Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 80 reacties

Google zal komende week beginnen met encrypted search. Gebruikers krijgen dan de optie te zoeken via een https-pagina. Eerder dit jaar besloot Google om alle Gmail-verkeer te encrypten om hackers tegen te gaan.

Google kondigde de feature aan in de blogpost, waarin het ook toegaf dat het zelf via onbeveiligde wifi-netwerken payload data had verzameld. De encryptie zorgt ervoor dat gebruikers die gebruikmaken van onbeveiligde wifi-netwerken en publieke hotspots, kunnen zoeken op Google zonder dat de zoekopdracht opgevangen kan worden.

Zoekopdrachten verlopen nu nog via normale http-pagina's. De encryptie werkt waarschijnlijk via beveiligde https-pagina's. Door de beveiliging kunnen hackers minder makkelijk data over zoekopdrachten onderscheppen. Zoekopdrachten worden gezien als persoonlijke informatie, omdat het mogelijk is om de zoektermen van een persoon op een rijtje te zetten en hiermee een profiel te maken.

Google bewaart de gegevens over zoekopdrachten zelf overigens nog wel. De database met zoekopdrachten is een goudmijn voor het zoekbedrijf gebleken: door middel van de advertentiedienst krijgen gebruikers voor hen relevante tekstadvertenties te zien. Deze dienst staat aan de basis van het businessmodel van Google.

De encryptie voor de zoekdienst zal volgende week worden gelanceerd. Eerder dit jaar zette Google standaard encryptie aan voor Gmail-gebruikers. Vanaf 2008 was dat een optie geweest. Die encryptie moest het hacken van Gmail-accounts tegengaan.

Mockup: Google Encrypted Search

Moderatie-faq Wijzig weergave

Reacties (80)

Dit betekend dus ook dat zoekopdrachten niet meer kunnen worden afgetapt door de overheid? Die zullen daar niet blij mee zijn :)
Als er een strafrechterlijk onderzoek loopt kan men die informatie altijd nog opvragen bij Google via een gerechtelijk bevel, dan krijgen ze die ook gewoon. Daar hebben ze heus geen tap voor nodig ofzo hoor ;)

Daarnaast is het natuurlijk de vraag hoeveel mensen ook de HTTPS-pagina gaan gebruiken. Je moet immers expliciet een instelling aanpassen om die te gebruiken, en ik vermoed dat de meeste mensen dat niet eens weten, laat staan dat ze het doen. En dan gebruik je nog gewoon de 'oude" HTTP-versie dus.
Daarnaast is het natuurlijk de vraag hoeveel mensen ook de HTTPS-pagina gaan gebruiken. (...)
Ik kan me voorstellen dat bezoekers van een site als tweakers.net de instelling snel weten te vinden. Voor normale gebruikers is dat inderdaad de vraag, die zullen dus als erg paranoïde moeten zijn willen ze naar deze functie op zoek gaan.

Overigens is het maar een beperkt voordeel. Als je via onbeveiligde WiFi-verbindingen werkt (bijvoorbeeld publieke netwerken), bezoek je de andere sites namelijk nog steeds onbeveiligd. Als iemand gaat sniffen, dan mist deze wel de Google-zoekopdracht, maar niet de site waar je uiteindelijk op beland.

De enige oplossing hiervoor is het werken met een proxy-server en dan een HTTPS-proxy natuurlijk, maar dan heb je de extra dienst van Google helemaal niet meer nodig...
Als je via onbeveiligde WiFi-verbindingen werkt (bijvoorbeeld publieke netwerken), bezoek je de andere sites namelijk nog steeds onbeveiligd.
Niet als je ze uit de Google Cache haalt! :Y)
Ik denk niet dat https pagina's gecached worden ;)
Het gaat erom dat de normale http pagina's in de google cache via https geserveerd worden. Voor https websites heb je google's cache niet nodig, want die zijn dan toch al beveiligd.
http://webcache.googleuse...&cd=4&hl=nl&ct=clnk&gl=uk
Cache van https://esta.cbp.dhs.gov/
Niet dat het een werkende sessie is, maar het wordt dus wel degelijk gecached!
Ik kan me voorstellen dat bezoekers van een site als tweakers.net de instelling snel weten te vinden.
Ik zal dat echt niet aan gaan zetten. Het zijn maar zoekopdrachten en ik zou niet weten waarom ik die encrypted zou willen versturen. De mensen zijn tegenwoordig zo paranoïde. Een profiel samenstellen door de zoekopdrachten op een rijtje te zetten... Nou en? Ze doen maar. Ik heb daar geen last van.

Maarja, diezelfde paranoïde mensen geven vervolgens wel alles bloot op Hyves, Twitter, FaceBook en weet ik veel hoe dat allemaal heet.
Dat is zo'n dooddoener de laatste tijd. De mensen die echt om privacy geven zitten niet op Hyves, facebook of twitter. Mij zul je daar niet zien, behalve op twitter waar ik een account heb om mensen die ik interessant vind te volgen. Ik heb er zelf nog niks gepost.
Ook met wie je volgt is aardig wat informatie over je samen te stellen..
Volgens mij kun je dat verbergen voor anderen. (staat standaard natuurlijk open)
In het uiterste geval kun je zelf links maken naar via je wilt volgen en daarna via RSS of ander systeem de berichten samenvoegen.
HTTPS is dus geen keuze meer, maar wordt aangeboden 'in plaats van' HTTP. Voor GMail is het inderdaad een optie geweest om HTTPS te kiezen, maar ook daar is HTTPS nu de verplichtte standaard.
Waar haal je dat vandaan? Want zoals ik het zie in het artikel krijg je de optie om voor HTTPS te gaan, maar word het niet de standaard-modus van de zoekmachine. Zie deze quote:
Gebruikers krijgen dan de optie te zoeken via een https-pagina
Vraag me ook af wat dit met de load van de servers doet, er komt toch behoorlijk wat extra rekenkracht bij kijken lijkt me.
Vraag me ook af wat dit met de load van de servers doet, er komt toch behoorlijk wat extra rekenkracht bij kijken lijkt me.
Nu heeft Google ruim voldoende servers, dus ik denk niet dat dit direct een probleem is voor Google - zou het wel een probleem zijn, dan zijn er diverse dedicated oplossingen beschikbaar om het verkeer te versleutelen - zo'n machine heeft dan alleen tot taak om het HTTP-verkeer van een back-end server te versleutelen en het internet over te sturen...
Deze beveiliging beschermt wel de verbinding tussen browser en Google (met uitzondering van "man in the middle attack" scenario's ) maar niet tegen hackers hun 'eigen' sessie weten open te breken dus via de server van Google info over andere gebruikers achterhalen.

Maar het is zeker wel een verbetering en juich het daarom toe. Goed gedaan Google.

Maar ik ben wel op zoek naar een search engine die wat minder censuur toepast. Ik krijg namelijk de indruk dat er steeds meer informatie gefilterd wordt.
Hoezo met uitzondering van 'man in the middle attack'?

Als je een HTTPS verbinding opzet met Google wordt via een certificaat gegarandeerd dat je met Google praat en niet met een andere partij (man in the middle). HTTPS beschermt dus wel degelijk ook daar tegen.

En wat bedoel je met 'eigen sessie weten open te breken'?
Een certificate authority valt te faken door de man in the middle. En verder kan de man in the middle ook nog gewoon de pagina in HTTP (geen -S ) doorgeven aan de client. De meeste mensen valt dat niet vlug op.

Verder kun je de sessie die je op de server van Google (of welke dan ook) proberen te hacken zodat je met de eigen ssl beschermde sessie in de sessie van iemand anders terecht komt. ssl beschermt alleen de verbinding, niet de sessie op de server. Dat geldt ook voor banken etcetera. Als de sessies niet heel goed beveiligd zijn heb je nog heel weinig aan ssl.

[Reactie gewijzigd door E_E_F op 15 mei 2010 16:52]

Hoe kom je erbij dat je de certificate authority kunt faken? Dat kan echt niet zomaar hoor! Dat dat niet kan is de basis van alle beveiliging op het internet. Natuurlijk, alles *kan* theoretisch, maar wat jij zegt zou opgaan voor *alle* HTTPS verbindingen, ook die met bijvoorbeeld je bank. Dit te kunnen kraken zou wereldnieuws zijn.

De site (Google) presenteert een certificaat, ondertekend door de certificate authority (bijv. Verisign) en in je browser zit een hardcoded lijstje van geaccepteerde certifcate authorities. Hier krijg je jouw certificaatje echt niet zo makkelijk tussen. Je krijgt het echt niet zomaar voor elkaar om mijn poging te connecten met Google te onderscheppen en jouw site zich voor te laten doen als Google.com. Mijn browser zou dit onmiddelijk herkennen en me waarschuwen.

Als je echt beweert dat dit kan dan wil ik wel graag wat bewijs van je zien (proof of concept aanval) want het zou nogal groot nieuws zijn namelijk dat je niet meer veilig met bijvoorbeeld https://rabobank.nl zou kunnen connecten zonder er zeker van te zijn dat dit ook echt de rabobank is en niet een willekeurige andere site.

EDIT: grappig zeg. Onbedoeld heb ik een perfect voorbeeld geplaatst van wat er gebeurt als iemand probeert zich voor te doen als een andere site. https://rabobank.nl is wel echt een pagina van de rabobank, maar de rabobank heeft alleen een certificaat voor www.rabobank.nl, niet voor het kale domein. Klik je op die link, dan krijg je een enorme rode waarschuwingspagina dat het certificaat niet goed is en dat je wellicht genept wordt. Ga je naar https://www.rabobank.nl dan krijg je wel netjes een goede verbinding. Volgens jou zou dit te faken zijn? Hoe?

[Reactie gewijzigd door OddesE op 15 mei 2010 17:03]

Hoe kom je erbij dat je de certificate authority kunt faken?
Omdat dat een jaar geleden nog kon: Creating a rogue CA certificate. Het certificate dat toen gegenereerd is had (opzettelijk) een verloopdatum die vóór de datum van aanvragen lag (zodat elke semi-competente check het certificaat alsnog afkeurt omdat het verlopen is) en inmiddels is dit lek gedicht. Maar ze hadden inderdaad de technische kennis om (in een werkbare hoeveelheid tijd) een nep-certificate aan te maken dat alleen met handmatige inspectie van echt te onderscheiden is. Om de collision te kunnen maken is namelijk een grote hoeveelheid "garbage data" in het certificate opgenomen (in een comment veld). In normale certificates komt dat natuurlijk niet voor, dus dat maakt zo'n nep-certificate uiterst verdacht, maar zelfs dan kun je nog niet met zekerheid zeggen dat het nep is.
En dat was inderdaad best groot nieuws. Weet niet of het Het Journaal en De Telegraaf bereikt heeft, maar in "onze" kringen berichtte iedereen erover, inclusief T.net zelf.
Bij dat eerste slaat je browser alarm. Dat veel mensen dat alarm niet lezen is vers 2
Wie weet is de VS wel bezig om China te manipuleren door de grote zoekmachine Google te stimuleren https zoekopdrachten mogelijk te maken die de Chinese overheid vervolgens (waarschijnlijk) niet kan inzien. Wat voor enige (inter)nationale onrust kan zorgen als gevolg van de beveiligde zoekopdracht. Resultaat zal dan wel weer zijn dat https de zoekpagina van Google dan op de blacklist van de Grote Vuurmuur. T'is dat Baidu.com de grootste is in China, en dat de meeste gevonden pagina's geen beveiligde pagina's zijn, maar dan nog. Kunnen de inwoners van China tenminste zoeken naar wat zij willen weten.
Maar Google is toch helemaal niet verplicht op te slaan waarnaar gezocht is.
Google is dit wel verplicht. Net als andere internet "voorzieners". Bekijk Dataretentie op wiki: http://nl.wikipedia.org/wiki/Dataretentie
Waar lees je dat Google verplicht de zoektermen op moet slaan? Het is een fabeltje dat websitebezoek onder de dataretentiewetgeving valt.
Niet verplicht nee, maar Google haalt wel een groot deel van de inkomsten uit het aanbieden van advertenties die toegespitst zijn op de zoek gegevens van gebruikers (wellicht dat het bewaren van zoekgegevens wel door de USA wetgeving verplicht wordt, maar dat weet ik niet zeker).
De database met zoekopdrachten is een goudmijn voor het zoekbedrijf gebleken: door middel van de advertentiedienst krijgen gebruikers voor hen relevante tekstadvertenties te zien. Deze dienst staat aan de basis van het businessmodel van Google.

[Reactie gewijzigd door J-M-J op 15 mei 2010 16:36]

het zou dus automatisch via HTTPS moeten gaan vind ik, of je dat nu expliciet wilt of niet.
En jij denkt dat echt ? (food for thought : http://nl.wikipedia.org/wiki/ECHELON)
Afhankelijk van het gebruikte algoritme, is een HTTPS verbinding zeker wel veilig. Als Echelon iets kan doen, kunnen hackers het ook ;)
Ik denk dat de overheid (denk ook aan de VS, EU) wel wat meer kan dan de gemiddelde hacker.

Ontopic:

Goed dat Google deze mogelijkheid biedt. Jammer dat zij nog wel een profiel op kunnen bouwen, maar zoals het artikel ook al zegt is dat de kern van Google's businessplan, dus ze kunnen moeilijk anders. Misschien dat er ooit een 'open' tegenstander komt, die dit soort gegevens wel anoniem laat. Ik heb wel een paar experimenten getest, maar niet een komt eigenlijk in de buurt van Google qua gebruiksgemak en resultaten.
Ik denk echter dat ECHELON en dus ook SIGINT (inlichting en veiligheidsdiensten van NAVO lidstaten) veel meer personeel heeft dan een klein groepje hackers.
HTTPS (Dus eigenlijk SSL or TLS) is slechts met zeer veel computerpower te hacken. Ze kunnen de HTTPS requests wel opslaan maar decoderen duurt jaren per request.
Was laatst een aardig stuk op ArsTechnica over hoe certificate authorities samenwerken met de overheid van de VS om monitoring van HTTPS verbindingen mogelijk te maken. (link)

Aan het einde van het stuk staat nog een stuk over dat veel browsers ook standaard door de overheid gecontroleerde certificate authorities accepteren. Van deze jongens kun je vanzelfsprekend aannemen dat de overheid er gebruik van kan maken. In het geval van Verisign (oid) is het mogelijk dat ze uit zichzelf ervoor kiezen samen te werken met de overheid of te wachten totdat de certificate via het juridische systeem gevorderd wordt.

Either way, HTTPS is zo betrouwbaar als de certificate authority, en nu het er de schijn van heeft dat die samenwerken met de overheid lijkt het me niet de manier om je tegen afluisterpraktijken van die kant te beschermen.

Niettemin een goed initiatief van Google, HTTPS heeft zeker een beschermende waarde.
Behalve als je de private key ook hebt waarmee de verbinding is opgezet. :+
Tiens, die luistervinken zitten ook in Nederland.
En dan nog wel vlakbij de Belgische grens.
Wel potverdorie zeg.
Nederland jong, nu val je me toch wel tegen hoor...
De overheid kan die gegevens gewoon van google claimen (in amerika, omdat het een amerikaans bedrijf is). De nederlandse overheid kan dat zelf niet, maar die zou het wel via amerika of ierland (waar het europese kantoor van google staat) kunnen regelen.
Sinds wanneer heeft Google geen kantoor in Nederland dan? :+
@BRAINLESS01

ehhh...

nieuws: "Google opent nieuwe vestiging in Groningen"

en

Google Amsterdam
Claude Debussylaan 34
Vinoly Mahler 4
Toren B, 15th Floor
Amsterdam, Netherlands
1082, Netherlands
Phone: +31 (0)20-5045-100
Fax: +31 (0)20-524-8150

[Reactie gewijzigd door rvl1980 op 15 mei 2010 16:15]

voor zover ik weet heeft google in Nederland ook een kantoor, en mensen in dienst. Derhalve kunnen Nederlandse opsporingsdiensten gewoon daar hun verzoek neerleggen.
True, maar dan moet het via een verzoek gaan. Nu wordt met geautomatiseerde processen bekeken wat elke gebruiker allemaal doet (bewaarplicht). Dus als ik op zwaar water zoek of atoombom gaat er een lampje branden en wordt er een onderzoek ingesteld.

Als ik via https google op zwaar water, of how to make a nuclear bomb zoek kan de overheid dit niet meer zien toch?
Als ze iedereen moeten gaan controleren die dat soort dingen opzoekt denk ik dat ze hun handen vol zullen hebben.

Zelfs met een goede handleiding lijkt het me nog niet echt gemakkelijk trouwens.

Daar komt nog bij dat je er andere ingredienten voor nodig hebt dan voor een lekkere appeltaart
We don't mind; als ik google maar gewoon kan blijven gebruiken zoals het is heb ik er geen problemen mee:D
Neen, met een man in the middle-attack kan je nog perfect het verkeer onderscheppen en zo moeilijk is het niet.
En DNS wordt niet encrypted dus het is nog steeds duidelijk waar iemand naartoe surft.

Ik zie de toegevoegde waarde niet.
Als ze de zoekopdrachten in plaats van GET requests (google.nl/?search=blabla) via POST requests laten lopen is dat probleem al verholpen. Anders heeft het inderdaad nog geen zin ;)
Domein wordt duidelijk via DNS, het pad en de query niet.

als je https://www.google.nl/zoeken.html?query=1234 intikt is alleen "google.nl" verzonden naar een DNS server. Vervolgens stuurt de browser, versleuteld:

GET /zoeken.html?query=1234 HTTP/1.1
Host: www.google.nl
*nog meer bagger*

Of worden de headers niet versleuteld?

[Reactie gewijzigd door Gamebuster op 16 mei 2010 15:49]

TLS ("SSL") versleuteld de hele verbinding, zonder dat het uberhaupt weet dat het om HTTP gaat. Dus ja, de headers worden ook versleuteld :)
das dan alleen de domeinnaam die duidelijk is.. niet de passwords of usernames

[Reactie gewijzigd door twicejr op 15 mei 2010 18:12]

Babysteps. Zoekopdrachten bveveiligen zijn een flinke stap in de goede richting, al is het maar 1 aspect van je web-ervaring/gebruik.
Mooie ontwikkeling. Ik vraag me af hoe dit de prestaties van de zoekmachine zal aantasten, gezien het feit dat er bovenop de normale berekeningen dus nu ook miljoenen requests moeten worden encrypted/decrypted.
Per request zal de meeste tijd in het daadwerkelijke zoeken zitten. Het versleutelen van de HTML lijkt me geen punt.
De zoekopdracht zit in de url verweven bij Google, maar, de URL is toch niet encrypted?
Of zie ik dat nou verkeerd.
De URL is wel versleuteld, alleen het IP-adres is beschikbaar (en als er een DNS-aanvraag gebeurt kun je ook nog het domein afluisteren, maar dat is dan alleen "google.com")
Als ze perse willen kunnen ze altijd meelezen. SSL sessie is onderweg te terminaten maar voor de veiligheid is dit toch al een grote stap vooruit. Wat mij betreft mag alles op internet volledig encrypted worden, dat is gewoon nodig in de huidige samenleving.
Correctie Mocean,

digicert.com

"Do I need a unique IP address for my secure site?

Yes. The SSL protocol is designed to use IP-based mapping. SSL does not support host headers. Therefore, you should have a unique IP address assigned to your secure site. "
Dan bied de komst van IPv6, nog een ander voordeel.
Er van uitgaand dat hostingproviders elk domein een eigen IP geven.
Hmm hoeveel invloed zou dit hebben op de hoeveelheid energie die het kost om een zoekopdracht uit te voeren? Kan me voorstellen dat er toch wat extra rekenkracht voor nodig is, of valt dat in het niet bij de zoek query zelf?
Handig voor de chinezen, SSL-pagina's zijn lastiger te censureren.
Eindelijk eens Goed nieuws voor vele mensen die voorstander zijn van een vrijer internet met meer privacy.
Ik word hier zeker blij van van deze functie die toegevoegd zal worden
Nou ja, voor iemand die via een prive-PC die goed beveiligd is (incl eventuele WiFi-router etc) voegt dit natuurlijk niet zo enorm veel toe aan de privacy, want die had toch al vrij weinig te vrezen lijkt me?

En vrijer word het internet er volgens mij al helemaal niet van, ik zou iig niet weten op welke manier?
Jij heb alleen controle over jouw netwerk, alles vanaf daar kan gewoon dan mee kijken - je isp, de exchange etc. https (TLS) is het van begin tot eindpunt beveiligd.

let ook op dat https niet alleen er voor zorg dat er geen mensen mee kijken maar ook voor de zekerheid zorg dat je het juiste doel(google) te pakken hebt en dus niet jantje die zich als google voor doet of jantje die zich als google voor doet en dan indirect de data naar google stuurt en de resultaten weer door stuurt naar jouw. of wel Man in the middle attack(MITM).

De echte paranoia die hards gebruiken natuurlijk al lang iets als https://ssl.scroogle.org
Toch is het een kleine verbetering, als je weet dat alle zoekopdrachten in een database worden bijgehouden door google. Hoezo privacyschending?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True