“心脏流血”后,Google要一个更安全的Gmail

Gmail security

最近从OpenSSL项目中曝出的Heartbleed漏洞影响巨大,同时也让诸多采用SSL加密的站点也不再那么安全了。为了应对互联网上越来越多的各类安全隐患,据Venturebeat的消息,Google或将采用新的加密工具来提升Gmail的安全性,其内部也正在研究如何把PGP的加密方式整合到Gmail里。

PGP(Pretty Good Privacy)是一套用于消息加密、验证的应用程序。按照Google的说法,这种端对端的加密方式对于保护信息安全十分有效,不过使用者可能不得不做出一些功能上的妥协。同样,电子前沿基金会表示,由于PGP不允许任何第三方解密用户的私人数据,所以相对于SSL,它也能更好的保护信息安全。这也就意味着即使用户的SSL证书和服务器都出现了问题,想盗取用户的数据仍然不是一件容易事。

虽然目前还不知道Google将如何把相关功能整合进Gmail里,但除了Google之外,Firefox在最新的Firefox Sync里已经开始使用端对端的加密方式来保护用户数据了。事实上,如果不能获得这些知名厂商的推广,即使赢得了一些小工具制作方的接受,PGP也难以进入主流用户群中。GPG Tools的开发方就向Venturebeat表示,一般在媒体曝出重大的安全问题后,大量的用户会突然涌出来下载相关的安全防护工具,而随着新闻事件的褪去,相关工具的下载量也直线下滑。

由于用户信息安全是一项系统工程,所以,即使Google一直比较重视相关的加密工作,它却仍不能防止Gmail用户数据被窃取。最初的时候Gmail并没有提供默认的加密访问,后来Google为了保护用户数据安全就将众多的Google服务都纳入到SSL的保护伞之下,但即使这样,还是有攻击者利用Flash漏洞在Gmail的转发列表中加入攻击者的邮箱,接着将被攻击者所有的邮件转发到对应的收件箱中。这样的情况下,虽然Gmail没出问题,但相关的用户数据还是被窃取了。

对于Google来说,虽然端对端的加密方式有利于用户数据安全,但由于其“太好”的安全性,Google甚至都没法自己扫描Gmail邮件的内容进而匹配广告,这一点恐怕会令Google这家“广告公司”无法接受,也让Gmail安全升级计划蒙上阴影。

图片来自:Blogspot

订阅更多文章