Googles nye funktion til SSL-kryptering beskytter mod, at uvedkommende ser dine søgninger, men gør ikke meget andet, skriver Shehzad Ahmad i denne klumme.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Google lancerede for nylig muligheden for at søge over en SSL-krypteret forbindelse. Tanken er udmærket, men i praksis får det næppe større sikkerhedsmæssig betydning.
SSL (Secure Sockets Layer), der strengt taget har skiftet navn til TLS (Transport Layer Security), er en metode til at kryptere kommunikation over et netværk.
Med HTTPS sender man HTTP-trafik over en SSL-krypteret forbindelse. Fordelen er, at uvedkommende, der opsnapper datapakkerne mellem browser og server, ikke kan læse indholdet.
Beskytter mod uvedkommende
SSL giver altså udelukkende sikkerhed mod aflytning på nettet. Teknologien foretager ingen beskyttelse af den pc, som browseren kører på, eller af den server, browseren kommunikerer med.
I praksis betyder det, at uvedkommende ikke kan se, hvad du søger efter, og hvilke søgeresultater du får ud af det. Medmindre de altså har installeret et snuserprogram på din pc.
Google er de første til at påpege, at der heller ikke ændres i de data, der sendes til Google. Så de ved altså lige så meget om dig som før.
Hvis du klikker på et af de links, som søgningen fører til, er der ingen garanti for, at den kommunikation er SSL-krypteret. Nu har du forladt Googles websted, så det er op til ejeren af det nye websted at etablere kryptering.
Statistik og historik
Et par forskelle er der dog: Normalt får webstedet at vide, at trafikken til det stammer fra et klik på et link hos Google. Men det sker ikke, når man går fra en krypteret til en ukrypteret forbindelse.
Det vil give problemer for en række analyseværktøjer, der ikke længere kan se, om en bruger selv har indtastet en URL eller klikket på et link i en Google-søgning. Disse problemer har ikke noget med sikkerhed at gøre, så dem vil jeg overlade til eksperterne i webstatistik.
En anden forskel på almindelig og SSL-krypteret søgning er, at den krypterede søgning ikke gemmes i browserens historik.
Det kan være en sikkerhedsmæssig fordel i virksomheder, hvor flere deles om den samme pc: Man kan ikke se en søgning, som en anden bruger tidligere har foretaget. Igen er det her naturligvis en forudsætning, at pc'en er fri for trojanske heste og andre skadelige programmer.
Få men gode fordele
Som det fremgår, er de sikkerhedsmæssige fordele ved krypteret søgning begrænsede.
Ja, man forhindrer uvedkommende i at se søgninger.
Men ens øvrige aktiviteter er stadig lige så synlige for andre som før.
Mit råd er: Brug den krypterede søgning, hvis du fx søger efter konkurrentinformation eller andet, du gerne vil holde for dig selv.
Eller brug den, hvis flere deles om en pc. Her kan den kombineres med funktionen til privat browsing (InPrivate-filtrering i Internet Explorer 8, Privat browsing i Firefox). Så selvom sikkerhedsfordelene er til at overse, vil jeg alligevel altid anbefale, at man vælger en sikker frem for en usikker løsning.
Brug den, det kan aldrig skade, og i nogle tilfælde giver det bedre sikkerhed.
Oprindelig offentliggjort på Computerworld Online fredag den 28. maj 2010
LINKS
Search more securely with encrypted Google web search, blogindlæg af Evan Roseman fra Google
HTTP referrer (fra Wikipedia)
Krypteret Google-søgning
Denne klumme på Computerworld Online