Frage:
Was ist der Unterschied zwischen https://google.com und https://encrypted.google.com?
BlueBerry - Vignesh4303
2013-03-10 20:03:15 UTC
view on stackexchange narkive permalink

Gibt es einen Unterschied zwischen der verschlüsselten Google-Suche (unter https://encrypted.google.com) und der normalen HTTPS-Google-Suche (unter https://google.com)?)?

Welche Vorteile hatte das Durchsuchen der verschlüsselten Google-Suche in Bezug auf die Sicherheit?

Beachten Sie, dass dies keine Frage zu HTTP ist vs HTTPS . Dies sind zwei Google-Dienste.

Es gibt keine verschlüsselte obere Navigationsleiste.
@John Whoa. Ich habe dies jetzt zu meiner Standardsuchmaschine gemacht. Überweiser interessieren mich nicht (ich habe sie sowieso deaktiviert), aber die fehlende obere Leiste ist eine Killer-Funktion.
@KonradRudolph Der http-Referer-Header ist eines der nützlichsten Dinge für Webmaster. Wenn Sie von einer https-Website kommen, wird diese ohnehin nicht gesendet, sodass keine Daten verloren gehen. Sie können es für uns wieder aktivieren.
@Luc Es mag nützlich sein, aber es ist auch eine krasse Verletzung der Privatsphäre des Benutzers. Eine Website hat im Allgemeinen nichts damit zu tun, zu wissen, wie ich dorthin komme. Ich bin damit einverstanden, dass es für die Website * nützlich * ist, dies zu wissen, aber nur in seltenen Fällen profitiert der * Benutzer * davon.
@KonradRudolph Als Beispiel habe ich gestern die verweisenden Websites einer von mir gepflegten Website angesehen und einige Dinge gefunden, nach denen die Leute nicht gesucht hatten. Wenn wir diese kennen (eine Beispielsuche war "Harbour Roermond" auf Niederländisch), können wir die Website optimieren, damit wir leichter gefunden werden können. Wir waren nicht der Top-Hit, während einige über uns nutzloser Linkspam waren. Ich selbst habe es nie getan, aber selbst wenn dies nur dazu diente, Geld zu verdienen, könnte der Benutzer selbst in diesem Fall davon profitieren. Dies könnte jedoch zu einer sehr langen Diskussion werden. Fühlen Sie sich frei, mich in der DMZ oder einem anderen Raum anzupingen, wenn Sie darüber diskutieren möchten;)
@KonradRudolph Benutzergewinn ist indirekt möglich: Der "Referer" ermöglicht es, den Ursprung externer Links (von Y bis X) zu protokollieren; manchmal erzeugen diese Links einen 404-Fehler in X; Wenn der Webmaster von X sich genug darum kümmert, kann er sich mit dem Webmaster von Y in Verbindung setzen, damit Links repariert werden können. Aus der Anzahl der defekten Links, die ich sehe, schließe ich, dass dies sehr selten gemacht wird. Der beste Weg, um mit defekten Links umzugehen, besteht offensichtlich darin, sie mit stabilen URLs zu vermeiden.
Mir ist aufgefallen, dass sich die Suchergebnisse in diesen Domains unterscheiden. Hat jemand eine Erklärung dafür?
Fünf antworten:
Adi
2013-03-10 20:52:26 UTC
view on stackexchange narkive permalink

Laut Google besteht der Unterschied in der Behandlung von Referrer-Informationen beim Klicken auf eine Anzeige.

Nach einer Notiz von AviD und mit Mit Hilfe von Xander haben wir einige Tests durchgeführt und hier sind die Ergebnisse

1. Klicken Sie auf eine Anzeige:

  • https://google.com : Google führt Sie zu einer HTTP -Umleitungsseite wo sie Ihre Suchanfrage an die Referrer-Informationen anhängen würden.

  • https://encrypted.google.com : Wenn der Werbetreibende Wenn Sie HTTP verwenden, wird Google den Werbetreibenden nicht über Ihre Anfrage informieren. Wenn der Werbetreibende HTTPS verwendet, erhält er die Referrer-Informationen normalerweise (einschließlich Ihrer Suchanfrage).

2. Klicken Sie auf ein normales Suchergebnis:

  • https://google.com : Wenn die Website HTTP verwendet, werden Sie von Google zu weitergeleitet eine HTTP -Umleitungsseite und hängt Ihre Suchanfrage nicht an die Referrer-Informationen an. Sie teilen der Website nur mit, dass Sie von Google stammen. Wenn HTTPS verwendet wird, erhält es normalerweise Referrer-Informationen.

    li

    https://encrypted.google.com : Wenn die Website, auf die Sie in den Ergebnissen klicken, HTTP verwendet, hat sie keine Ahnung, wo Sie sich befinden. ' Sie kommen von oder was Ihre Suchanfrage ist. Wenn HTTPS verwendet wird, erhält es normalerweise Referrer-Informationen.

Das gleiche Thema wurde in einem EFF-Blogbeitrag behandelt.

BEARBEITEN : Google hat encrypted.google.com zum 30. April 2018 gelöscht. Laut Google wurde diese Domain verwendet, um Nutzern eine Möglichkeit zur sicheren Suche zu bieten das Internet. Jetzt verwenden alle Google-Produkte und die meisten neueren Browser wie Chrome automatisch HTTPS-Verbindungen.

Ein Vorteil davon: Wenn Sie einen Link aus einem Google-Suchergebnis kopieren, erhalten Sie einen Link zu einer Webseite, nicht das Durcheinander eines Weiterleitungslinks.
@EvanTeitelman Der Link wird zu einer Weiterleitung, wenn ich darauf klicke.
@Adnan, Das ist also alles? Ich meine, sie haben encrypted.google.com erstellt, nur um diese Referrer-Sache zu machen?
@EvanTeitelman, Nein, es funktioniert nicht, probieren Sie es aus.
@Pacerier Ursprünglich Nr. In der "verschlüsselten" Domain hat Google erstmals die SSL-Unterstützung eingeführt. Nachdem sie der Hauptdomäne SSL-Unterstützung hinzugefügt hatten, wurde dies zur Unterscheidung.
Außerdem wird encrypted.google.com nicht zu einer regionalen Google-Website weitergeleitet.
@Adi, Wie ist das Verhalten / Update jetzt, da Google encrypted.google.com nicht mehr unterstützt wird?
Colonel Panic
2013-07-02 22:00:23 UTC
view on stackexchange narkive permalink

Zum Zeitpunkt des Schreibens (Juli 2013) haben die beiden Sites unterschiedliche Präferenzen für Schlüsselaustauschalgorithmen. Klicken Sie zum Überprüfen in Chrome auf das Vorhängeschlosssymbol und wählen Sie die Registerkarte "Verbindung".

Bei Chrome 28 verwendet vanilla google.com ECDHE_RSA, encrypted.google.com ECDHE_ECDSA. Beide Algorithmen geben Vorwärtsgeheimnis. https://www.imperialviolet.org/2011/11/22/forwardsecret.html

Für Details vergleichen Sie die Konfigurationen mit dem SSL Labs-Servertest

  • https://www.ssllabs.com/ssltest/analyze.html?d=encrypted.google.com
  • https: // www .ssllabs.com / ssltest / analyse.html? d = google.com
  • https://www.ssllabs.com/ssltest/analyze.html?d=www. google.com
    • ol>
    Diese Antwort ist nicht mehr richtig.Jetzt verwenden beide ECDHE_ECDSA.Siehe z. B. https://www.ssllabs.com/ssltest/analyze.html?d=google.com&s=74.125.70.113.
    @D.W.: Bist du sicher?Ich sehe ECDHE_RSA immer noch auf www.google.com.
    @Mehrdad, www.google.com unterscheidet sich von google.com und encrypted.google.com und führt zu unterschiedlichen Chiffren.In dieser Antwort geht es um google.com vs encrypted.google.com.In der Handshake-Simulation finden Sie die neueste Version von Chrome.Wir erhalten: google.com => ECDHE_ECDSA, encrypted.google.com => ECDHE_ECDSA, www.google.com => ECDHE_RSA.
    @D.W.: Leitet `google.com` nicht einfach zu` www.google.com` weiter?Wie benutzt man das erstere überhaupt ohne das letztere?
    @Colonel, Nachdem Google encrypted.google.com heruntergefahren hat, haben sie die starke SSL-Funktionalität wirklich in die Google-Hauptseite "integriert"?
    Rob W
    2018-03-18 21:46:21 UTC
    view on stackexchange narkive permalink

    Heute (März 2018) ist encrypted.google.com veraltet, und ab dem 30. April 2018 wird encrypted.google.com auf www.google.com umgeleitet.

    Aus Sicht der Infrastruktur (Server, Zertifikate, TLS-Parameter) gibt es keine signifikanten Unterschiede mehr. Obwohl die Anforderungen von denselben Servern verarbeitet werden (siehe Ende dieser Antwort), gibt es dennoch einige Unterschiede zwischen den beiden Domänen:

    • Lokalisierte Domänenumleitungen
      encrypted.google.com leitet nicht zu anderen Domains weiter, während google.com versucht, zu einer länderspezifischen Domain ( ccTLD) umzuleiten.
      Um diese Weiterleitung zu vermeiden, https://google.com/ncr wird häufig vorgeschlagen. Dies funktioniert jedoch nur, wenn Cookies aktiviert sind. Fügen Sie den Parameter gws_rd = cr an die URL an, um zu verhindern, dass die Umleitung ohne Cookies erfolgt.

      (Für die folgenden Punkte werde ich nicht mehr zwischen www.google.com und ccTLDs unterscheiden.)

    • Google Search-Branding
      Im Gegensatz zu google.com werden auf der Benutzeroberfläche von encrypted.google.com keine Links zu anderen Google-Produkten / Apps angezeigt. Z.B. Vergleichen Sie den Header unter google.com (archiviert) mit encrypted.google.com (archiviert). Dies liegt wahrscheinlich daran, dass encrypted.google.com speziell für die verschlüsselte Suche eingeführt wurde (heutzutage ist die https-Unterstützung eine etablierte Standardeinstellung; damals wurde https als optionale Funktion eingeführt).

    • Verweisleckage und Benutzerverfolgung
      In beiden Fällen enthält der HTTP-Verweis für normale Suchergebnisse keine die ursprünglichen Suchbegriffe im Klartext (obwohl es viele unklare URL-Parameter gibt, die möglicherweise zur Verfolgung des Nutzers verwendet werden können, was noch wahrscheinlicher ist, wenn die Website Google-Dienste wie Google Analytics verwendet).
      Dieses Ausblenden von Schlüsselwörtern wird häufig (abhängig von Browser, Gerät, Browserfunktionen wie JavaScript) implementiert, indem nicht direkt auf das endgültige Ziel verwiesen wird, sondern eine Zwischenumleitungs-URL als Suchergebnis verwendet wird, z. [google domain] / url? q = [Ziel-URL] (Anzeigen werden über mehrere Umleitungs-URLs geleitet und enthalten die ursprünglichen Suchbegriffe, unabhängig von der Google-Domain).
      Manchmal (wiederum abhängig im Browser usw.) Google verwendet <meta content = "origin" name = "referrer" > , um den HTTP-Referer zu entfernen, und alternative Methoden zur Verfolgung (z. B. Beacons oder Hyperlink-Überwachung).

      (Zum Zeitpunkt des Schreibens verwendet encrypted.google.com die erstere in Google Chrome und www.google.com die letztere Methode. Dies bedeutet jedoch nicht viel. ZB in Internet Explorer 11 Die erstere Methode wird für beide Google-Domains verwendet.)

      Um die ursprüngliche Ziel-URL beizubehalten, ohne den Referrer zu verlieren, kann meine Browsererweiterung "Don't Track Me Google" verwendet werden: https: //github.com/Rob--W/dont-track-me-google

      (Auch ohne Eingriffe von Websites wie Google kann der HTTP-Referer ebenfalls bereinigt werden , wenn der Urheber HTTPS und das Ziel-HTTP ist oder wenn der private Browsermodus von Firefox verwendet wird oder wenn der Benutzer Flags oder Erweiterungen verwendet, die den Referer deaktivieren / entfernen ( Beispiel für Chrome , Beispiele für Firefox)).

    In der Vergangenheit gab es auch einen Unterschied beim Informationsverlust durch HTTP Referer, aber das ist nicht mehr der Fall. Vergleichen Sie die Hilfeseiten für die SSL-Suche:

    Der folgende Test zeigt, dass die beiden unterschiedlichen Google-Domains möglicherweise in unterschiedliche IP-Adressen aufgelöst werden und dass diese IP-Adressen Suchanfragen für jede Google-Suchdomain verarbeiten können. 

      $ host verschlüsselt .google.comencrypted.google.com ist ein Alias ​​für www3.l.google.com.www3.l.google.com hat die Adresse 172.217.20.78www3.l.google.com hat die IPv6-Adresse 2a00: 1450: 400e: 80a: : 200e $ host www.google.com www.google.com hat die Adresse 172.217.20.68www.google.com hat die IPv6-Adresse 2a00: 1450: 400e: 800 :: 2004 $ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.68$ curl -I https://encrypted.google.com/ --resolve encrypted.google.com:443:172.217.20.78$ curl -I https: // www.google.com/?gws_rd=cr --resolve www.google.com:443:172.217.20.68$ curl -I https://www.google.com/?gws_rd=cr --resolve www.google.com : 443: 172.217.20.78 $ curl -I https://www.google.nl/?gws_rd=cr --resolve www.google.nl:443:172.217.20.78

    The last curl befiehlt alle Erhalten Sie die Suchergebnisse ohne weitere Weiterleitungen (ich habe ihre Ausgabe nicht in diese Antwort aufgenommen). Um die SSL-Details anzuzeigen, ersetzen Sie entweder -I durch -vvv oder verwenden Sie etwas wie openssl s_client -connect google.com:443.

    Wow, du hast diese Recherche alleine gemacht?
    @Pacerier Ja.Ich suchte nach einer Möglichkeit, nach der Ablehnung von encrypted.google.com ohne Weiterleitungen zu suchen, und suchte nach dem Verlauf und den technischen Details.Ich wusste bereits aufgrund meiner früheren Arbeit bei Don't Track Me Google von Überweiserlecks und insgesamt habe ich im Grunde eine aktuelle Antwort auf diese Frage, daher habe ich beschlossen, sie zu veröffentlichen.
    MikeP
    2017-01-17 09:00:24 UTC
    view on stackexchange narkive permalink

    Gemäß der OP-Frage "Was waren die Vorteile des Durchsuchens der verschlüsselten Google-Suche in Bezug auf die Sicherheit?"

    Es gibt keinen Unterschied.

    Details: Wenn ich mir beide heute, den 16. Januar 2017, anschaue, sehe ich nur den Unterschied, dass das "verschlüsselte" Symbol nicht über das Google Apps-Symbol oben rechts verfügt.

    Der DNS für www.google.com zeigt auf 6 Entires im 74.x-Bereich, während encrypted.google.com nur auf einen im 216-Bereich verweist. Es sieht also so aus, als ob www mehr / besser als verschlüsselt ist.

    Beide verwenden dasselbe Zertifikat. Wenn also jemand Bedenken hat, dass ein privater Schlüssel für den einen oder den anderen verloren geht, sind sie gleich.

    Beim Lesen des Google-Forums wurde encrypted.google.com zum Testen und Entwickeln implementiert und muss nicht verwendet werden. Da www.google.com jetzt https ist, muss encrypted.google.com in Bezug auf Sicherheit / Verschlüsselung nicht mehr verwendet werden.

    Wenn ich die Reaktion von "Curl" betrachte, sind sie nahezu identisch, und ich sehe keinen funktionalen Unterschied.

    Könnte Google ein anderes Skript am Ende haben? Sicher, aber das würde die Antwort auf die OP-Frage nicht ändern.

    Haben Sie sich Referer-Header angesehen?Was ist mit Verschlüsselungsalgorithmen?
    @noɥʇʎԀʎzɐɹƆ, Mein Referer ist entweder origin oder leer.Verschlüsselungsalgorithmen sind meiner Meinung nach nicht relevant, da sie sich häufig und ohne Vorankündigung ändern.
    Können Sie auflisten, was Sie überprüft haben?Hier ist nicht viel von einem Körper.
    schroeder
    2017-01-22 01:02:50 UTC
    view on stackexchange narkive permalink

    Laut Google im Jahr 2010 war es ein Mittel für verschlüsselte Suchvorgänge, eine benannte Subdomain zu durchlaufen, damit die Organisationen, die Suchvorgänge filtern wollten (Schulen usw.), die durchgeführten Suchvorgänge weiterhin überprüfen konnten SSL- und blockverschlüsselte Suchvorgänge, die nicht überprüft werden konnten.

    Beachten Sie, dass der aktuelle Kopfgeldgrund "Aktuelle Antworten sind veraltet" ist.
    Ja.Ich habe das verstanden.Aber wenn sich die Gründe nicht geändert haben ...
    Beweise liefern, die sie dann nicht haben
    Diese Antwort beschreibt die Entwurfsabsicht für den Unterschied (die Fähigkeit, verschlüsselte Suchvorgänge zu blockieren).Die anderen Antworten testeten den Funktionsunterschied.Die Entwurfsabsicht bleibt unverändert.Es ist zu diesem Zeitpunkt eine historische Tatsache.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...