Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 44, views: 23.954 •

Google zal alle zoekopdrachten in versie 25 van zijn Chromebrowsers via een versleutelde ssl-verbinding verwerken, ook als zij niet zijn ingelogd op Google. De zoekgigant had ssl al standaard geactiveerd voor ingelogde Google-gebruikers met oudere Chrome-versies.

Dat heeft Google op zijn Chromium Blog bekendgemaakt. Versie 25, momenteel beschikbaar in de dev- en bèta-kanalen, zal alle zoekopdrachten via een versleutelde ssl-verbinding gaan verwerken als de zoekopdracht is ingevoerd in de zogenaamde omni-box, de gecombineerde zoek/adresbalk van Chrome. Daarbij maakt het niet langer uit of de gebruiker is ingelogd of niet. Tot nu toe werd in Chrome standaard alleen een ssl-verbinding, herkenbaar aan de url-notatie die begint met https, aangeboden als de gebruiker was ingelogd met zijn Google-account. Firefox en Safari stuurden gebruikers al wel naar een ssl-versleutelde Google-pagina.

Google experimenteert al langer met ssl voor zijn zoekdiensten. De internetgigant stelt dat met het toepassen van versleuteling de veiligheid en de privacy van de eindgebruiker wordt verhoogd, omdat het moeilijker wordt om zoekopdrachten te onderscheppen. Zo worden onder andere man-in-the-middle-aanvallen voorkomen. Verder meent Google dat de eindgebruiker ondanks de toegepaste encryptie niet merkbaar langer moet wachten op zijn zoekresultaten dankzij het toepassen van het spdy-protocol.

De eerste mogelijkheid voor het versleutelen van zoekopdrachten bij Google was sinds mei 2010 deels beschikbaar, maar nu meer en meer populaire websites en browsers deze basisbeveiliging aanbieden, heeft ook de zoekgigant besloten deze voor alle bezoekers van zijn zoekmachine te gaan aanbieden. Diensten als Gmail en Google Apps werden al veel langer standaard via ssl aangeboden.

Reacties (44)

Ik heb zelfs het vermoeden dat SPDY voor een deel ontwikkeld is om dit mogelijk te maken. Google is heel fel op de response tijd van Google.com. Die mag niet omlaag.

Standaard alle searches versleutelen maakt het voor buitenlandse mogendheden, zoals China, veel lastiger om searches te monitoren en, in het verlengde daarvan, om de zoekgigant filtering en censuur op te dringen.

Eerder vertrok Google al uit China, omdat het zich niet meer kon verenigen met het filtering beleid dat China het oplegde. Standaard versleutelen maakt het voor de Chinese regering vrijwel onmogelijk om de toegang tot Google te controleren zonder deze volledig te blokkeren.
Niet helemaal waar. Sinds 2008 ongeveer zijn pc makers verplicht op in China verkochte computers software te installeren van de overheid. Burgers mogen deze niet verwijderen en geeft overheid recht om alles op de computer te controleren.

Edit: *slikt deels weer in: http://en.wikipedia.org/wiki/Green_Dam_Youth_Escort
Systeem werkt dus maar deels en is dus niet meer verplicht. Was het wel.

[Reactie gewijzigd door MMaster23 op 20 januari 2013 11:06]

Google is heel fel op de response tijd van Google.com. Die mag niet omlaag.
Denk het wel :)
Bijkomend voordeel voor Google is dat andere marktpartijen, zoals bijvoorbeeld ISPs http://tweakers.net/nieuw...r-op-zijn-dsl-modems.html, ook geen inzicht meer hebben in data tussen de user en Google ( of dit kunnen veranderen, zoals in de Franse ad blocker case )

Google doet dit zeker niet alleen vanwege China of snelle response times.
je zoekopdrachten worden beschermd tegen een man-in-the-middle attack waarna ze opgeslagen worden door google en toegevoegd worden aan jouw gebruikersprofiel met oa. gmail & youtube informatie waarna nog gepersonaliseerdere advertenties kunnen weergegeven worden.
...dan log je toch niet in....de SSL functie blijft er gewoon... (staat gewoon in de tekst hoor..)
Mijn gedachtes dwaalde daar ook naar af.

Nu de data versleuteld is, is er nog te achterhalen dat Google wel aan de privacywetgeving houd. De pretentie dat ze zich zorgen maken om de privacy van de eindgebruiker is leuk, maar het druist in tegen hun verdienmodel.

De data moet ergens onversleuteld om het terug te kunnen koppelen.
Mis ik iets, als je iets versleuteld en je hebt niet allebei vooraf een unieke sleutel afgesproken als bijvoorbeeld via pgp via een ander media (papier, fax, email), dan kan je toch gewoon alles afluisteren met die sleutels die aan het begin van de sessie gestuurd worden ......... of zit ik er nou helemaal naast..
Enkel jij en Google kennen die sleutel. Dat is onderdeel van het SSL protocol.
Maar ook als je niet inlogged zal Google wel een profiel bijhouden hoor. Dit doen ze dan met tracking cookies, op basis van IP adres, browser user agent sniffing etc.

Maar goed. Je verstuurt je search naar Google, dus die kan hem inderdaad zien. En eventueel loggen. Maar SSL helpt je wel om ervoor te zorgen dat andere partijen dan Google je search niet kunnen zien.
Dan log ik niet in, en dan krijg ik bij het kopje 'gaming' op de homepage van youtube 99 van de 100 keer filmpjes uit de selectie 'team fortress', 'starcraft 2', 'minecraft' en 'community'.

Of je ingelogd bent of niet maakt voor google echt niets uit.
..dat heeft te maken dat je met dezelfde pc vanaf hetzelfde ip adres werkt.....als ik nu ff surf via het ip adres van mijn buren met een "fresh-installed" pc of smartphone krijg ik compleet andere resultaten......

[Reactie gewijzigd door ioor op 20 januari 2013 13:08]

Goed dat Google nu overschakelt naar SSL voor het zoeken. Hopelijk houd dit weer wat nieuwsgierige tegen.. hoewel deze (in theorie) altijd tracking cookies of spyware kunnen installeren om toch zoekopdrachten van een gebruiker te kunnen krijgen. Er staat me wel iets bij dat je cookies dmv SSL beter kunt beveiligen of alleen bepaalde cookies binnen de SSL sessie worden toegelaten.

een vraag.. waaarom gaat niet iedere site volledig over op SSL? Kost het nog (steeds) veel 'power'? Zijn de certificaten nog steeds zo duur? Het zou de veiligheid ten goede komen. :)
SSL verzoeken zijn relatief zwaar voor een webserver dus zijn efficientie gaat omlaag.
Hoeveel hangt veel af van welke SSL modules er gebruikt worden, hoeveel data er versleuteld moet worden, of er gebruikt wordt gemaakt van SSL offloading en de sterkte van SSL encryptie (128bit, 256bit etc).

Tevens is SSL zinloos zonder CRLs en dus heb je ook weer een CRL infra nodig. Hoe langer de CRL, hoe zwaarder het certificaat. Tevens heeft het wel of niet gebruiken van SSL invloed op de werking / het gedrag van websites. Zo gedragen sommige Javascripts, cookies e.d. zich (iets) anders in een SSL omgeving.
hoewel deze (in theorie) altijd tracking cookies of spyware kunnen installeren om toch zoekopdrachten van een gebruiker te kunnen krijgen.
Met spyware zou dat idd kunnen ja... Dan moeten ze een soort browser plugin of zo installeren. SSL versleutelt alleen de verbinding *tussen* de browser en de webserver. Binnen de browser zijn de gegevens gewoon beschikbaar.

Maar hoe je dit met tracking cookies zou willen doen? Geen idee. Dat kan volgens mij niet.
Cookies worden vaak gevaarlijker voorgesteld dan ze zijn...
Certificaat is niet heel duur (vanaf een tientje voor een jaar), maar dan moet de site een eigen IP adres hebben. Veel (kleine) sites draaien op shared webhosting, dus met een gedeeld IP.
Leuk natuurlijk dat China niet kan controleren maar op die manier lok je natuurlijk wel een wetsovertreding uit waar de Chinese burger problemen mee kan krijgen. Of dat nu zoveel beter is?
Als honderden miljoenen mensen die overtreding maken betekent dat effectief dat er niet meer op te controleren valt.
China is rijk genoeg en heeft genoeg kennis in huis om alle browsers te verbieden en zelf iets in elkaar te sleutelen.
Wie zegt dat het in de Chinese wet verboden is om te lezen over studentenopstanden, corruptie van hoge partijleden of de culturele revolutie?

Bovendien staat iets mogelijk maken niet gelijk aan uitlokking.

Ik woon nu in een land waar de bevolking langzaam maar zeker dommer gemaakt wordt vanuit de overheid. In mindere mate, maar toch. Ik kan Google alleen maar toejuichen.

edit @ Ravasha:
Dat was niet duidelijk: ik woon momenteel niet in Nederland, maar in een land dat aspireert lid te worden van de EU.

[Reactie gewijzigd door snirpsnirp op 20 januari 2013 12:22]

Versie 25 is alleen beschikbaar in beta kanaal, dev kanaal is al naar versie 26 (i.t.t. wat het artikel zegt)
Chrome versie hoeveel? De afgelopen tijd heb ik kennelijk ergens onder een steen geleefd, 'lost total track of the version numbers'. Ik zie de parodieŽn al komen, wie kent niet de '6000 SUX' uit Robocop.

Stel je de volgende dialoog voor: "Welke versie van CHROME heb jij, ik werk met 2493 en jij? Nee joh je moet echt 2561 hebben man, daarmee TURBO FLUF echt zoveel rapper over GOOGLENET".

Maar goed even zere neus, misschien dat Google met dit besluit juist het tegenovergestelde gaat bereiken dan wat de intentie is. Ben benieuwd of de Chinese overheid dit zomaar laat gebeuren, die zullen waarschijnlijk poort 443 dichtgooien voor al het verkeer naar Google. Of nog erger, deep packet filtering toepassen, de paketjes die TLS/SSL bevatten lekker allemaal droppen. Als je ze de controle uit handen neemt dan kunnen er hele rare dingen gebeuren. Maar denk ook aan cloaking en andere nare dingen met het namaken van certificaten door het genereren van inmense rainbow tables. De Chinesen bulken wat dat betreft van het geld en zullen dat ook inzetten als het om de nationale veiligheid gaat.

Versleuteling is een goede zaak, het is alleen jammer dat het mij nog steeds niet wil lukken om een beetje vertrouwen te krijgen in Google, don't be evil is toch het motto?

[Reactie gewijzigd door FrankHe op 20 januari 2013 13:35]

De Chinse overheid balanceert in een heel delicaat evenwicht tussen oppressie en hervorming.

Te snel hervormen betekent (sneller) verlies van macht. Te traag hervormen of te veel repressie leidt tot onvrede en uiteindelijk wellicht zelfs volksopstand en revolutie. Dus ze proberen zo langzaam mogelijk te hervormen en met subtiele oppressie het volk in het gareel te houden.

Ik denk dat een volledige blokkade van Google tot groot protest onder de bevolking leidt. Dit durven ze waarschijnlijk niet aan. Filteren kunnen ze goed praten met de gebruikelijke argumenten van bestrijden van immorelen en oproerkraaiers, maar iedereen de toegang tot Google afpakken is moeilijker uit te leggen.

Wat betreft certificaten maken etc. Tuurlijk zoiets kunnen ze vast mits ze er genoeg geld in steken, maar je moet ze ook weer niet overschatten. Het is maar een web zoekdienst, er zijn nog vele andere dreigingen waar ze ook budget voor moeten hebben. Wat dat betreft lijkt het daar gewoon op hier hoor. Prioriteiten stellen en ze kunnen niet alles.
Wil dat zeggen dat ook deze zoekopdrachten niet weergegeven worden in Analytics? Daar hebben we binnenkort dus niets meer aan.
Correct! Heel vervelend voor bijv. Het meten van de SEO resultaten. Nog meer (not provided) in de resultaten.
Niet correct! De verbinding tussen google en je browser is encrypted. Wat google met je zoekopdracht daarna doet werkt natuurlijk nog hetzelfde. Aangezien google analytics ook van google is zie ik geen enkel probleem voor ze om de zoekopdrachten te gebruiken in hun analyitics.
JA, maar niet iedereen gebruikt GA... Zo worden de andere webstatistiekprogramma's (inclusief mijn serverstats) wel lekker buitenspel gezet. Ook hier haal G zijn winst uit, natuurlijk.
Deels correct! Voor analytics gebruikers worden de keywordresultaten van organische opdrachten meer en meer not provided. Die van adwords worden met een koppeling nog wel goed weergegeven.

Kortom; Zo lang je google maar betaald voor data, is de zogenaamde privacy van zijn gebruikers gewoon inzichtelijk te krijgen
Waarom niet 'algemeen' standaard aan? Ik surft al tijden via http://encrypted.google.com.

[Reactie gewijzigd door ZpAz op 20 januari 2013 15:37]

Op dit item kan niet meer gereageerd worden.