20:30
21/10/2011

Wszyscy zalogowani użytkownicy wyszukiwarki Google będą niebawem domyślnie korzystali z HTTPS. To oznacza, że administratorom sieci trudniej będzie podsłuchać, czego szuka internauta — i jest to plus. Ale są także minusy. Właściele stron z wyników wyszukiwania, na które kliknie użytkownik, nie zobaczą słów kluczowych, po których nastąpiło wejście. Jak można się domyślić, specjaliści od SEM/SEO nie są z tego powodu zbyt zadowoleni. Ciekawostek związanych z wprowadzeniem HTTPS jest zresztą jeszcze kilka…

HTTPS w Google: nie tylko o prywatność chodzi

Przy okazji tej zmiany w Google dużo mówi się o “bezpieczeństwie” i “prywatności” oraz o tym, jak to dobrze, że Google w końcu dołączyło do Facebooka i Twittera, czyli serwisów, które od jakiegoś czasu udostępniają użytkownikom HTTPS (zobacz dlaczego to robią).

HTTPS Google

HTTPS Google

Mało kto jednak zwraca uwagę na to, że Google na wprowadzeniu HTTPS zyskuje na polu walki z podmieniczami reklam i wyników wyszukiwania. Od teraz nikt zalogowanemu użytkownikowi Google nie będzie w stanie podmienić wyników oraz reklam AdSense dodawanych przez Google do stron z wynikami wyszukiwania (chodzi o te widoczne po prawej i na górze). Takie przypadki podmian, czyli klasyczne ataki MITM, zdarzały się na poziomie operatorów sieci (np. administratorzy w firmach/uczelniach) oraz samych operatorów (ISP). I jak można się domyślać, trochę uderzały w finanse Google. Teraz powinny uderzać mniej.

Pamiętajmy, że HTTPS zapewnia nie tylko “szyfrowanie” ale również integralność przesyłanych danych.

Wbrew pozorom, HTTPS w Google nie oznacza, że nikt nie będzie w stanie podmieniać nam wyników wyszukiwań czy reklam. Dalej będzie mogło robić to złośliwe oprogramowanie, którym przypadkiem zainfekujemy nasz komputer. I pokuszę się o stwierdzenie, że jest to sytuacja częstsza niż sniffing hotspotów/sieci na poziomie operatora.

HTTPS to nie gwarancja prywatności

Wbrew pozorom, HTTPS w Google wcale nie musi tak bardzo chronić prywatności “szukaczy” jak nam się wydaje — analizując zaszyfrowany ruch internauty także można wiele wywnioskować. HTTPS nie gwarantuje prywatności.

Dodatkowo Google udostępnia opcję NoSSLSearch, która blokuje możliwość korzystania z wyszukiwarki po protokole HTTPS — w założeniach ma to być narzędzie dla szkół, które chcą cenzuro kontrolować, czego w internecie szukają uczniowie…

A więc zachwycajmy się domyślnym HTTPS-em w Google. Ale niech będzie to zachwyt “wyważony”. Nie dajmy się nabrać na powtarzane tu i tam uproszczenia, że “HTTPS jest gwarancją prywatności”. Nie jest.

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. W dużej mierze to pewnie chęć bycia modnym. “Patrzcie, my też mamy kłódkę na pasku adresu, jesteśmy cool” ;)

    • Google wcześniej niż inni duzi gracze miało obsługę https dla ciasteczek sesyjnych oraz np. treści korespondencji (GMail). Oni byli cool, zanim inni myśleli o byciu cool ;-) Ale może szary konsument nie do końca rozumie, że w niektórych przypadkach https dla sessionid w zupełności wystarczy…?

    • Nic z tych rzeczy. Jak zwykle chodzi o… kasę. Danych o wyszukiwanych zwrotach nie podejrzy nikt, oprócz… płacących za reklamy AdWords. Tam nie będzie problemu z tego typu informacjami. Czyli pod słodkim pierdzeniem o bezpieczeństwie kryje się najzwyklejsza chęć zysku.

    • Ale sama wyszukiwarka *domyślnie* nie szła po https (chyba, że się mylę – w takim razie poprawcie mnie). A mówimy o ZU, a jak to już z nimi jest to każdy stąd powinien wiedzieć ;)

  2. Ja już od dawna korzystałem z wyszukiwarki Google po HTTPS. I nawet jako webmaster cieszę się z wprowadzenia tego na szeroką skalę. Miesięczne zestawienia słów kluczowych będą serwowane w Narzędziach dla Webmasterów i mi to w zupełności wystarczy :)

  3. kiedys taka strona z https i zaufanym certyfikatem byla czyms. teraz mozna dostac certyfikat akcpetowany przez wszystkie przegladarki za 70 zł bez okazywania jakiegokolwiek dokumentu. co nam da ze transmisja jest szyfrowana skoro odwiedzana strona sama w sobie jest scamem?

    BTW – co ze slawnym zlamaniem SSL ktore mialo byc zaprezentowane na przykladzie paypala? ukazal sie jakis full disclosure na ten temat? liczylem na jakas aktualizacje tego tematu na niebezpieczniku ;)

    • A może Gugiel fundnie sobie certyfikacik EV? I to jeszcze dla wszystkich swoich domen, z różnymi ccTLD w tym .pl?

  4. FF + HTTPS Everywhere = i już jest google po httpsie ;) https://encrypted.google.com/

  5. HTTPS to tylko zasłona dymna. Najbardziej sprawa się rozbija o statystyki odwiedzin na stronach. Nie będzie już można za darmo znaleźć fajnych słów kluczowych po jakich ludzie lądują na stronach naszych i naszych klientów… ale ale ale ;-] Jak ktoś wspomniał wyżej można będzie takich fraz szukać w AdWords (co się robi i dzisiaj, ale jeszcze zanim strona jest wypozycjonowana), po drugie parę całkiem niedawno G wprowadziło nową funkcję do analytics (która docelowo ma być płatna) i coś mam wrażenie, że jak już będzie płatna będzie można w niej monitorować Long Tail.
    Jeśli tak by się stało wytną większość alternatywnych statystyk stron i na całego już będą mogli ustawiać wyniki na podstawie statystyk analytics (pierwsze ruchy w tym kierunku już są obserwowane).
    G to monopolisci i bardzo chcą być monopolistami absolutnymi na każdym froncie. Wiedzieliście, że strona która ma profil na YT może delikatnie podskoczyć w wynikach wyszukiwania? G+ przycisk jest również bardzo zalecany przez Mata Ściemniacza na stronach.

    Reasumując G i prywatność? Nie żartujcie sobie oni dążą do tego by mieć statystyki wszystkiego.

    • Zgadza się co do prywatności u G – dlatego przecież im zależało na stworzeniu swojej społecznościówki bo liczyli na duży zastrzyk nowych danych do indeksowania.

  6. Dla domeny innej niż .com nie działa w ogóle. Poza tym, jeśli ktoś nie wie, routerowe Tomato ma opcję zbierania wyszukiwanych słów. Tak przy okazji to nie rozumiem motywów innych niż zwykłe podsłuchiwanie jako że nie ma tam nawet blokady adresów jako ochrony rodzicielskiej.

  7. Nie ma, i nie będzie opcji wprowadzonej w necie tylko dla dobra zwykłego usera :/ takie czasy. dziękuję, dobranoc.

  8. specjaliści od SEM/SEO nie są z tego powodu zbyt zadowoleni Specjaliści od SEM będą bardzo zadowoleni! Oczywiście w całej sprawie nie chodzi o żadne bezpieczeństwo, ale o zarobki. Po HTTPS nie widać fraz kluczowych wejścia w GA, co mocno utrudnia sprawę pozycjonerom (gościom od SEO). Jedyne miejsce w którym będzie dostęp do fraz kluczowych to Narzędzia dla webmasterów, w których jest tylko część wyników (nie ma długiego ogona), a w dodatku dane są widoczne bardzo krótko, mniej niż dwa miesiące. Pozycjonerzy nie będą mogli więc nawet porównać wyników z poprzednim miesiącem(!). Za to ludzie od SEM zyskają – frazy wejść z AdWords będą widoczne. W ten sposób część klientów pozycjonerów przeniesie się do ludzi od SEM. Oczywiście Google zyska na tym, że więcej osób korzysta z SEM niż SEO.

    • bez przesady ;) najpierw zobacz jaki % wejść to właśnie “not provided”, praktycznie jest to ułamek wszystkich wejść – góra 1%,

    • Web Tools pokazują wszystkie frazy (pobierz je na dysk), ale nie widać korelacji z konwersją.

      Tego SEO i SEM bym tak nie rozdzielał, w końcu “Optymalizacja pod wyszukiwarki” jest częścią “Marketingu internetowego”. Już od dawna nie można było się ograniczać do samego SEO, więc dla specjalistów nie będzie to przeszkoda nie do przeskoczenia. Problem moim zdaniem będą miały osoby, które nie zajmują się SEO profesjonalnie, a jedynie pozycjonują swojego bloga, forum, czy stronę firmową. Zobacz taki przykład: Pan Janek wypasa owce w bieszczadach, no i wypozycjonował sobie stronę firmową na tę frazę. Jednak bez doświadczenia nie ma pojęcia o tym, że nie ma z tego żadnych efektów.

      Specjalista od wyszukiwarek wypuści (a robi to też i dziś) na dwa-trzy dni kampanię AdWords i jeszcze przed wypozycjonowaniem strony będzie wiedział jakie frazy będą warte pozycjonowania, a jeszcze przy okazji sprawdzi długi ogon.

  9. Nie znam się na webmasterinug, ale cieszę się, że strona nie będzie wiedziała z jakiej frazy ją znalazłem… Ile to razy trafiałem na jakieś oszukańcze strony, które to rzekomo posiadały to co szukałem, a okazywało się, że strona nic niema, a sama jest generowana na podstawie frazy z Google, którą to ja wpisywałem…

    • żeby strona nie wiedziała, wystarczy dać w about:config network.http.sendRefererHeader=0

    • Ile to razy trafiałem na jakieś oszukańcze strony, które to rzekomo posiadały to co szukałem, a okazywało się, że strona nic niema, a sama jest generowana na podstawie frazy z Google, którą to ja wpisywałem…

      Mówisz o spamie, a co z dobrymi stronami? Jakby dużo osób trafiało na stronę po jakiejś frazie, nt. której nie ma nic na stronie, webmaster, gdy to zauważyłby wstawiłby coś adekwatnego do wyszukiwania. I już nagle role się odwracają.

      Ale umówmy się, że spamu i normalnych stron nie pakujemy do jednego worka. Innymi prawami się rządzą.

  10. Fajnie się czyta komentarze “speców” widzących w Google samo zło. Google zabierze referery, SEO będzie biedne, webmasterzy nie będą wiedzieli skąd ludzie, ojojoj. A wystarczy sprawdzić… https://google.com, wyszukać cokolwiek, włączyć firebuga czy cokolwiek innego pokazującego nagłówka i kliknąć linka. No i jest referer, no i jest słowo kluczowe. Biedni miłośnicy teorii spiskowych – znowu pudło. Da się? Da się.

    • Hehe, no nie do końca się da – https://google.com kieruje na http. Dopiero https://encrypted.google.com/ kieruje po https.

    • Marcin: zanim zaczniesz podejrzewać inżynierów Google i komentujących o spisek i hack w HTTPS, zastanów się, czy poprawnie wykonałeś opisane przez Ciebie ćwiczenie ;)

  11. Marcin: Ano, da się. Szczególnie, że https://google.com przekierowuje na… http://google.com – więc nagłówki tam są :P

  12. Samo uzywanie google nie jest gwarancja prywatnosci …

    Osobiscie korzystam ze Startpage/Startingpage i Yauba. Zasadniczo maja lepsze podejscie do prywatnosci i nie zapisuja IP [wg zapewnien oczywiscie], co maja potwierdzac certyfikaty itd.

  13. “Google na wprowadzeniu HTTPS zyskuje na polu walki z podmieniczami reklam i wyników wyszukiwania” – ale traci na zużyciu CPU – warto przecież dodać, że wdrożenie SSL w jakimś większym serwisie to nie jest tylko kwestia kupienia certyfikatu za jakieś śmieszne dla tego podmiotu pieniądze, ale ruch po HTTPS bardziej obciąża łącza i serwer (o jakieś 20-30% bodajże). Dla google to pewnie nie problem, bo oni mają “nadmiarową” serwerownie – ale ciekawe, o ile zwiększy im się zużycie prądu, po włączeniu HTTPS by default.

    • akurat w przypadku infrastruktury Google, jakiś ichniejszy hacker publikował papierek na temat tego, że oni potrafią dodać HTTPS bez 30% penalty.

    • Czyżby mieli sprzętowe akceleratory kryptograficzne?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: