Google försöker öka säkerheten på Gmail

Efter att ha uppmanats av en grupp av integritetsförespråkare sa Google på tisdag att det planerar att testa en säkrare version av sin Gmail-tjänst för att se om det är genomförbart.

Google planerar att ändra sina back-end-servrar så att vissa användare kommer att Använd automatiskt en krypterad HTTPS-anslutning (Hypertext Transfer Protocol Secure) när de använder Gmail. Just nu använder alla HTTPS för att logga in på Gmail, men därefter skickas webbsidor utan kryptering.

Det här är en dålig sak, säger integritetsexperter eftersom det betyder att hackare med tillgång till ett nätverk - säg vid en café med Wi-Fi - kan ta över ett Google-konto med hjälp av en teknik som kallas session kapning. De kan också läsa e-post, som ofta innehåller känslig information.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Om du vill stjäla någons identitet är inkorgen där den är sade Christopher Soghoian, en av experterna som uppmanade Google att göra förändringarna.

Soghoian, en studentmedlem med Berkman Center for Internet och Society vid Harvard University, var en av 38 säkerhets- och sekretessexperter som tisdags ringde på Google att adoptera

Inte bara HTTPS krypterar e-post, vilket gör det svårare att läsa. Det ger också ett sätt att autentisera servrarna, så användarna kan vara mer säkra på att de verkligen pratar med Google och inte någon nätfiske webbplats.

Gmail-användare kan redan läsa sina meddelanden via HTTPS, men för att kunna göra det måste de klicka på en webbläsarfunktion längst ner på inställningssidan. Under testet skulle HTTPS vara aktiverat som standard. HTTPS kan användas för att säkert ansluta en del eller hela en webbsida.

Google Docs och Calendar-användare kan också ansluta via HTTPS, men det finns ingen inställning för att göra det permanent. Användare måste helt enkelt skriva in // varje gång de ansluter till dessa tjänster.

Google sa i fjol att det inte använde HTTPS som standard eftersom det skulle göra webbplatsen för långsam.

Soghoian har floated idé om integritetshändelser under de senaste veckorna att Google bör tryckas för att anta SSL (Secure Sockets Layer) och Googles svar på honom var snabbt.

"Vi flyttar småprover av olika typer av Gmail-användare till HTTPS för att se vad deras erfarenhet är och om det påverkar resultatet av deras e-postmeddelanden, säger Google Software Engineer Alma Whitten i en bloggpostering tisdag. "Är det tillräckligt snabbt? Är det tillräckligt med mottagning? Finns det specifika regioner, eller nätverk eller datoruppställningar som gör särskilt dåligt på

Om testet går ut, kommer Google att "aktivera HTTPS som standard mer i stort sett, förhoppningsvis för alla Gmail-användare, säger Whitten.

Google skulle inte säga när det kommer att börja testa, men företaget ligger framför konkurrenterna Yahoo och Microsoft, som inte erbjuder sina användare en HTTPS-anslutning, säger Jeremiah Grossman, Chief Technology Officer med White Hat Security. Eftersom krypterade meddelanden innehåller mer information kan HTTPS sakta ner webbsurfning och om Google finner att prestanda är så dåligt att vissa användare släpper tjänsten, skulle det vara ett stort problem. sade.

Å andra sidan kan HTTPS-prestanda spedras genom att använda speciella chips på servern, som kallas acceleratorer. Men det kostar pengar.

"Gratis, alltid på HTTPS är ganska ovanligt i e-postbranschen, särskilt för en gratis e-posttjänst", skrev Whitten. "Men vi ser det som ett annat sätt att göra webben säkrare och mer användbar. Det är något vi vill se alla större webbmailtjänster tillhandahåller."

Se även Gmail, Google Maps och Google Search: 19 Coola tips