注册 登陆
  • williamlong (williamlong) » 月光博客

    Google支持HTTPS加密搜索

  • 2010-05-22 12:06:16 Tags:搜索 https google

  •   Google的官方博客曾经在上周发布消息称,Google会在下周部署HTTPS(超文本加密传输协议)加密技术的搜索方式,以确保搜索过程的安全性,Google没有食言,现在,HTTPS的Google搜索已经可以使用了。

      Google在官方博客介绍说,普通的HTTP浏览是不安全的,用户和服务器之间的通讯会被第三方监听和干扰,对于Google来说,你在Google搜索的词语会被第三方截获,如果第三方不希望你在Google搜索这个词语,还可以通过技术手段阻止用户的搜索行为。

      这也就是Google发布的beta版本的SSL加密搜索的原因,在HTTPS的Google搜索中,用户搜索的信息将无法被第三方获取,也不会出现数据泄漏的问题。目前HTTPS的Google搜索覆盖了Google网页搜索的部分产品,目前还不支持图片搜索和地图搜索,而其他搜素(资讯、博客、视频、动态等)都支持。

    Google支持HTTPS加密搜索

      对于中国用户来说,HTTPS的加密搜索一劳永逸地解决了中国用户对于Google搜索的稳定性问题,我们知道,从某一天开始,一些常用的中文单字在Google中被屏蔽,搜索包含“吴”、“温”、“贾”、“李”、“习”、“贺”、“周”、“胡”等字的词语,会出现“连接被重置”,这导致一些很常用的词语,例如“学习”、“胡萝卜”、“温度计”等无法在Google搜索,而现在,使用HTTPS的Google,我们可以搜索你想搜索的任何词语,再也不会出现“连接被重置”了。

      我早在2006年的时候就建议Google能支持HTTPS搜索,没想到要等这么多年才如愿所偿,HTTPS虽然较为耗费系统资源,但对于中国用户来说意义实在太大了。

      为了你的用户隐私、安全和稳定性,现在就把你的Google搜索地址更换为 https://www.google.com 吧。

      对于中国用户来说,如果你访问 https://www.google.com 自动跳转Google.com.hk,请点一下页面底部的Google.com in English,然后再访问https的Google即可使用。

    评论《Google支持HTTPS加密搜索》的内容...

    相关文章:统计
    关于我们: 地址 - www.williamlong.info 我的Google Reader - 我的Twitter - 我的Facebook - 月光博客Twitter
    月光博客投稿信箱:williamlong.info(at)gmail.com

  • 阅读全文
  • williamlong (williamlong) » 月光博客

    破解Google Gmail的https新思路

  • 2010-01-17 22:09:56 Tags:google 破解 思路 https gmail

  •   最近,Google针对Gmail被攻击事件,全面默认启用了始终以https访问Gmail的方式了。但是,对于可以动用整个国家力量的黑客来说,从网络通讯数据中(在此不讨论对用户电脑种木马破解https的情况,只讨论在网络通讯数据中破解https的方法)破解https除了暴力破解(暴力破解https即使按照现在的集群计算能力仍旧需要几百至几万年不等)之外真的别无他法了吗?事实并非如此。

      我们知道,https的安全性主要是由SSL证书中的公钥和私钥来保证的。浏览器与服务器经过https建立通讯的时候(不考虑SSL代理方式需要用户提交证书的情况,因为我们现在讨论的是浏览器访问网站,和SSL代理无关)会按照以下步骤保证通讯的安全性:

      1、浏览器连接服务器,服务器把SSL证书的公钥发送给浏览器

      2、浏览器验证此证书中的域是否和访问的域一致(比如用户访问https://mail.google.com/时,浏览器验证服务器发送过来的SSL证书的公钥中的域是否为mail.google.com或*.google.com)并没有过期

      3、如果浏览器验证失败,浏览器通知用户证书有问题,让用户选择是否继续

      4、如果浏览器验证成功,那么浏览器随机生成一个对称密钥并使用接收到的SSL证书的公钥进行加密并发送给服务器

      5、服务器通过SSL证书的私钥对收到的信息进行解密并得到浏览器随机生成的对称密钥

      6、最后服务器和浏览器都通过这个对称密钥进行通讯了(为什么不直接使用公钥和私钥进行通讯?因为非对称加密比对称加密效率低)

      这个方案看似完美,却无法抵御中间人攻击,攻击者可以按以下步骤实施攻击截取https通讯中的所有数据:

      1、攻击者伪造一个Gmail的SSL证书,使其中的域为mail.google.com或*.google.com,并设置合适的证书过期时间

      2、攻击者等待访问者的浏览器访问Gmail时,通过DNS劫持或IP伪造(对于有路由器控制权限的黑客来说简直轻而易举)的方法使其访问到攻击者的服务器上

      3、攻击者把伪造的SSL证书公钥发送给浏览器

      4、浏览器验证SSL证书的域和过期时间都没错,认为访问到的就是Gmail本身,从而把对称密钥发送给黑客服务器

      5、黑客服务器把伪造的Gmail网页通过收到的对称密钥加密后发送给浏览器

      6、访问者通过浏览器输入Gmail帐户,发送给黑客服务器,黑客服务器通过收到的对称密钥解密后成功获得访问者的Gmail密码

      为了抵御这种中间人攻击,SSL证书需要由可信的SSL证书颁发机构颁发,形成一个证书链(比如Gmail的证书链为:最底层为网域mail.google.com,上一层为Thawte SGC CA证书颁发机构,最顶层为很有名的VeriSign证书颁发机构)。那么,浏览器除了需要验证域和有效期外,还要检查证书链中的上级证书公钥是否有效,上级的上级证书公钥是否有效,直至根证书公钥为止。这样就可以有效避免中间人攻击了,因为根证书公钥都是预装在操作系统中的,黑客如果不是暴力破解,无法得到根证书的私钥,如果黑客自己生成一个私钥,浏览器验证根证书公钥的时候发现无法通过操作系统中预装的公钥加密数据后使用这个私钥进行解密,从而判定这个公钥是无效的。这个方案也是现在https通讯通常的方案。

      那么,这个现在所有的浏览器正在使用的https通讯方案就无懈可击了吗?答案仍是否定的。我们可以看到,在后一个方案中,https的安全性需要在证书颁发机构公信力的强有力保障前提下才能发挥作用。如果证书颁发机构在没有验证黑客为mail.google.com的持游者的情况下,给黑客颁发了网域为mail.google.com的证书,那么黑客的中间人攻击又可以顺利实施:

      1、攻击者从一家不验证mail.google.com持有者的SSL证书颁发机构WoSign那里得到了网域为mail.google.com的证书,此证书的证书链为:最底层为网域mail.google.com,上一层证书颁发机构为WoSign,顶层证书颁发机构为VeriSign

      2/3、第二、第三个步骤同上一个方案的中间人攻击的第二、第三个步骤

      4、浏览器验证SSL证书的域和过期时间都没错,继续验证证书链:

        4.1、最底层的网域mail.google.com证书公钥不在操作系统中,无法验证其访问到的就是Gmail本身,继续验证上一层证书颁发机构

        4.2、上一层证书颁发机构WoSign的公钥也不在操作系统中,仍旧无法验证其有效性,继续验证上一层证书颁发机构

        4.3、浏览器看到顶层证书颁发机构VeriSign的公钥在操作系统中,认为证书链有效,从而把对称密钥发送给黑客服务器

      5/6、第五、第六个步骤同上一个方案的中间人攻击的第五、第六个步骤。黑客成功获得访问者的Gmail密码

      然而,不验证域名持有者就颁发证书的情况在国外几乎不会发生,但是在国内就不一定了。针对破解目标,国内证书颁发机构WoSign(在此只是举例国内比较有名的证书颁发机构WoSign,并不代表WoSign今后一定会这么做)很有可能为了上级要求颁发了证书给非域名持有者的黑客,从而使得破解目标的Gmail密码被黑客截取。

      那么,国内的破解目标是不是使用https的Gmail也无法保证安全了呢?欢迎与我进行探讨。

      来源:读者lehui99投稿,投稿人Email为:lehui99@gmail.com,Google Wave为:lehui99@googlewave.com。

    评论《破解Google Gmail的https新思路》的内容...

    相关文章:关于我们: 地址 - www.williamlong.info 我的Google Reader - 我的Twitter - 我的Facebook - 月光博客Twitter
    月光博客投稿信箱:williamlong.info(at)gmail.com
  • 阅读全文
  • webmaster@naivix.com (jeff) » 奶味网-IT人- 最新RSS订阅

    Google计划让Gmail默认都使用https安全连接

  • 2009-06-17 18:40:09 Tags:全连 https gmail google

  • 感谢谷奥(google.org.cn)的投递
    新闻来源:http://google.org.cn/2009/06/17/google-test-gmail-https-by-default/
    Google今天表示他们计划让Gmail默认都使用https安全连接,他们考虑改变Gmail的后台服务使一些用户自动使用更安全的 HTTPS(Hypertext Transfer Protocol Secure)连接。目前,默认情况大家仅仅是用HTTPS登陆,但浏览邮件的时候依然切换回HTTP连接。


    gmail-in-https

    隐私专家表示目前的情况很不安全,比如你在一个咖啡馆里使用公众WIFI登陆Gmail,那么黑客就可以截获你的连接信息获得邮件内容。另外还有一个好处,用这个方式可以验证你登陆的是正统的Gmail服务器,而非那些伪装的钓鱼网站。

    其实Gmail一直支持HTTPS安全连接,但默认不是打开的,你可以到设置里改成强制都使用HTTPS连接。Google Docs和Calendar也可以用HTTPS安全连接,但没有地方可以设置默认都使用HTTPS,用户必须自己将“http://”的地址改成 “https://”

    去年Google曾经对HTTPS发表过看法,当时他们不赞同默认都使用HTTPS连接的做法,因为这样会使连接速度变慢。但现在,Google的 态度似乎有所转变,Google的软件工程师Alma Whitten在博客里说:我们正在对Gmail用户使用HTTPS登陆的速度做测试,看看速度的降低会不会影响用户体验,在某些特殊地区、特殊网络或特 殊的电脑设置下,连接HTTPS会不会造成速度大幅降低。

    无论如何,谷奥都建议Gmail、Calendar、Google Docs和Google Reader的用户多多使用HTTPS加密连接,一是保证安全,二是降低Google服务器被重置的风险。

    Via CIO
    转载请注明:文章转载自:谷奥——探寻谷歌的奥秘 [http://google.org.cn]

  • 阅读全文
  • » 奶味网-IT人- 最新RSS订阅

    QQMail开始提供全程https安全连接

  • 2008-12-31 17:00:18 Tags:全连 https 全程 qqmail

  • 感谢Louis Han的投递
    在2009年元旦即将来临之际,QQ邮箱团队又为广大用户送上了一份元旦大礼——https安全连接,这也是国内首家提供全程https安全连接的邮箱。https,即Hypertext Transfer Protocol over Secure Socket Layer(http安全连接)。众所周知,我们在互联网上冲浪,一般都是使用的http协议(超文本传输协议),默认情况下数据是明文传送的,这些数据 在传输过程中都可能会被捕获和窃听,因此是不安全的。



    还等什么,赶快来试试国内首家支持全程https安全连接的邮箱吧,https://mail.qq.com

    如果您在使用中有任何问题和建议,欢迎到QQ邮箱反馈意见。

  • 阅读全文