En Segu-info han publicado una nota traducida de Information Security Tips and Tricks donde se hace referencia a la nueva funcionalidad de Google que permite realizar búsquedas cifradas.
Esto significa que al realizar búsquedas en https://www.google.com la información entre nuestra computadora y los servidores de Google viaja de forma segura, de esta forma nadie podría «leer» las búsquedas que se realizan aunque la comunicación sea interceptada. Además al estar logueados en la cuenta de Google nos mantendríamos siempre bajo el protocolo seguro, actualmente el https aparece en el panel de control de la cuenta y en algunos servicios.
Búsquedas cifradas y compatibilidad con las herramientas:
En Information Security Tips and Tricks ha hecho una interesante observación que afecta a los complementos de seguridad como McAfee SiteAdvisor y similares. Estos complementos analizan los resultados de búsqueda y nos ayudan a determinar si un sitio es peligroso o fraudulento, un ejemplo se puede ver en la siguiente imagen:
SiteAdvisor marca como peligroso uno de los resultadosEl problema con la nueva funcionalidad de Google es que la información no puede ser analizada por estas herramientas, al ser una comunicación cifrada no se puede leer y los complementos no pueden verificar la seguridad y autenticidad de los resultados. Ejemplos:
Búsqueda normal con SiteAdvisor instalado:
Búsqueda cifrada con SiteAdvisor instalado:
En la segunda imagen los iconos del complemento no aparecen porque los resultados no pueden ser analizados, esto supone un riesgo de seguridad para los usuarios. Cabe mencionar que Google hace lo mismo y muestra advertencias en sitios peligrosos, pero no hay nada que sea 100% efectivo.
Google es el único que se queda con la información:
Este nuevo chiche de Google no sólo afecta a los complementos de seguridad, sino a cualquiera que trabaje con la información de los resultados de búsqueda como, por ejemplo, la barra de Alexa. Si bien de momento es algo que está en desarrollo (beta) y Google no lo impone por defecto, en el futuro tal vez lo hagan y todos los complementos necesitarán ser actualizados o se quedarán fuera de la movida.
Google quiere más seguridad para los usuarios, pero ¿a quién le precupa que se puedan leer las búsquedas realizadas? si alguien te está espiando (sniffeando) la conexión lo último que le interesaría sería eso, además igualmente podrían conocer tus preferencias de navegación al ver las páginas que visitas. Y para los equipos infectados, una comunicación cifrada con Google no cambia demasiado el panorama, si la PC está infectada no se puede confiar en nada de lo que aparece en la pantalla.
Lo único bueno que le veo a la funcionalidad es que se podría mantener toda la sesión bajo el protocolo https, pero antes de preocuparse por el buscador, podrían implementarlo en otros servicios como Blogger que sólo cifra la comunicación durante el login.
Ver también:
Video: demostración de robo de cookies en Gmail.
@5, parece que no entiendes el punto, lee bien, lee los blogs que referencio… hoy es algo opcional y que nadie usa, pero en el día de mañana lo pueden habilitar por defecto.
Obviamente, si lo quieres usar y otras herramientas no funcionan por estar la información cifrada es problema tuyo, eso supongo que queda claro en el post :S
De lo que me "quejo", es lo que dice el Anónimo 3, hoy es opcional… dentro de un tiempo… veremos.
Así que yo no lo veo como algo tan sencillo.
@Pedro, la navegación privada de los navegadores no es lo mismo que la búsqueda cifrada. Son cosas diferentes.
La función "in private" de Internet Explorer 8 simplemente no guarda datos de navegación en la computadora, de ninguna página que se visite (historiales, cookies, etc), sólo eso.
Salu2.
si no kieres que vean tu historial de busqueda simplemente usa la opcion "in private" de internet explorer 8 para que no afecte los complementos de McAfee y de avast. En mi opinion esta bien esta correcto.
A ver, ¿entoces cúal es tu punto? Te estás quejando de la función del cifrado SSL: que un tercero no pueda analizar tus datos, sea una persona, un programa, etc. Es como si, por ejemplo, toda tu vida te la pasras encerrado en una cueva por seguridad, pero luego te quejas de que nadie te puede ver. Si no quieres que tus búsquedas sea cifradas, no uses el cifrado. Sencillo.
El titulo claramente se refiere a las "busquedas cifradas", no es engañoso. Asi como tampoco es tipico de este blog poner titulos alarmistas. En mi opinion está correcto.
Saludos
Runnels, piensa en el negocio de la información que quiere Google ;)
El título del post sigue siendo la verdad, si la usas los complementos no analizan los resultados de Google, así que "afecta".
Además en el post dice "es algo que está en desarrollo (beta) y Google no lo impone por defecto".
Esto…. las búsquedas cifradas tan sólo son una opción, no estás obligado a utilizarlo, así que no "afecta" en nada. Si quieres que tus "herramientas de seguridad" funcionen, simplemente sigue utilizando la misma versión de Google. Vaya ganas de querer hacer alarma por cualquier cosa.