Im letzten Jahr berichteten wir über Googles Hinwendung zur SSL-Suche als Standard für eingeloggte Nutzer. Somit erfolgen seit dieser Umstellung bereits viele Suchanfragen in verschlüsselter Form. Bekannte Nebenwirkung dieser Änderung ist, dass Webmaster in ihrer Nutzungsstatistik keine Informationen zum verwendeten Suchbegriff der Besucher mehr erhalten. In Google Analytics äußert sich dies etwa in der Angabe „not provided“. Für die Nutzer bedeutete dieser Schritt zwar einen – theoretisch – besseren Schutz der Privatsphäre, in der Welt des Online-Marketings kam die Neuerung jedoch weniger gut an.

Nun dürfte sich der Anteil der verschlüsselten Suchanfragen wiederum vergrößern. Der Grund: Chrome 25 hat die SSL-Suche per Google als Standard aktiviert. Der beliebte Browser aus Googles eigenem Hause verarbeitet in Version 25 (der aktuellen Beta- bzw. Entwicker-Version) Suchanfragen, die über die Omnibox getätigt werden, somit grundsätzlich in verschlüsselter Form.

Vom Schutz der Suchdaten ausgenommen sind weiterhin Google-Nutzer, welche die Suche über eine bezahlte AdWords-Anzeige verlassen: Zwar werden die Daten auch hier verschlüsselt übertragen, die verwendeten Suchbegriffe können von den Werbetreibenden allerdings wie zuvor üblich ausgewertet werden.

Immerhin: Dank der Verwendung von SPDY soll es bei den verschlüsselten Suchanfragen zu keiner zeitlichen Verzögerung durch den Verschlüsselungsprozess kommen. SPDY, „Speedy“ ausgesprochen, ist die Bezeichnung für ein Netzwerkprotokoll, welches von Google entwickelt wurde. Das Protokoll stellt keinen Ersatz zum Hypertext Transfer Protocol (HTTP) dar, sondern erweitert dieses um verschiedene Maßnahmen, welche die Ladevorgänge von Websiten deutlich beschleunigen können.

Google hat beschlossen, die seit einigen Monaten laufende verschlüsselte „SSL“-Suche von google.com auf die restlichen weltweiten Google-Domains zu übertragen. Das bedeutet, dass jede Suchabfrage über Google in Zukunft gesichert abläuft und auch die Ergebnisse verschlüsselt abgerufen werden. Jedenfalls so lange die betreffenden User bei Google eingeloggt sind.

So kann man etwa auch im Café, am Flughafen, in der Bibliothek oder an sonstigen Orten mit öffentlichen WLAN-Spots sichere Suchanfragen starten. Was Google so in Sachen Datenschutz verbessert, dürfte sich allerdings als Schlag für Website-Vermarkter entwickeln, da durch die Änderung keine Informationen über Suchbegriffe über den Referrer übertragen werden.

Wieviele Nutzer heute mit einem Google-Account surfen und suchen durchführen, ist nicht bekannt. Spätestens wenn die Änderung auf google.de eingeführt wird, werden wir sehen, wie sich dies auf die Analysen auswirken wird. In einem vorherigen Eintrag zur Google SSL-Suche versuchten wir bereits eine Prognose. Der größte Anteil des Traffics wird wahrscheinlich weiterhin SEO-relevante Daten enthalten. Es besteht die Möglichkeit, dass der Rest möglicherweise dann nur noch mit Einschränkungen analysiert werden kann, soll heißen: vermutlich exklusiv für Google Analytics (Premium)?

Passwörter mithören, Cookies stehlen, Besuchersitzungen kapern: In einem öffentlichen WLAN oder anderen, nicht vertrauenswürdigen Netzwerken kann dem Surfer so einiges passieren, wenn auf eine verschlüsselte Verbindung verzichtet wird. Als Erkenntnis durchgesetzt hat sich inzwischen: Websites, die heute eine verschlüsselte Übertragung nicht wenigstens als Option anbieten, gehen mit den Daten ihrer Nutzer extrem leichtfertig um. In Zukunft wird das „https://“ mit Sicherheit erheblich häufiger vor der URL stehen, als es momentan noch der Fall ist.

Unter diesen Vorzeichen hat Google jüngst angekündigt, dass die Google-Suche für angemeldete Benutzer künftig grundsätzlich via SSL verschlüsselt wird. Eine Nebenwirkung dieser Umstellung wird den Nutzern von Google Analytics im offiziellen Blog angekündigt: Für Statistik-Tools stehen in diesen Fällen keine Informationen zum gesuchten Keyword zur Verfügung. Ist Google nun der Böse, der die Marketer willentlich von diesen Informationen abschneidet? (mehr …)

Einigermaßen sicherheitsbewusste Internetnutzer und Diensteanbieter wissen schon lange, dass Login-Daten vor Zugriffen durch Dritte geschützt werden müssen.

Viele Portale nutzen daher beim Login-Prozess eine gesicherte Verbindung, bei der die Kommunikation vom Server bis zum Browser verschlüsselt wird:

Hat der Benutzer sich korrekt ausgewiesen, erhält sein Browser i.d.R. über die gesicherte Verbindung einen Cookie (sozusagen eine gültige Eintrittskarte zur Website). Danach kann die Seite über eine normale, unverschlüsselte Verbindung weitergenutzt werden, da Username und Passwort nicht mehr übertragen werden müssen:

In falscher Sicherheit gewogen

Alles gut? Leider nein, denn diese weit verbreitete Praxis lässt eines außer Acht: So lange die aktive Sitzung besteht, „zeigt“ der Browser bei jedem Seitenaufruf dem Server die Cookie-Daten. Bei unverschlüsseltem Datenverkehr ist es einem Bösewicht ein leichtes, diese Cookie-Informationen abzufangen. So lange die Besuchersitzung nicht beendet wurde, kann der Cookie – wie eine gültige Eintrittskarte – dazu verwendet werden, um unter dem Namen eines anderen Benutzers Schindluder zu treiben. (mehr …)