web-dev-qa-db-fra.com

Est-ce que Google va trop loin en me forçant à utiliser TLS?

Gmail était récemment modifié pour exiger HTTPS pour tout le monde , qu'ils souhaitent l'utiliser ou non. Bien que je réalise que HTTPS est plus sécurisé, que se passe-t-il si l'on ne se soucie pas de la sécurité de certains comptes?

Certains ont critiqué Google pour être mauvais en les forçant à une connexion sécurisée même s'ils ne veulent pas être sécurisés. Ils soutiennent que si c'est juste leur propre compte, ne devraient-ils pas être les seuls à décider de se sécuriser ou non?

Remarque: Cette question a été publiée en référence à l'article lié ci-dessus afin de fournir une réponse canonique à la question posée hors site (c'est pourquoi la même personne qui l'a demandé a répondu).

74
tylerl

Il ne s'agit pas seulement de vous. En forçant les utilisateurs à utiliser TLS , ils créent un environnement plus sécurisé pour tout le monde.

Sans que TLS soit strictement appliqué, les utilisateurs sont sensibles aux attaques telles que sslstrip . Essentiellement, établir des connexions non cryptées une option conduit à la possibilité que les attaquants forcent les utilisateurs établissent des connexions non cryptées .

Mais ce n'est pas tout. L'exigence de TLS est la première étape vers la mise en application de HSTS sur le domaine google.com. Google fait déjà une application HSTS opportuniste - c'est-à-dire qu'ils ne le font pas l'exigent TLS, mais ils restreignent les certificats autorisés à être utilisés sur Google.com (nb : cette technique s'appelle désormais HPKP). C'est une amélioration, mais ce n'est finalement pas une solution.

Pour une application complète de HSTS, ils doivent s'assurer que l'exigence de TLS sur tous les services Google du domaine ne cassera pas nécessairement les solutions tierces. Une fois l'application activée, elle ne peut pas être facilement désactivée. Ainsi, en déplaçant les services un par un vers une application TLS stricte, ils ouvrent la voie à la réalisation de l'application HSTS sur le domaine.

Une fois cette application en place, les navigateurs refuseront simplement de se connecter à Google via une connexion non sécurisée ou compromise. En expédiant ce paramètre dans le navigateur lui-même, le contournement deviendra effectivement impossible.

Avertissement: Je travaille pour Google maintenant mais je ne travaillais pas pour Google lorsque j'ai écrit ceci. C'est mon avis, pas celui de Google (comme cela devrait être immédiatement clair pour toute personne ayant une compréhension de base de la chronologie).

170
tylerl

Permettez-moi de reformuler votre question avec quelques détails supplémentaires, qui sont implicites mais peut-être pas évidents pour tout le monde:

"Google n'est-il pas mauvais en me fournissant un service de messagerie gratuit et des gigaoctets de stockage et me forçant à une connexion sécurisée quand j'accède à ce service qu'ils m'ont généreusement accordé et que personne ne m'oblige à utiliser même si je ne veux pas être sécurisé? Si c'est juste mon propre compte sur leurs serveurs et donné gratuitement, sur la base uniquement de leurs conditions d'utilisation que j'ai acceptées , ne devrais-je pas être le seul à décider ce qui devrait arriver avec LEURS serveurs et l'opportunité de me sécuriser avec une technologie dont les coûts sont entièrement du côté serveur et sans réel inconvénient pour moi ? "

Vraiment, le culot qu'ils ont chez Google!


Commentaire: les réactions contre Google à cet égard ressemblent à des réflexes instinctifs: automatiques, imparfaitement ciblés, et n'impliquant aucun cerveau.

90
Tom Leek

Si Google souhaite que le contenu de ses serveurs soit transféré en toute sécurité, cela est entièrement à sa discrétion, même si ce contenu est votre boîte e-mail.

18
Brian

En fait, non, Google n'est pas mauvais avec ça, pas du tout.

La première chose importante à ce sujet est que l'utilisation d'une connexion sécurisée est pas une préférence utilisateur ou un paramètre personnalisé . Certaines personnes peuvent trouver cela déroutant car elles ne connaissent un système qu'à partir de la position d'un tilisateur final. Étant moi-même développeur de logiciels, je peux vous dire que la sécurité se fait sur niveau application et affecte tous les utilisateurs du système. Il n'y a aucun moyen d'imposer techniquement une sécurité d'authentification basée sur le choix de l'utilisateur sans compromettre la sécurité de l'ensemble du système et de tous les autres utilisateurs, dont la plupart pourraient compter sur la protection des données par le système. Pourtant, si c'est possible, j'aimerais sûrement savoir comment.

Le choix logique pour Google, en tant que fournisseur de services publics, est de créer un environnement sécurisé pour tous ses utilisateurs. Ce n'est pas pour des raisons de sécurité uniquement pour les utilisateurs, mais aussi pour l'entreprise. Imaginez, si quelqu'un devient victime d'une faille de sécurité, déclenche une action en justice contre Google et prouve que ce sont eux qui sont responsables? Cela pourrait être le cas s'ils ne prenaient pas les mesures standard pour protéger les données des utilisateurs et pouvaient être confrontés à une communauté entière d'utilisateurs en colère devant les tribunaux. Ne pas utiliser HTTPS est un exemple d'une telle chose - n'importe qui peut intercepter votre demande Web et voir les informations sous forme de texte brut. Les données utilisateur de Google sont sensibles. Cela ressemble à une simple adresse e-mail et à un mot de passe, mais ces deux éléments constituent la clé de tous vos contacts, de votre correspondance et de vos services Google personnalisés.

De plus, Google est un fournisseur OpenID, ce qui signifie que le même mot de passe utilisateur (celui du compte Google) peut être utilisé pour s'authentifier auprès de systèmes externes (comme les sites du réseau StackExchange, y compris celui-ci, YouTube, Disqus, Picasa et de nombreux autres systèmes populaires). Il est difficile pour moi d'imaginer que l'on préférerait que sa "clé" pour tant de comptes et de services ne soit pas garantie.

En général, il s'agit d'une mesure des exigences techniques, plutôt que de l'application des préférences des utilisateurs. Personnellement, je ne ferais jamais confiance à un système qui n'appliquerait pas les conditions de sécurité minimales comme la connexion et l'authentification sécurisées, en ce qui concerne le courrier électronique, les paiements en ligne et d'autres services fonctionnant avec mes données privées .

14
Ivaylo Slavov

Mal pour vous forcer à utiliser une connexion sécurisée?

Non, je ne pense pas que ce soit mauvais. Il protège la communauté dans son ensemble sans aucun inconvénient pour vous en tant qu'individu.

Je pense que c'est le seul mal s'ils vous forcent à utiliser SSL/TLS, puis ne parviennent pas à utiliser le secret de retransmission, vous donnant ainsi à tous les autres utilisateurs du service un faux sentiment de sécurité.

Sans secret avancé, votre session peut être archivée pour une durée indéterminée, la clé privée obtenue ultérieurement (par quelque moyen que ce soit; ingénierie sociale, vol, gouvernement) et votre session ancienne décryptée.

Avec le secret de retransmission et les clés éphémères, cette préoccupation est sérieusement atténuée.

Qui peut énumérer les inconvénients de l'utilisation d'une connexion SSL/TLS? N'importe qui? :-)

Il peut y avoir des problèmes de performances, mais vraiment seulement si le site Web est mal conçu de sorte qu'il nécessite beaucoup, beaucoup de nouvelles connexions pour servir le contenu d'une page. Ce type de conception aura également un impact négatif sérieux sur une session HTTP non sécurisée régulière.

Les performances de HTTPS sont pratiquement toutes liées à la prise de contact car il faut plus de voyages aller-retour et un peu de chiffrement asymétrique intensif pour calculer la clé de session symétrique sur le serveur et la déchiffrer sur le client (le chiffrement asymétrique est très cher par rapport au cryptage symétrique).

Le coût de calcul du chiffrement et du déchiffrement des données de session réelles avec un chiffrement symétrique après l'échange de clés initial est négligeable.

Qu'est-ce qu'une session SSL/TLS forcée coût vous? D'un côté, je ne crois vraiment pas qu'il y ait un coût mesurable pour vous.

11
Craig

Google vous protège non seulement vous et vos données, mais aussi eux-mêmes.

La grande majorité des internautes ne connaissent pas la sécurité et s'en moquent. Lorsqu'il propose tout chemin non sécurisé comme solution de repli, l'utilisateur l'utilisera, et s'il s'agit d'un homme du milieu qui brise tout le reste.

Si votre compte est compromis, ce n'est pas seulement un problème pour vous et vos données, mais aussi pour google:

  • Des courriers indésirables peuvent être envoyés via leurs services
  • La crédibilité de Google pour l'authentification (authentification unique) en souffrira
  • Un attaquant pourrait mal utiliser les services, entraînant des coûts (pour Google) pour lesquels il pourrait ne pas être en mesure d'obtenir une compensation
  • La récupération du compte pour vous nécessitera une interaction manuelle, ce qui implique des coûts

La sécurité peut également être une question d'économie d'argent.

8
Jens Erat

Il est triste que la première réaction des gens soit de défendre Google en utilisant l'erreur "vous n'avez pas à l'utiliser". En ce qui concerne les transactions d'argent, ne pensez-vous pas que vos propres informations personnelles qu'elles vendent aux annonceurs ont une valeur monétaire? Google n'est pas gratuit, il nécessite toujours un paiement que la plupart des gens ne réalisent même pas qu'ils font.

Maintenant, pour répondre à la question, je ne pense pas qu'ils soient excessifs ou "mauvais" pour le faire. Que se passe-t-il si vous recherchez des informations qui pourraient nuire à d'autres en cas de fuite (par exemple, googler quelque chose comme "comment puis-je traiter l'herpès de ma fille"), et si vous envoyez un e-mail à une autre personne qui souhaite être sécurisé. Est-ce à vous de décider si ce qu'ils envoient est chiffré de votre côté? Vous ne vous souciez peut-être pas de la sécurité, mais d'autres le font, et ce n'est de bout en bout que si les deux extrémités appliquent réellement la sécurité. Cependant, je préférerais que Google donne une méthode pour utiliser des connexions non-TLS s'il y a encore des appareils qui utilisent Google mais qui sont trop de mémoire/ressource/entropie affamés pour établir une connexion sécurisée.

8
Guest dude

Google était-il méchant de vous obliger à utiliser le protocole HTTP au lieu du protocole Gopher? Je ne pense pas que la plupart des gens diraient que c'est le cas. Mais si exiger l'utilisation d'un protocole sur un autre n'est pas mauvais, alors pourquoi le serait-il dans ce cas particulier: envelopper SSL autour de HTTP?

4
The Spooniest

Les mains de googles sont liées. Google ne le fait pas uniquement pour vous protéger. Ils le font pour se protéger. Ils ne veulent pas que d'autres personnes jouent avec vos affaires parce qu'ils les portent pour vous, et ils ont beaucoup d'obligations légales qui accompagnent l'hébergement d'autres choses. Ils sont tenus d'empêcher tout compte d'être utilisé d'une manière qui pose un problème aux autres.

3
user42884

Comme d'autres le disent, normalement, vous n'avez rien à perdre en utilisant le chiffrement au lieu du non-chiffrement, même si vous pensez que vous n'avez pas besoin de chiffrement.

Mais si vous voulez vraiment y accéder sans chiffrement (peut-être pour prouver à quelqu'un qui observe votre ligne que vous ne faites rien de mal), vous pouvez configurer un serveur HTTP, qui se connecte lui-même à Google par HTTPS, et transmettre toutes les demandes et réponses (convenablement adapté).

Vous devez modifier le logo et une partie du texte afin qu'il ne semble pas que vous utilisez directement Google. Et vous devriez penser à utiliser HTTPS au moins pour la procédure de connexion.

Cela devrait fonctionner pour tous les serveurs "malveillants" qui ne prennent en charge que HTTPS.

2
Paŭlo Ebermann

TL; DR: C'est mieux, mais ce n'est pas suffisant.

Les chances d'avoir une connexion exploitée par rapport aux coûts de ce type de sécurité sont évidentes et ne nécessitent aucune autre considération que "oui, cela est requis".

Il est essentiel de se rappeler que SSL n'est peut-être pas parfait et les implémentations sont très peu susceptibles d'être étanches. De plus, en particulier dans un cas comme Google, votre confidentialité et votre lettre secrète ne sont pas préservées en utilisant SSL.

En effet, le seul risque que Google empêche est des formes d'espionnage par des acteurs pas assez puissants pour renverser votre ordinateur, Google ou SSL. Cela pourrait également augmenter l'effort pour d'autres acteurs.

Il n'empêche pas toutes sortes de SSLStrip, comme SSLstrip peut le faire en retravaillant en transit ou même en redirigeant. Un utilisateur ordinaire ne remarquera pas l'absence d'un petit verrou SSL. Un peu de magie supplémentaire pourrait même ramener un nouveau verrou de sécurité.

1
Lodewijk

Peut-être devraient-ils offrir une option pour désactiver SSL si nécessaire. Il existe peut-être des restrictions de chiffrement dans certains pays ou des exigences de réseau qui empêcheraient les utilisateurs d'accéder au service. Je peux voir une certaine valeur commerciale et utilisateur pour fournir des options non sécurisées, mais les valeurs par défaut doivent être sécurisées.

Cependant, Google a probablement pris cette décision comme une décision commerciale et vous êtes lié par les conditions de leur service. Google crypte toujours d'autres informations, comme les résultats de recherche lorsque vous êtes connecté, les serveurs de journaux et les statistiques ne peuvent donc pas lire les mots clés de votre recherche. Si vous n'êtes pas satisfait du service fourni (trop peu ou trop de sécurité), vous pouvez toujours changer de fournisseur. Dans le cas du courrier électronique, il est trivial d'utiliser IMAP pour réellement sortir vos données et les importer ailleurs.

Je ne pense pas qu'ils aient autorisé l'accès IMAP/POP sans cryptage depuis un certain temps maintenant non plus.

0
Eric G