Комментарии 42
Очень интересно по поводу отправки анонимной статистики в компанию…
Они исходя из текста писем показывают рекламу. Зачем стрелять себе в ногу?
В клиенте тот же JS у них будет иметь доступ к исходному тексту писем.
А в чем проблема? Письма — они не для того, чтобы наедине!
Массово пользователи не станут включать шифрование, а для параноиков улучшит репутацию Google.
Верно. Лень и неповоротливость станут (или уже стали?) бэкдором в частную жизнь: пользователей будут обязывают скидывать кучу галок о «сборе статистики, которая используется для улучшения бла-бла» 95% юзеров пропустят шаг с мыслью «да ладно, кому я нужен».
Мне думается, лень заботливо взращивается как раз чтобы делать людей беспомощными в нетривиальных ситуациях. Когда необходимо долго вникать и читать мелкий шрифт. Чтобы впаривать готовые решения и невыгодные правила оказания услуг. «Вы только поставьте подпись» и все будет окей.
Уже стали.
90% моих знакомых ленятся почитать все пункты настроек в яндекс/гугл/мейл/...-почте чтобы найти ту самую галку «показывать мне рекламу» и снять её. Они знают что галка есть, их бесит реклама, но снять её лень.
Это пугает. Хотя понимание дает отличные перспективы в росте.
о «сборе статистики, которая используется для улучшения бла-бла»

Перевод: «для увеличения бабла».
Ну конечно… Вот прям взяли и озаботились конфиденциальностью переписки пользователей.

Лучше б в доработку gpg вложились, если оно для них недостаточно с человеческим лицом.
Ничего и делать не нужно, openpgpjs же. И расширение (правда только для почты) есть: Mailvelope.
А с Андроидом что? Нативный клиент будет поддерживать? А поиск как? Много непонятного пока. Если не будет поиска и клиента, то зачем этот gmail нужен, с таким же успехом молоко использовать любой сервис, хоть самоподнятый на VPSке.
не очень понятно где будут генерироваться и храниться ключи? В браузере клиента? Чуть что не так и вместо почты безвозвратный набор байтиков?
Я не смотрел эту конкретную реализацию, но можно сделать классическое хранение ключей на файловой системе. Чтение делается через FileReader API, запись — либо через window.saveAs (но его, вроде бы, пока еще нет в браузерах), либо генерация data:-ссылки и эмуляция клика по ней. Конечно, при такой реализации файл с ключами придется просить выбирать каждый раз — но можно «кэшировать» ключи в DOM storage.
я бы сделал хранение в виде сертификатов в браузере, если JS может получить к ним доступ.
Офтоп — похоже за первую маленькую букву хабр только что предложил пройти мне курс грамотности.
Мне кажется это у какого-то модератора «пунктик», я за несколько лет раза 3 уже попадал на эту проверку из-за маленькой буквы в начале предложения.
Ключи будут храниться на серверах Гугла. Собсно это было одно из условий ФБР и АНБ
Что-то масло масленное получается. Зачем они тогда вообще нужны? Сейчас https сертификат так же лежит на серверах гугля и отлично все шифрует по дороге. Я думал это такой красивый ход чтобы оставить спецслужбы с носом. Собственно странно что спецслужбы выставляют условия частному бизнесу — как ему делать свои продукты…
Мне кажется, прошлый комментатор пропустил тег <sarcasm /> =) Ибо если ключи действительно лежат на серверах гугла, то смысла в этом всем ~0.
Ессесно «смысла ноль». Скорее небо упадет на землю прежде чем Гугл начнет заботиться о приватности юзера. Вообще «Google» и «приватные данные» в одном предложении выглядят смешно и нелепо.
Мне кажется, что тут дело в том, что Гуглу не выгодно отдавать NSA и прочим агенствам данные своих пользователей, потому что тогда пользователи могут подумать о том, что бы перейти к тем, кто вне юристикции США. Но Гугл не может не выполнять законов США, которые заставляют его выдавать такие данные, вот они и нашли компромис: Те, кто хотят — пусть прозначно все шифруют на стороне клиента, а Гугл в свою очередь радостно службам отдаст зашифрованные данные, а ключей у него нет, так что облом.
Ну так скажем я надеюсь, что все примерно так и состоит, а не так, что в реальности гугл всю эту переписку все равно видит и хранит в незашифрованном виде.
Как мне кажется, как раз наоборот. Из текста новости я сделал вывод, что приватные ключи будут храниться на компьютерах пользователей
Если шифрование на стороне клиента, а судя по всему, это так, то как будет работать Gmail во всяких Турциях, Египтах и остальных Объединенных Северокорейских Эмиратах? Ведь тогда выдача информации по запросу суда становиться бессмысленной. Gmail готов потерять определенный сегмент рынка?
Просто этой фичи не будет на тех рынках, где крипто регулируется.
Что мешает жителю Северокорейского Эмирата поменять страну в гуглопрофиле на Багамские Острова? Или Гугл решил уйти с рынков стран с подцензурным интернетом? Ведь его тупо заблокируют по решению Пхеньянского Народного Суда и ЭмиратГосКомНадзор-а.
Обычно это делается по IP. И да, пользователю ничто не мешает настроить прокси или Тор, но законодательство подобных стран обычно не требует от гугла железобетонного ограничителя — достаточно такого, который отрежет 99% нетехнарей.
В смысле, бессмысленной? Пришла subpoena, выдали все его архивы. А что там кракозябры какие, или бинарники — это гугла не волнует. Что есть, то и выдали.
НЛО прилетело и опубликовало эту надпись здесь
Так вся переписка и так доступна тулам, которые используются для шифрования у Васи. Вас это не волнует?
Это симметричное шифрование, в отличие от GPG.
Второй момент в том, что раз расширение от Гугла, то они будут его поддерживать при каждой смене верстки GMail, а то раз и опять все сломалось.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
отправляются по какому-нибудь событию

но разве после SSL рукопожатия… — возможно незаметно вклиниться

Ловко писю к носу притянули.
Неужели так сложно было добавить шифрование вложений?
Они зачастую важнее, чем текст письма.
НЛО прилетело и опубликовало эту надпись здесь
Если действительно важно, то отправляйте шифрованные вложения.
В качестве костыля — вложение пересылать зашифрованным zip или rar архивом, а пароль от архива — в тексте сообщения.

Хочу отметить, что все браузерные PGP плагины типа Mailvelope не поддерживают шифрование вложений. Только связка Thundebird + GnuPG + Enygmail позволяет шифровать вложения без лишних телодвижений.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.