Wszyscy zalogowani użytkownicy wyszukiwarki Google będą niebawem domyślnie korzystali z HTTPS. To oznacza, że administratorom sieci trudniej będzie podsłuchać, czego szuka internauta — i jest to plus. Ale są także minusy. Właściele stron z wyników wyszukiwania, na które kliknie użytkownik, nie zobaczą słów kluczowych, po których nastąpiło wejście. Jak można się domyślić, specjaliści od SEM/SEO nie są z tego powodu zbyt zadowoleni. Ciekawostek związanych z wprowadzeniem HTTPS jest zresztą jeszcze kilka…
HTTPS w Google: nie tylko o prywatność chodzi
Przy okazji tej zmiany w Google dużo mówi się o “bezpieczeństwie” i “prywatności” oraz o tym, jak to dobrze, że Google w końcu dołączyło do Facebooka i Twittera, czyli serwisów, które od jakiegoś czasu udostępniają użytkownikom HTTPS.
Mało kto jednak zwraca uwagę na to, że Google na wprowadzeniu HTTPS zyskuje na polu walki z podmieniczami reklam i wyników wyszukiwania. Od teraz nikt zalogowanemu użytkownikowi Google nie będzie w stanie podmienić wyników oraz reklam AdSense dodawanych przez Google do stron z wynikami wyszukiwania (chodzi o te widoczne po prawej i na górze). Takie przypadki podmian, czyli klasyczne ataki MITM, zdarzały się na poziomie operatorów sieci (np. administratorzy w firmach/uczelniach) oraz samych operatorów (ISP). I jak można się domyślać, trochę uderzały w finanse Google. Teraz powinny uderzać mniej.
Wbrew pozorom, HTTPS w Google nie oznacza, że nikt nie będzie w stanie podmieniać nam wyników wyszukiwań czy reklam. Dalej będzie mogło robić to złośliwe oprogramowanie, którym przypadkiem zainfekujemy nasz komputer. I pokuszę się o stwierdzenie, że jest to sytuacja częstsza niż sniffing hotspotów/sieci na poziomie operatora.Pamiętajmy, że HTTPS zapewnia nie tylko “szyfrowanie” ale również integralność przesyłanych danych.
HTTPS to nie gwarancja prywatności
Wbrew pozorom, HTTPS w Google wcale nie musi tak bardzo chronić prywatności “szukaczy” jak nam się wydaje — analizując zaszyfrowany ruch internauty także można wiele wywnioskować. HTTPS nie gwarantuje prywatności.
Dodatkowo Google udostępnia opcję NoSSLSearch, która blokuje możliwość korzystania z wyszukiwarki po protokole HTTPS — w założeniach ma to być narzędzie dla szkół, które chcą cenzuro kontrolować, czego w internecie szukają uczniowie…
A więc zachwycajmy się domyślnym HTTPS-em w Google. Ale niech będzie to zachwyt “wyważony”. Nie dajmy się nabrać na powtarzane tu i tam uproszczenia, że “HTTPS jest gwarancją prywatności”. Nie jest.
Piotr Konieczny
niezbędnik.pl