Googles efterhånden mange web-tjenester er i de senere år blevet voldsomt populære hos både private og virksomheder.
Det er blandt andet tjenester som Gmail, Calender og Docs, der hitter, men sikkerheden i disse er slet ikke høj nok.
Sådan lyder kritikken i det åbne brev, som en række førende sikkerheds-folk tidligere på ugen sendte til Googles administrerende direktør Eric Schmidt.
"Vi skriver til dig i dag for at udtrykke vores bekymring over, at mange brugere af Googles cloud-baserede tjenester uden grund bliver udsat for en række privacy- og sikkerheds-risici," indledes brevet til Eric Schmidt.
HTTPS skal være default
Det er underskrevet af 38 sikkerhedseksperter, heriblandt kendisser som Bruce Schneier og Jeff Moss, manden bag Defcon.
De forklarer Eric Schmidt, at problemet er, at selvom Google anvender krypterings-protokollen HTTPS, når kunderne logger ind på de forskellige tjenester, så er det som default den almindelige HTTP-forbindelse, der er i brug, når man er logget ind.
HTTPS anvendes i dag blandt andet på netbuttikker, offentlige service-sider på nettet og i netbankerne, hvor sikkerheden er afgørende, men Google-tjenesterne er altså ikke med på HTTPS-vognen.
"Resultatet er, at alle, der anvender disse tjenester fra en offentlig forbindelse (som åbne trådløse netværk på caféer, biblioteker og skoler) står over for en meget virkelig trussel for at blive udsat for data-tyveri eller overvågning, selv fra ikke-sofistikerede angribere. Redskaber til at stjæle informationer er bredt tilgængelige på internettet," står der i brevet.
Sikkerheds-eksperterne opfordrer derfor til at HTTPS ikke bare er en mulighed i indstillingerne i Googles tjenester, men indføres som default-indstilling.
Google: HTTPS skal testes
Mindre end et døgn efter at have modtaget brevet, er Google nu klar med et modsvar på selskabets officielle sikkerhedsblog.
"Gratis, 'always-on HTTPS' er ret sjældent inden på email-markedet, ikke mindst hos en gratis tjeneste, men vi ser det som endnu en måde at gøre nettet mere sikkert og brugbart på. Det er noget, som vi gerne ser, at alle alle større email-tjenester tilbyde."
"Faktisk ser vi øjeblikket på, om det vil give mening at slå HTTPS til som default for Gmail-brugerne," skriver Alma Whitten, der er software-ingeniør hos Googles sikkerheds-hold.
Google tilføjer, at selvom HTTPS opfattes positivt hos de brugere, der har slået krypertingen til i indstillingerne, og selvom økonomien ikke holder selskabet tilbage, så skal følgerne af HTTPS undersøges, inden alle tjenester får denne protokol som default.
"Vi vil forstå bedre, hvilken indflydelse det har på folks oplevelse, analysere dataene og sikre, at det er ikke er negative effekter."
"Ideelt set vil vi gerne have dette til at være default for alle forbindelser, og vi undersøger komprimisserne, da der er negative ting forbundet med HTTPS — i nogle tilfælde gør det bestemte handlinger langsommere."
Alma Whitten fra Google tilføjer, at selskabet planlægger en test, hvor HTTPS vil prøvet på forskellige typer af Gmail-brugere.
"Loader det hurtigt nok? Reagerer det godt nok? Er der bestemte regioner eller netværk eller computer-setups, der klarer sig specielt dårligt på HTTPS?" lyder de ubesvarede spørgsmål hos Google.
