今年7月份,Google最终允许Gmail用户可以设定总是使用加密套接字协议层(SSL)——一种防止劫持的加密协议。通过在Gmail选项里设定“始终使用 https”,用户可以大大增强邮箱的安全性。但是Gmail并非Google唯一存储个人数据的在线产品,Google文档同样也应该得到保护。但是Google这么做了吗?
每个人都拥有安全的Google文档?
对大部分用户来说答案都是否定的。根据Google的帮助文档说明,只有企业应用套件(Google Apps)高级用户和教育版用户才可以使用SSL。但是,我们在非正式的测试中发现应用套件网站版(Your Domain)用户也可以使用。但是对其他用户来说,Google文档仍然是未经加密的HTTP访问。
对于使用Google文档的企业版和教育版用户,IT管理员可以激活SSL,要么就得自己激活。但是Google帮助文档没有说明如何激活。只提了一句“在必要的情况下您的用户可以激活HTTPS”。或许Google认为任何人在使用应用套件时都会在地址栏URL链接前输入“https”。但是很多用户对此一无所知。激活https会影响访问速度,但或许Google应该设定默认值为激活状态,IT管理员在希望加快访问速度时可以取消https。
除了企业应用套件用户之外,普通Google文档用户的设置里根本没有“总是使用SSL”的选项。
SSL并非一直处于激活状态
手动输入“https”当然又好又保险,但是大部分用户根本不知道如何操作,知道的用户也可能会忘记使用。因为这么做既费力,效率又低。如果Gmail里没有激活SSL,那么从Gmail里打开的插件和其他服务都不会受到SSL保护;如果Gmail激活了SSL,那么所有从Gmail打开的服务都会受到保护,前提是你使用的是Gmail里的导航栏(如下图所示)。否则即便你登陆了Google账户,在地址栏输入 "docs.google.com," "calendar.google.com," 或者使用Gmail插件时,还是会访问HTTP站点。
聊胜于无……
尽管如此,Google在为用户提供SSL服务方面仍然走在了前面。很多其它免费邮箱服务商比如微软、雅虎和AOL只是在授权使用时才会使用HTTPS,一旦授权通过,马上就会回到未经加密的访问模式。由此可见,Google产品的安全性只是相对的。Google至少应该向所有用户提供SSL服务,并且其他的电子邮件和网络服务商应该紧随其后。
