网易首页 > 网易科技 > 互联网 > 正文

Chrome浏览器诞生10年,网络环境更安全更可靠了

0
分享至

(原标题:HOW GOOGLE CHROME SPENT A DECADE MAKING THE WEB MORE SECURE)

网易科技讯 9月10日消息,《连线》网站撰稿回顾了诞生至今十年间Chrome浏览器在安全性上的演变历程。

很多人或许想不起Chrome浏览器诞生之前的情形。这款浏览器已迎来十周岁生日。它如此热门的背后原因之一是,它让网络世界变得更安全。但人们并未充分认识到这一点。

在Chrome浏览器初次亮相时,谷歌开发者并未构想要让它的安全性超越IE、Safari等知名竞争对手。但他们确实构建了一种以全新方式组合关键元素的服务,进而让Chrome的浏览体验明显更安全、更可靠。

“Chrome让我们步入了怎样的时代?或许是Web 3.0,”《连线》在谷歌推出Chrome的那天(2008年9月2日)写道,“它管理标签的方式,它处理错误的方式,它令人目眩的速度......毫无疑问,这是网络开发世界的颠覆者。”

至关重要的是,Chrome以全新的方式管理标签;其“沙箱”模式使每个标签都拥有各自的权限和受保护的内存。这样,如果一个标签崩溃,不会导致整个浏览器崩溃;试图攻击一名Chrome用户的黑客无法一次攻击多个网站。Chrome浏览器更像在权限系统(permission system)上运行许多独立程序的操作系统,而不是一个单独的免费程序。这在各种浏览器产品中,尚属首例。

“Chrome刚诞生时,互联网中的最大威胁就是恶意软件,我认为人们已经忘了当时恶意软件有多普遍,”自2009年以来一直从事Chrome相关工作的首席工程师贾斯汀·舒尔(Justin Schuh)说,“如果用户未使用最新的浏览器,甚至在某些情况下,哪怕使用了最新浏览器,也可能因浏览某个网站而让电脑系统感染恶意代码,而且浑然不知这是如何发生的。所以Chrome的原始设计拥有两大功能:自动更新以及Chrome沙箱。前者可确保用户始终拥有最新版本,后者可确保如果存在可被利用的漏洞,我们可以把漏洞限制在沙箱中。”

这些功能使Chrome在2008年脱颖而出,如今它已成为某种行业标准,但当时谷歌曾因与Chrome相关的数项重大决策而遭到批评。“自动更新面临很多阻力,这些阻力的来源包括包括Chrome安全团队本身以及当时还未加入团队但如今却是成员的人。”Chrome工程总监帕里沙·塔布里兹(Parisa Tabriz)表示,“我记得有一位同事认为自动更新是魔鬼。他说这会剥夺用户选择,并对单一故障点过于信任。但现在我们的行业已发生巨大变化,自动更新实际上体现出了浏览器的意义。”

很快Chrome开始被称为安全浏览器,其原始沙箱与谷歌安全浏览服务中的网络钓鱼和恶意软件防护功能相结合,成功地保护用户免受当时的大多数威胁。但随着网络入侵的发展攻击者逐渐不再采用偷偷下载的攻击方式,更多地依赖向网站中嵌入的第三方组件和服务,Chrome快速响应,推出阻止这些新漏洞的应对方案。

“在2011年和2012年左右,用户被攻击的频率最高,”塔布里兹指出,“它们来自第三方插件,我们无法像控制Flash那样控制它们。有关Chrome安全和整体网络的一个有趣事实是Flash与其他浏览器存在诸多合作。所以Flash是一项非常强大、酷炫、很有创意的技术,但覆盖面积广,并带来了很多安全问题。所以我们已经开始推行HTML这一开放标准,所有浏览器都可以使用这个标准。”

虽然很明显谷歌在积极争取Chrome用户,并且通过依赖Chrome的Android构建了整个生态系统,但舒尔和塔布里兹指出,Chrome浏览器仍然得到大规模开源项目的支持。他们补充,除了发布代码库之外,Chrome还执行着开放式研发的模式,谷歌乐于采纳全球开发人员的点子,Chromium论坛的对话都是对外公开的。谷歌甚至通过漏洞赏金计划奖励发现并提交Chrome漏洞的研究者,迄今谷歌已支付了超过420万美元的赏金。

“不采用开放式研发也有可能实现开源,”舒尔指出,“但世界上任何人都可以订阅我们的外部wiki页面和邮件列表。许多人参与我们的项目,他们使用的不是谷歌的公司账户,而是独立的Chromium帐户。”

过去数年,Chrome团队的一个重要项目是通过“站点隔离”这一新功能扩展Chrome沙箱的概念。该机制使不同的Web组件和站点更加难以相互窃取用户数据。Chrome团队最初设想此功能可以抵御各种类型的在线犯罪和滥用,没想到最终还帮助用户防范了Meltdown和Spectre类型的漏洞。

Chrome最近的一个关注焦点是,倡导在网络上广泛使用加密连接。在为了鼓励网站使用HTTPS协议、摒弃HTTP,谷歌与安全领域的其他开发方合作了数年。2017年初,Chrome通过在浏览器内弹出的消息来提醒未采用HTTPS的网站。以前Chrome把使用HTTPS的网站标记为安全网站,后来它开始直接视之为标准网站,并标记仅使用HTTP的网站为不安全网站并向用户发出警告。如今,Chrome流量中77%都受到HTTPS的保护。

“HTTPS已经推行了20年,但网络几乎被HTTP主导,直到最近这一局面才被改变,”Chrome的工程经理安德里尼·波特·菲尔特(Adrienne Porter Felt)表示,“我们本可以更改Chrome界面,告诉大家‘嘿,你的数据不安全。’事实确实如此,但这么做会引起恐慌,而且无益于解决问题。所以我们决定帮助整个网络推行HTTPS加密协议。我们与Let's Encrypt和火狐等伙伴合作,旨在让HTTPS更便宜、更易施行。这是一个很难解决的问题,最初甚至在谷歌内部也存在诸多怀疑的声音。”

由于对过度推广和单一故障点的担心,Chrome的自动更新功能曾遭到反对。这预示着Chrome的安全计划会一次次地被批评的声音所困扰。随着Chrome浏览器的壮大,网络领域越来越担心Chome的实力过强,将影响行业标准、并推动开发人员在其他平台上专门针对Chrome而优化网站。

在诞生10周年时,Chrome对电脑端和移动端进行了重新设计,简化标签管理功能,扩展设置的个性化以及一项名为“智能回答(Smart Answer)”的功能。Chrome称该功能将立即(甚至在打开任何网页之前)在Chrome的Omnibox地址栏中显示信息。但是,进一步展望未来10年,该团队表示,计划集成更深入的人工智能和机器学习技术(这是谷歌服务的一项趋势),还将融入更多虚拟现实和增强现实工具以增强浏览效果。

安全团队明确表示计划向移动浏览端引入“站点隔离”功能;智能手机上相对有限的计算资源使实现这一点变得困难。该团队还计划优先向Chrome用户介绍该浏览器的内置密码管理器,该密码管理器已经存在多年,但在Chrome许多其他功能中默默无闻。在这方面,Chrome的主导地位也引发了一些问题;浏览器中的密码管理器具有潜在的风险,安全专家不太喜欢它们。但聊胜于无,而且专用密码管理器会更安全。

Chrome工程师还表示,控制网络钓鱼仍是一个优先事项。对于这项工作,工程师们既结合了Chrome自身的扫描和监控功能,又鼓励网站在凭证管理和Web身份验证上采用最佳解决方案。谷歌正致力于向用户介绍通过物理身份验证令牌等措施来促进自我保护的方法。

“目前密码网络钓鱼是一个严峻的问题,”舒尔表示,“每个人都见过身边有人丢失密码,并且在2016年大选中网络钓鱼发挥了重要作用。如果从现在开始三到五年内密码网络钓鱼的问题仍未在很大程度上得到解决,我将非常非常沮丧。”

也许最值得注意的是,该团队表示,下一个规模类似HTTPS推广的项目将是,重新设计URL在网络上的显示方式,这是重新构想在线身份的任务的一部分。该团队表示,如果用户能够更好地跟踪他们在特定时间与哪些实体进行交互,他们将能够更好地决定信任谁、何时信任以及原因。但重塑URL生态系统的努力都将不可避免地产生分歧。塔布里兹表示:“从目前的形势来看,让人们不用URL将非常困难,也会引发争议。”

无论好坏,Chrome安全团队多年来一直在努力应对来自行业和社区的阻力,这使该团队更能够承担越来越多这类影响广泛的网络生态系统项目。尽管到目前为止大致情况一直在向好的方向发展,但Chrome的影响力加上谷歌的总体优势意味着未来10年的高风险。随着Chrome服务的在线控制程度越来越高,网络社区将密切关注Chrome对多元化的真正重视程度。(惜辰)

相关推荐
热点推荐
随着火箭10连胜,湖人勇士赢球,快船1分逆转,NBA西部排名如下

随着火箭10连胜,湖人勇士赢球,快船1分逆转,NBA西部排名如下

刺头体育
2024-03-28 18:38:12
尺度大?夏思凝穿三角裤遭网友吐槽:吴艳妮都没敢这么穿

尺度大?夏思凝穿三角裤遭网友吐槽:吴艳妮都没敢这么穿

追月幼儿舞蹈
2024-03-29 09:51:09
飞天茅台酒市场价格持续下滑,已有黄牛暂停收购

飞天茅台酒市场价格持续下滑,已有黄牛暂停收购

匹夫来搞笑
2024-03-29 08:06:32
属蛇人一生最克谁?真相揭秘,你身边有“蛇”吗?

属蛇人一生最克谁?真相揭秘,你身边有“蛇”吗?

书中自有颜如玉
2024-03-29 10:18:24
未来20年最旺4大生肖:九紫离火运旺盛,驰骋人生巅峰

未来20年最旺4大生肖:九紫离火运旺盛,驰骋人生巅峰

牛锅巴小钒
2024-03-29 13:16:39
抓错了?俄方抓捕的顶包货?被抓前后差异巨大,IS称须为事件负责

抓错了?俄方抓捕的顶包货?被抓前后差异巨大,IS称须为事件负责

椰青美食分享
2024-03-28 17:26:25
案例:24岁女主播跟45岁榜一大哥初次见面就发生关系,结果被坑惨

案例:24岁女主播跟45岁榜一大哥初次见面就发生关系,结果被坑惨

雅清故事汇
2024-03-28 10:54:26
为何蒙古国不治沙?美国专家认为:植树治沙弊大于利,是真是假?

为何蒙古国不治沙?美国专家认为:植树治沙弊大于利,是真是假?

睿鉴历史
2024-03-27 20:25:06
生活笑点大集合:奇葩遭遇与智慧解决

生活笑点大集合:奇葩遭遇与智慧解决

超合筋
2024-03-27 22:16:10
雷军:传统车企想要追上小米还是会非常辛苦的!

雷军:传统车企想要追上小米还是会非常辛苦的!

映射生活的身影
2024-03-28 19:53:42
网传深圳楼盘跌幅排行,最高跌幅64%:1200万的房子,跌到460万

网传深圳楼盘跌幅排行,最高跌幅64%:1200万的房子,跌到460万

小萝卜丝
2024-03-26 18:24:09
赵丽颖大红大绿好佛系,穿爱马仕斗篷配洞洞拖鞋,超凡脱俗!

赵丽颖大红大绿好佛系,穿爱马仕斗篷配洞洞拖鞋,超凡脱俗!

乐悦侃娱乐
2024-03-29 10:47:40
辽宁52岁离异大叔跑去非洲捞金,连娶三位00后妻子,成为人生赢家

辽宁52岁离异大叔跑去非洲捞金,连娶三位00后妻子,成为人生赢家

梦里大唐
2024-03-27 11:27:14
不卖了!15亿交易撤回!违约还赚10亿!

不卖了!15亿交易撤回!违约还赚10亿!

柚子说球
2024-03-29 12:33:20
梁靖崑先丢一局,3-1逆转晋级男单八强!孙颖莎3-1晋级女单八强

梁靖崑先丢一局,3-1逆转晋级男单八强!孙颖莎3-1晋级女单八强

月下追寻者
2024-03-29 13:30:10
矛盾不可调和!艾伦宣布退出混双赛,昔日金童玉女如今成仇敌!

矛盾不可调和!艾伦宣布退出混双赛,昔日金童玉女如今成仇敌!

世界体坛观察家
2024-03-29 12:12:38
53岁大姐与隔壁30岁小伙偷情多次,丈夫在门口听完全过程选择

53岁大姐与隔壁30岁小伙偷情多次,丈夫在门口听完全过程选择

莆农阿
2024-03-28 20:47:24
原来他也是癌症已去世!一生未婚无人送终,死后遗产全赠予古天乐

原来他也是癌症已去世!一生未婚无人送终,死后遗产全赠予古天乐

简读视觉
2024-03-03 16:55:03
权威机构联合揭示中国人化学物暴露,江浙沪血清化学物浓度最高!

权威机构联合揭示中国人化学物暴露,江浙沪血清化学物浓度最高!

生命科学前沿
2024-03-27 17:37:07
李雪琴眼光真不错!恋情曝光男友履历被扒,能力很强还获过不少奖

李雪琴眼光真不错!恋情曝光男友履历被扒,能力很强还获过不少奖

元气少女侃娱乐
2024-03-28 16:39:53
2024-03-29 14:38:44

科技要闻

雷军:我们是卷王,建议BBA车主感受下时代

头条要闻

小米SU7发售后有消费者称5000元定金无法退 小米回应

头条要闻

小米SU7发售后有消费者称5000元定金无法退 小米回应

体育要闻

拒绝为国出战,他是足坛"天选打工人"

娱乐要闻

胡夏被曝有孩子!工作室火速辟谣

财经要闻

张维迎:如何正确理解企业家精神?

汽车要闻

找回久违的开怀大笑 试驾小米SU7 Max

态度原创

手机
亲子
游戏
公开课
军事航空

手机要闻

让续航与轻薄可以兼得,vivo X Fold3系列是如何做到的

亲子要闻

爸爸给小宝宝讲规矩,宝宝表示我才刚来,就有这么多规矩吗

国外大作替代不了的武侠,网易10亿打造金庸宇宙,金庸迷满足了

公开课

30岁之前,你要学会的13件事情

军事要闻

乌方声称击落两枚俄"锆石"高超音速导弹 俄方未予回应

无障碍浏览 进入关怀版
×