Artikel top billede

DK-CERT: Krypteret Google-søgning har lille effekt

Googles nye funktion til SSL-kryptering beskytter mod, at uvedkommende ser dine søgninger, men gør ikke meget andet, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Google lancerede for nylig muligheden for at søge over en SSL-krypteret forbindelse. Tanken er udmærket, men i praksis får det næppe større sikkerhedsmæssig betydning.

SSL (Secure Sockets Layer), der strengt taget har skiftet navn til TLS (Transport Layer Security), er en metode til at kryptere kommunikation over et netværk.

Med HTTPS sender man HTTP-trafik over en SSL-krypteret forbindelse. Fordelen er, at uvedkommende, der opsnapper datapakkerne mellem browser og server, ikke kan læse indholdet.

Beskytter mod uvedkommende

SSL giver altså udelukkende sikkerhed mod aflytning på nettet. Teknologien foretager ingen beskyttelse af den pc, som browseren kører på, eller af den server, browseren kommunikerer med.

I praksis betyder det, at uvedkommende ikke kan se, hvad du søger efter, og hvilke søgeresultater du får ud af det. Medmindre de altså har installeret et snuserprogram på din pc.

Google er de første til at påpege, at der heller ikke ændres i de data, der sendes til Google. Så de ved altså lige så meget om dig som før.

Hvis du klikker på et af de links, som søgningen fører til, er der ingen garanti for, at den kommunikation er SSL-krypteret. Nu har du forladt Googles websted, så det er op til ejeren af det nye websted at etablere kryptering.

Statistik og historik

Et par forskelle er der dog: Normalt får webstedet at vide, at trafikken til det stammer fra et klik på et link hos Google. Men det sker ikke, når man går fra en krypteret til en ukrypteret forbindelse.

Det vil give problemer for en række analyseværktøjer, der ikke længere kan se, om en bruger selv har indtastet en URL eller klikket på et link i en Google-søgning. Disse problemer har ikke noget med sikkerhed at gøre, så dem vil jeg overlade til eksperterne i webstatistik.

En anden forskel på almindelig og SSL-krypteret søgning er, at den krypterede søgning ikke gemmes i browserens historik.

Det kan være en sikkerhedsmæssig fordel i virksomheder, hvor flere deles om den samme pc: Man kan ikke se en søgning, som en anden bruger tidligere har foretaget. Igen er det her naturligvis en forudsætning, at pc'en er fri for trojanske heste og andre skadelige programmer.

Få men gode fordele

Som det fremgår, er de sikkerhedsmæssige fordele ved krypteret søgning begrænsede.

Ja, man forhindrer uvedkommende i at se søgninger.
Men ens øvrige aktiviteter er stadig lige så synlige for andre som før.

Mit råd er: Brug den krypterede søgning, hvis du fx søger efter konkurrentinformation eller andet, du gerne vil holde for dig selv.

Eller brug den, hvis flere deles om en pc. Her kan den kombineres med funktionen til privat browsing (InPrivate-filtrering i Internet Explorer 8, Privat browsing i Firefox).
Så selvom sikkerhedsfordelene er til at overse, vil jeg alligevel altid anbefale, at man vælger en sikker frem for en usikker løsning.

Brug den, det kan aldrig skade, og i nogle tilfælde giver det bedre sikkerhed.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere