Google vurderer å helkryptere Gmail

Google vurderer å helkryptere Gmail

Dags dato er det bare innlogging som er kryptert. Nå vurderer Google å kryptere hele sesjonen.

Når du logger inn på Gmail brukes kryptering via HTTPS under innlogging. Men med en gang innboksen er kommer til syne, er du tilbake på ukryptert overføring via HTTP, med mindre du aktivt velger HTTPS.

Sikkerhetseksperter mener dette er tåpelig, ettersom hackere med adgang til nettverket – for eksempel på en internettcafé – dermed kan avlytte trafikken i innboksen, som ofte inneholder masse hemmelig og privat informasjon.

- Hvis du vil stjele noens identitet, er innboksen der den ligger, sier Cristopher Soghoian, en student ved Berkman Center for Internet and Society ved Harvard University.

Manuelt i dag

Han var én av de 38 sikkerhetsekspertene som konfronterte Google for å få giganten til å gå for HTTPS hele veien.

I tillegg til å kryptere dialogen mellom brukeren og Google, vil bruk av HTTPS gjøre Gmail mer phishing-sikkert, på grunn av autentiseringen det innebærer.

Brukere kan manuelt slå på HTTPS på Gmail-sesjonen dags dato, men må da gå inn på innstilling neders på innstillingssiden.

Vil sjekke det ut

Googles svar til Soghian kom kjapt.

- Vi vil gi små utvalg Gmail-brukere HTTPS som standardinstilling for å se hvordan de opplever det, og hvorvidt det påvirker ytelsen på eposttjenesten. Laster det kjapt nok? Responderer det kjapt nok? Er det enkelte regioner, nettverk eller datamaskininnstillinger som gjør fungerer dårlig med HTTPS?, skrev Googles programvareingeniør Alma Whitten i en blogg i går.

Hvis det viser seg å funke, sier Whitten at Google vil slå på HTTPS som standard i et «bredere og hyppigere» perspektiv.

Årsaken til at Google vil sjekke ut ytelsen først, er at HTTPS kan gjøre nettsurfing tregere – og Google ønsker ikke å miste brukere på grunn av dette.

Men HTTPS kan også gå kjappere ved å installere spesielle databrikker på serverne, kalt akseleratorer – men dette igjen koster mer penger.

- Gratis HTTPS som alltid er på er uvanlig i epost-bransjen, særlig blant de som leverer gratistjenester. Men vi ser det på det som en måte å gjøre nettsurfing sikrere og mer brukervennlig. Det er noe vi gjerne skulle sett på alle store webmail-løsninger, sier Whitten.

Du kan også HTTPS-kryptere Google Calendar og Goodle Docs, men bruken kan ikke slås på som standard. Om du skulle ønske å kryptere disse tjenestene, må du skrive HTTPS manuelt i stedet for HTTP i adressefeltet på nettleseren.

Les om: