9月10日消息,《连线》网站撰稿回顾了诞生至今十年间Chrome浏览器在安全性上的演变历程。
很多人或许想不起Chrome浏览器诞生之前的情形。这款浏览器已迎来十周岁生日。它如此热门的背后原因之一是,它让网络世界变得更安全。但人们并未充分认识到这一点。
在Chrome浏览器初次亮相时,谷歌开发者并未构想要让它的安全性超越IE、Safari等知名竞争对手。但他们确实构建了一种以全新方式组合关键元素的服务,进而让Chrome的浏览体验明显更安全、更可靠。
“Chrome让我们步入了怎样的时代?或许是Web 3.0,”《连线》在谷歌推出Chrome的那天(2008年9月2日)写道,“它管理标签的方式,它处理错误的方式,它令人目眩的速度......毫无疑问,这是网络开发世界的颠覆者。”
至关重要的是,Chrome以全新的方式管理标签;其“沙箱”模式使每个标签都拥有各自的权限和受保护的内存。这样,如果一个标签崩溃,不会导致整个浏览器崩溃;试图攻击一名Chrome用户的黑客无法一次攻击多个网站。Chrome浏览器更像在权限系统(permission system)上运行许多独立程序的操作系统,而不是一个单独的免费程序。这在各种浏览器产品中,尚属首例。
“Chrome刚诞生时,互联网中的最大威胁就是恶意软件,我认为人们已经忘了当时恶意软件有多普遍,”自2009年以来一直从事Chrome相关工作的首席工程师贾斯汀·舒尔(Justin Schuh)说,“如果用户未使用最新的浏览器,甚至在某些情况下,哪怕使用了最新浏览器,也可能因浏览某个网站而让电脑系统感染恶意代码,而且浑然不知这是如何发生的。所以Chrome的原始设计拥有两大功能:自动更新以及Chrome沙箱。前者可确保用户始终拥有最新版本,后者可确保如果存在可被利用的漏洞,我们可以把漏洞限制在沙箱中。”
这些功能使Chrome在2008年脱颖而出,如今它已成为某种行业标准,但当时谷歌曾因与Chrome相关的数项重大决策而遭到批评。“自动更新面临很多阻力,这些阻力的来源包括包括Chrome安全团队本身以及当时还未加入团队但如今却是成员的人。”Chrome工程总监帕里沙·塔布里兹(Parisa Tabriz)表示,“我记得有一位同事认为自动更新是魔鬼。他说这会剥夺用户选择,并对单一故障点过于信任。但现在我们的行业已发生巨大变化,自动更新实际上体现出了浏览器的意义。”
很快Chrome开始被称为安全浏览器,其原始沙箱与谷歌安全浏览服务中的网络钓鱼和恶意软件防护功能相结合,成功地保护用户免受当时的大多数威胁。但随着网络入侵的发展攻击者逐渐不再采用偷偷下载的攻击方式,更多地依赖向网站中嵌入的第三方组件和服务,Chrome快速响应,推出阻止这些新漏洞的应对方案。
“在2011年和2012年左右,用户被攻击的频率最高,”塔布里兹指出,“它们来自第三方插件,我们无法像控制Flash那样控制它们。有关Chrome安全和整体网络的一个有趣事实是Flash与其他浏览器存在诸多合作。所以Flash是一项非常强大、酷炫、很有创意的技术,但覆盖面积广,并带来了很多安全问题。所以我们已经开始推行HTML这一开放标准,所有浏览器都可以使用这个标准。”
虽然很明显谷歌在积极争取Chrome用户,并且通过依赖Chrome的Android构建了整个生态系统,但舒尔和塔布里兹指出,Chrome浏览器仍然得到大规模开源项目的支持。他们补充,除了发布代码库之外,Chrome还执行着开放式研发的模式,谷歌乐于采纳全球开发人员的点子,Chromium论坛的对话都是对外公开的。谷歌甚至通过漏洞赏金计划奖励发现并提交Chrome漏洞的研究者,迄今谷歌已支付了超过420万美元的赏金。
“不采用开放式研发也有可能实现开源,”舒尔指出,“但世界上任何人都可以订阅我们的外部wiki页面和邮件列表。许多人参与我们的项目,他们使用的不是谷歌的公司账户,而是独立的Chromium帐户。”
过去数年,Chrome团队的一个重要项目是通过“站点隔离”这一新功能扩展Chrome沙箱的概念。该机制使不同的Web组件和站点更加难以相互窃取用户数据。Chrome团队最初设想此功能可以抵御各种类型的在线犯罪和滥用,没想到最终还帮助用户防范了Meltdown和Spectre类型的漏洞。
Chrome最近的一个关注焦点是,倡导在网络上广泛使用加密连接。在为了鼓励网站使用HTTPS协议、摒弃HTTP,谷歌与安全领域的其他开发方合作了数年。2017年初,Chrome通过在浏览器内弹出的消息来提醒未采用HTTPS的网站。以前Chrome把使用HTTPS的网站标记为安全网站,后来它开始直接视之为标准网站,并标记仅使用HTTP的网站为不安全网站并向用户发出警告。如今,Chrome流量中77%都受到HTTPS的保护。
“HTTPS已经推行了20年,但网络几乎被HTTP主导,直到最近这一局面才被改变,”Chrome的工程经理安德里尼·波特·菲尔特(Adrienne Porter Felt)表示,“我们本可以更改Chrome界面,告诉大家‘嘿,你的数据不安全。’事实确实如此,但这么做会引起恐慌,而且无益于解决问题。所以我们决定帮助整个网络推行HTTPS加密协议。我们与Let's Encrypt和火狐等伙伴合作,旨在让HTTPS更便宜、更易施行。这是一个很难解决的问题,最初甚至在谷歌内部也存在诸多怀疑的声音。”
由于对过度推广和单一故障点的担心,Chrome的自动更新功能曾遭到反对。这预示着Chrome的安全计划会一次次地被批评的声音所困扰。随着Chrome浏览器的壮大,网络领域越来越担心Chrome的实力过强,将影响行业标准、并推动开发人员在其他平台上专门针对Chrome而优化网站。
在诞生10周年时,Chrome对电脑端和移动端进行了重新设计,简化标签管理功能,扩展设置的个性化以及一项名为“智能回答(Smart Answer)”的功能。Chrome称该功能将立即(甚至在打开任何网页之前)在Chrome的Omnibox地址栏中显示信息。但是,进一步展望未来10年,该团队表示,计划集成更深入的人工智能和机器学习技术(这是谷歌服务的一项趋势),还将融入更多虚拟现实和增强现实工具以增强浏览效果。
安全团队明确表示计划向移动浏览端引入“站点隔离”功能;智能手机上相对有限的计算资源使实现这一点变得困难。该团队还计划优先向Chrome用户介绍该浏览器的内置密码管理器,该密码管理器已经存在多年,但在Chrome许多其他功能中默默无闻。在这方面,Chrome的主导地位也引发了一些问题;浏览器中的密码管理器具有潜在的风险,安全专家不太喜欢它们。但聊胜于无,而且专用密码管理器会更安全。
Chrome工程师还表示,控制网络钓鱼仍是一个优先事项。对于这项工作,工程师们既结合了Chrome自身的扫描和监控功能,又鼓励网站在凭证管理和Web身份验证上采用最佳解决方案。谷歌正致力于向用户介绍通过物理身份验证令牌等措施来促进自我保护的方法。
“目前密码网络钓鱼是一个严峻的问题,”舒尔表示,“每个人都见过身边有人丢失密码,并且在2016年大选中网络钓鱼发挥了重要作用。如果从现在开始三到五年内密码网络钓鱼的问题仍未在很大程度上得到解决,我将非常非常沮丧。”
也许最值得注意的是,该团队表示,下一个规模类似HTTPS推广的项目将是,重新设计URL在网络上的显示方式,这是重新构想在线身份的任务的一部分。该团队表示,如果用户能够更好地跟踪他们在特定时间与哪些实体进行交互,他们将能够更好地决定信任谁、何时信任以及原因。但重塑URL生态系统的努力都将不可避免地产生分歧。塔布里兹表示:“从目前的形势来看,让人们不用URL将非常困难,也会引发争议。”
无论好坏,Chrome安全团队多年来一直在努力应对来自行业和社区的阻力,这使该团队更能够承担越来越多这类影响广泛的网络生态系统项目。尽管到目前为止大致情况一直在向好的方向发展,但Chrome的影响力加上谷歌的总体优势意味着未来10年的高风险。随着Chrome服务的在线控制程度越来越高,网络社区将密切关注Chrome对多元化的真正重视程度。