web-dev-qa-db-ja.com

GoogleにTLSの使用を強制することで行き過ぎですか?

Gmailは すべての人にHTTPSを要求するように最近変更されました (使用するかどうかに関係なく)。 HTTPSの方が安全であることはわかっていますが、特定のアカウントのセキュリティを気にしない場合はどうなりますか?

安全を望まない場合でも、安全な接続を強制することでGoogleを悪だと非難する人もいます。 彼らは主張する それが自分のアカウントだけの場合、自分自身を保護するかどうかを決定するのは彼らだけではないか?

注:この質問は、上記のリンク先の記事に関連して投稿されたもので、オフサイトで行われる質問に対する標準的な回答を提供します(これが理由です)それはそれを尋ねた同じ人によって答えられました)。

74
tylerl

あなただけではありません。 ユーザーに [〜#〜] tls [〜#〜] の使用を強制することで、全員のためのより安全な環境を作成しています

TLSを厳密に実施しないと、ユーザーは sslstrip などの攻撃を受けやすくなります。基本的に、暗号化されていない接続を作成するオプションは、攻撃者が暗号化されていないユーザーをユーザーに強制する可能性をもたらします接続

しかし、それだけではありません。 TLSの要求は、google.comドメインでの [〜#〜] hsts [〜#〜] 施行に向けた最初のステップです。 Googleは日和見HSTSの施行をすでに行っています-つまり、TLSを必要としない必要はありませんが、Google.comで使用できる証明書を制限しています(nb:この手法はHPKP)と呼ばれるようになりました。これは改善ですが、最終的には解決策ではありません。

HSTSを完全に実施するには、ドメイン内のすべてのGoogleサービスでTLSを要求しても、必ずしもサードパーティのソリューションが機能しなくなることのないようにする必要があります。施行を有効にすると、簡単に無効にすることはできません。 したがって、サービスを1つずつ厳密なTLS実施に移行することで、ドメイン全体でのHSTS実施を実現する道が開かれています。

この施行が行われると、ブラウザは安全でない、または危険にさらされた接続を介したGoogleへの接続を拒否します。この設定をブラウザ自体に同梱することで、技術的回避は事実上不可能になります。

免責事項:現在Googleで働いていますが、これを書いたときはGoogleで働いていませんでした。これは私の意見であり、Googleの意見ではありません(年表の基本を理解している人にはすぐにわかるはずです)。

170
tylerl

いくつかの追加の詳細を付けて質問を言い換えましょう。これらは暗黙のうちにありますが、誰にとっても明白ではないかもしれません。

無料のメールサービスとギガバイトのストレージを提供し、安全な接続私が寛大に許可したサービスにアクセスし、安全を確保したくない場合でも、誰も使用を強制されない場合?自分のアカウントだけの場合サーバー上で、私が同意した使用条件のみに基づいて無料で私に与えられます、私だけが決定するべきではありませんサーバーで何が発生するか、およびコストが完全にサーバー側にある技術で自分を保護するかどうかそして、私に実際の不利益はありません?」

本当に、彼らがグーグルで持っている神経!


解説:その点でのGoogleに対する反応は、ひねくれた反射神経のように見えます。自動で、標的が不完全で、脳はまったく関与していません。

90
Tom Leek

Googleがサーバーのコンテンツを安全に転送することを希望する場合、そのコンテンツがメールボックスであっても、完全にサーバーの裁量に委ねられます。

18
Brian

実際、いいえ、Googleはこれで悪ではありません。

これに関する最初の重要なことは、安全な接続の使用がユーザー設定ではないまたはいくつかのpersonalized設定であることです。 エンドユーザーの立場からのみシステムに精通しているため、これが混乱する人もいるかもしれません。私自身がソフトウェア開発者であるため、セキュリティはアプリケーションレベルで行われ、システムのすべてのユーザーに影響を与えると言えます。システム全体およびシステムのデータ保護に依存している可能性のある他のすべてのユーザーのセキュリティを損なうことなく、ユーザーの選択に基づいて技術的に認証セキュリティを実施する方法はありません。でも、できればその方法をきっと知りたいです。

公共サービスプロバイダーとしてのGoogleの論理的な選択は、すべてのユーザーに対して安全な環境を確立することです。これはユーザーのセキュリティのためだけではなく、会社のためのものでもあります。誰かがセキュリティ侵害の犠牲者になり、Googleに対して訴訟を起こし、責任があるのが本人であることを証明した場合を想像してみてください。これは、ユーザーデータを保護するための標準的な対策を講じておらず、法廷で怒っているユーザーのコミュニティ全体に直面する必要がある場合に当てはまります。 HTTPSを使用しないのはそのような例です。誰でもWebリクエストを傍受して、情報をプレーンテキストとして見ることができます。 Googleのユーザーデータは賢明です。シンプルなメールアドレスとパスワードのように見えますが、これら2つの項目は、すべての連絡先、通信、パーソナライズされたGoogleサービスの鍵となります。

さらに、GoogleはOpenIDプロバイダーです。つまり、同じユーザーパスワード(Googleアカウントの1つ)canを使用して認証されます外部システム( StackExchangeネットワーク(これを含む)、YouTube、Disqus、Picasa、および他の多くの一般的なシステム)。セキュリティで保護されていない非常に多くのアカウントとサービスに対する彼の「鍵」を持っていることを好むと私が想像するのは難しいです。

一般に、これはユーザーの好みを強制するのではなく、技術要件の尺度です。私は個人的に、安全な接続や認証などの最小限のセキュリティ条件を適用しないシステムを信頼しません。メール、オンライン決済、およびその他のサービス(プライベートデータ)を使用する場合、.

14
Ivaylo Slavov

安全な接続を使用することを強制するのは悪ですか?

いいえ、私はそれが悪だとは思わない。それは、個人としてのあなたへの不利益なしに、コミュニティ全体を保護します。

SSL/TLSを使用するように強制していて、フォワードシークレットを使用できず、サービスを使用しているすべての人にfalse安心感。

転送秘密がなければ、セッションは不確定な期間アーカイブされ、秘密キーは後で(ソーシャルエンジニアリング、盗難、政府などの手段を介して)取得され、以前のセッションは復号化されます。

With前方秘密鍵と一時鍵を使用すると、その懸念は大幅に緩和されます。

SSL/TLS接続を使用することの欠点を列挙できるのは誰ですか?誰でも? :-)

パフォーマンスの問題が発生する可能性がありますが、実際には、ページからコンテンツを提供するために大量の新しい接続が必要になるようにWebサイトが適切に設計されていない場合のみです。この種の設計は、通常の非セキュアHTTPセッションにも深刻な悪影響を及ぼします。

HTTPSからのパフォーマンスヒットは事実上すべて接続ハンドシェイクにあります。これは、サーバーで対称セッションキーを取得してクライアントで復号化するために、より多くのラウンドトリップと少しの計算集約型非対称暗号化を必要とするためです(非対称暗号化は非常に高価です)対称暗号化と比較して)。

最初の鍵交換後に対称暗号で実際のセッションデータを暗号化および復号化する計算コストは​​ごくわずかです。

強制されたSSL/TLSセッションとは何ですかコストあなたは?控えめに言っても、あなたに測定可能なコストがあるとは正直に思いません。

11
Craig

Googleはユーザーとデータを保護するだけでなく、自分自身も保護します。

世の中のインターネットユーザーの大多数はセキュリティについて知らず、気にしていません。 any安全でないパスをフォールバックとして提供する場合、ユーザーはそれを使用し、中間者である場合は他のすべてを壊します。

アカウントが危険にさらされている場合、それはあなたとあなたのデータだけでなく、Googleにとっても問題です

  • スパムメールはそれらのサービスを使用して送信される可能性があります
  • 認証(シングルサインオン)に対するGoogleの信頼性が低下する
  • 攻撃者はサービスを誤用し、コスト(Googleの場合)につながる可能性があります。
  • アカウントを復元するには、手動での操作が必要で、コストがかかります

セキュリティは、お金を節約することでもあります。

8
Jens Erat

人々の最初の反応が「あなたはそれを使う必要がない」という誤解を使ってグーグルを守ることであるのは悲しいことです。お金の取引については、広告主に売っている自分の個人情報に監視価値があると思いませんか? Googleは無料ではありません。それでも、ほとんどの人が自分がしていることに気づいてさえいない支払いが必要です。

さて、質問に答えるために、私は彼らがこれを行うために行き過ぎたり「悪」だとは思わない。漏えいした場合に他人に害を及ぼす可能性のある情報(たとえば、「娘のヘルペスをどうやって治療するか」などのグーグル)を検索した場合、またはセキュリティで保護したい別の人にメールを送信した場合はどうなるでしょうか。彼らが送るものをあなたの側で暗号化するかどうかはあなた次第ですか?あなたはセキュリティを気にしないかもしれませんが、他の人々は気にします、そしてそれは両端が実際にセキュリティを実施する場合にのみエンドツーエンドです。ただし、Googleを使用しているが、安全な接続を確立するにはメモリ/リソース/エントロピーが不足しているデバイスがまだある場合は、Googleが非TLS接続を使用する方法を提供したほうがよいでしょう。

8
Guest dude

Gopherプロトコルの代わりにHTTPプロトコルを使用するように要求することについて、Googleは悪でしたか?ほとんどの人がそうだったと主張することはないと思います。しかし、あるプロトコルを別のプロトコルで使用することを要求することが悪ではない場合、SSLをHTTPでラップするというこの特定のケースでなぜそれが悪であろうか。

4
The Spooniest

グーグルの手は結ばれています。グーグルはあなたを守るためにそれをしているだけではない。彼らは身を守るためにそれをしています。彼らはあなたのためにそれを運んでいるので、彼らは他の人にあなたのものを台無しにしたくはありません、そして彼らは他の人のものをホストすることに付随するたくさんの法的義務を持っています。彼らは、他人に問題を引き起こすような方法でアカウントが使用されるのを防ぐ義務があります。

3
user42884

他の人が言うように、たとえあなたが暗号化を必要としないと思ったとしても、通常、非暗号化の代わりに暗号化を使うことによって失うものは何もありません。

しかし、暗号化されていない状態でアクセスしたい場合は(おそらく、何も悪行を行っていないことを誰かが確認するために)、HTTPSを介してGoogleに接続するHTTPサーバーをセットアップし、すべての要求と応答を転送します。 (適切に適応)。

ロゴや一部のテキストを変更して、Googleを直接使用しているように見えないようにする必要があります。また、少なくともログイン手順ではHTTPSを使用することを検討する必要があります。

これは、HTTPSのみをサポートするすべての「悪質な」サーバーで機能するはずです。

2
Paŭlo Ebermann

TL; DR:それは良いですが、十分ではありません。

このタイプのセキュリティのコストに対するタップされた接続の可能性は明白であり、「はい、これが必要です」以外の考慮は必要ありません。

SSLは完全ではない可能性があり、実装が防水性である可能性は非常に低いことを覚えておくことが重要です。さらに、特にGoogleのようなケースでは、SSLを使用してもプライバシーと機密情報は保持されません。

事実上、Googleが防止する唯一のリスクは、コンピュータ、GoogleまたはSSLを破壊するほど強力ではない攻撃者によるスパイ行為です。また、他の俳優の努力を増やす可能性があります。

SSLstripは転送中のリワークやリダイレクトでさえ実行できるため、すべての種類のSSLStripを防止するわけではありません。一般的なユーザーは、少しのSSLロックがないことに気付かないでしょう。少し余分な魔法で、新しいセキュリティロックパッドを復活させることもできます。

1
Lodewijk

おそらく、必要に応じてSSLを無効にするオプションを提供する必要があります。おそらく、国やネットワークの要件によっては、ユーザーがサービスにアクセスできないようにする暗号化の制限があるかもしれません。安全でないオプションを提供することには、ビジネス上およびユーザー上の価値がいくつかありますが、デフォルトは安全なはずです。

ただし、Googleはビジネス上の決定としてこれを行った可能性が高く、サービスの条件に拘束されます。 Googleは常に、ログオン時の検索結果などの他の情報を暗号化するため、ログサーバーと統計は検索のキーワードを読み取ることができません。提供されるサービスに満足できない場合(セキュリティが低すぎるか高すぎる場合)、いつでもプロバイダーを切り替えることができます。電子メールの場合、IMAPを使用して実際にデータを取り出し、別の場所にインポートするのは簡単です。

しばらくの間、暗号化なしでIMAP/POPアクセスを許可していたとは思えません。

0
Eric G