曾几何时,我们可以通过Google Cache缓存到的网页里高亮的关键字来快速找到我们需要的内容。但随着Instant Preview的到来,这个功能被“半下课”了。如果你登录了Google帐号,那么缓存里的关键字就都不会高亮,这是因为当你登录后,搜索页面都使用了HTTPS加密。Google给出解决办法就是打开另外一个不登录的浏览器,或是打开浏览器的隐私模式访问Google,就又有高亮关键字的缓存页面了。实际上我们还有更讨巧的办法:
首先点击Instant Preview页面里的similar链接,而非点击cached连接。然后将URL地址里的related字样改成cache即可。如果你在Instant Preview页面里看不到similar链接,那么可以复制关键字,将其粘帖到缓存页面URL地址的“+”和“&cd=”之间。
如果不想这么麻烦,干脆直接装这枚叫做MultiHighlighter的Chrome扩展。如果你使用IE的话,那么直接用Google Toolbar即可高亮关键字。
Via GOS
感谢读者 tommywithu 的提醒。
数月前,Google.com主站在登录状态下已经开始默认启用https加密搜索,现在这一功能将在未来数周内扩展到各个Google国家和地区分站域名里,包括https://www.google.com.hk/:
这一动作可能也意味着整合Google+搜索结果的Search Plus Your World功能也会很快出现在各个国家和地区的Google分站里,因为它会通过你输入的关键字生成很多个性化的搜索结果,对安全的要求更高。
Via Inside Search
当你打开一个使用https安全连接的网站的时候,Chrome有事会跳出一个提示框说本页包含不安全内容,在天朝这总是会让人觉得怕怕的。但其实没那么严重,这是因为https连接的网页里有某些CSS或Javascript文件保存在了其它http连接的目录里,Chrome就会很敏感的告诉你有不安全内容。而在这种情况下IE只是将其称之为“混合内容”。
其实在访问加密的Google、Twitter、Google Docs的时候,都有可能看到这个貌似很严重的体提示框。此时点击Ctrl+Shift+J,打开开发者控制台,即可看到那些所谓的不安全内容是什么了,多半都根本无关痛痒。
如果你已经厌倦了这个提示,好像“狼来了”喊多了也就麻痹了似的,可以不要让Chrome再喊“狼来了”。右键点击Chrome的快捷方式,在其“属性”里,将“ --allow-running-insecure-content”加到最后面即可(注意前面有个空格)。重新打开Chrome,就再也不会再看到“不安全内容”的提示了。
Google 去年就开始为很多服务推送 https 协议,也就是说不论用户在选项中如何设置,总会访问到网站的加密版本。在这以前,https 只是服务设置中的可选项。譬如说 Gmail 用户 2008 年就可以为账号启用 https,强制使用加密版本。
https 可加密用户计算机与服务器之间的流量。最核心的益处就是保护数据免遭网络窥探。只要网站支持 https,如果使用公用计算机或处于网络当中,而不想让 ISP 或老板知道你在做什么,访问网站的加密版将带来诸多便利。
而在昨天,Google 宣布默认启用更为保密的 PFS 特性。
支持 https 的大多数网站所采用的加密模式不够极端,有被追溯破解的风险。换而言之,加密不可读的电子邮件可能会在传输到用户计算机的过程中被记录下来。十年内,计算机运算速度更快,服务器的密钥可能会被破解,当今的电子邮件流量也将能追溯解密。
极端保密特性(PFS)要求不对连接密钥进行持久存储。破解单个密钥也无法解密数个月的流量;事实上,即使是服务器操作员也无法追溯破解 https 会话。
PFS 特性能在本质上确保攻击者无法使用未来获取的密钥破解过去记录下来的数据。
包括 Google 电子邮箱(Gmail)、加密搜索、Google Docs 以及 Google+ 在内的使用 https 的 Google 服务均已支持该特性。
Chrome、Firefox (所有平台)以及 IE(Vista 或更高版本)支持采用“Diffie-Hellman 椭圆曲线机制”(ECDH)的 PFS。目前只有 Chrome 与 Firefox 访问 Google 服务会默认采用该特性,因为 IE 不支持同时采用 ECDHE 与 RC4。我们希望在将来支持 IE。
Google 还为开源的 OpenSSL 库实现了对该特性的支持。您可以在 Google 线上安全博客读到原始公告。
Via Ghacks
在过去几年里 Google 一直在使用SSL协议来不断增强产品的安全性,同时也在倡导整个行业提高安全标准。Google 从2010年1月份开始将SSL作为了 Gmail 的默认设置,4个月之后又在 https://encrypted.google.com 这个域名上开启了一个加密搜索服务。可喜的是其他一些领先的互联网企业也在近几个月内增加了对 SSL 的支持。
由于搜索逐渐成为了一种个性化服务,Google 很清楚保护那些个人搜索结果的重要性。因此,Google 决定优化登录用户的搜索体验。在接下来几周里,当你使用登录帐户访问 Google 的时候,页面会跳转到 https://www.google.com (https 而不是 http)。在这个页面下的搜索内容和结果都会被加密。这对于那些使用不安全网络链接的用户来说相当重要,比如说在咖啡厅使用 Wifi(或者在景德镇上网)。如果你不想登录的话,你也可以直接输入 https://www.google.com 来访问。
这对于那些需要获取 Google 搜索结果的网站意味着什么呢?当你通过 https://www.google.com 来进行搜索的时候,你所访问的那些网站还会知道你是从 Google 上跳转过去的,但是至于你搜索了什么内容就不得而知了。通过 Google Webmaster Tools,网站方可以浏览在过去一个月内1000条浏览量最高的关键词,从而更准确的了解他们流量的统计信息。但是如果你点击搜索页面上的广告的话,你搜索的内容还是会被发送给广告商,以便他们来判断广告的效果并改善广告内容。
在逐渐让更多的产品支持SSL的同时,Google 希望能有更多的网站与他们一道行动。这也是他们为什么发布关于SSL的研究结果并对协议的推广提供建议。Google 希望通过增强网页搜索的隐私保护和安全性的能够引领整个行业在更大范围里更有效的部署 SSL 协议。
Via GOB
大家都知道 Google 通过强制 https 访问确保客户端到 Gmail 服务器通信的安全,但常常忽视传输过程的保密。电子邮件内容在经过 base64 编码后,就会被明文投递到目标服务器。只要不是 Gmail 用户间互发,投递所经过的中继服务商都可能记录/窃取邮件的内容。这不,韩国国家情报局(NIS/국정원)也承认在调查时对一位 Gmail 用户收发的邮件进行了抓包。
据《韩民族》(한겨레)日报昨天报道,原为教师的金亨根(音译)(김형근,52 岁)最近曾提起宪法上诉。为调查此人,NIS 在今年三月对他收发邮件的情况进行了长达 15 天的窃听。
在提交给国会的书面回应中,NIS 陈述:“金先生为避免调查机构的侦察,使用境外邮件服务(Gmail),并以其父母的名字开设帐号,且收发邮件后立即删除,使得传统的搜查扣押模式难以收集证据,因此决定采取窃听数据包的方案。”
NIS 解释道:“(部分韩国民众)通过使用超出韩国调查权限的境外邮件服务(Gmail、Hotmail 等)来寻求所谓的‘网络庇护’(사이버 망명),使得数据包窃听成为不可避免的措施。”NIS 在向法院申请同时采取通讯限制措施(抓包)时坚称有窃听邮件的必要。而法院当时也接受的 NIS 的请求,并授权抓包。
据该报解释,包窃听与传统通讯窃听手段不同,可以实时查看互联网来往的全部内容。通过深度抓包,可以记录特定用户在网络上传输的所有数据包。深度抓包通常用于审查或广告投放调研(即明文关键词触发——译者注)。
该报还引述一家安全公司负责人的说法:“Gmail 自 2009 年透露中国安全部门窃听其服务后,(强制)使用加密通讯协议(https),技术上几乎不可能破解。如果 NIS 真能窃听(客户端到服务器间的通讯),可能引发国际性争论。”
显然,NIS 只是稍稍山寨了一下在天朝早已投入实际应用的过境过滤技术,以加深网络国界的管控(跨国公司没有国内公司听话)。韩国民众会被这场导向性宣传冲昏头脑吗?请大家淡定滴拭目以待!
via 한겨레
Google通过Uberti Blog公布了Google+里的Hangouts视频群聊服务的技术细节,其实它就是一个视频会议在线应用。
Hangouts是一个全新标准的基于云端的视频会议平台,这个平台具备高质量视频、低延迟和强大的加密,配合简单易用的网页应用,它将领导视频会议的体验潮流。
Hangouts主要的技术特点:
Hangouts也需要你在浏览器上装一个插件,跟Gmail里的视频聊天插件一样。它目前最多允许10个人同时视频群聊,但仅限桌面电脑使用,手机和平板还不行。
另外一个有趣的事情是,Hangouts群聊首先需要一个人创建出聊天室,然后其他加入的人也可以邀请别人加入。每个Hangouts聊天室都有一个独立的URL地址,就是说你只要把这个地址公布出去,大家就可以加入了,你甚至可以用Hangouts跟在线好友一起观看YouTube视频。
Hangouts看起来有些像Gtalk的一个分支功能,但不知道它为啥没有被整合进Gtalk,未来如果整合进Google Apps作为视频会议功能来用的话也不错。
Via GOS
SPDY(发音同SPeeDY,速度~~~~)是Google研究出来的一个全新的应用层协议,其特点是即便在多重数据流传输时依然拥有极小的延迟,请求分优先级,可对HTTP报头做压缩。目前仅有Chrome 6.0以上版本才支持SPDY协议,当然几乎还没有任何网站支持SPDY,因为大家都是用HTTP的。
对于网站站长来说,你不能只让网站支持SPDY,那样的话只有Chrome用户才能访问你的网站。而需要让网站同时支持HTTP和SPDY的话,可以试试Strangeloop Site Optimizer。
Strangeloop Site Optimizer其实是一个反向代理,使用它的网站可以配置SPDY而不必对他们的服务器做任何修改。Strangeloop的总裁Joshua Bixby说他认为SPDY将在移动浏览器上扮演重要的角色,使用SPDY的话可以显著提升移动浏览器的性能,其提升幅度大大高于桌面浏览器,尤其可以大大改善SSL的性能。
Via RWW
Google Images开始支持https加密的图片搜索了,你只需要进入Google加密搜索,搜索内容后再选择左侧搜索百宝箱里的图片搜索即可。不过点击图片搜索结果后出现的大图预览页面还未使用SSL加密。
目前Google主要的产品都已支持https加密,不过https网页搜索还无法使用Google Instant顺势搜索和Wonder Wheel神奇罗盘。
另外Chrome浏览器最近还宣布部署了一项称为SSL False Start的技术,可有效降低SSL加密网页握手延迟高达30%,让SSL加密网站的加载时间更低。
Via GOS
感谢读者 xslidian 的提醒。
从2011年9月15日开始,Google将强制要求所有使用Google Documents List API, Google Spreadsheets API 和 Google Sites API 的开发者使用SSL加密连接来连接。这一变化将是强制的,到时会全面禁用HTTP请求,HTTP请求将得到400错误。
如果开发者使用Google Data客户端库的话,那么一切都可自然过渡,如果你还在使用老版本的Google Data客户端库,赶紧升级吧。如果你没使用Google Data客户端库,那么只需要将HTTP请求里的HTTP改成HTTPS即可,也很简单。以前使用OAuth和AuthSub的token还将继续使用HTTPS URL地址没有变化。
Via Google Code Blog
