感谢读者 tommywithu 的提醒。
数月前,Google.com主站在登录状态下已经开始默认启用https加密搜索,现在这一功能将在未来数周内扩展到各个Google国家和地区分站域名里,包括https://www.google.com.hk/:
这一动作可能也意味着整合Google+搜索结果的Search Plus Your World功能也会很快出现在各个国家和地区的Google分站里,因为它会通过你输入的关键字生成很多个性化的搜索结果,对安全的要求更高。
Via Inside Search
在过去几年里 Google 一直在使用SSL协议来不断增强产品的安全性,同时也在倡导整个行业提高安全标准。Google 从2010年1月份开始将SSL作为了 Gmail 的默认设置,4个月之后又在 https://encrypted.google.com 这个域名上开启了一个加密搜索服务。可喜的是其他一些领先的互联网企业也在近几个月内增加了对 SSL 的支持。
由于搜索逐渐成为了一种个性化服务,Google 很清楚保护那些个人搜索结果的重要性。因此,Google 决定优化登录用户的搜索体验。在接下来几周里,当你使用登录帐户访问 Google 的时候,页面会跳转到 https://www.google.com (https 而不是 http)。在这个页面下的搜索内容和结果都会被加密。这对于那些使用不安全网络链接的用户来说相当重要,比如说在咖啡厅使用 Wifi(或者在景德镇上网)。如果你不想登录的话,你也可以直接输入 https://www.google.com 来访问。
这对于那些需要获取 Google 搜索结果的网站意味着什么呢?当你通过 https://www.google.com 来进行搜索的时候,你所访问的那些网站还会知道你是从 Google 上跳转过去的,但是至于你搜索了什么内容就不得而知了。通过 Google Webmaster Tools,网站方可以浏览在过去一个月内1000条浏览量最高的关键词,从而更准确的了解他们流量的统计信息。但是如果你点击搜索页面上的广告的话,你搜索的内容还是会被发送给广告商,以便他们来判断广告的效果并改善广告内容。
在逐渐让更多的产品支持SSL的同时,Google 希望能有更多的网站与他们一道行动。这也是他们为什么发布关于SSL的研究结果并对协议的推广提供建议。Google 希望通过增强网页搜索的隐私保护和安全性的能够引领整个行业在更大范围里更有效的部署 SSL 协议。
Via GOB
感谢 Dante Jiang 的爆料和翻译。
实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了。BEAST 的两位研究人员也没在本周五正式发表前透露太多细节,不过 Google 显然不打算冒任何风险。
BEAST 利用选择明文恢复 (chosen plaintext-recovery) 攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁 (cypher block chaining) 的加密方式使用之前的加密块对下一个块进行加密。Chrome 的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。
了解 BEAST 细节的研究员同意不在周五前泄漏消息,其中一位就是 Google 的安全研究员,他在 Hacker News 的评论说:
因为我的工作是 Chrome 的 SSL/TLS 协议栈,因此我知道这一攻击的细节。链接的新闻 (关于 BEAST 的新闻 - Dante 注)根本就是煽情,不过新闻界就好这口儿。
基本上人们没什么可担心的,因为什么也没坏。
Via Google +Dante Jiang and The Register
Google Images开始支持https加密的图片搜索了,你只需要进入Google加密搜索,搜索内容后再选择左侧搜索百宝箱里的图片搜索即可。不过点击图片搜索结果后出现的大图预览页面还未使用SSL加密。
目前Google主要的产品都已支持https加密,不过https网页搜索还无法使用Google Instant顺势搜索和Wonder Wheel神奇罗盘。
另外Chrome浏览器最近还宣布部署了一项称为SSL False Start的技术,可有效降低SSL加密网页握手延迟高达30%,让SSL加密网站的加载时间更低。
Via GOS
感谢读者 xslidian 的提醒。
从2011年9月15日开始,Google将强制要求所有使用Google Documents List API, Google Spreadsheets API 和 Google Sites API 的开发者使用SSL加密连接来连接。这一变化将是强制的,到时会全面禁用HTTP请求,HTTP请求将得到400错误。
如果开发者使用Google Data客户端库的话,那么一切都可自然过渡,如果你还在使用老版本的Google Data客户端库,赶紧升级吧。如果你没使用Google Data客户端库,那么只需要将HTTP请求里的HTTP改成HTTPS即可,也很简单。以前使用OAuth和AuthSub的token还将继续使用HTTPS URL地址没有变化。
Via Google Code Blog
有人看到Google在加密搜索的主页下方放置了一个Gmail链接,说:
使用Gmail,来自Google的免费电邮。
点击进入的Gmail介绍页面列出了一堆优势,包括大空间、移动访问、更少的垃圾邮件、标签机制和搜索,同时有一个创建帐户的链接按钮。
Via GOS
Picasa Web Albums今天终于也像网页搜索、Google Docs和Gmail一样推出了HTTPS的加密传输版本,只要访问https://picasaweb.google.com即可,方便你在不安全的WiFi连接下传输私人艳照,当然在景德镇HTTPS有更特殊的意义──任何卑鄙的伎俩都不应该阻碍人们对互联网的访问。
Chrome的提示里写到(上图),有一些内容并未加密,但目前图片、CSS和Javascript都走了加密通道,这已经足够。未加密的只是一个显示广告用的iframe框架而已,如果用IE访问,每次都会弹出加密和未加密内容混合的警告提示,比较烦人,所以还是推荐用非IE浏览器。
目前支持HTTPS传输的Google服务包括:
Gmail, Google Calendar, Google Docs, Google Sites, Google Reader, Google Groups, Picasa Web Albums, Google Search, Google Finance, YouTube, Google Health, Google Analytics, Google AdSense and AdWords, Google Web History, Google Bookmarks, Google Voice, Google Latitude, FeedBurner, Google Checkout。其中Gmail是默认加密,YouTube则是部分加密。
Update:貌似Android里的Picasa Web Albums系统同步还无法强制支持HTTPS,不知道下次更新是否会加入。不过我们可以等待第三方Picasa Web Albums for Android应用支持HTTPS,在手机同步你的Picasa图片库。
Via GOS
感谢读者 wmr 的自爆。
wmr也山寨了一个Google瞬时搜索。其使用了Google Ajax Search API,将其中的onkeyup加入了action的值,就得到了一个瞬时搜索。其对比之前的那些山寨瞬时搜索的优势在于支持加密传输,不怕发生意外。
说实话这个扩展要不是 Google 出的都不值得介绍一下。。。Google SSL Web Search 功能简单到令人发指,只是给你的 Chrome 添加了一个使用 https://www.google.com/ 的搜索引擎而已,这工作稍微用过几天 Chrome 的人都会自己做。。。插件添加的 url 比较复杂,地址是:
这下更没有理由安装这个扩展了。。。对了,这个扩展在 Mac 下还不能正常工作。。。%^@$@!
via lifehacker
Google发布了网页统计报告,来源于他们索引的42亿个网页(PageRank高的网站占的权重可能会比较高):
Google此举是为了提高大家对网页读取速度优化的重视程度,他们为网页开发者提供了很多帮助指南,来提高效率。Google给出的主要建议有四点:
Via GOS
