Artikel top billede

"Vi skriver til dig i dag for at udtrykke vores bekymring over, at mange brugere af Googles cloud-baserede tjenester uden grund bliver udsat for en række privacy- og sikkerheds-risici," indledes brevet til Eric Schmidt.

Google lytter til cloud-kritik og tester HTTPS

38 sikkerhedseksperter har sendt et åbent brev til Google med en kritik af sikkerheden på selskabets populære web-tjenester. Google undersøger mulighederne for HTTPS-kryptering.

Googles efterhånden mange web-tjenester er i de senere år blevet voldsomt populære hos både private og virksomheder.

Det er blandt andet tjenester som Gmail, Calender og Docs, der hitter, men sikkerheden i disse er slet ikke høj nok.

Sådan lyder kritikken i det åbne brev, som en række førende sikkerheds-folk tidligere på ugen sendte til Googles administrerende direktør Eric Schmidt.

"Vi skriver til dig i dag for at udtrykke vores bekymring over, at mange brugere af Googles cloud-baserede tjenester uden grund bliver udsat for en række privacy- og sikkerheds-risici," indledes brevet til Eric Schmidt.

HTTPS skal være default

Det er underskrevet af 38 sikkerhedseksperter, heriblandt kendisser som Bruce Schneier og Jeff Moss, manden bag Defcon.

De forklarer Eric Schmidt, at problemet er, at selvom Google anvender krypterings-protokollen HTTPS, når kunderne logger ind på de forskellige tjenester, så er det som default den almindelige HTTP-forbindelse, der er i brug, når man er logget ind.

HTTPS anvendes i dag blandt andet på netbuttikker, offentlige service-sider på nettet og i netbankerne, hvor sikkerheden er afgørende, men Google-tjenesterne er altså ikke med på HTTPS-vognen.

"Resultatet er, at alle, der anvender disse tjenester fra en offentlig forbindelse (som åbne trådløse netværk på caféer, biblioteker og skoler) står over for en meget virkelig trussel for at blive udsat for data-tyveri eller overvågning, selv fra ikke-sofistikerede angribere. Redskaber til at stjæle informationer er bredt tilgængelige på internettet," står der i brevet.

Sikkerheds-eksperterne opfordrer derfor til at HTTPS ikke bare er en mulighed i indstillingerne i Googles tjenester, men indføres som default-indstilling.

Google: HTTPS skal testes

Mindre end et døgn efter at have modtaget brevet, er Google nu klar med et modsvar på selskabets officielle sikkerhedsblog.

"Gratis, 'always-on HTTPS' er ret sjældent inden på email-markedet, ikke mindst hos en gratis tjeneste, men vi ser det som endnu en måde at gøre nettet mere sikkert og brugbart på. Det er noget, som vi gerne ser, at alle alle større email-tjenester tilbyde."

"Faktisk ser vi øjeblikket på, om det vil give mening at slå HTTPS til som default for Gmail-brugerne," skriver Alma Whitten, der er software-ingeniør hos Googles sikkerheds-hold.

Google tilføjer, at selvom HTTPS opfattes positivt hos de brugere, der har slået krypertingen til i indstillingerne, og selvom økonomien ikke holder selskabet tilbage, så skal følgerne af HTTPS undersøges, inden alle tjenester får denne protokol som default.

"Vi vil forstå bedre, hvilken indflydelse det har på folks oplevelse, analysere dataene og sikre, at det er ikke er negative effekter."

"Ideelt set vil vi gerne have dette til at være default for alle forbindelser, og vi undersøger komprimisserne, da der er negative ting forbundet med HTTPS — i nogle tilfælde gør det bestemte handlinger langsommere."

Alma Whitten fra Google tilføjer, at selskabet planlægger en test, hvor HTTPS vil prøvet på forskellige typer af Gmail-brugere.

"Loader det hurtigt nok? Reagerer det godt nok? Er der bestemte regioner eller netværk eller computer-setups, der klarer sig specielt dårligt på HTTPS?" lyder de ubesvarede spørgsmål hos Google.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2025

Hvordan du orkestrerer og opdeler SAP-projekter for at opnå gevinster hurtigere? Hvordan påvirker AI fremtiden for SAP i almindelighed og måske også din virksomhed? Dette er blot nogle af de svar du får ved at deltage på denne spændende konference.

03. april 2025 | Læs mere


Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere