Google overweegt de toegang tot Gmail, Docs en Calendar standaard via HTTPS te laten verlopen, nadat een groep van 37 beveiligingsexperts hierom in een brief gevraagd heeft. De onderzoekers schrijven: ‘Google ondersteunt HTTPS-encryptie voor de hele Gmail-, Docs- en Calendarsessie. Deze optie staat echter standaard uit, en de configuratieoptie die dit beveiligingsmechanisme controleert is niet gemakkelijk te ontdekken.’
Volgens de onderzoekers kennen ‘slechts weinig gebruikers de risico’s die ze lopen wanneer ze inloggen op de webapplicaties van Google vanaf een onbeveiligd netwerk. Iedereen die de Google-diensten gebruikt over een publieke verbinding (zoals een open draadloos netwerk in bijvoorbeeld een bibliotheek of school) loopt een zeer reëel risico op datadiefstal en -spionage zelfs door weinig ervaren aanvallers. Tools om informatie te stelen zijn wijd verkrijgbaar op het internet.’
Google reageert nu op het verzoek van de 37 beveiligingsexperts, onder wie beveiligingsguru Bruce Schneier, via de beveiligingsblog van het bedrijf bij monde van Alma Whitten: ‘We plannen een test waarbij we kleine groepen Gmail-gebruikers naar HTTPS overbrengen om te onderzoeken wat hun ervaring is, en of dit de prestatie van de mailapplicatie beïnvloedt. Laadt en reageert deze nog wel snel genoeg? Zijn er specifieke regio’s, netwerken, of computerconfiguraties die slecht presteren via HTTPS? Behalve wanneer er negatieve effecten op de gebruikerservaring zijn of wanneer het op een andere manier onpraktisch mocht blijken, zijn we van plan om HTTPS standaard voor meer gebruikers aan te zetten, liefst voor alle gebruikers. We bezinnen ons ook over de vraag hoe we dit het beste kunnen laten functioneren voor applicaties zoals Google Docs en Google Calendar, waarvoor we nu ook al gratis HTTPS als optie aanbieden.’
Hotmail
Daarnaast benadrukt Whitten dat Google op dit moment in ieder geval HTTPS als optie aanbiedt voor de gebruikers van hun webapplicaties, en dat dit niet geldt voor bijvoorbeeld Microsoft Hotmail. Ze citeert daarbij uit de brief van de 37 beveiligingsexperts: ‘Gebruikers van Microsoft Hotmail, Yahoo Mail, Facebook en MySpace zijn ook kwetsbaar voor data- en accountdiefstal. Erger nog, deze bedrijven bieden hun klanten geen enkele vorm van beveiliging. Google biedt zijn meer technisch begaafde klanten tenminste een sterke mate van beveiliging tegen afluisteraanvallen.’
HTTPS en SSL
HTTPS is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS wordt de data versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Omdat de gegevens aan beide kanten door een beveiligde verbinding heen gaan, moeten zowel de server als de client hun data versleutelen en ontcijferen. Dit kost extra rekentijd, en dat is ook de reden waarom deze versleuteling niet standaard wordt toegepast. De versleuteling wordt toegepast op basis van SSL.
