去年8月,谷歌Chrome瀏覽器安全團隊負責人帕里莎·塔布里茲,為展現(xiàn)團隊精神而給她的團隊成員定制了時尚運動衫,上面醒目印著“Department of Chromeland Security (Chrome安全部)”字樣,以及在用戶訪問不安全網(wǎng)站時Chrome給出的警告標志:一把畫了個“X”的紅色掛鎖。 億訊網(wǎng)是中國電子商務行業(yè)新媒體,圍繞B2B、B2C、C2C、零售、物流、團購、跨境電商、移動電商、電商服務、電商資本等領域與方向,提供
但幾天后塔布里茲團隊成員安德蓮娜·波特·菲爾特穿上那件運動衫時,她妹妹看著那個矩形上掛個弧形的小鎖圖標很天真地問:為什么運動衫上要印個紅色錢包啊?對塔布里茲的團隊而言,網(wǎng)上普通人都能分辨出錢包和掛鎖符號的錯誤假設,代表著現(xiàn)代瀏覽器的一個基本問題。
塔布里茲的團隊負責幫助數(shù)十億人評估所訪問網(wǎng)站的安全性,但卻只有一個迷樣難猜的圖標來區(qū)分鎖定連接的加密網(wǎng)站與不受保護的網(wǎng)站——后者可致用戶面臨威脅侵害,或者被星巴克隔壁桌坐著的黑客嗅探走了口令,或者被黑了家庭路由器任由電子郵件被竊聽,又或者被互聯(lián)網(wǎng)服務提供商秘密注入了廣告。當今大多數(shù)瀏覽器用來劃定安全標準線的那套象形圖標真是太令人費解了,往好了說是有誤導性;往壞了說就是非故意不作為,甚至在網(wǎng)站安全缺失上不誠實。 新聞、案例、數(shù)據(jù)、評論、研究、會議的新聞動態(tài)報道,最資深的專家觀點、解讀電子商務行業(yè)研究報告,揭示電子商務市場發(fā)展趨勢和方向。
谷歌的Chrome安全團隊負責人帕里莎·塔布里茲
這也是為什么Chrome安全團隊第一次,對全球網(wǎng)站中近半數(shù)不采用強加密的那些進行點名羞辱的原因,一點面子都不給,直接在成千上萬沒使用HTTPS加密連接的流行站點域名旁標上清晰的“Not secure(不安全)”字樣。這一過程,可能會導致線上安全標準的改變。
有人說我們不能讓近半數(shù)的網(wǎng)頁看起來很嚇人,人們會對網(wǎng)絡產(chǎn)生恐懼的。但對我們而言,這是試圖對用戶保持誠實的問題。不用HTTPS,用戶或網(wǎng)頁服務就不用期待站點上的東西沒被篡改或竊聽了。這才是真正瘋狂不理智的。
一點兒面子也不給明年1月份開始,Chrome就將顛覆網(wǎng)頁安全模式:取消Chrome當前只對錯誤加密配置的HTTPS站點給出警示的做法,轉(zhuǎn)而對任何接受用戶名及口令或信用卡賬號卻沒加密的網(wǎng)站豎起“不安全”小紅旗。這一絕不會被誤解的警告,將出現(xiàn)在Chrome地址欄左側(cè)。
谷歌的Chrome警告新方案:最上表示HTTPS加密的網(wǎng)站,中間表示非HTTPS網(wǎng)站,最下表示配置不對的HTTPS網(wǎng)站
稍后,該團隊還計劃標出在2017年最后期限時仍未使用HTTPS的另一類網(wǎng)站。候選網(wǎng)站類別有:通過Chrome隱身模式瀏覽的所有未加密頁面;提供下載的全部非HTTPS站點。
檢查下你平時常瀏覽的論壇、下載站點、需注冊的媒體門戶是否缺乏那很能說明問題的綠色掛鎖,你會發(fā)現(xiàn)其中很多都通不過測試而觸發(fā)警報。未來幾年,Chrome計劃讓越來越多的網(wǎng)站符合HTTPS標準。 新聞、案例、數(shù)據(jù)、評論、研究、會議的新聞動態(tài)報道,最資深的專家觀點、解讀電子商務行業(yè)研究報告,揭示電子商務市場發(fā)展趨勢和方向。
HTTPS推廣非盈利組織 “Let's Encrypt (讓我們加密吧)”創(chuàng)始人喬西·艾什說:“這真的很重要。沒有比瀏覽器用戶界面更有效的HTTPS遷移激勵了。” 億訊網(wǎng)是中國電子商務行業(yè)新媒體,圍繞B2B、B2C、C2C、零售、物流、團購、跨境電商、移動電商、電商服務、電商資本等領域與方向,提供
但對很多網(wǎng)站管理員而言,谷歌的加密羞辱方法是件很痛苦的事。啟用HTTPS可不像是扳動開關那么簡單,比如說,很多有廣告和視頻之類元素的復雜媒體網(wǎng)站,想要符合谷歌的標準,就得依靠這些外部數(shù)據(jù)源把每塊內(nèi)容都加密了。
舉個例子,《連線》雜志,在4月就宣布將使wired.com域名下所有網(wǎng)頁都切換到HTTPS上,但花了5個月時間才將不安全第三方內(nèi)容之類的問題解決,倒是在修改網(wǎng)址的過程中一直在保持站點的搜索引擎結(jié)果高排位?!都~約時報》,則在2014年末向眾新聞網(wǎng)站發(fā)出在2015年底采用HTTPS的倡議,但它自己至今都未達到標準。
然而,激怒網(wǎng)站管理員,是HTTPS帶來的安全益處所需支付的小小代價。“肯定有人會覺得自己被逼太早進入這一切了。但網(wǎng)絡上發(fā)生的每一次變革都是這樣的。這是我們必須邁進的方向。”
在HTTPS遷移運動上,谷歌有著切實的商業(yè)因素需要如此激進。與蘋果應用商店的閉源環(huán)境不同,谷歌喜歡這個開放的網(wǎng)絡環(huán)境,在這里,它的搜索引擎占據(jù)統(tǒng)治地位,其廣告收入掃蕩了該公司800億美元年利潤的絕大部分。為與移動應用競爭,塔布里茲解釋稱,谷歌希望網(wǎng)頁能夠觸及更深層的計算機資源,與移動應用一樣能夠獲取敏感信息,比如位置和離線數(shù)據(jù)。但若網(wǎng)頁觸角想要進一步擴展進我們的個人生活,首先,必須是安全的。“沒人希望有中間人(一種攻擊方式,可攔截竊聽HTTP數(shù)據(jù))可以獲取到這些信息。”
作為網(wǎng)頁安全革命的某種進度條,塔布里茲的團隊于11月3日在谷歌網(wǎng)站上發(fā)布了一組新數(shù)據(jù),反映出用Chrome瀏覽器訪問的加密網(wǎng)站百分比,按國別和操作系統(tǒng)予以分類。
數(shù)據(jù)顯示,Windows平臺上Chrome流量中約有51%是加密的,MacOS平臺上這一數(shù)據(jù)是60%。安卓稍顯落后,加密流量為43%,或許是因為很多用戶的敏感智能手機連接是通過App進行而非瀏覽器吧。按國別來看,盡管60%的美國Windows用戶Chrome連接是加密的,在土耳其卻只有47%,日本更少,只有1/3是加密的。 億訊網(wǎng)是中國電子商務行業(yè)新媒體,圍繞B2B、B2C、C2C、零售、物流、團購、跨境電商、移動電商、電商服務、電商資本等領域與方向,提供
塔布里茲放言,只要全球操作系統(tǒng)上加密連接覆蓋率沒有達到100%,他們就會繼續(xù)上緊Chrome的HTTPS要求。最終他們希望讓網(wǎng)頁加密成為普遍現(xiàn)象,讓象征HTTPS的鎖形圖標不再必要——除非看到有警告出現(xiàn),否則用戶可以認為自己的流量是加密的。“我決心將網(wǎng)頁安全引導到這種程度。因為如果不用HTTPS,我們就不會有真正的安全。”
解決人為問題自10年前成為谷歌安全工程師開始,塔布里茲就以白帽黑客的精神在做這份工作,深深明白安全問題不僅僅是技術問題,也是人的問題。比如說,在不停找出并修復谷歌代碼中的重復漏洞后,她決定轉(zhuǎn)而去解決谷歌程序員的問題了。于是,2010年她與一名谷歌同事成立了“Resident Hacker”項目——面向程序員的信息安全培訓速成班,教導程序員學會查找、利用、補上自己代碼中的漏洞。
塔布里茲對HTTPS的興趣是在2011年被激起的,當時她在安全團隊的同事發(fā)現(xiàn)了HTTPS證書授權機構DigiNotar被黑客侵入。攻擊者利用他們的權限,偽造連到Gmail之類谷歌網(wǎng)站的虛假加密連接,竊聽訪問這些虛假網(wǎng)站的用戶。該攻擊似乎是伊朗政府發(fā)起的,影響了超過30萬名受害者,其中絕大部分是伊朗人。塔布里茲的父親是伊朗人,會定期回到老家德黑蘭。所以,塔布里茲對此攻擊事件有著個人共鳴。她還記得一篇關于此次事件的伊朗博客評論:“對你們而言,虛假證書不過是被盜口令或個人信息。但對千千萬萬的其他伊朗人而言,這意味著牢獄之災、拷打折磨,甚至死刑。”
因此,2014年塔布里茲接管Chrome安全團隊后,她便將關注重點放在了讓開啟用戶眼界窗口的整個Web更加安全上面,不再僅僅圍繞Chrome本身。谷歌一直以來都努力保持Chrome的安全先進性。Chrome是實現(xiàn)嚴格“沙箱”檢測、自動安全更新安裝、瀏覽器安全漏洞獎勵的首款流行瀏覽器。但塔布里茲對HTTPS推廣,意味著超越Chrome代碼自身,將整個Web安全拖上HTTPS標準。
Chrome團隊撬動Web安全最有利的杠桿,或許就是地址欄里看到的那個標志網(wǎng)站加密的鎖形圖標。但Chrome和其他瀏覽器目前用的,是反直覺的系統(tǒng)來引導用戶登錄安全網(wǎng)站——僅僅在加密連接看起來可疑的時候發(fā)出警告,例如網(wǎng)站證書無效或過期的時候。但若用戶訪問的是完全沒加密的站點,無論網(wǎng)頁要求的是信用卡、口令或其他敏感數(shù)據(jù),瀏覽器在你對竊聽者敞開胸懷的時候都不會有任何提示。對加密連接審查各種標準,對非加密連接反而卻直接放行,這種做法難道沒有問題嗎?
帶領Chrome安全團隊進行HTTPS推廣的安德蓮娜·波特·菲爾特
塔布里茲的團隊考慮怎樣重設計該槽點滿滿的系統(tǒng)時,他們先從咨詢調(diào)查開始。波特·菲爾特接過了Chrome加密推廣的棒子,與其他谷歌人和伯克利的研究人員一起,對1300多人進行了網(wǎng)頁瀏覽器安全警告觀感的調(diào)查。2年時間里,他們的足跡遠至印度、巴西和印尼,測試人們對安全指示器的理解,比如那個曾經(jīng)讓波特·菲爾特的妹妹迷惑不解的紅色鎖形圖標。在印度,波特·菲爾特詢問了十幾名互聯(lián)網(wǎng)新手,絕大部分都猜不出鎖形標志是什么意思。“這已經(jīng)不是加密范疇的問題了。”塔布里茲說,“如何向色盲或非英語人士,或覺得小鎖是個錢包的人呈現(xiàn)警告標志,是人的問題。”
再見吧,紅色錢包去年夏天的USENIX可用隱私與安全研討會上,波特·菲爾特及其研究員同事們公布了他們的調(diào)查結(jié)果,展示了Chrome當前安全標識的失敗性。用戶用Chrome流量非加密HTTP頁面時,只有大約1/5的人會將地址欄左側(cè)的白頁圖標理解為“不安全”。當被問及選個什么樣的符號表示站點安全,選紅色掛鎖和綠色掛鎖的人數(shù)不相上下。但當給出中間有個驚嘆號的黑色圓形,再附上“HTTP”字樣,38%的人都認為該站點是不安全的,并表示會立即關閉這個頁面。將符號改成紅色三角形帶驚嘆號加“not safe(不安全)”字樣,超過2/3的受訪者表示會立即逃離該網(wǎng)頁。
億訊網(wǎng)是中國電子商務行業(yè)新媒體,圍繞B2B、B2C、C2C、零售、物流、團購、跨境電商、移動電商、電商服務、電商資本等領域與方向,提供
谷歌考慮采用的部分安全標志:第一行代表站點加密性,第二行表示缺乏加密
最后,波特·菲爾特好Chrome團隊敲定了一套試圖引導用戶主動注意安全,而非對此麻木不察的系統(tǒng)。目前,用戶訪問非加密網(wǎng)站時,Chrome會顯示一個白色圓形,中間有“i”字樣而非驚嘆號“!”,意圖達到“邀請(invite)”用戶點擊以獲取更多信息的作用。從1月份開始,該“i”在很多情況下還會加上簡單粗暴的“Not secure(不安全)”字樣。塔布里茲希望,在未來幾年,HTTPS能發(fā)展到他們可以將紅色三角驚嘆號標志放到所有遺留HTTP站點上的程度。“在不耐煩的時候,我們就想著把所有東西都標記為不安全。大量網(wǎng)頁都不是HTTPS的,在我看來這太尷尬了。這問題不會自行解決。”
該團隊采取的是胡蘿卜加大棒政策:一方面用其更新?lián)Q代的安全警告標志懲罰落后者,一方面繼續(xù)努力使HTTPS更加容易采納。Chrome安全團隊已經(jīng)開發(fā)出評估HTTPS站點組件的工具,可挖掘出觸發(fā)Chrome警告的漏洞并向開發(fā)者進行解釋。35萬美元的資金也被捐贈給了非盈利組織 Let's Encrypt,用以支持他們免費發(fā)放大量加密證書的工作。
即便如此,波特·菲爾特和塔布里茲稱,他們還是收到了指責他們動作過快、打擊站點、“毀壞生活”的電子郵件和開發(fā)者論壇評論。不過,塔布里茲依然堅持慢慢推進Chrome那不為所動的“全面更加安全”的時間線。
她說:“說服自己不去做什么事情,不去向前邁進很容易。但我已建立了強大的內(nèi)心,對批評免疫。”