Googlen https-tuki

Tämän tekstin julkaisin alkuperäisesti kommentina Tietoja koneesta-blogilla, jossa se toimii vastauksena Googlen uuteen Health-projektiin liittyvään lausuntoon.

Terveystietojani en luovuttaisi Googlelle tässä vaiheessa, mutta mielestäni tietojen saaminen ja antaminen tarkasti määriteltävien suostumuksien avulla, jostain hyvin toteutetusta kansalaisten asiointipalvelusta, olisi kätevää. Kattava periaatekeskustelu luottamuksesta jättiyhtiöiden tai valtion tietoturvaa kohtaan olisi kuitenkin tärkää.

Ennen kuin Googlelle luovutetaan enemmän tietoa (elän jo nyt Googlen palvelujen avulla), ja jopa ennen koko isovelikeskustelua, kannattaisi tutustua Googlen tilipohjaisten palvelujen huonoon https-tukeen. Google-palveluihin kirjaudutaan https-suojauksella, mutta jos haluaa pysyä suojattuna sisäänkirjautumisen jälkeen, pitää mennä loginsivuun https-urlilla (esim. https://www.google.com/reader, https://mail.google.com ), muuten yhteys palaa suojaamattomaan muotoon. Bugejakin löytyy: Igooglen etusivun hakulomake ei toimi kun sivu on ladattu turvallisena, ja en ole jaksanut tutkia mitä kaikkea lähetetään suojaamattomana Googlen https-sivujen yhteydessä. Tosin jotkut Googlen tuotteista, ainakin kaikki mainoksiin ja Analyticsiin liittyvää, toimivat aina https-yhteydellä. Suojaamattomista yhteyksistä pääsee eroon täysin automaattisesti käyttämällä Customize Google nimisen Firefox-laajennuksen.

Olisin ehkä valmis maksamaan pienen summan ylimääräisestä CPU-ajasta saadakseni täyden https-tuen Googlen kaikista palveluista. En todellakaan halua sessiotietojani lähtevän suojaamattomina jonkun paikan avoimen WLANin tai edes Atlantin yli. Käytän jo paljon ssh:ta eri tarkoituksiin, ja jos Googlen tuotteita suojattaisiin kunnolla, en tarvitsisi ajatella niin paljon sitä, että en ole jaksanut säätää OpenVPN-palvelun kuntoon kotipalvelimella (muitakin keinoja on olemassa).