Google переводит работу своих сервисов на протокол HTTPS, обеспечивающий бОльшую защищенность пользовательской информации. Ранее интернет-гигант сделал стандартной поддержку HTTPS при работе со своим поиском, теперь же вариант работы с защищенным протоколом появился и для других сервисов компании, в частности с Google+, Gmail, Google Docs и Google Apps.
Ранее о поддержке протокола HTTPS заявили социальные сети Facebook и Twitter, однако в случае с последними, HTTPS реализована таким образом, что допускается вариант ретроспективной расшифровки. Это означает, что если хакер перехватит, например пользовательский адрес электронной почты, то сейчас он не сможет ее прочитать из-за шифра, но в случае использования больших вычислительных мощностей это в теории возможно.
В Google говорят, что используют более тяжелый вариант шифрования, который защищает данные как по направлению к клиенту, так и от него. Такая система использует два ключа - один производный от другого, причем если хакеру удастся каким-то образом дешифровать первый ключ, то на дешифровку второго у него есть лишь несколько месяцев, после чего происходит ротация ключей. Даже в случае использования очень мощного компьютера на дешифровку уйдут годы, говорят в компании.
Сейчас данный вариант защиты применяется для SSL Search, Google Docs и Google+.
Интересно отметить, что компания применила и хитрый маркетинговый трюк - данная система защиты гарантированно работает только на браузерах Chrome и Firefox, так как она использует алгоритм так называемых эллиптических кривых Диффи-Хеллмана (ECDHE) для согласования ключей. Такая система позволяет как клиенту, так и серверу создавать надежные пары крипто-ключей. В принципе, Microsoft Internet Explorer также поддерживает ECDHE, но для работы системы на 100% браузер должен также поддерживать потоковые шифры RC4, чего нет в IE.
Проверить надежность соединения можно в адресной строке браузера, кликнув по значку HTTPS (см скриншот).
В Google говорят, что считают предложенный вариант достаточно надежным в современных условиях, а кроме того, все программное обеспечение для его реализации доступно в исходниках в интернете.
Источник: CyberSecurity
|
