it-swarm.com.de

Überfordert Google, indem es mich zwingt, TLS zu verwenden?

Google Mail war kürzlich geändert, um HTTPS für alle zu erfordern , ob sie es verwenden möchten oder nicht. Obwohl mir klar ist, dass HTTPS sicherer ist, was ist, wenn man sich nicht um die Sicherheit bestimmter Konten kümmert?

Einige haben Google als böse kritisiert, indem sie sie zu einer sicheren Verbindung gezwungen haben, auch wenn sie nicht sicher sein wollen. Sie argumentieren Wenn es nur ihr eigenes Konto ist, sollten sie nicht die einzigen sein, die entscheiden, ob sie sich sichern wollen oder nicht?

Hinweis: Diese Frage wurde unter Bezugnahme auf den oben verlinkten Artikel veröffentlicht, um eine kanonische Antwort auf die Frage zu geben, die außerhalb des Standorts gestellt wird (weshalb es wurde von derselben Person beantwortet, die es gefragt hat).

74
tylerl

Es geht nicht nur um du. Indem Benutzer gezwungen werden, TLS zu verwenden, schaffen sie eine sicherere Umgebung für alle.

Ohne strikte Durchsetzung von TLS sind Benutzer anfällig für Angriffe wie sslstrip . Im Wesentlichen führt das Erstellen unverschlüsselter Verbindungen zu einer Option dazu, dass Angreifer erzwingen Benutzer unverschlüsselte Verbindungen herstellen .

Aber das ist nicht alles. Das Erfordernis von TLS ist der erste Schritt auf dem Weg zur Durchsetzung von HSTS in der Domain google.com. Google führt bereits eine opportunistische HSTS-Durchsetzung durch - das heißt, sie benötigen kein erforderlich TLS, schränken jedoch ein, welche Zertifikate auf Google.com verwendet werden dürfen (nb : Diese Technik heißt jetzt HPKP). Das ist eine Verbesserung, aber letztendlich keine Lösung.

Für eine vollständige HSTS-Durchsetzung müssen sie sicherstellen, dass das Erfordernis von TLS für alle Google-Dienste innerhalb der Domain nicht unbedingt Lösungen von Drittanbietern beeinträchtigt. Sobald die Durchsetzung aktiviert ist, kann sie nicht mehr einfach deaktiviert werden. Indem sie die Dienste einzeln auf die strikte TLS-Durchsetzung umstellen, ebnen sie den Weg für die Realisierung der HSTS-Durchsetzung in der gesamten Domäne.

Sobald diese Durchsetzung erfolgt ist, lehnen Browser einfach ab, über eine unsichere oder gefährdete Verbindung eine Verbindung zu Google herzustellen. Durch den Versand dieser Einstellung im Browser selbst wird eine Umgehung effektiv unmöglich.

Haftungsausschluss: Ich arbeite jetzt für Google, aber ich habe nicht für Google gearbeitet, als ich das geschrieben habe. Dies ist meine Meinung, nicht die von Google (wie jedem, der ein grundlegendes Verständnis der Chronologie hat, sofort klar sein sollte).

170
tylerl

Lassen Sie mich Ihre Frage mit ein paar zusätzlichen Details umformulieren, die implizit, aber möglicherweise nicht für alle offensichtlich sind:

"Ist Google nicht böse, indem mir einen kostenlosen E-Mail-Dienst und Gigabyte Speicherplatz zur Verfügung stellt und mich zu einer sicheren Verbindung zwingt wenn ich auf diesen Dienst zugreife, den sie großzügig gewährt haben ich und dass mich niemand zwingt zu benutzen auch wenn ich nicht sicher sein will? Wenn es nur mein eigenes Konto ist auf ihren Servern und mir kostenlos zur Verfügung gestellt, nur basierend auf ihrer Nutzung Bedingungen, denen ich zugestimmt habe, sollte ich nicht der einzige sein, der entscheidet was mit IHREN Servern geschehen soll und ob ich mich sichern soll mit a Technologie, deren Kosten vollständig auf der Serverseite liegen und für mich keinen wirklichen Nachteil haben? "

Wirklich, die Nerven, die sie bei Google haben!


Kommentar : Reaktionen gegen Google in dieser Hinsicht sehen aus wie Knie-Ruck-Reflexe: automatisch, unvollkommen gezielt und ohne Gehirn.

90
Tom Leek

Wenn Google möchte, dass der Inhalt seiner Server sicher übertragen wird, liegt dies ganz in seinem Ermessen, auch wenn dieser Inhalt Ihre E-Mail-Box ist.

18
Brian

In der Tat, nein, Google ist damit nicht böse, überhaupt nicht.

Das erste wichtige daran ist, dass die Verwendung einer sicheren Verbindung keine Benutzerpräferenz oder eine personalisierte Einstellung ist. Einige Leute finden dies möglicherweise verwirrend, weil sie ein System nur von der Position eines Endbenutzers aus kennen. Als Softwareentwickler kann ich Ihnen sagen, dass die Sicherheit auf Anwendungsebene erfolgt und alle Benutzer des Systems betrifft. Es gibt keine Möglichkeit, die Authentifizierungssicherheit basierend auf der Benutzerauswahl technisch durchzusetzen, ohne die Sicherheit des gesamten Systems und aller anderen Benutzer zu beeinträchtigen, von denen die meisten möglicherweise auf den Schutz ihrer Daten durch das System angewiesen sind. Wenn es jedoch möglich ist, würde ich sicherlich gerne wissen, wie.

Die logische Wahl für Google als öffentlichen Dienstleister besteht darin, eine sichere Umgebung für alle Nutzer zu schaffen. Dies dient nicht nur der Sicherheit der Benutzer, sondern auch des Unternehmens. Stellen Sie sich vor, jemand wird Opfer einer Sicherheitsverletzung und löst eine Klage gegen Google aus und beweist, dass er dafür verantwortlich ist. Dies könnte der Fall sein, wenn sie nicht die Standardmaßnahmen zum Schutz der Benutzerdaten ergriffen und sich vor Gericht einer ganzen Gemeinschaft verärgerter Benutzer stellen müssten. Die Nichtverwendung von HTTPS ist ein Beispiel dafür. Jeder kann Ihre Webanforderung abfangen und die Informationen als einfachen Text anzeigen. Die Nutzerdaten von Google sind sinnvoll. Es scheint eine einfache E-Mail-Adresse und ein Passwort zu sein, aber diese beiden Elemente bilden einen Schlüssel für alle Ihre Kontakte, Korrespondenz und personalisierten Google-Dienste.

Darüber hinaus ist Google ein OpenID-Anbieter. Dies bedeutet, dass dasselbe Benutzerkennwort (das des Google-Kontos) zur Authentifizierung bei verwendet werden kann). externe Systeme (wie die Websites im StackExchange-Netzwerk, einschließlich dieses, YouTube, Disqus, Picasa und vieler anderer beliebter Systeme). Es fällt mir schwer, mir vorzustellen, dass man es vorziehen würde, seinen "Schlüssel" dafür zu haben, dass so viele Konten und Dienste ungesichert sind.

Im Allgemeinen ist dies eher ein Maß für die technischen Anforderungen als die Durchsetzung der Benutzerpräferenzen. Ich persönlich würde niemals einem System vertrauen, das die minimalen Sicherheitsbedingungen wie sichere Verbindung und Authentifizierung nicht erzwingt, wenn es um E-Mails, Online-Zahlungen und andere Dienste geht, die mit meinen privaten Daten arbeiten .

14
Ivaylo Slavov

Böse, weil Sie gezwungen wurden, eine sichere Verbindung zu verwenden?

Nein, ich denke nicht, dass es böse ist. Es schützt die gesamte Community ohne Nachteile für Sie als Einzelperson.

Ich denke, es ist nur böse, wenn sie Sie zwingen, SSL/TLS zu verwenden, und dann die Vorwärtsgeheimnis nicht anwenden, wodurch Sie und alle anderen, die den Dienst nutzen, ein Gefühl von false erhalten Sicherheit.

Ohne Vorwärtsgeheimnis kann Ihre Sitzung für einen unbestimmten Zeitraum archiviert, der später erhaltene private Schlüssel (mit welchen Mitteln auch immer; Social Engineering, Diebstahl, Regierung) und Ihre vor langer Zeit durchgeführte Sitzung entschlüsselt werden.

Mit Geheimhaltung und kurzlebige Schlüssel weiterleiten, wird diese Sorge ernsthaft gemildert.

Wer kann die Nachteile einer SSL/TLS-Verbindung aufzählen? Jemand? :-)

Es kann kann Leistungsprobleme geben, aber wirklich nur, wenn die Website schlecht gestaltet ist, so dass viele, viele neue Verbindungen erforderlich sind, um Inhalte von einer Seite bereitzustellen. Diese Art von Design wirkt sich auch ernsthaft negativ auf eine reguläre nicht sichere HTTP-Sitzung aus.

Der Leistungseinbruch von HTTPS ist praktisch alles im Verbindungs-Handshake, da mehr Roundtrips und ein wenig rechenintensive asymmetrische Verschlüsselung erforderlich sind, um den symmetrischen Sitzungsschlüssel auf dem Server zu erfassen und auf dem Client zu entschlüsseln (asymmetrische Verschlüsselung ist sehr teuer im Vergleich zur symmetrischen Verschlüsselung).

Die Rechenkosten für das Ver- und Entschlüsseln der tatsächlichen Sitzungsdaten mit einer symmetrischen Verschlüsselung nach dem anfänglichen Schlüsselaustausch sind vernachlässigbar.

Was kostet eine erzwungene SSL/TLS-Sitzung Kosten Sie? Ich glaube ehrlich gesagt nicht, dass Sie messbare Kosten haben.

11
Craig

Google schützt Sie und Ihre Daten nicht nur, sondern auch sich selbst.

Die überwiegende Mehrheit der Internetnutzer weiß nichts über Sicherheit und kümmert sich nicht darum. Wenn ein unsicherer Pfad als Fallback angeboten wird, würde der Benutzer ihn verwenden, und wenn es sich um einen Mann in der Mitte handelt, der alles andere bricht.

Wenn Ihr Konto kompromittiert ist, ist dies nicht nur ein Problem für Sie und Ihre Daten, sondern auch für Google:

  • Spam-Mails werden möglicherweise über ihre Dienste gesendet
  • Die Glaubwürdigkeit von Google für die Authentifizierung (Single Sign On) wird darunter leiden
  • Ein Angreifer kann Dienste missbrauchen, was zu Kosten (für Google) führt, für die er möglicherweise keine Entschädigung erhalten kann
  • Um das Konto für Sie wiederherzustellen, ist eine manuelle Interaktion erforderlich, die mit Kosten verbunden ist

Sicherheit kann auch eine Frage des Geldsparens sein.

8
Jens Erat

Es ist traurig, dass die erste Reaktion der Leute darin besteht, Google mit dem Irrtum "Sie MÜSSEN es nicht benutzen" zu verteidigen. Glauben Sie nicht, dass Ihre persönlichen Daten, die sie an Werbetreibende verkaufen, einen monitorischen Wert haben? Google ist nicht kostenlos, es erfordert dennoch eine Zahlung, von der die meisten Menschen nicht einmal wissen, dass sie sie leisten.

Um die Frage zu beantworten, ich glaube nicht, dass sie dafür zu weit gehen oder "böse" sind. Was ist, wenn Sie nach Informationen suchen, die anderen schaden könnten, wenn sie durchgesickert sind (z. B. Googeln wie "Wie behandle ich den Herpes meiner Tochter?"), Oder wenn Sie eine E-Mail an eine andere Person senden, die sicher sein möchte. Sollte es an Ihnen liegen, ob das, was SIE senden, auf Ihrer Seite verschlüsselt ist oder nicht? Sie interessieren sich vielleicht nicht für Sicherheit, aber andere Leute tun es, und es ist nur Ende-zu-Ende, wenn beide Enden tatsächlich Sicherheit erzwingen. Ich würde es jedoch vorziehen, wenn Google eine Methode zur Verwendung von Nicht-TLS-Verbindungen angibt, wenn es noch Geräte gibt, die Google verwenden, deren Speicher/Ressourcen/Entropie jedoch zu knapp ist, um eine sichere Verbindung herzustellen.

8
Guest dude

War Google böse, weil Sie das HTTP-Protokoll anstelle des Gopher-Protokolls verwenden mussten? Ich glaube nicht, dass die meisten Leute argumentieren würden, dass es so war. Aber wenn es nicht böse ist, die Verwendung eines Protokolls über ein anderes zu verlangen, warum sollte es dann in diesem speziellen Fall böse sein: SSL um HTTP zu wickeln?

4
The Spooniest

Googles Hände sind gebunden. Google tut dies nicht nur, um Sie zu schützen. Sie tun es, um sich zu schützen. Sie wollen nicht, dass andere Leute mit Ihren Sachen herumspielen, weil sie sie für Sie tragen, und sie haben eine Menge rechtlicher Verpflichtungen, die mit der Aufnahme von Sachen anderer Leute verbunden sind. Sie sind verpflichtet zu verhindern, dass ein Konto auf eine Weise verwendet wird, die für andere ein Problem darstellt.

3
user42884

Wie andere sagen, haben Sie normalerweise nichts zu verlieren, wenn Sie Verschlüsselung anstelle von Nichtverschlüsselung verwenden, selbst wenn Sie der Meinung sind, dass Sie keine Verschlüsselung benötigen.

Wenn Sie jedoch wirklich unverschlüsselt darauf zugreifen möchten (vielleicht um jemandem zu beweisen, der Ihre Linie beobachtet, dass Sie nichts Böses tun), können Sie einen HTTP-Server einrichten, der selbst über HTTPS eine Verbindung zu Google herstellt, und alle Anfragen und Antworten weiterleiten (entsprechend angepasst).

Sie sollten das Logo und einen Teil des Textes so ändern, dass es nicht so aussieht, als würden Sie Google direkt verwenden. Und Sie sollten darüber nachdenken, HTTPS zumindest für den Anmeldevorgang zu verwenden.

Dies sollte für jeden "bösen" Server funktionieren, der nur HTTPS unterstützt.

2
Paŭlo Ebermann

TL; DR: Es ist besser, aber es ist nicht gut genug.

Die Möglichkeit einer Verbindung mit Abgriff im Vergleich zu den Kosten dieser Art von Sicherheit liegt auf der Hand und erfordert keine weitere Überlegung als "Ja, dies ist erforderlich".

Es ist wichtig zu bedenken, dass SSL möglicherweise nicht perfekt ist und es sehr unwahrscheinlich ist, dass die Implementierungen wasserdicht sind. Insbesondere in einem Fall wie Google wird Ihre Privatsphäre und Ihr Briefgeheimnis durch die Verwendung von SSL nicht gewahrt.

Das einzige Risiko, das Google verhindert, sind Spionageformen durch Akteure, die nicht leistungsfähig genug sind, um Ihren Computer, Google oder SSL zu untergraben. Dies könnte auch den Aufwand für andere Akteure erhöhen.

Es verhindert nicht alle Arten von SSLStrip, wie dies SSLstrip bei der Überarbeitung oder sogar Weiterleitung von Transits tun kann. Ein gewöhnlicher Benutzer wird das Fehlen einer kleinen SSL-Sperre nicht bemerken. Ein bisschen mehr Magie könnte sogar ein neues Sicherheits-Lockpad zurückbringen.

1
Lodewijk

Vielleicht sollten sie eine Option anbieten, um SSL bei Bedarf zu deaktivieren. Möglicherweise gibt es in einigen Ländern einige Verschlüsselungsbeschränkungen oder Netzwerkanforderungen, die Benutzer daran hindern würden, auf den Dienst zuzugreifen. Ich kann einen gewissen geschäftlichen und benutzerbezogenen Wert für die Bereitstellung unsicherer Optionen erkennen, aber die Standardeinstellungen sollten sicher sein.

Google hat dies jedoch wahrscheinlich als Geschäftsentscheidung getroffen, und Sie sind an die Nutzungsbedingungen gebunden. Google verschlüsselt immer andere Informationen, z. B. Suchergebnisse, wenn Sie angemeldet sind, sodass Protokollserver und Statistiken die Schlüsselwörter Ihrer Suche nicht lesen können. Wenn Sie mit der angebotenen Dienstleistung nicht zufrieden sind (zu wenig oder zu viel Sicherheit), können Sie jederzeit den Anbieter wechseln. Im Fall von E-Mails ist es trivial, IMAP zu verwenden, um Ihre Daten tatsächlich herauszuholen und an anderer Stelle zu importieren.

Ich glaube nicht, dass sie seit einiger Zeit auch IMAP/POP-Zugriff ohne Verschlüsselung zulassen.

0
Eric G