¿Se está excediendo en Google al obligarme a usar TLS?

No se trata solo de tú . Al obligar a los usuarios a utilizar TLS , están creando un entorno más seguro para todos .

Sin que TLS se aplique estrictamente, los usuarios son susceptibles a ataques como sslstrip . Esencialmente, hacer de las conexiones no cifradas una opción conduce a la posibilidad de que los atacantes obliguen a los usuarios a establecer conexiones no cifradas .

Pero eso no es todo. Requerir TLS es el primer paso para avanzar hacia el cumplimiento de HSTS en el dominio google.com. Google ya hace una aplicación HSTS oportunista, es decir, no requiere TLS, pero sí restringe los certificados que se pueden usar en Google.com (nb: esta técnica ahora se llama HPKP) . Eso es una mejora, pero en última instancia no es una solución.

Para el cumplimiento completo de HSTS, deben asegurarse de que el requisito de TLS en todos los servicios de Google dentro del dominio no rompa ninguna solución de terceros. Una vez que se activa la aplicación, no se puede desactivar fácilmente. Por lo tanto, al trasladar los servicios uno por uno a la aplicación estricta de TLS, están allanando el camino para hacer realidad la aplicación de HSTS en todo el dominio.

Una vez que esta aplicación esté en su lugar, los navegadores simplemente se negarán a conectarse a Google a través de una conexión insegura o comprometida. Al enviar esta configuración en el propio navegador, la elusión será efectivamente imposible.

  

Descargo de responsabilidad: trabajo para Google ahora pero no trabajé para Google cuando escribí esto. Esta es mi opinión, no la de Google (como debe quedar claro de inmediato para cualquier persona que tenga una comprensión básica de la cronología).

Permítame reformular su pregunta con algunos detalles adicionales, que están implícitos pero tal vez no sean obvios para todos:

"¿No es Google malvado por proporcionarme un servicio de correo electrónico gratuito y gigabytes de almacenamiento y forzándome a una conexión segura cuando accedo al servicio que me han otorgado generosamente? Yo y que nadie me obligue a usar , incluso si no quiero estar seguro. Si es solo mi propia cuenta en sus servidores y se me entrega de forma gratuita, solo de acuerdo con sus términos de uso para que he acordado , ¿no debería ser el único que decida lo que debería suceder con los servidores THEIR y si me aseguro o no con una tecnología cuyos costos están totalmente relacionados? el lado del servidor y sin ninguna desventaja real para mí ? "

¡Verdaderamente, el nervio que tienen en Google!

Comentario: las reacciones contra Google a este respecto se parecen a los reflejos instintivos: automáticos, dirigidos de manera imperfecta, y que no involucran a ningún cerebro en absoluto.

Si Google desea que el contenido de sus servidores se transfiera de forma segura, eso queda totalmente a su discreción, incluso si ese contenido es su casilla de correo electrónico.

De hecho, no, Google no es malo con esto, en absoluto.

La primera cosa importante acerca de esto es que el uso de una conexión segura es no es una preferencia del usuario o alguna configuración personalizada . Algunas personas pueden encontrar esto confuso porque están familiarizados con un sistema solo desde la posición de un usuario final . Como desarrollador de software, puedo decirle que la seguridad se realiza en nivel de aplicación y afecta a todos los usuarios del sistema. No hay forma de imponer técnicamente la seguridad de autenticación basada en la elección del usuario sin comprometer la seguridad de todo el sistema y de todos los demás usuarios, la mayoría de los cuales pueden confiar en la protección de sus datos por parte del sistema. Sin embargo, si es posible, seguramente me gustaría saber cómo hacerlo.

La opción lógica para Google, como proveedor de servicios públicos, es establecer un entorno seguro para todos sus usuarios. No es solo por seguridad para los usuarios, sino también para la empresa. Imagínese, si alguien se convierte en víctima de una brecha de seguridad, dispara una demanda contra Google y demuestra que son ellos los responsables. Este podría ser el caso si no tomaron las medidas estándar para proteger los datos del usuario, y podría tener que enfrentar a una comunidad entera de usuarios enojados en la corte. No usar HTTPS es un ejemplo de esto: cualquier persona puede interceptar su solicitud web y ver la información como texto sin formato. Los datos de usuario de Google son sensatos. Parece una simple dirección de correo electrónico y una contraseña, pero estos dos elementos forman una clave para todos sus contactos, correspondencia y servicios personalizados de Google.

Además, Google es un proveedor de OpenID, lo que significa que la misma contraseña de usuario (la de la cuenta de Google) puede utilizarse para autenticarse en sistemas externos (como la sitios en la red StackExchange, incluido este, YouTube, Disqus, Picasa y muchos otros sistemas populares). Es difícil para mí imaginar que uno preferiría que su "clave" para tantas cuentas y servicios no estuviera asegurada.

En general, esta es una medida de los requisitos técnicos, en lugar de hacer cumplir las preferencias del usuario. Personalmente, nunca confiaría en un sistema que no aplique las condiciones mínimas de seguridad, como la conexión segura y la autenticación, cuando se trata de correo electrónico, pagos en línea y otros servicios que trabajan con mis datos privados .

¿Malvado por forzarte a usar una conexión segura?

No, no creo que sea malvado. Protege a la comunidad en general sin inconvenientes para usted como individuo.

Creo que solo es malo si te obligan a usar SSL / TLS, y luego no puedes usar el secreto hacia adelante, lo que te da a ti y a todos los demás que usan el servicio un sentido de falso de seguridad.

Sin secreto de reenvío, su sesión puede archivarse por un período de tiempo indeterminado, la clave privada obtenida más tarde (a través de cualquier medio, ingeniería social, robo, gobierno) y su sesión de hace mucho tiempo desencriptada.

Con el secreto de reenvío y las claves efímeras, esa preocupación se ve seriamente mitigada.

¿Quién puede enumerar las desventajas de usar una conexión SSL / TLS? ¿Nadie? :-)

puede haber problemas de rendimiento, pero en realidad solo si el sitio web está mal diseñado, por lo que requiere muchas y nuevas conexiones para servir contenido desde una página. Ese tipo de diseño también tendrá un serio impacto negativo en una sesión HTTP no segura regular.

El éxito en el rendimiento de HTTPS está prácticamente en el apretón de manos de la conexión, ya que toma más viajes de ida y vuelta y un poco de cifrado asimétrico con un uso intensivo de cómputo para activar la clave de sesión simétrica en el servidor y descifrarlo en el cliente (cifrado asimétrico es realmente caro en comparación con el cifrado simétrico).

El costo de cálculo de cifrar y descifrar los datos de la sesión real con un cifrado simétrico después del intercambio de clave inicial es insignificante.

¿Cuánto le cuesta a usted una sesión SSL / TLS forzada ? A primera vista, honestamente no creo que haya un costo medible para usted.

Es triste que la primera reacción de la gente sea defender a Google utilizando la falacia de "no tienes que usarla". En cuanto a la transacción de dinero, ¿no cree que su propia información personal que venden a los anunciantes tiene un valor de seguimiento? Google no es gratis, aún requiere un pago que la mayoría de las personas ni siquiera se dan cuenta de que están haciendo.

Ahora, para responder a la pregunta, no creo que sean demasiado "malvados" por hacer esto. ¿Qué sucede si busca información que podría dañar a otras personas si se filtra (por ejemplo, buscar en Google algo como "cómo trato el herpes de mi hija") o qué sucede si está enviando un correo electrónico a otra persona que QUIERE estar segura? ¿Debería depender de usted si lo que ELLOS envían está encriptado en su extremo? Puede que no le importe la seguridad, pero a otras personas les importa, y solo es de extremo a extremo si ambos extremos realmente aplican la seguridad. Sin embargo, preferiría que Google diera un método para usar conexiones no TLS si todavía hay dispositivos que usan Google pero que están demasiado pasados de memoria / recursos / entropía para establecer una conexión segura.

Google no solo lo protege a usted y a sus datos, sino también a ellos mismos.

La gran mayoría de los usuarios de Internet no conocen la seguridad y no les importa. Al ofrecer a cualquier ruta insegura como alternativa, el usuario la usaría, y si se trata de algún intermediario que rompa todo lo demás.

Si su cuenta está comprometida, eso no es solo un problema para usted y sus datos, sino también para google :

• Los correos electrónicos no deseados pueden enviarse a través de sus servicios
• La credibilidad de Google para la autenticación (inicio de sesión único) sufrirá
• Un atacante podría hacer un mal uso de los servicios, lo que conlleva costos (para Google) que no podrían obtener una compensación por
• La recuperación de la cuenta para usted requerirá una interacción manual, lo que implica costos

La seguridad también puede ser una cuestión de ahorrar dinero.

¿Fue malvado Google por exigirle que use el protocolo HTTP en lugar del protocolo Gopher? No creo que la mayoría de la gente diría que lo fue. Pero si requerir el uso de un protocolo sobre otro no es malo, entonces ¿por qué sería malo en este caso particular: envolver SSL alrededor de HTTP?

Las manos de los googles están atadas. Google no lo está haciendo solo para protegerte. Lo están haciendo para protegerse. No quieren que otras personas se metan con tus cosas porque las llevan para ti, y tienen muchas obligaciones legales que conllevan el alojamiento de otras personas. Están obligados a evitar que cualquier cuenta se use de una manera que genere un problema para otros.

Como dicen otros, normalmente no tiene nada que perder al usar el cifrado en lugar del no cifrado, incluso si cree que no necesita cifrado.

Pero si realmente desea acceder a él sin cifrar (quizás para demostrarle a alguien que observa su línea que no está haciendo nada malo), puede configurar algún servidor HTTP, que a su vez se conecta a Google mediante HTTPS, y reenviar todos Solicitudes y respuestas (convenientemente adaptadas).

Debes modificar el logotipo y parte del texto para que no parezca que estás utilizando directamente Google. Y debería pensar en utilizar HTTPS al menos para el procedimiento de inicio de sesión.

Esto debería funcionar para todos los servidores "malvados" que solo admiten HTTPS.

TL; DR: Es mejor, pero no es lo suficientemente bueno.

La posibilidad de tener una conexión con conexión frente a los costos de este tipo de seguridad es obvia y no requiere más consideración que "sí, se requiere".

Es vital recordar que SSL puede no ser perfecto y es muy poco probable que las implementaciones sean impermeables. Además, especialmente en un caso como Google, su privacidad y el secreto de la carta no se conservan mediante el uso de SSL.

Efectivamente, el único riesgo que previene Google es la forma de espionaje por parte de actores que no son lo suficientemente poderosos como para subvertir su computadora, Google o SSL. También podría aumentar el esfuerzo para otros actores.

No evita todos los tipos de SSLStrip, como puede hacer SSLstrip en el retrabajo de tránsito o incluso redireccionamientos. Un usuario común no notará la falta de un pequeño bloqueo SSL. Un poco de magia extra podría incluso traer de vuelta un nuevo bloqueo de seguridad.

Quizás deberían ofrecer una opción para desactivar SSL si es necesario. Quizás haya algunas restricciones de cifrado en algunos países o requisitos de red que impidan que los usuarios accedan al servicio. Puedo ver algo de valor empresarial y de usuario para proporcionar opciones inseguras, pero los valores predeterminados deben ser seguros.

Sin embargo, es probable que Google haya tomado esto como una decisión comercial y usted está sujeto a los términos de su servicio. Google siempre cifra otra información, como los resultados de búsqueda cuando está conectado, por lo que los servidores de registro y las estadísticas no pueden leer las palabras clave de su búsqueda. Si no está satisfecho con el servicio prestado (muy poca o demasiada seguridad) siempre puede cambiar de proveedor. En el caso del correo electrónico, es trivial utilizar IMAP para obtener sus datos e importarlos en otro lugar.

Tampoco creo que hayan permitido el acceso IMAP / POP sin cifrado desde hace algún tiempo.