Taggat med: google

Snabbare https med SSL False Start

De smarta utvecklarna i Google Chrome teamet har skickat in en draft till IETF som beskriver en metod att snabba upp surfandet på krypterade https-sidor med hjälp av modifiering i SSL/TLS-protokollet.

Denna modifiering har fått namnet False Start av Google för att reflektera ändringarna som föreslagits i handskakningen. Googles tester visar på en ökning av hastigheten på upp till 30%.

IETF Draften kan hittas här: tools.ietf.org/html/draft-bmoeller-tls-falsestart-00

Källa: Chrome Blog

Google glömmer att kryptera i Android

Google har tabbat sig och skickar ut såkallade authTokens okrypterat på nätverket från mobitelefoner med operativsystemet Android. Denna authToken kan sedan snappas upp och kan användas för åtkomst till tjänster hos Google. Detta förfarande är en del av Google ClientLogin.

authToken kan användas i 14 dagar och kan snappas upp med hjälp av det trådlösa nätverk som finnes i telefonen (wifi).

Källa: University of Ulm

Google börjar med tvåfaktorsautenticering

Som vi rapporterade om i Oktober 2010 så införde Google tvåfaktorsautenticering men dock enbart för betalande kunder av deras tjänst Google Apps. Nu ökar man dock och erbjuder tvåfaktorsautenticering för samtliga kunder.

Förhoppningsvis så kommer fler företag att följa Googles goda exempel och erbjuda tvåfaktorsautenticering.

Läs mer hos SecWorks

Google inför tvåfaktorsautentisering

Om du har en mobiltelefon som stödjer Android eller är av typen iPhone eller BlackBerry samt är betalande kund hos Google, dvs använder Google Apps så kan du nu införa tvåfaktorsautentisering. Det är med hjälp av programvaran Google Authenticator som detta möjliggörs.

Här är en skärmdump på den tidsbegränsade engångskoden som genereras:

För mer information se Googles hjälpavsnitt eller dess blogg.

Google Lösenordsdekryptering

GooglePasswordDecryptor är ett nytt verktyg från SecurityXploded som dekrypterar de lösenord som Google använder i sina skrivbordsprodukter. Följande produkter klarar verktyget av att dekryptera från:

  • Google Talk
  • Google Picassa
  • Google Desktop Seach
  • Gmail Notifier
  • Internet Explorer (all versions from 4 to 8)
  • Google Chrome

Skärmdump:

Här kan du läsa mer och ladda hem verktyget:

securityxploded.com/googlepassworddecryptor.php

Google Wave Kryptering #2

I en kommentar av en av våra läsare med alias EDBM fick vi följande förklarande gällande den kryptering som Google Wave använder:

TLS/SSL har två funktioner: Autentisering (i första hand av servern) och kryptering, där serverautentisering är obligatoriskt men kryptering är valbart genom val av ”TLS cipher”, där man kan välja bort kryptering om man vill, vilket skulle kunna vara vad man gör om man väljer ”Optional”.

Formuleringen har ingenting alls att göra med om certifikatet är ”självsignerat”. Termen ”självsignerat certifikat” är för övrigt missvisande, det man menar är egentligen att servercertifikatet inte är certifierat en välkänd CA utan bara ett ad hoc-certifikat som man själv har utfärdat.

Se orginalinlägget: kryptera.se/google-wave-kryptering

Google krypterar snett i Keyczar

En sårbarhet har identifierats i Google Keyczar av kryptogurun Nate Lawson. Nate skriver på sin blogg:

”I recently found a security flaw in the Google Keyczar crypto library. The impact was that an attacker could forge signatures for data that was “signed” with the SHA-1 HMAC algorithm (the default algorithm).”

För mer info se: rdist.root.org/2009/05/28/timing-attack-in-google-keyczar-library