有人批评Google邪恶,因为他们强迫他们建立安全连接,即使他们不想获得安全。他们争辩说,如果这仅仅是他们自己的帐户,难道不是他们唯一决定是否保护自己的帐户的人吗?
注意:此问题是按上面链接的文章发布的,目的是为了为非现场提出的问题提供规范的答案(这就是为什么由提出该问题的同一人回答的原因)。
#1 楼
不只是关于你。通过强制用户使用TLS,他们为每个人创建了一个更安全的环境。如果不严格执行TLS,则用户容易受到诸如sslstrip之类的攻击的影响。从本质上讲,将未加密的连接设为选项会导致攻击者有可能迫使用户进入未加密的连接。
但这还不是全部。要求TLS是在google.com域上实施HSTS的第一步。 Google已经采取了机会主义的HSTS执法措施-也就是说,它们不需要TLS,但是它们确实限制了允许在Google.com上使用哪些证书(nb:现在称为HPKP)。这是一个改进,但并不是最终解决方案。
要全面实施HSTS,他们需要确保在域内所有Google服务上要求使用TLS不会破坏任何必然的第三方解决方案。启用强制功能后,就很难将其关闭。因此,通过将服务逐一迁移到严格的TLS强制实施,它们为实现跨域HSTS强制实施铺平了道路。
一旦强制实施,浏览器将简单地拒绝连接通过不安全或不安全的连接向Google发送。通过在浏览器本身中发布此设置,实际上将无法实现规避。
免责声明:我现在为Google工作,但在撰写本文时却没有为Google工作。这是我的观点,而不是Google的观点(对于对时间顺序有基本了解的人应该立即明白)。
评论
不只是关于你。这不应该不仅仅是我的事。
– VarunAgw
2014年3月27日18:17
@VarunAgw,这样可以更好地解析。与困惑的独白相比,两个人之间的对话在心理上更易于跟踪。
– tylerl
2014年3月27日18:23
这类似于从疾病中免疫后如何帮助所有人(不再能够从您身上感染该疾病),而不仅仅是您自己。
– asmeurer
2014年3月27日20:31
所述文章中引用使用未加密连接的原因之一是性能。您可以通过提及Google服务和Chrome浏览器可能使用SPDY来改善答案,这可以避免HTTPS所带来的许多性能缺陷。在所有连接上都将多路复用一个加密通道,因此所有协商开销和TCP慢启动都消失了。
– Isotopp
2014年3月28日在8:19
我对您回答的技术方面有疑问。这如何防止像sslstrip这样的技术?作为中间人,您是否仍不能通过TLS连接到Google,但充当没有SSL的HTTP服务器,以未加密的形式为Google提供服务?也许您还必须剥离一些Javascript,以便在客户端检查TLS。如果浏览器本身没有诸如“在没有TLS的情况下永远不要访问google.com”之类的内置规则,那么我看不出如何防止这种攻击,但是只要不支持HSTS,就不会发生这种情况
–尼古拉斯B.
2014年3月30日15:49
#2 楼
让我用一些额外的细节来重述您的问题,这些细节是隐性的,但对每个人来说可能都不是显而易见的:”“通过向我提供免费的电子邮件服务以及千兆字节的存储和强制功能,Google并不是邪恶的吗?当我访问他们慷慨提供给我的服务时,我就进入了安全连接,即使我不想受到保护,也没有人强迫我使用它?如果这只是我自己在他们服务器上的帐户,并且免费提供给我仅根据我同意的使用条款收取费用,我不应该是唯一决定使用THEIR服务器应如何处理以及是否要使用一项成本完全由服务器端和对我来说没有实际的不利之处吗?“
,真的,他们对Google感到不安!
评论:在这方面针对Google的反应就像下意识的反应一样:自动,目标不完全,完全不涉及任何大脑。
评论
邪恶。那就是dey ar。给我免费的东西,确保我保持安全。那就是恶魔的讨价还价。
– tylerl
2014年3月25日20:57
该服务是否免费(以及您是否考虑过,gmail不是免费的-交易根本不涉及$ s)与问题无关。问题很简单,要求使用HTTPS而不是由用户选择是好是坏。自由与否无关。这个问题似乎是完全正确的(没有“邪恶的”引用,尽管“邪恶的”基于对Google的不太精细的引用不是邪恶的,并允许用户控制其数据)。
– LB2
2014年3月25日在21:06
@ LB2:重要的是有一笔交易:您根据同意的使用条款使用Gmail。缺乏货币兑换意味着用户缺乏控制自己条件的能力。潜在的基调是,人们经常忘记Google并不是他们有权使用的公共服务。
–汤姆韭菜
2014年3月25日在21:59
Google不是免费的吗?请编辑。我像其他大多数在线服务一样为Google付费,但遭到了轰炸。某些服务允许付费版本而无需添加,包括Google企业许可。
–迪恩·米汉(Dean Meehan)
2014年3月26日在17:02
“如果您不支付服务费用,那么您就是产品”
– Liasssa Lurkrof
2014年3月27日13:59
#3 楼
如果Google希望安全地传输其服务器的内容,即使这些内容是您的电子邮件信箱,这完全由他们自己决定。#4 楼
实际上,不,谷歌对此不是邪恶的,根本不是邪恶的。与此相关的第一件事是,安全连接的使用不是用户偏好或某些个性化设置。有些人可能会感到困惑,因为他们仅从最终用户的位置熟悉系统。我自己是一名软件开发人员,我可以告诉您,安全性是在应用程序级别完成的,并且会影响系统的所有用户。在不影响整个系统和所有其他用户的安全的情况下,无法从技术上基于用户的选择来强制执行身份验证安全,大多数用户可能都依赖于系统对其数据的保护。但是,如果有可能,我当然想知道如何。
作为公共服务提供商,Google的合理选择是为其所有用户建立一个安全的环境。这不仅是为了用户的安全,也是为了公司。想象一下,如果某人成为安全漏洞的受害者,并向Google提起诉讼,并证明由谁来负责?如果他们没有采取标准措施来保护用户数据,并且可能不得不面对整个愤怒的用户群体,那就是这种情况。不使用HTTPS就是这种情况的一个示例-任何人都可以拦截您的Web请求并将信息视为纯文本。 Google的用户数据是明智的。看起来像一个简单的电子邮件地址和一个密码,但这两个项目构成了您所有联系人,通信和个性化Google服务的关键。
此外,Google是一个OpenID提供程序,这意味着可以使用相同的用户密码(Google帐户之一)对外部系统(例如StackExchange网络中的站点,包括该站点)进行身份验证,YouTube,Disqus,Picasa和许多其他流行的系统)。我很难想象一个人宁愿拥有他的“钥匙”来保护许多不安全的帐户和服务。
通常,这是对技术要求的衡量,而不是对用户首选项的强制执行。就电子邮件,在线支付和使用我的私人数据的其他服务而言,我个人将永远不会相信一个不执行诸如安全连接和身份验证之类的最低安全条件的系统。
#5 楼
强迫您使用安全连接是否有害?不,我不认为这是邪恶的。它保护了整个社区,对您个人没有任何不利影响。
如果他们强迫您使用SSL / TLS,然后又不使用前向保密性,那么这给您带来了唯一的邪恶
没有前瞻性保密,您的会话可以在不确定的时间内存储,稍后获得私钥(通过任何方式;社会工程,盗窃) ,政府)和您的长期会话解密。
使用前向保密和临时密钥,可以大大减轻这种担忧。
谁可以列举使用SSL /的缺点TLS连接?任何人? :-)
可能会有性能问题,但实际上只有在网站设计不良时,它需要大量的新鲜连接才能从页面提供内容。这种设计也将对常规的非安全HTTP会话产生严重的负面影响。
HTTPS的性能影响实际上完全在连接握手中,因为它需要更多的往返行程和一些时间少量的计算密集型非对称加密,以在服务器上生成对称会话密钥并在客户端上对其进行解密(与对称加密相比,非对称加密确实非常昂贵)。
加密和解密的计算成本初始密钥交换后具有对称密码的实际会话数据可以忽略不计。
强制SSL / TLS会话会花多少钱?副手,老实说,我不相信您会有可观的成本。
评论
另一方面,许多人认为安全HTTP的更广泛使用是一个好主意,或者换句话说,SSL / TLS可能是必不可少的层。每当任何服务需要凭据时,都必须使用SSL / TLS保护凭据。如果身份验证是安全的,则整个会话都必须是安全的(MIM攻击)。使用SSL / TLS保护身份验证,然后在之后来回传递不安全的身份验证令牌是一个错误,这是Google停止这样做的好习惯。 SSL / TLS已经在您的浏览器中。使用安全的网站不会使您的生活复杂化。它应该成为规范。
– Craig
2014年3月27日在3:56
@immibis,他们在那里是为了吸引您的好友。
–OneOfOne
2014年3月28日在12:22
@immibis推动整个互联网使用TLS的不仅是Google,还有EFF,Mozilla,Microsoft ...还有许多其他大公司。实际上,IETF正在/已经考虑将TLS视为HTTP / 2.0规范的必需部分。我从没看过结果,但最后我听说他们会对此提出强烈建议,只建议在已知安全的环境(例如公司内部网)中将其关闭。
– strugee
2014年3月30日2:00
@strugee是,但是计算费用不是唯一的相关因素。网络延迟是一个必须考虑的大问题。 HTTPS建立会话所需的每次会话往返次数是HTTP的两倍。如果您的ping时间为50毫秒,则仅由于往返延迟就需要近四分之一秒来建立HTTPS连接。这就是为什么重用连接,组合脚本和CSS文件,使用CSS Sprite代替大量小图像请求等如此重要的原因。所有这些方法也将大大加快HTTP页面的速度。双赢。
– Craig
2014-3-30的3:02
多个请求仍然会使您减速。但是,更糟糕的是,对其他站点的请求充满了请求(分析JavaScript是否包含任何对象?),因为这些连接中的每一个都需要新的HTTPS连接。人们至少不能异步加载这类脚本是不合理的。
– Craig
2014年3月30日,3:10
#6 楼
令人遗憾的是,人们的第一反应是使用“您不必使用它”的谬误来捍卫Google。至于资金交易,您不认为自己出售给广告商的个人信息具有监控价值吗? Google不是免费的,它仍然需要大多数人甚至不知道自己正在付款的付款。现在,要回答这个问题,我认为他们并不过分或“邪恶”为此。如果您查找泄露的信息可能会对他人造成伤害(例如,使用Google搜索类似“我该如何治疗女儿的疱疹”之类的信息)会怎样?或者,如果您正在向希望保护其隐私的其他人发送电子邮件,该怎么办?是否由您自己加密发送的内容是否取决于您?您可能并不在乎安全性,但是其他人会在意,只有两端真正执行安全性时,它才是端到端的。但是,如果仍然存在使用Google的设备,但它们的内存/资源/熵太饿而无法建立安全连接,那么我希望Google提供一种使用非TLS连接的方法。
评论
+1表示不,软件公司不会出于善意和温柔的心为您提供免费服务。他们想获利,而您对此不欠任何东西。您可以随意提出任何要求,即使这些要求如此荒唐,也可以拒绝。
– GregRos
2014年3月29日在0:14
#7 楼
Google不仅保护您和您的数据,还保护自己。绝大多数的互联网用户都不知道安全性,也不在乎。当提供任何不安全的路径作为备用时,用户会使用它,并且如果这是中间人破坏了其他所有功能。
如果您的帐户遭到入侵,这不仅是您的问题和您的数据,以及针对Google的数据:
垃圾邮件可能是使用其服务发送的。
Google的身份验证信誉(单点登录)将受到攻击
可能会滥用服务,导致费用(对于Google)(对于Google),他们可能无法获得赔偿。
为您找回帐户需要人工进行互动,其中涉及费用
安全性也可以是省钱的问题。
评论
此外,还有其他答案中提到的提起诉讼的可能性。
– strugee
2014年3月30日在2:05
#8 楼
Google是否因为要求您使用HTTP协议而不是Gopher协议而邪恶?我认为大多数人都不会这样认为。但是,如果要求在另一个协议上使用一个协议不是邪恶的,那么为什么在这种特殊情况下它是邪恶的:将SSL封装在HTTP周围呢?#9 楼
谷歌的双手被绑住了。 Google arent只是为了保护您。他们这样做是为了保护自己。他们不希望其他人把您的东西弄乱,因为他们为您搬运东西,而且他们负有承担其他人的全部法律义务。他们有义务防止以任何会给他人造成麻烦的方式使用任何帐户。#10 楼
就像其他人所说的那样,即使您认为不需要加密,使用加密而不是非加密通常也不会丢失任何内容。但是如果您真的想以非加密方式访问它(也许是为了向观察您行的人证明您没有做任何邪恶的事情),您可以设置一些HTTP服务器,该服务器本身通过HTTPS连接到Google,并转发所有请求和响应(经过适当调整)。
您应该修改徽标和某些文本,以免看起来像直接使用Google。并且您应该考虑至少在登录过程中使用HTTPS。
这对于每个仅支持HTTPS的“邪恶”服务器都应适用。
#11 楼
TL; DR:更好,但是还不够好。建立分接式连接的机会与这种类型的安全性的成本相比是显而易见的,除“是的,这是必需的”之外,无需进一步考虑。
重要的是要记住SSL可能不是完美的,实现不太可能是防水的。此外,特别是在像Google这样的情况下,使用SSL不能保留您的隐私和信件秘密。
有效地,Google阻止的唯一风险是行为者的间谍活动形式不够强大,无法破坏您的计算机,Google或SSL。它可能还会增加其他参与者的工作量。
它不能阻止所有SSLStrip,因为SSLstrip可以在传输重做甚至重定向中进行。普通用户不会注意到缺少一点SSL锁定。额外的一点魔法甚至可以带回新的安全锁板。
评论
尚不清楚(窃听连接的成本*窃听连接的机会)> TLS的成本。但是,如果Google不介意支付额外费用(如果有的话),那是他们的选择。
–user253751
2014年3月27日,1:14
原因主要是TLS与任何人类灾难相比都非常便宜。也许并非总是如此,但这不是一个有趣的讨论。有了选择,总会有人选择“为我创造问题”模式。
–罗德韦克
2014年3月27日在1:22
我并不是说这很糟糕-至少不是出于这个原因。当您将一个巨大的数字与一个微小的数字相乘时,很难知道结果是巨大的还是微小的。 Google只是谨慎行事,这是一件好事。
–user253751
2014年3月27日在1:25
究竟! :) ________
–罗德韦克
2014年3月27日在1:30
#12 楼
如有必要,也许他们应该提供禁用SSL的选项。在某些国家/地区或网络要求中可能存在一些加密限制,这些限制会阻止用户访问该服务。我可以看到提供不安全选项的一些商业和用户价值,但默认值应该是安全的。但是,Google可能会将其作为商业决策,因此您受其服务条款的约束。 Google始终会加密其他信息,例如登录后的搜索结果,因此日志服务器和统计信息无法读取搜索关键字。如果您对所提供的服务不满意(安全性太低或太高),则可以随时切换提供商。就电子邮件而言,使用IMAP实际将您的数据导出并导入其他地方很简单。
我也不认为他们一段时间以来也允许IMAP / POP访问而不进行加密。
评论
即使允许该选项连接到HTTP而不是HTTPS,也为中间人攻击打开了大门。对于提供访问关键数据的任何服务器来说,这不是一个好的选择。
– Craig
2014年3月27日下午4:02
@克雷格:请详细说明?是否存在一种攻击会使用户认为自己不在使用安全连接的情况?
–user253751
2014年3月27日下午4:50
@immibis很好,如果该站点可以通过HTTP或HTTPS进行工作,则计算机本身上的恶意软件(我已经多次看到)可以将浏览器悄悄地重定向到站点的HTTP版本。如果服务器不能通过HTTP工作,那么这显然将无法工作。另外,此页面上的其他帖子中也至少提及一次SSLSTRIP(及其关联的MIM kin)。 :-)
– Craig
2014年3月27日在5:12
@Craig真正关心安全性的人肯定会检查他们是否使用https。
–user253751
2014年3月27日5:15
@immibis毫无疑问,您已经了解到大多数“正常”人对此东西的理解程度,对吗? :-)他们只是不考虑这一点,这就是问题的一部分-如此之多的人甚至不知道到底发生了什么,他们甚至在不了解发生了什么的情况下就利用了这一事实。老实说,我认为为普通普通民众提供一些保护是很好的。 Web服务器上SSL / TLS的一项功能是,如果证书与域名不匹配,则Web浏览器将吠叫您。 HTTPS只是一个更高的标准。
– Craig
2014年3月27日在5:23
评论
您可能不想保护自己,但是我敢打赌,其他人中有99%希望得到保护,尤其是当NSA之类的事情仍然存在时。我的意思是我不想让陌生人阅读我的Skype对话-它们是私密的。这就是为什么我们通过互联网而不是公共场所拥有它们。我不希望世界另一端的陌生人阅读我的电子邮件。我经常收到很多非常私人的敏感电子邮件(不是那样!!)。有时可以强制执行安全性。 HTTPS就是一个例子。尽管并不完美,但它远比纯HTTP更好。它基本上不花钱,并且使批量监视更加困难。甚至有人认为HTTP 2.0仅是SSL。
Google是否会通过强制您使用密码登录来扩展范围?
为了使它“邪恶”,您必须争辩说它会造成某种伤害。
@Shiki这有点似是而非。我可以使用您的逻辑来禁止任何人类行为。每个人在自己的生活中都有权利和权力。无论如何,原始示例实际上与手头的问题无关。政府的位置与企业的位置不同,我实际上是通过缴税来为道路和警察支付费用,而Google用户正在获得免费服务,因此需要根据他们决定使用的服务进行“投票”。如果您讨厌Google让您使用TLS,请使用Yahoo!或其他服务。这就是业务运作的方式。