※※※※※※※※※※※※※※※※※※※※※※
※※※※※※※※※※※※※※※※※※※※※※
ZDNet新聞專區 Stephen Shankland 2010/01/14 17:28:01
Google昨天公佈駭客的確有小部分成功入侵Gmail後,該公司表示目前已經預設啟動一個安全網路技術。
Gmail原本就已經可以「選擇」使用HTTPS連線(安全版本的HTTP)來取出資料,不過現在則變成常態了。
Gmail的工程師主管Sam Schillace在部落格中表示,採用HTTPS可保護資料避免被第三方偷看,比如在公共場所使用Wi-Fi時。
「原本我們是讓網友自行選擇,因為使用HTTPS有個缺點,因為加密過的資料傳遞上會比較慢。最近幾個月,我們一直在安全/延遲之間掙扎,現在決定直接讓大家使用HTTPS才是作對的事。」
不過若你原本是在http上使用離線Gmail,則轉換至HTTPS會有一些狀況,Google建議讀者參考這裡。
ZDNet新聞專區 Elinor Mills 2009/06/17 18:34:02
Google被一群資安專家聯名要求強化隱私安全作為。
至少30多位隱私倡導者與研究員共同要求Google提供更好的資料保護給Gmail與其他Google應用的使用者,而Google週二則表示,若不會拖累應用速度太多,它會考慮。
你或許不知道,但你其實可以預設加密Gmail資料,避免在網路傳輸時遭竊取;不過其他Google應用所建立的資料(比如Docs或Calendar)則沒有此一預設功能,因此若在公開的網際網路連線時(比如公開的無線網路),有可能被有心人士監看或盜取,這是一封由38位知名資安專家連署簽名寄給 Google執行長Eric Schmidt的信中所寫道。
信中提到,沒錯,這類免費的e-mail服務、社交網路都很容易遭到資料竊取或帳號盜用,但Google其實是有能力來主導此事,立下一個可讓其他人跟隨的標準,信中如此表示。
這封信呼籲,Google應該預設Gmail、Docs與Calendar啟用HTTPS(一般多是銀行與電子商務網站會使用),或者多多教育用戶隱私風險,並讓大家可輕鬆啟用HTTPS成為預設值。
信裡指出,許多人根本不瞭解使用這類沒有加密服務的隱私風險,且不知道其實可把HTTPS當做預設選項,甚至要尋找這個設定也不是那麼容易。使用者其實可直接在URL欄位中輸入「https://」(或者把"http://"多加一個s即可)來存取Gmail、Docs、Calendar之類的應用,但很多人都不知道有這個選項。
「身為提供雲端服務的市場領導商,Google可肩負起隱私與安全的領導角色,為產業立下一個標準,」信中提到,「若Google認為防範害客的責任可由使用者自行決定,那麼Google至少要盡到告知相關風險的責任,好讓使用者有能力去做出正確的選擇。」
簽署這份文件的資安專家包括BT Group資安技術長Bruce Schneier、SRI國際首席科學家、MIT加密先驅Ron Rivest、哥倫比亞大學的Steve Bellovin、Purdue 大學Eugene Spafford、Defcon創始人Jeff Moss(最近已經加入美國家園安全顧問團)。
Google的資安與隱私軟體工程師Alma Whitten則在一篇部落格中回應說,「Google已經開始研究是否要把HTTPS開啟成為預設值。」
「但我們得先確定不會有任何衝擊用戶使用經驗的負面影響,」她寫道,「理論上我們也希望能預設為HTTPS,但HTTPS其實也有缺點,某些動作會變慢。」
「若測試後沒有任何負面影響,我們會針對所有Gmail用戶啟用HTTPS為預設,」文章表示,「我們也會思考如何用到Google Docs與Google Calendar這類應用。」
※※※※※※※※※※※※※※※※※※※※※※
沒有留言:
張貼留言