有关Google服务安全性的技术讨论

我的观点：无论如何不要在已经登录的情况下使用HTTP访问Google.com上的服务，包括网页搜索。

攻击过程：你使用HTTP登陆Google Reader(这里仅是举例，实际可以是Google Docs，Google Web Search，etc)，然后中间人记录cookies，接下来使用截获的cookies和你的IP（对于一些攻击者来说，做到这点很容易）访问Google Reader，然后点左上角的Gmail链接进入HTTPS的Gmail界面。这个过程中会被引导到Google的单点登录验证页面（https://www.google.com/accounts/...），可是并没有要求攻击者再次输入密码。

注：

根据这个 http://voices.washingtonpost.com/securityfix/2008/08/new_tool_automates_cookie_stea.html ，如果页面上存在http方式调用的同服务器上的图片等资源，也会导致cookie泄露。所以最好能确保连接安全（比如由非对称加密原理保护的VPN连接）。

上网环境的443端口被封时可以通过代理服务器访问https的服务，即使是不安全的http代理，只要不提示https证书有问题，那就没有问题。举例：自由gate。

Google有时在切换服务时会要求再次验证密码，比如切进Google App Engine（appengine.google.com）时。但从大部分服务切进Gmail时似乎不会。

目前功夫网对于一些Google Docs和Google Reader的HTTPS连接会直接切断（前者更多一些），此时如果改用http访问就中计了。