-) Pourtant, les certificats de 2 048 bits nécessitent 4 fois plus de CPU que les certificats de 1 024 bits. Ainsi, les 1 500 poignées de main par seconde avec des clés de 1024 bits passent à 375 prises de contact par seconde avec des clés de 2048 bits. Ce n'est pas rien. Oui, la spécification HTTP 2.0 permet le maintien de HTTP, mais cela ne signifie pas qu'ils sont toujours utilisés, et tous les autres arguments concernant la consolidation du contenu CSS et du script, en utilisant des sprites CSS et en prenant des mesures pour minimiser le nombre de requêtes vraie différence sur HTTP, * doublement * donc pour HTTPS.
@Craig oui, je m'en rends compte. mais j'apprécie autant un bon débat technique que le prochain: D. et oui, bien sûr, tout cela devrait être fait. Je suis entièrement d'accord avec la minification et tout ça (tant que vous pouvez voir la source, pour le copyleftiste en moi).
@Craig mon temps de ping vers de nombreux serveurs (testé stackoverflow.com, imgur.com, reddit.com, mit.edu, facebook.com, tvtropes.org, dropbox.com) est de l'ordre de 200 à 400 ms. ~ 40 ms sur google.com, probablement parce qu'il utilise un serveur géographiquement près de chez moi, mais la grande majorité des sites ne peuvent pas se permettre d'avoir des serveurs partout.
De plus, mis à part le problème de latence, je ne m'oppose à TLS partout que pour la même raison que je m'oppose à tout changement de norme - comme Microsoft souhaitant que les développeurs passent de GDI à GDI + à WinForms à WPF à HTML5 à Metro (je suis sûr que cette séquence de technologies est faux, mais ce n'est pas le point).
@immibis, les choses changent - comme c'est le cas. Cependant, HTTPS n'est pas une norme différente de HTTP. C'est juste une petite configuration de transport supplémentaire sur le serveur, et ce n'est pas un changement * gratuit *, et cela améliore radicalement la sécurité. De plus, je m'en tiens à mes armes sur toute la question de la latence qui a également des effets graves sur HTTP. J'ai des applications fonctionnant sur HTTPS qui sont extrêmement rapides par rapport à d'autres applications que j'ai vues fonctionner sur HTTP. Je pense que la latence est un hareng rouge et une excuse pour continuer à tolérer une mauvaise conception. Je dis simplement que c'est * un * problème à garder à l'esprit lors de la conception.
Pensez également aux avancées matérielles. Lorsque le Web commençait tout juste à devenir une chose publique, une toute nouvelle machine rapide * hurlante * était un Pentium monocœur 60 ou 66 MHz. La vitesse d'horloge d'un processeur de serveur typique est au moins 40 fois supérieure à celle d'aujourd'hui, plus des progrès radicaux dans la technologie du processeur (super pipelining, fonctionnalités RISC, etc.) qui permettent aux processeurs d'aujourd'hui d'exécuter beaucoup plus d'instructions par cycle d'horloge, ** plus ** le fait que les processeurs sont tous multicœurs. Intel propose maintenant des processeurs Xeon 12 cœurs avec hyperthreading (24 threads), et cela ne fera qu'augmenter.
De plus, vous avez la possibilité d'utiliser des GPU massivement parallèles ou des ASIC personnalisés dans les serveurs pour simplifier les calculs cryptographiques. Oui, les nouveaux processeurs Xeon sont chers, mais les gens peuvent de plus en plus héberger leurs applications sur des services VPS comme AWS ou Azure (et un certain nombre d'autres) où ils ne paient que pour le temps au lieu de payer pour leur propre matériel (cher et rapidement obsolète) et payer pour la colocation (également pas bon marché). Imaginez 5 000 $ pour 25 mois d'un service VPS à 200 $ / mois, ou 5 000 $ pour un nouveau serveur costaud, plus les frais de colocation ou de FAI.
Désormais, la sécurité des services cloud est son propre sujet distinct !! :-)
Et s'il y avait une classe d'enregistrement DNS pour spécifier si TLS doit toujours être utilisé sur ce domaine?
Eh bien, il y a * [HSTS] (https://www.owasp.org/index.php/HTTP_Strict_Transport_Security)
Guest dude
2014-03-26 05:24:28 UTC
view on stackexchange narkive permalink

Il est triste que la première réaction des gens soit de défendre Google en utilisant le sophisme "vous ne devez pas l'utiliser". En ce qui concerne les transactions d'argent, ne pensez-vous pas que vos propres informations personnelles qu'ils vendent aux annonceurs ont une valeur monétaire? Google n'est pas gratuit, il nécessite toujours un paiement que la plupart des gens ne réalisent même pas qu'ils effectuent.

Maintenant, pour répondre à la question, je ne pense pas qu'ils soient exagérés ou «mauvais» Ce faisant. Que faire si vous recherchez des informations qui pourraient nuire à autrui en cas de fuite (par exemple, rechercher sur Google quelque chose comme «comment traiter l'herpès de ma fille») ou que faire si vous envoyez un e-mail à une autre personne qui souhaite être sécurisée Doit-il être libre de décider si ce qu'ils envoient est crypté de votre côté? Vous ne vous souciez peut-être pas de la sécurité, mais d'autres personnes le font, et ce n'est de bout en bout que si les deux extrémités appliquent réellement la sécurité. Cependant, je préférerais que Google donne une méthode pour utiliser des connexions non-TLS s'il y a encore des appareils qui utilisent Google mais qui manquent trop de mémoire / ressources / entropie pour établir une connexion sécurisée.

+1 pour avoir mentionné que non, les éditeurs de logiciels ne vous offrent pas de services gratuits de leur nature aimable et de leur gentil cœur. Ils veulent faire des bénéfices et vous ne leur devez rien pour cela. Vous êtes libre de faire toutes les demandes que vous voulez, même si elles sont aussi absurdes que celle-ci, et ils sont libres de refuser.
Jens Erat
2014-03-28 19:46:49 UTC
view on stackexchange narkive permalink

Google vous protège non seulement, vous et vos données, mais aussi eux-mêmes.

La grande majorité des internautes ne connaissent pas la sécurité et ne s'en soucient pas. Lorsqu'il propose un chemin non sécurisé comme solution de secours, l'utilisateur l'utilisera, et s'il s'agit d'un homme du milieu qui brise tout le reste.

Si votre compte est compromis, ce n'est pas seulement un problème pour vous et vos données, mais aussi pour Google :

  • Des spams peuvent être envoyés à l'aide de leurs services
  • La crédibilité de Google pour l'authentification (connexion unique) en souffrira
  • Un attaquant pourrait abuser des services, entraînant des coûts (pour Google) pour lesquels il pourrait ne pas être en mesure d'obtenir une compensation
  • La récupération du compte à votre place sera nécessitent une interaction manuelle, ce qui implique des coûts

La sécurité peut aussi être une question d’économies.

aussi, la possibilité de poursuites, comme mentionné dans d'autres réponses.
The Spooniest
2014-03-27 17:50:18 UTC
view on stackexchange narkive permalink

Google était-il maléfique de vous avoir demandé d'utiliser le protocole HTTP au lieu du protocole Gopher? Je ne pense pas que la plupart des gens diraient que c'était le cas. Mais si exiger l'utilisation d'un protocole par rapport à un autre n'est pas mal, alors pourquoi serait-ce mal dans ce cas particulier: envelopper SSL autour de HTTP?

user42884
2014-03-27 22:38:28 UTC
view on stackexchange narkive permalink

Les mains de Google sont liées. Google ne le fait pas seulement pour vous protéger. Ils le font pour se protéger. Ils ne veulent pas que d'autres personnes gâchent vos affaires parce qu'ils les portent pour vous, et ils ont beaucoup d'obligations légales liées à l'hébergement des affaires d'autres personnes. Ils sont tenus d'empêcher l'utilisation de tout compte d'une manière qui pose problème aux autres.

Paŭlo Ebermann
2014-03-27 05:27:27 UTC
view on stackexchange narkive permalink

Comme d'autres le disent, normalement vous n'avez rien à perdre en utilisant le cryptage au lieu du non-cryptage, même si vous pensez que vous n'avez pas besoin de cryptage.

Mais si vous voulez vraiment y accéder non- crypté (peut-être pour prouver à quelqu'un qui observe votre ligne que vous ne faites rien de mal), vous pouvez configurer un serveur HTTP, qui se connecte lui-même à Google par HTTPS, et transmettre toutes les requêtes et réponses (convenablement adaptées).

Vous devez modifier le logo et une partie du texte afin qu'il ne semble pas que vous utilisiez directement Google. Et vous devriez penser à utiliser HTTPS au moins pour la procédure de connexion.

Cela devrait fonctionner pour tous les serveurs "diaboliques" qui ne prennent en charge que HTTPS.

Lodewijk
2014-03-27 05:07:38 UTC
view on stackexchange narkive permalink

TL; DR: C'est mieux, mais ce n'est pas assez bon.

Les chances d'avoir une connexion taraudée par rapport aux coûts de ce type de sécurité sont évidentes et ne nécessitent aucune autre considération que «oui c'est requis ".

Il est essentiel de se rappeler que SSL n'est peut-être pas parfait et que les implémentations sont très peu susceptibles d'être étanches. De plus, en particulier dans un cas comme Google, votre vie privée et votre lettre secrète ne sont pas préservées en utilisant SSL.

En fait, le seul risque que Google prévient est les formes d'espionnage par des acteurs pas assez puissants pour subvertir votre ordinateur, Google ou SSL. Cela pourrait également augmenter l'effort pour d'autres acteurs.

Cela n'empêche pas toutes sortes de SSLStrip, comme SSLstrip peut le faire lors de retouches de transit ou même de redirections. Un utilisateur ordinaire ne remarquera pas l'absence d'un petit verrou SSL. Un peu de magie supplémentaire pourrait même ramener un nouveau cadenas de sécurité.

Il n'est pas clair si (coût de la connexion sur écoute * chance de connexion sur écoute)> coût de TLS. Mais si Google ne craint pas de payer le coût supplémentaire (s'il y en a un), c'est son choix.
La raison en est principalement que TLS est très bon marché par rapport à toute sorte de catastrophe humaine. Ce n'est peut-être même pas TOUJOURS vrai, mais ce n'est pas une discussion intéressante. Etant donné le choix, quelqu'un choisira invariablement le mode "Créer des problèmes pour moi".
Je ne dis pas que c'est mauvais - du moins pas pour cette raison. Lorsque vous multipliez un grand nombre par un petit nombre, il est difficile de savoir si le résultat est énorme ou minuscule. Google fait simplement erreur par excès de prudence, ce qui est une bonne chose.
Exactement! :) ________
Eric G
2014-03-26 01:51:24 UTC
view on stackexchange narkive permalink

Ils devraient peut-être offrir une option pour désactiver SSL si nécessaire. Il existe peut-être des restrictions de chiffrement dans certains pays ou des exigences réseau qui empêcheraient les utilisateurs d'accéder au service. Je peux voir une certaine valeur pour les entreprises et les utilisateurs à fournir des options non sécurisées, mais les valeurs par défaut doivent être sécurisées.

Cependant, Google a probablement pris cela comme une décision commerciale et vous êtes lié par les conditions de son service. Google crypte toujours d'autres informations, comme les résultats de recherche lorsque vous êtes connecté, de sorte que les serveurs de journaux et les statistiques ne peuvent pas lire les mots-clés de votre recherche. Si vous n'êtes pas satisfait du service fourni (sécurité insuffisante ou trop élevée), vous pouvez toujours changer de fournisseur. Dans le cas du courrier électronique, il est trivial d'utiliser IMAP pour extraire et importer vos données ailleurs.

Je ne pense pas qu'ils aient autorisé l'accès IMAP / POP sans cryptage depuis un certain temps non plus.

Même autoriser la possibilité de se connecter à HTTP au lieu de HTTPS ouvre la porte à des attaques man-in-the-middle. Ce n'est pas une bonne option pour tout serveur qui donne accès à des données critiques.
@Craig: veuillez préciser? Y a-t-il une attaque qui laisserait l'utilisateur penser qu'il utilise une connexion sécurisée alors qu'il ne l'utilise pas?
-1
@Craig Les gens qui se soucient vraiment de la sécurité auront sûrement vérifié qu'ils utilisent https, sûrement?
@immibis, vous avez sans aucun doute acquis un aperçu du niveau de connaissance de la plupart des gens "normaux" sur ce sujet, n'est-ce pas? :-) Ils n'y pensent tout simplement pas, et cela fait partie du problème - le fait que tant de gens ne savent même pas quelle fin est en place et ils en profitent sans même comprendre ce qui leur arrive. Je pense honnêtement qu'il est bon d'avoir des protections en place pour les gens ordinaires. Une caractéristique de SSL / TLS sur un serveur Web est que le navigateur Web vous aboie si le certificat ne correspond pas au nom de domaine. Il y a juste une barre plus haute avec HTTPS.
Et «les gens ordinaires ordinaires» n'est en aucun cas un péjoratif. Certaines personnes (et par «certains» je veux dire «la plupart») gagnent leur vie en étant très compétentes dans des domaines * autres * que l'informatique et la technologie des communications. Pour eux, ce truc est un moyen de parvenir à une fin, et cela ne devrait pas les gêner ou leur causer du tort en étant dangereux s'ils ne tiennent pas la tête juste pendant qu'ils l'utilisent.
@Craig Oui, j'ai compris qu'ils accepteront http://www.google.com.evilhackervirusalert.co.za/ ou même simplement http://evilhackervirusalert.co.za/ et donc il ne sert à rien d'essayer de sauvegarder ces gens.
@immibis le principal problème avec la vérification de HTTPS est que c'est quelque chose d'actif que vous devez vous rappeler de faire. Je me considère compétent pour utiliser Internet et les ordinateurs en toute sécurité, mais même je ne vérifie pas régulièrement le HTTPS. la faille dans la pratique de sécurité actuelle est qu'il n'y a aucun moyen de savoir quand un site est légitimement HTTP et quand vous êtes forcé sur HTTP - et à cause de cela, les navigateurs ne peuvent pas afficher d'avertissement lorsque HTTP est utilisé. par conséquent, les indicateurs de sécurité sont passifs. si tout Internet était sur TLS, ce ne serait pas un problème.
et notez que ce que je viens de dire ne concernait pas tant la sécurité technique que l'expérience utilisateur. il est pratiquement impossible de se souvenir de rechercher un indicateur passif. un indicateur actif est facile à repérer; vous n'avez même pas besoin de le vérifier (par définition).
@strugee que feriez-vous à propos du HTTPS auto-signé?


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...