Google overweegt de toegang tot Gmail, GoogleDocs en GoogleCalendar standaard via HTTPS-encryptie te laten verlopen, nadat zij hier door 37 beveiligingsexperts om is verzocht. De onderzoekers laten weten dat Google wel HTTPS-encryptie ondersteund, maar dat dit standaard is uitgeschakeld en dat de configuratieoptie die dit beveiligingsmechanisme controleert niet gemakkelijk te ontdekken is.
HTTPS is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS wordt de data versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Omdat de gegevens aan beide kanten door een beveiligde verbinding heen gaan, moeten zowel de server als de client hun data versleutelen en ontcijferen. Dit kost extra rekentijd, en dat is ook de reden waarom deze versleuteling niet standaard wordt toegepast. De versleuteling wordt toegepast op basis van SSL.
Risico is dus dat indien de gebruiker vanaf een onbeveiligd (WiFi-)netwerk inlogt op de webapplicaties van Google, dat de data van de gebruiker gestolen of onderschept kan worden, zelfs door weinig ervaren aanvallers. Met alle gevolgen van dien. De informatie voor dergelijke aanvallen is gemakkelijk te vinden via internet.
Google heeft laten weten om een test te plannen waarbij ze kleine groepen Gmail gebruikers naar HTTPS overbrengen om te onderzoeken wat hun ervaring is, en of dit de prestatie van de mailapplicatie beïnvloedt. Indien het geen negatieve gevolgen heeft voor de gebruiksvriendelijkheid van de dienst, of op een andere manier onpraktisch mocht blijken, dat zal Google HTTPS standaard voor meer (of eventueel alle) gebruikers aanzetten. Ook zal worden gekeken naar de webapplicaties GoogleDocs en GoogleCalendar.
In tegenstelling tot bijvoorbeeld Hotmail biedt Google al wel HTTPS aan. De groep beveiligingsexperts stelt dat gebruikers van Microsoft Hotmail, Yahoo Mail, Facebook en Myspace ook kwetsbaar zijn voor data- en accountdiefstal. Deze bedrijven bieden geen enkele vorm van beveiliging voor hun diensten.
Lees hier het bericht.
