新聞中心

EEPW首頁 > 業(yè)界動態(tài) > Chrome瀏覽器誕生10年,網(wǎng)絡(luò)環(huán)境更安全更可靠了

Chrome瀏覽器誕生10年,網(wǎng)絡(luò)環(huán)境更安全更可靠了

作者: 時間:2018-09-11 來源:網(wǎng)易科技報(bào)道 收藏
編者按:很多人或許想不起Chrome瀏覽器誕生之前的情形。這款瀏覽器已迎來十周歲生日。它如此熱門的背后原因之一是,它讓網(wǎng)絡(luò)世界變得更安全。但人們并未充分認(rèn)識到這一點(diǎn)。

  9月10日消息,《連線》網(wǎng)站撰稿回顧了誕生至今十年間瀏覽器在安全性上的演變歷程。

本文引用地址:http://2s4d.com/article/201809/391731.htm

  在瀏覽器初次亮相時,谷歌開發(fā)者并未構(gòu)想要讓它的安全性超越IE、Safari等知名競爭對手。但他們確實(shí)構(gòu)建了一種以全新方式組合關(guān)鍵元素的服務(wù),進(jìn)而讓的瀏覽體驗(yàn)明顯更安全、更可靠。

  “Chrome讓我們步入了怎樣的時代?或許是Web 3.0,”《連線》在谷歌推出Chrome的那天(2008年9月2日)寫道,“它管理標(biāo)簽的方式,它處理錯誤的方式,它令人目眩的速度......毫無疑問,這是網(wǎng)絡(luò)開發(fā)世界的顛覆者?!?/p>

  至關(guān)重要的是,Chrome以全新的方式管理標(biāo)簽;其“沙箱”模式使每個標(biāo)簽都擁有各自的權(quán)限和受保護(hù)的內(nèi)存。這樣,如果一個標(biāo)簽崩潰,不會導(dǎo)致整個瀏覽器崩潰;試圖攻擊一名Chrome用戶的黑客無法一次攻擊多個網(wǎng)站。Chrome瀏覽器更像在權(quán)限系統(tǒng)(permission system)上運(yùn)行許多獨(dú)立程序的操作系統(tǒng),而不是一個單獨(dú)的免費(fèi)程序。這在各種瀏覽器產(chǎn)品中,尚屬首例。

  “Chrome剛誕生時,互聯(lián)網(wǎng)中的最大威脅就是惡意軟件,我認(rèn)為人們已經(jīng)忘了當(dāng)時惡意軟件有多普遍,”自2009年以來一直從事Chrome相關(guān)工作的首席工程師賈斯汀·舒爾(Justin Schuh)說,“如果用戶未使用最新的瀏覽器,甚至在某些情況下,哪怕使用了最新瀏覽器,也可能因?yàn)g覽某個網(wǎng)站而讓電腦系統(tǒng)感染惡意代碼,而且渾然不知這是如何發(fā)生的。所以Chrome的原始設(shè)計(jì)擁有兩大功能:自動更新以及Chrome沙箱。前者可確保用戶始終擁有最新版本,后者可確保如果存在可被利用的漏洞,我們可以把漏洞限制在沙箱中?!?/p>

  這些功能使Chrome在2008年脫穎而出,如今它已成為某種行業(yè)標(biāo)準(zhǔn),但當(dāng)時谷歌曾因與Chrome相關(guān)的數(shù)項(xiàng)重大決策而遭到批評?!白詣痈旅媾R很多阻力,這些阻力的來源包括包括Chrome安全團(tuán)隊(duì)本身以及當(dāng)時還未加入團(tuán)隊(duì)但如今卻是成員的人?!盋hrome工程總監(jiān)帕里沙·塔布里茲(Parisa Tabriz)表示,“我記得有一位同事認(rèn)為自動更新是魔鬼。他說這會剝奪用戶選擇,并對單一故障點(diǎn)過于信任。但現(xiàn)在我們的行業(yè)已發(fā)生巨大變化,自動更新實(shí)際上體現(xiàn)出了瀏覽器的意義。”

  很快Chrome開始被稱為安全瀏覽器,其原始沙箱與谷歌安全瀏覽服務(wù)中的網(wǎng)絡(luò)釣魚和惡意軟件防護(hù)功能相結(jié)合,成功地保護(hù)用戶免受當(dāng)時的大多數(shù)威脅。但隨著網(wǎng)絡(luò)入侵的發(fā)展攻擊者逐漸不再采用偷偷下載的攻擊方式,更多地依賴向網(wǎng)站中嵌入的第三方組件和服務(wù),Chrome快速響應(yīng),推出阻止這些新漏洞的應(yīng)對方案。

  “在2011年和2012年左右,用戶被攻擊的頻率最高,”塔布里茲指出,“它們來自第三方插件,我們無法像控制Flash那樣控制它們。有關(guān)Chrome安全和整體網(wǎng)絡(luò)的一個有趣事實(shí)是Flash與其他瀏覽器存在諸多合作。所以Flash是一項(xiàng)非常強(qiáng)大、酷炫、很有創(chuàng)意的技術(shù),但覆蓋面積廣,并帶來了很多安全問題。所以我們已經(jīng)開始推行HTML這一開放標(biāo)準(zhǔn),所有瀏覽器都可以使用這個標(biāo)準(zhǔn)。”

  雖然很明顯谷歌在積極爭取Chrome用戶,并且通過依賴Chrome的Android構(gòu)建了整個生態(tài)系統(tǒng),但舒爾和塔布里茲指出,Chrome瀏覽器仍然得到大規(guī)模開源項(xiàng)目的支持。他們補(bǔ)充,除了發(fā)布代碼庫之外,Chrome還執(zhí)行著開放式研發(fā)的模式,谷歌樂于采納全球開發(fā)人員的點(diǎn)子,Chromium論壇的對話都是對外公開的。谷歌甚至通過漏洞賞金計(jì)劃獎勵發(fā)現(xiàn)并提交Chrome漏洞的研究者,迄今谷歌已支付了超過420萬美元的賞金。

  “不采用開放式研發(fā)也有可能實(shí)現(xiàn)開源,”舒爾指出,“但世界上任何人都可以訂閱我們的外部wiki頁面和郵件列表。許多人參與我們的項(xiàng)目,他們使用的不是谷歌的公司賬戶,而是獨(dú)立的Chromium帳戶?!?/p>

  過去數(shù)年,Chrome團(tuán)隊(duì)的一個重要項(xiàng)目是通過“站點(diǎn)隔離”這一新功能擴(kuò)展Chrome沙箱的概念。該機(jī)制使不同的Web組件和站點(diǎn)更加難以相互竊取用戶數(shù)據(jù)。Chrome團(tuán)隊(duì)最初設(shè)想此功能可以抵御各種類型的在線犯罪和濫用,沒想到最終還幫助用戶防范了Meltdown和Spectre類型的漏洞。

  Chrome最近的一個關(guān)注焦點(diǎn)是,倡導(dǎo)在網(wǎng)絡(luò)上廣泛使用加密連接。在為了鼓勵網(wǎng)站使用HTTPS協(xié)議、摒棄HTTP,谷歌與安全領(lǐng)域的其他開發(fā)方合作了數(shù)年。2017年初,Chrome通過在瀏覽器內(nèi)彈出的消息來提醒未采用HTTPS的網(wǎng)站。以前Chrome把使用HTTPS的網(wǎng)站標(biāo)記為安全網(wǎng)站,后來它開始直接視之為標(biāo)準(zhǔn)網(wǎng)站,并標(biāo)記僅使用HTTP的網(wǎng)站為不安全網(wǎng)站并向用戶發(fā)出警告。如今,Chrome流量中77%都受到HTTPS的保護(hù)。

  “HTTPS已經(jīng)推行了20年,但網(wǎng)絡(luò)幾乎被HTTP主導(dǎo),直到最近這一局面才被改變,”Chrome的工程經(jīng)理安德里尼·波特·菲爾特(Adrienne Porter Felt)表示,“我們本可以更改Chrome界面,告訴大家‘嘿,你的數(shù)據(jù)不安全?!聦?shí)確實(shí)如此,但這么做會引起恐慌,而且無益于解決問題。所以我們決定幫助整個網(wǎng)絡(luò)推行HTTPS加密協(xié)議。我們與Let's Encrypt和火狐等伙伴合作,旨在讓HTTPS更便宜、更易施行。這是一個很難解決的問題,最初甚至在谷歌內(nèi)部也存在諸多懷疑的聲音?!?/p>

  由于對過度推廣和單一故障點(diǎn)的擔(dān)心,Chrome的自動更新功能曾遭到反對。這預(yù)示著Chrome的安全計(jì)劃會一次次地被批評的聲音所困擾。隨著Chrome瀏覽器的壯大,網(wǎng)絡(luò)領(lǐng)域越來越擔(dān)心Chome的實(shí)力過強(qiáng),將影響行業(yè)標(biāo)準(zhǔn)、并推動開發(fā)人員在其他平臺上專門針對Chrome而優(yōu)化網(wǎng)站。

  在誕生10周年時,Chrome對電腦端和移動端進(jìn)行了重新設(shè)計(jì),簡化標(biāo)簽管理功能,擴(kuò)展設(shè)置的個性化以及一項(xiàng)名為“智能回答(Smart Answer)”的功能。Chrome稱該功能將立即(甚至在打開任何網(wǎng)頁之前)在Chrome的Omnibox地址欄中顯示信息。但是,進(jìn)一步展望未來10年,該團(tuán)隊(duì)表示,計(jì)劃集成更深入的人工智能和機(jī)器學(xué)習(xí)技術(shù)(這是谷歌服務(wù)的一項(xiàng)趨勢),還將融入更多虛擬現(xiàn)實(shí)和增強(qiáng)現(xiàn)實(shí)工具以增強(qiáng)瀏覽效果。

  安全團(tuán)隊(duì)明確表示計(jì)劃向移動瀏覽端引入“站點(diǎn)隔離”功能;智能手機(jī)上相對有限的計(jì)算資源使實(shí)現(xiàn)這一點(diǎn)變得困難。該團(tuán)隊(duì)還計(jì)劃優(yōu)先向Chrome用戶介紹該瀏覽器的內(nèi)置密碼管理器,該密碼管理器已經(jīng)存在多年,但在Chrome許多其他功能中默默無聞。在這方面,Chrome的主導(dǎo)地位也引發(fā)了一些問題;瀏覽器中的密碼管理器具有潛在的風(fēng)險,安全專家不太喜歡它們。但聊勝于無,而且專用密碼管理器會更安全。

  Chrome工程師還表示,控制網(wǎng)絡(luò)釣魚仍是一個優(yōu)先事項(xiàng)。對于這項(xiàng)工作,工程師們既結(jié)合了Chrome自身的掃描和監(jiān)控功能,又鼓勵網(wǎng)站在憑證管理和Web身份驗(yàn)證上采用最佳解決方案。谷歌正致力于向用戶介紹通過物理身份驗(yàn)證令牌等措施來促進(jìn)自我保護(hù)的方法。

  “目前密碼網(wǎng)絡(luò)釣魚是一個嚴(yán)峻的問題,”舒爾表示,“每個人都見過身邊有人丟失密碼,并且在2016年大選中網(wǎng)絡(luò)釣魚發(fā)揮了重要作用。如果從現(xiàn)在開始三到五年內(nèi)密碼網(wǎng)絡(luò)釣魚的問題仍未在很大程度上得到解決,我將非常非常沮喪?!?/p>

  也許最值得注意的是,該團(tuán)隊(duì)表示,下一個規(guī)模類似HTTPS推廣的項(xiàng)目將是,重新設(shè)計(jì)URL在網(wǎng)絡(luò)上的顯示方式,這是重新構(gòu)想在線身份的任務(wù)的一部分。該團(tuán)隊(duì)表示,如果用戶能夠更好地跟蹤他們在特定時間與哪些實(shí)體進(jìn)行交互,他們將能夠更好地決定信任誰、何時信任以及原因。但重塑URL生態(tài)系統(tǒng)的努力都將不可避免地產(chǎn)生分歧。塔布里茲表示:“從目前的形勢來看,讓人們不用URL將非常困難,也會引發(fā)爭議。”

  無論好壞,Chrome安全團(tuán)隊(duì)多年來一直在努力應(yīng)對來自行業(yè)和社區(qū)的阻力,這使該團(tuán)隊(duì)更能夠承擔(dān)越來越多這類影響廣泛的網(wǎng)絡(luò)生態(tài)系統(tǒng)項(xiàng)目。盡管到目前為止大致情況一直在向好的方向發(fā)展,但Chrome的影響力加上谷歌的總體優(yōu)勢意味著未來10年的高風(fēng)險。隨著Chrome服務(wù)的在線控制程度越來越高,網(wǎng)絡(luò)社區(qū)將密切關(guān)注Chrome對多元化的真正重視程度。



關(guān)鍵詞: Chrome

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉