it-swarm.dev

Qual è la differenza tra https://google.com e https://encrypted.google.com?

C'è qualche differenza tra la ricerca di Google crittografata (su https://encrypted.google.com ) e la normale ricerca di Google HTTPS (su https://google.com =)?

In termini di sicurezza quali sono stati i vantaggi della navigazione attraverso la ricerca criptata di Google?

Nota che questa non è una domanda su [~ # ~] http [~ # ~] vs [~ ~ #] https [~ ~ #] . Questi sono due servizi Google.

234

Secondo Google , la differenza sta nella gestione informazioni sul referrer quando si fa clic su un annuncio.

Dopo una nota di AviD e con l'aiuto di Xander abbiamo condotto alcuni test e qui ci sono i risultati

1. Facendo clic su un annuncio:

  • https://google.com: Google ti porterà a un HTTP pagina di reindirizzamento dove aggiungerebbe la tua query di ricerca alle informazioni del referrer.

  • https://encrypted.google.com: Se l'inserzionista utilizza HTTP, Google non informerà l'inserzionista della tua query. Se l'inserzionista utilizza HTTPS, riceverà normalmente le informazioni del referrer (inclusa la query di ricerca).

2. Facendo clic su un risultato di ricerca normale:

  • https://google.com: Se il sito Web utilizza HTTP, Google ti indirizzerà a un HTTP pagina di reindirizzamento e non aggiungerà la tua query di ricerca alle informazioni del referrer. Diranno solo al sito Web che vieni da Google. Se utilizza HTTPS, riceverà normalmente le informazioni sui referrer.

  • https://encrypted.google.com: Se il sito Web su cui fai clic nei risultati utilizza HTTP, non avrà idea da dove vieni o quale sia la tua query di ricerca. Se utilizza HTTPS, riceverà normalmente le informazioni sui referrer.

Lo stesso argomento è stato trattato in un post sul blog EFF .


[~ # ~] edit [~ # ~] : Google ha rilasciato crittografato.google.com al 30 aprile 2018. Secondo Google , questo dominio è stato utilizzato per offrire agli utenti un modo per effettuare ricerche in sicurezza su Internet. Ora, tutti i prodotti Google e la maggior parte dei browser più recenti, come Chrome, utilizzano automaticamente le connessioni HTTPS.

204
Adi

Al momento della stesura (luglio 2013), i due siti hanno preferenze diverse per gli algoritmi di scambio delle chiavi. Per ispezionare in Chrome, fai clic sull'icona del lucchetto e seleziona la scheda "Connessione".

Against Chrome 28, Vanilla google.com utilizza ECDHE_RSA, crittoted.google.com utilizza ECDHE_ECDSA. Entrambi gli algoritmi trasmettono segretezza. https://www.imperialviolet.org/2011/ 11/22/forwardsecret.html

Per i dettagli, confrontare le configurazioni utilizzando il test del server SSL Labs

  1. https://www.ssllabs.com/ssltest/analyze.html?d=encrypted.google.com
  2. https://www.ssllabs.com/ssltest/analyze.html?d=google.com
  3. https://www.ssllabs.com/ssltest/analyze.html?d=www.google.com
42
Colonel Panic

Oggi (marzo 2018), crittografato.google.com è obsoleto e, a partire dal 30 aprile 2018, crittografato.google.com reindirizzerà a www.google.com.

Dal punto di vista dell'infrastruttura (server, certificati, parametri TLS), non ci sono più differenze significative. Sebbene le richieste siano gestite dagli stessi server (vedere la fine di questa risposta), ci sono ancora alcune differenze tra i due domini:

  • Reindirizzamenti di dominio localizzati
    crittografato.google.com non reindirizza ad altri domini, mentre google.com tenta di reindirizzare a un dominio specifico del Paese ( ccTLD ).
    Per evitare questo reindirizzamento, viene spesso proposto https://google.com/ncr . Tuttavia, funziona solo se i cookie sono abilitati. Per evitare che il reindirizzamento si verifichi senza richiedere cookie, aggiungi gws_rd=cr parametro all'URL.

    (per i punti seguenti, non distinguo più tra www.google.com e ccTLD)

  • Ricerca con marchio Google
    A differenza di google.com, l'interfaccia utente dicrypted.google.com non mostra link ad altri prodotti/app Google. Per esempio. confronta l'intestazione su google.com (archiviato) con crittografato.google.com (archiviato) . Ciò è probabilmente dovuto al fatto che crittografato.google.com è stato introdotto appositamente per la ricerca crittografata (al giorno d'oggi, il supporto https è un valore predefinito ben definito; all'epoca era stato introdotto https come funzionalità opzionale).

  • Perdita del referrer e tracciamento dell'utente
    In entrambi i casi, referer HTTP per i risultati di ricerca normali non contiene i termini di ricerca originali in chiaro (anche se ci sono molti parametri URL oscuri che possono essere potenzialmente utilizzati per tracciare l'utente , che è ancora più probabile se il sito utilizza servizi di Google come Google Analytics).
    Questo nascondimento delle parole chiave è spesso (a seconda del browser, del dispositivo, delle funzionalità del browser come JavaScript) implementato non collegando direttamente alla destinazione finale, ma utilizzando un URL di reindirizzamento intermedio come risultato della ricerca, ad es. [google domain]/url?q=[destination URL] (gli annunci vengono instradati attraverso più URL di reindirizzamento e includono i termini di ricerca originali, indipendentemente dal dominio Google).
    A volte (di nuovo, a seconda del browser, ecc.) Google utilizza <meta content="Origin" name="referrer"> per eliminare il referer HTTP e metodi alternativi per il tracciamento (ad es. beacon o controllo hyperlink ).

    (Al momento in cui scrivo, crittografato.google.com utilizza il primo in Google Chrome e www.google.com utilizza il secondo metodo. Ma questo non significa molto. Ad esempio in Internet Explorer 11, il primo metodo viene utilizzato per entrambi i domini Google.)

    Per mantenere l'URL di destinazione originale senza perdere il referrer, è possibile utilizzare l'estensione del browser "Don't Track Me Google": https://github.com/Rob--W/dont-track-me-google

    (Anche senza alcun intervento da siti Web come Google, il referer HTTP può anche essere pulito. Ad esempio, quando l'originatore è HTTPS e HTTP di destinazione, oppure quando viene utilizzata la modalità di navigazione privata di Firefox , oppure se l'utente utilizza flag o estensioni che disabilitano/rimuovono il referer ( esempio per Chrome , esempi per Firefox )).

In passato c'era anche una differenza nella perdita di informazioni tramite HTTP Referer, ma non è più così. Confronta le pagine di aiuto per la ricerca SSL:


Il seguente test mostra che i due diversi domini Google possono risolversi in indirizzi IP diversi e che questi indirizzi IP sono in grado di gestire le query di ricerca per qualsiasi dominio di ricerca di Google.

$ Host encrypted.google.com
encrypted.google.com is an alias for www3.l.google.com.
www3.l.google.com has address 172.217.20.78
www3.l.google.com has IPv6 address 2a00:1450:400e:80a::200e

$ Host www.google.com
www.google.com has address 172.217.20.68
www.google.com has IPv6 address 2a00:1450:400e:800::2004

$ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.68

$ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.78

$ curl -I https://www.google.com/?gws_rd=cr --resolve www.google.com:443:172.217.20.68

$ curl -I https://www.google.com/?gws_rd=cr --resolve www.google.com:443:172.217.20.78

$ curl -I https://www.google.nl/?gws_rd=cr --resolve www.google.nl:443:172.217.20.78

Gli ultimi comandi curl ricevono tutti i risultati della ricerca senza ulteriori reindirizzamenti (non ho incluso il loro output in questa risposta). Per visualizzare i dettagli SSL, sostituire -I con -vvv o usa qualcosa come openssl s_client -connect google.com:443.

9
Rob W

Secondo la domanda del PO, "In termini di sicurezza quali sono stati i vantaggi della navigazione attraverso la ricerca criptata di Google?"

Non c'è differenza.

Dettagli: guardandoli entrambi oggi, 16 gennaio 2017, l'unica differenza che vedo è che quello "crittografato" non ha l'icona di Google Apps in alto a destra.

Il DNS per www.google.com punta a 6 coinvolto nello spazio 74.x, mentre crittografato.google.com passa a uno solo nello spazio 216. Pertanto, sembra che www sia più/meglio bilanciato in termini di carico rispetto a crittografato.

Entrambi usano lo stesso certificato, quindi se qualcuno è preoccupato per una perdita di chiave privata per l'uno contro l'altro, sono gli stessi.

La lettura di forum di Google ,crypted.google.com è stata implementata per test e sviluppo e non deve essere utilizzata. Poiché www.google.com è ora https, non è necessario utilizzare crittografato.google.com per quanto riguarda la sicurezza/crittografia.

Guardando la risposta di "curl" sono quasi identici e non vedo alcuna differenza funzionale.

Google potrebbe avere uno script diverso alla fine? Certo, ma ciò non cambierebbe la risposta alla domanda OP.

3
MikeP

Secondo Google nel 201 , era un mezzo per le ricerche crittografate passare attraverso un sottodominio denominato in modo che quelle organizzazioni che volevano filtrare le ricerche (scuole, ecc.) Potessero ancora ispezionare le ricerche che passano attraverso SSL e bloccare ricerche criptate che non potevano ispezionare.

2
schroeder