marți, noiembrie 30, 2021

Ce vrea de fapt Google prin SSL? Daca nu e relevanta, ce altceva e?

De prin vara anului trecut, Google a anunțat că va promova folosirea ssl by default prin adăugarea unui bonus la “ranking-ul” site-urilor care folosesc ssl ( sau putem spune invers, prin scăderea celui al paginilor necriptate).

Nu este vorba doar de site-urile care necesită autentificare, ci de orice site. Acest lucru va face, în viziunea Google, web-ul mai sigur, prin faptul că cineva care ar intercepta traficul dintre utilizator și site nu ar mai avea cum să facă analiză de conținut pe acesta. Conținutul fiind criptat între mine și site-ul destinație, acesta va fi inaccesibil interceptării pe traseu.

În general acest conținut, în cazul în care nu vorbim de credențiale, ar putea fi folosit în activități de “profiling” : putem analiza ce mănâncă vecinul ( de pe ce site-uri comandă, mai precis) , dacă citește ziare de stânga sau de dreapta, dacă vede filme de Sergiu Nicolaescu sau de Antonioni etc, interceptând traficul său de web necriptat . Bineînțeles că de aici se poate merge mai departe folosind “cumva” aceste date, însă în principiu ceea ce e important este că nu vorbim de o amenințare directă prin folosirea paginilor necriptate, ci mai degrabă de o problemă potențială.

Pe vremea când locuiam în Pantelimon aveam veșnic niște vecine care se îndeletniceau  cu activitatea de “profiling”, deși nu pe Internet ; aceasta avea cel puțin o finalitate clară, legată de numărul de persoane care să fie trecută la întreținere. În general,  fiind o persoană politicoasă și deschisă aveam un ranking destul de bun și îmi plăteam întreținerea la timp, deși nu inventasem mantaua invizibilității cum ar recomanda Google.

Principala problemă a SSL a fost o vreme încărcarea suplimentară a serverului ( și stației). Cum însă procesoarele au evoluat destul de mult, în acest moment această problemă practic a dispărut.

Tehnic vorbind, se mai pun și alte probleme, mai ales în mediul de afaceri. De obicei o firmă mai mare, pentru a reduce din trafic, folosește așa numitele servere “proxy”. Toate cererile către Internet se fac prin intermediul acestora. Serverul memorează răspunsurile și, atunci când accesăm a doua oară aceeași pagină, ne va răspunde direct cu pagina memorată, în loc să mai facă încă o cerere către același site ( există bineînțeles mecanisme pentru a controla conținutul dinamic de cel static, dar nu e cazul să intrăm în amănunte). Ori, atâta timp cât traficul între stație și site-ul web este criptat, am doar două soluții: fie renunț la proxy , fie devin eu însumi “the man in the midle” și încep, de nevoie, să  decriptez pe proxy traficul, eventual criptându-l la loc pentru utilizator, lucru pentru care va trebui să emit un “wildcard certificate” cu care să îi dau utilizatorului senzația falsă că e în continuare în siguranță.

Cealaltă problemă este comercială: în momentul în care voi trece site-ul meu pe ssl, va trebui să emit un certificat. Dacă în emit eu, browserul va afișa diverse mesaje care o să îmi sperie mușterii; am mai vorbit de această problemă anterior, unele din mesajele produse de Googkle Chorme sunt de-a dreptul mincinoase ( “your connection is not private” de exemplu este fals; în realitate ceea ce se poate spune este doar că nu putem fi siguri că site-ul e de încredere, conexiunea este la fel de privată ca la orice alt certificat). Cu alte cuvinte, dacă vreau să cresc în ranking-ul Google fără să îmi alung clienții ( vorbesc de un site public, nu unul fără autentificare) va trebui să cumpăr un certificat de la unul din providerii agreați de Google și Mozilla ( pentru că nu vreau să îi sperii nici pe cei care intră cu Firefox, nici pe cei care intră cu Chrome.  Frumos business!

Din punctul meu de vedere însă, se mai pune o problemă. Google adaugă în ranking un criteriu care nu ține de relevanța site-urilor. Cu alte cuvinte, ranking-ul Google se îndepărtează de relevanța “reală”. Ori acesta este în primul rând un lucru rău pentru Google; e adevărat că deocamdată nu prea avem o alternativă la motorul lor de căutare, dar pe măsură ce diferența între ranking-ul Google și relevanța “reală” (orice ar însemna asta) crește, “ranking”-ul Google ca motor de căutare scade. Sigur, deocamdată e o valoare mică, însă nu trebuie să uităm că toată lumea, webdesigneri și clienți folosesc intensiv și aproape fără discernământ webmaster tools de la Google ( nici nu poti face altfel, dacă ignori recomandările acestora sigur vor veni alți webdesigneri care să-i “deschidă ochii” clientului asupra “greșelilor” ).  Ceea ce dorim în primul rând de la un motor de căutare e relevanța. Dacă relevanță nu e….

Distribuie acest articol

10 COMENTARII

  1. Ranking-ul Google e ranking-ul Google și nu trebuie luat prea în serios. E tot ca o agenție de rating, oferă niște servicii și speră să obțină bani din ele.

    Ca impresie personală.(n-am întâlnit nicăieri abordat subiectul) aș zice că relevanța rezultatelor Google a scăzut sensibil în ultimii 2 – 3 ani. Am ajuns la fel ca pe vremea când foloseam Altavista, trebuie să mă gândesc la cei mai ciudați și mai restrictivi termeni de căutare pentru a obține 4-5 pagini de rezultate în loc de 232.000 (e un exemplu concret, numărul de rezultate pentru o căutare după ”lettice rowbotham”, la care încerc să-i fac reclamă cu ocazia asta :P )

    În rezumat, Google e o afacere privată, orientată spre a produce venituri. Și cel mai bun mod de a produce venituri este să deții monopolul asupra unui produs. Pe care poți să-l ajustezi cum vrei, în scopul de a maximiza profitul. Acest produs fiind tocmai Ranking-ul Google, în cazul de față :)

  2. Sincer, cred ca e vorba de putina dezinformare sa spui ca Google promoveaza folosirea TLS-ului ca sa favorizeze business-ul CA-urilor. Recomand sa cititi blogurile [1] [2] inginerilor de securitate ai Google ca sa intelegeti mai bine filozofia din spatele unor astfel de miscari. Lasand putin la o parte teoriile conspirationiste, acesti ingineri sunt printre cei mai buni oameni din domeniu, si „citindu-i”, sper sa va convingeti nu doar de calitatea lor profesionala, ci si de cea etica.

    [1] https://www.imperialviolet.org/;
    [2] http://googleonlinesecurity.blogspot.de/ (aici i-ati prins cu ocaua mica, blogspot e fara TLS).

    • Nu mă îndoiesc că inginerii Google sunt „printre cei mai buni oameni din domeniu”, și NSA are oameni foarte buni si cred ca și FSB-ul. Cât despre etică, nu inginerii decid asta ci acționarii. „Hai să nu permitem injectarea de reclame de la alții, ca să le putem injecta pe ale noastre” :)
      De fapt cei care câștigă în final nu sunt neapărat vânzătorii de certificate, ci vânzătorii de cloud; în curând lui Google îi va puți probabil dacă IP-ul tău găzduiește mai puțin de 100 de site-uri :) Devine din ce în ce mai complicat (și scump) să îți menții propria infrastructură, și asta nu pentru că ar fi din ce în ce mai ieftin în cloud ( Google e firma care vinde mail cu 3-4 USD/căsuță / lună) , adică îi poțî bate cu un server propriu la orice capitol: tehnic, economic, simplitate în utilizare, dar devine tot mai scump să ții pasul cu genul ăsta de măsuri „protecționiste”.

  3. Solutia sunt certificate autentificate pe baza unui model de incredere distribuit de tip openpgp. Certificatele se schimba fie fata in fata fie prin intermediul altor mecanisme agreate cu persoanele in care aveti incredere.

    Problema incredereii e mult mai simpla. Ea nu a existat la inceputurile webului pentru ca pur si simplu miroseai site-urile care sunt ok de cele care nu erau. Pana la urma si acum poti sa-ti dai seama de aspectul asta fara ca acel site sa aiba sau sa nu aiba certificat ssl verde. Bine Microsoftul are, dar asta nu inseamna ca e de incredere :))) O data ce site-ul e de incredere in cazul in care e necesar un transfer criptat se poate folosi orice certificat. Indicat sa fie unul generat cu tehnologii care nu rezida in US pentru a avea o lungime de criptare mai mare, desigur daca si browser-ul suporta.

  4. Rubrica dvs.este pentru mine una din cele mai utile si interesante de pe acest site. Va urmaresc de ceva vreme si va rog sa continuati.

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Prin adaugarea unui comentariu sunteti de acord cu Termenii si Conditiile site-ului Contributors.ro

Autor

Mihai Badici
Absolvent al Facultății de Electronică si Telecomunicații București ( 1991) Administrator de sistem cu peste zece ani de experiență cu specializari in sisteme de stocare si securitatea datelor. De asemenea a absolvit in 1996 Facultatea de Litere la Universitatea Bucuresti. In prezent, consultant IT independent, colaboreaza pe mai multe proiecte legate de infrastructura de date.

Carte recomandată

 

Sorin Ioniță: Anul 2021 a început sub spectrul acestor incertitudini: va rezista democraţia liberală în Est, cu tot cu incipientul său stat de drept, dacă ea îşi pierde busola în Vest sub asalturi populiste? Cât de atractive sunt exemplele de proastă guvernare din jurul României, în state mici şi mari, membre UE sau doar cu aspiraţii de aderare? O vor apuca partidele româneşti pe căi alternative la proiectul european clasic al „Europei tot mai integrate“? Ce rol joacă în regiune ţările nou-membre, ca România: călăuzim noi pe vecinii noştri nemembri înspre modelul universalist european, ori ne schimbă ei pe noi, trăgându-ne la loc în zona gri a practicilor obscure de care ne-am desprins cu greu în tranziţie, sub tutelajul strict al UE şi NATO? Dar există şi o versiune optimistă a poveştii: nu cumva odată cu anul 2020 s-a încheiat de fapt „Deceniul furiei şi indignării“?

 

 

Carte recomandată

“Să nu apună soarele peste mînia noastră. Un psiholog clinician despre suferința psihică” – Andrada Ilisan

”Berdiaev spune că la Dostoievski singura afacere, cea mai serioasă, cea mai adîncă e omul. Singura afacere de care sînt preocupați toți în Adolescentul e să dezlege taina lui Versilov, misterul personalității sale, a destinului său straniu. Dar la fel e și cu prințul din Idiotul, la fel e și cu Frații Karamazov, la fel e și cu Stavroghin în Demonii. Nu există afaceri de altă natură. Omul este deasupra oricărei afaceri, el este singura afacere. Tot omul e și-n centrul acestei cărți. Și lipsa lui de speranță.” Continuare…

 

 

 

Carte recomandată

”Incursiunile în culisele puterii lui Vladimir Putin îi oferă cititorului panorama plină de nuanţe, paradoxuri şi simulacre a unui regim autocratic unic în felul său. Analizele lui Armand Goşu sînt articulate elegant şi se inspiră din monitorizarea directă a evenimentelor, ceea ce ne permite să traversăm nevătămaţi labirintul slav întins între Sankt-Petersburg şi Vladivostok.” (Teodor Baconschi)

Cumpara cartea, 39.95 RON

Daca doriti un exemplar cu autograf accesati linkul acesta

 

Esential HotNews

Top articole

Metroul la Otopeni – marele eșec al unor politicieni mărunți

Eșecul magistralei de metrou M6: 1 Mai – Aeroportul Otopeni este eșecul politicienilor preocupați să dovedească faptul că nu se poate, în...

Echipa câştigătoare a Preşedintelui Iohannis

La un an de la alegerile parlamentare, România are, în fine, o echipă câştigătoare : alianţa  social-liberală  şi-a definitivat lista de miniştri...

De ce majoritatea modelelor climatice sunt „fierbinți”?

O bună parte din articolele mele publicate pe această platformă discută modele (simulări) ale variațiilor unor parametri climatici precum concentrația de CO2,...

Despre felonie si sperjur

Domnule Klaus Iohannis, Cand Marius Manole si Radu Paraschivescu v-au returnat decoratiile, a fost vorba de o despartire lipsita de orice ambiguitate....

De ce s-a întâmplat ce s-a întâmplat în ultimele luni în România

Cele mai vizibile probleme din ultimele luni în România au ținut de 3 crize – criza în sănătate (Valul 4 de Covid...

contributors.ro

Contributors.ro este intr-o permanenta cautare de autori care pot da valoare adaugata dezbaterii publice. Semnaturile noi sunt binevenite cata vreme respecta regulile de baza ale site-ului. Incurajam dezbaterea relaxata, bazata pe forta argumentelor.
Contact: editor[at]contributors.ro