Google: ora la ricerca sotto il protocollo SSL

[Redazione Hosting Talk 10]

Un post ufficiale della compagnia annuncia la possibilità da ora di eseguire ricerche sul motore utilizzando una connessione protetta da protocollo SSL. Per ora si tratta di una versione beta, come viene indicato chiaramente anche visitando https://www.google.com; la compagnia ha iniziato a pensare alla protezione delle connessioni dopo il caso di GMAIL, oggi completamente navigabile sotto SSL, e prevede di portare tutte i suoi servizi sotto connessione criptata in futuro.

 

 

 

Leggi Google: ora la ricerca sotto il protocollo SSL

[Uno 35]

Certo non possiamo pensare che non si siano fatti due conti, ma posso solo immaginare cosa comporterebbe/rrà adottare ssl su una tale mole di lavoro.

Mi sembra da pazzi considerando vantaggi e costi.

 

Da un certo punto di vista il discorso ha un senso, chi si connette da una rete aziendale con proxy aziendale non ha uno straccio di privacy se i sistemisti lo desiderano o ne sono costretti dall'azienda.

Il discorso si allarga perchè in questo caso si potrebbe pensare che dalla rete aziendale si deve lavorare e basta. Senza entrare in tutti risvolti cito una ricerca che dice che lasciare una certa libertà in internet agli impiegati fa si che sprechino meno tempo di continue "gite" alle macchinette del caffè o in bagno. Inoltre io penso che nessuno può permettersi di controllare tipo grande fratello, al limite l'azienda dovrebbe impedire l'uscita da un certo circuito di siti utili al lavoro.

Insomma questo è l'unico caso in cui vedo la reale utilità di una connessione criptata al motore di ricerca (se poi però sugli altri siti.... siamo da capo).

[cyberspazio 10]

Su un sito che riporta la stessa notizia (Google: con ''https'' saremo davvero tutti più protetti?) viene ripreso il discorso dalla [presunta] obbligatorietà di servirsi del protocollo SSL in caso di trasmissione di dati personali, di cui cito un paio di paragrafi::

 

"Mettere in sicurezza un sito web costa relativamente poco (da un minimo di 90 euro ad un massimo di 500 all’anno) e per farlo non ci si impiega più di 10 minuti.

Ma in Italia, nonostante la legge lo preveda**, si fa ancora poco o nulla.

Per questo l’associazione Cittadini di Internet ha istaurato una campagna con il sito www.comunicaresicuri.org dove ogni utente, in modo del tutto anonimo, può segnalare siti non in regola ed ha già segnalato al Garante della privacy oltre 1500 siti che usano form on-line non protetti."

" **Acquisire dati personali tramite un modulo non protetto (non in https) significa incorrere in sanzioni civili e Penali. Le normative di riferimento sono contenute nella Legge sulla Privacy D.Lgs. n. 196/2003 e successive modificazioni. Queste disposizioni di legge possono arrivare a comminare multe che vanno da 3.000 a 60.000 euro e sanzioni penali che arrivano a tre anni di reclusione, oltre ad altri eventuali danni reclamati dalle parti offese. "

 

A parte i costi, e gli aspetti tecnici (ci saranno tanti IP dedicati per tutti i domini con un form di trasmissione dati personali, ricordando che pure la semplice email è considerata un dato personale?), a me sembra una forzatura: è come dire che per ottenere sicurezza sulle strade è obbligatorio che tutti viaggino su auto da 100.000 Euro e si buttino le utilitarie.

[GrG 28]

Mettere in sicurezza un sito web costa relativamente poco (da un minimo di 90 euro ad un massimo di 500 all’anno) e per farlo non ci si impiega più di 10 minuti.

 

Beh, insomma, per i siti piccoli. Parlando di una mole di lavoro come quella che ha Google, i numeri cambiano, ed inizia ad essere un peso.

[EvolutionCrazy 31]

ssl è ormai d'uso comune su moltissimi siti... anche un certificato self signed basta...

 

il problema "grandissimo" di questa apertura di google verso l'ssl è uno solo: i referer!

 

i browser quando si passa (link uscente) da un sito ssl ad uno non ssl non passano i referer!

se non erro li passano solo da ssl ad altro ssl (anche se su altro dominio)

 

questo significa che se google inizia a spingere verso l'ssl tra le statistice non vedremo piu' le query di ricerca... ne sapremo che il visitatore proviene da google... almeno fin quando non avremo anche noi siti ssl :P

[guest 16]

E che vantaggio avrebbe google?

Un utente si guarderebbe le statistiche, vedrebbe che il 99% delle visite arrivano da yahoo (visto che google è sparito) e spingerebbe maggiormente verso yahoo i propri investimenti.

 

in pratica, se fosse come dici te, google si sarebbe automaticamente dato la zappa sopra i piedi, togliendosi in automatico dalle statistiche.

 

impossibile che sia così.

[EvolutionCrazy 31]

non ho ben capito il tuo messaggio.

 

la mia non era una critica verso google... anzi!

volevo solo mettere in luce l'aspetto negativo (che è un dato di fatto... almeno per firefox ed ie... gli altri non so...)

 

INFO: Internet Explorer Does Not Send Referer Header in Unsecured Situations

 

è una cosa normalissima e ben nota :/

 

Tanto di cappello a google per aver scelto questa via... e molta curiosità nel vedere come si comporterà chrome in caso di link da https ad http :)

 

(lo scopo del non inviare il referrer è per proteggere eventuali leaks che potrebbero avvenire... se ci pensi un attimo il referrer ti permette di avere un dump completo di tutte le variabili $_GET che la pagina prima di te ha ricevuto... e questo non va per niente bene... soprattutto in un ambiente SICURO (dove viene usato https per un qualche motivo specifico...))

 

PS:

http://www.google.com/support/websearch/bin/answer.py?answer=173733

As another layer of privacy, SSL search turns off a browser's referrers New window icon. Web browsers typically turn off referrers when going from HTTPS to HTTP mode to provide extra privacy. By clicking on a search result that takes you to an HTTP site, you could disable any customizations that the website provides based on the referrer information.

[guest 16]

Si ma devono aver avuto altre motivazioni oltre a quelle della semplice sicurezza, se così facendo spariranno dalle varie statistiche.

Come dici te, se da HTTPS passi ad HTTP, chi arriva sul mio sito HTTP tramite una ricerca google HTTPS non comparirebbe nelle mie stats.

[EvolutionCrazy 31]

penso che a loro interessi piu' la gente che cerca che non le statistiche ai webmaster ;)

 

con ssl possono cercare anche i cinesi e i lavoratori con le reti filtrate per keywords :)

 

relativamente ai webmaster parliamo di gente che li "sfrutta"... non di inserzionisti paganti (adwords non penso ne risentirà :) )

[guest 16]

Be, non proprio.

Se io deve decidere su quale motore pubblicizzare maggiormente i miei prodotti, prendo le stats e guardo quelli che mi portano più accessi.

 

Se Google non compare, mi comparirà probabilmente Yahoo, e farò investimenti su tale motore, in modo da avere il massimo della visibilità.

Per assurdo, non investo Xmila euro su un motore che mi porta 1 visita ogni anno, ma li investo su chi mi porta 3000 visite al giorno.