Od dziś Google można odpytywać po “bezpiecznym protokole” HTTPS. Wątpimy, że SSL przy wyszukiwaniu jest zbawieniem dla wszystkich internautów, ale w kilku sytuacjach może być przydatny. Poniżej pokazujemy jak dowiedzieć się, co dana osoba wpisała w “Bezpieczne Google” mimo tego, że połączenie jest szyfrowane i “nie do podsłuchania”.
Google: HTTPS i SSL
Aby skorzystać z wyszkiwarki po SSL-u trzeba udać się na stronę https://www.google.com (niestety na razie klepanie “www” jest niezbędne).
Na stronie wyszukiwarki nie zobaczymy linków do innych usług Google (żeby przypadkiem nie “wyciec” naszego zapytania do nieszyfrowanych Maps, Images czy Video.
Eksperyment #1: Zbędny SSL
Szczerze mówiąc, nie bardzo rozumiemy wprowadzenie możliwości “poufnego” wyszukiwania, bo z poufnością wyszukiwanie w Google, czy to po SSL-u, czy bez, nie ma zbyt wiele wspólnego…
Raz, że Google i tak wie, czego szukamy (i dalej odkłada logi “celem ulepszenia silnika sugestii”). Dwa, że klikając na wyniki wyszukiwania, opuszczamy protokół HTTPS i potencjalny podsłuchiwacz i tak dowie się, czego dotyczy oglądana przez nas strona.
Nie wierzycie? Spróbujcie odgadnąć co “ofiara” wpisała w Google, jeśli sniffer pokazuje wam, że ofiara odwiedziła (w krótkim czasie po sobie) poniższe strony:
Kod: Zaznacz cały
http://pl.wikipedia.org/wiki/Zaparcie
http://www.zaparcie.pl/
http://zdrowie.gazeta.pl/zdrowie/2,51172,,,,37394035,P_MEDIMEDIA_CHOROBY.html
Małe, nieużyteczne ulepszenie
Jeśli mówimy o poufności komunikacji w kontekście HTTPS to większy sens miałoby zezwolenie na wyszukiwanie tylko i wyłącznie stron, które HTTPS wspierają… Ale ile zwykłych serwisów jest dostępnych po HTTPS?
No i kolejna przeszkoda: jak często mając serwis wspierający HTTPS można wywnioskować czego on dotyczy po samych tylko słowach w adresie URL?. No właśnie… taka specyfika protokołu i cieżko coś z tym zrobić.
https://weneryczne.choroby.biz/
Władku, jak mogłeś!?
Eksperyment #2 – Nicniedający SSL
To teraz drugi eksperyment. W podsłuchanym ruchu sieciowym widzicie, że ofiara odwiedziła stronę: nastolatki/./pl. Jakie mogła zadać pytanie? Czy tylko nasuwające się na myśl “nastolatki“?
Zakładając, że 90% osób po wpisaniu w wyszukiwarkę zapytania klika na jeden z pierwszych trzech wyników…
…wpiszmy adres odwiedzonej strony do narzędzia, które pokazuje nam słowa kluczowe związane z danym serwisem oraz jego pozycję dla tych słów.
Zastanówcie się tylko czy mając w garści ruch do stron, w ogóle potrzebujemy słów kluczowych, które ofiara wpisała w Google?
A może jednak Google po SSL się przyda?
Naprawdę chcąc uzasadnić skorzystanie z wyszukiwarki po SSL-u, po długim namyśle, doszliśmy do takiej, dość wydumanej sytuacji:
Dlaczego dość wydumana to historia? Bo prelegenci PSAWO to w końcu osoby związane z bezpieczeństwem i chcąc zachować swoją prywatność albo stunelują się po VPN, albo skorzystają ze swojego korporacyjnego modemu i sieci GSM…Na spotkanie osób zainteresowanych bezpiecznym pisaniem webaplikacji PSAWO (Polskie Stowarzyszenie Atakowania Webaplikacji Okolicznych) zaproszono przedstawiciela firmy AI Rogella — dużej platformy sprzedażowej. W trakcie prezentacji pada pytanie, z jakiego frameworka korzysta ta firma do pisania swojego kodu… Przedstawiciel odmawia odpowiedzi zasłaniając się procedurami bezpieczeństwa i tajemnicą firmy.
Pod koniec pada kolejne pytanie, czy wykorzystywany framework umożliwia np. wsparcie dla OpenID? Prelegent nie wie, ale pytanie wydaje mu się na tyle ciekawe, że pierwsze co robi po prezentacji to wpisuje do Google: “TajnyFramework OpenID support“, sprawdzając, że w wykorzystywanym przez jego firmie frameworku OpenID jest (bądź nie jest) wspierane. Słuchacze oczywiście sniffują publicznego HotSpota i już mają odpowiedź na pytanie, z jakich rozwiązań korzysta firma AI Rogella.
PR i nic więcej?
Podsumowując, mamy wrażenie, że szyfrowanie samego wyszukiwania niczego nie zmienia i patrząc na powyższe eksperymenty bardziej niż poziom prywatności internautów raczej podnosi PR dla Google. Ale zawsze lepiej móc więcej niż mniej…
W “Szyfrowanym Google” widzielibyśmy więcej sensu, gdyby udostępniany przez Google “cache stron” również był dostępny po HTTPS — ale jak narazie, nie jest.
Właśnie zauważyliśmy plus HTTPS-u w Google — co prawda nie techniczny, a polityczny… Chodzi o zwiększenie świadomości “szyfrowania połączeń” wśród właścicieli serwisów internetowych — miejmy nadzieję, że “agitacja” Google skłoni kilka serwisów do udostępnienia HTTPS-u.