谷歌聯(lián)合Mozilla 在瀏覽器上推加密傳輸技術(shù)

1月29日消息，谷歌Chrome是全球市場(chǎng)份額位列第二的桌面瀏覽器，公司計(jì)劃利用其打造一個(gè)更加安全的網(wǎng)絡(luò)世界。本周，測(cè)試版的Chrome增添了一項(xiàng)新功能，如果用戶試圖打開(kāi)沒(méi)有使用安全數(shù)據(jù)傳輸?shù)倪B接，瀏覽器會(huì)發(fā)出明確警告。使用安全傳輸能夠防止網(wǎng)絡(luò)身份竊賊和政府窺探你的數(shù)據(jù)。

該功能會(huì)隨著主流版本的Chrome而廣為傳播，人們會(huì)得到提醒，進(jìn)而關(guān)注這方面可能存在的問(wèn)題，這可能促使網(wǎng)站運(yùn)營(yíng)者付出額外成本來(lái)增強(qiáng)安全性能。在谷歌看來(lái)，這一舉措相當(dāng)必要。

“我們知道，為了監(jiān)視目的而發(fā)起的攻擊司空見(jiàn)慣，”克里斯·帕爾默(Chris Palmer)上月在郵件列表中對(duì)添加該功能的原因進(jìn)行了解釋，他是Chrome團(tuán)隊(duì)安全方面的程序員。

推動(dòng)加密傳輸?shù)募夹g(shù)對(duì)網(wǎng)絡(luò)來(lái)說(shuō)意味深遠(yuǎn)。如果頁(yè)面沒(méi)有加密，任何人都可以隨心所欲地讀取計(jì)算機(jī)接收與發(fā)送的數(shù)據(jù)。黑客可以篡改網(wǎng)頁(yè)，網(wǎng)絡(luò)服務(wù)提供商可以插入自己的廣告代碼。為了防止這類行為的發(fā)生，谷歌于2010年開(kāi)始對(duì)Gmail和搜索網(wǎng)站進(jìn)行了加密。雅虎和微軟也緊隨其后。

但是，眾多網(wǎng)頁(yè)并未使用此項(xiàng)技術(shù)，包括維基百科、Instagram、Craigslist、CNN、亞馬遜產(chǎn)品頁(yè)面等等。2014年的一項(xiàng)分析指出，排名前100萬(wàn)的網(wǎng)站中，55%沒(méi)有采用加密措施。

谷歌推動(dòng)加密傳輸技術(shù)已有數(shù)年之久，斯諾登事件曝光后，該技術(shù)的推廣顯得更為重要。愛(ài)德華·斯諾登(Edward Snowden)是前CIA技術(shù)分析員，后供職于國(guó)防項(xiàng)目承包商。他于2013年曝光了政府用于監(jiān)視的種種手段。

尚處于測(cè)試中的最新版Chrome提供了一項(xiàng)手動(dòng)設(shè)置，可以讓瀏覽器就未加密頁(yè)面向用戶發(fā)出警告。試圖訪問(wèn)未加密頁(yè)面時(shí)，用戶將會(huì)在地址欄左側(cè)看到紅色“X”符號(hào)。

為了使用這項(xiàng)功能，用戶需要安裝Chrome Canary(金絲雀版本)，然后訪問(wèn)chrome://flags界面(在地址欄輸入“chrome://flags”然后回車，不包括引號(hào))，接下來(lái)啟用“mark non-secure origins as non-secure”(標(biāo)記不安全的來(lái)源)選項(xiàng)。

谷歌計(jì)劃分步驟推廣該項(xiàng)功能。目前，綠色的掛鎖圖標(biāo)用以指示安全頁(yè)面，未加密頁(yè)面則無(wú)任何標(biāo)志。今后，隨著加密頁(yè)面的普及，對(duì)它們的訪問(wèn)將不會(huì)顯示任何標(biāo)記，而試圖訪問(wèn)未加密網(wǎng)站的用戶則會(huì)看到紅色警告標(biāo)志。

推廣HTTPS

加密的網(wǎng)頁(yè)經(jīng)由HTTPS技術(shù)發(fā)送，這5個(gè)字母是“安全超文本傳輸協(xié)議”的英文縮寫(xiě)。誕生于25年前的網(wǎng)絡(luò)革命中，HTTPS能夠有效防止密碼在登錄頁(yè)面被竊取以及幫助人們?cè)陔娮由虅?wù)中安全地使用信用卡號(hào)碼。

谷歌的推廣工作將會(huì)遇到一個(gè)障礙，那就是應(yīng)用加密手段需要網(wǎng)站運(yùn)營(yíng)商使用性能更為強(qiáng)大，同時(shí)也更昂貴的硬件設(shè)備。但是，該技術(shù)的底層加密標(biāo)準(zhǔn)SSL/TLS“已經(jīng)不再需要耗費(fèi)大量的計(jì)算資源，”谷歌的安全專家亞當(dāng)·朗尼(Adam Langley)對(duì)此反駁道。“上述理由在10多年前可以說(shuō)得通，但現(xiàn)在情況已經(jīng)發(fā)生了很大的變化。應(yīng)用該技術(shù)的開(kāi)銷已經(jīng)很小。”

斯諾登揭露的陰暗勾當(dāng)也為谷歌爭(zhēng)取到了更多的支持者。

眾多廠商——包括火狐瀏覽器開(kāi)發(fā)者M(jìn)ozilla、網(wǎng)絡(luò)設(shè)備制造商思科以及內(nèi)容分發(fā)網(wǎng)絡(luò)提供商阿卡邁——紛紛團(tuán)結(jié)在一起，他們于去年發(fā)起了一個(gè)稱之為“Let's Encrypt”(讓我們加密吧)的項(xiàng)目，旨在幫助網(wǎng)站運(yùn)營(yíng)者采用HTTPS技術(shù)。該項(xiàng)目提供免費(fèi)的證書(shū)，而證書(shū)是加密網(wǎng)站連接的一項(xiàng)必要條件。

來(lái)自 Mozilla 的支持

谷歌HTTPS計(jì)劃的另一個(gè)盟友是Mozilla。

“增加網(wǎng)絡(luò)的安全性能是我們使命的核心部分，”非盈利機(jī)構(gòu)Mozilla的密碼工程經(jīng)理理查德·巴恩斯(Richard Barnes)說(shuō)道。“我們強(qiáng)烈支持將HTTPS部署到盡可能多的地方。”

他非常支持谷歌循序漸進(jìn)的做法，因?yàn)樗X(jué)得過(guò)于激進(jìn)的舉措會(huì)帶來(lái)反效果。

未來(lái)的方向

Yandex是谷歌在俄羅斯的競(jìng)爭(zhēng)對(duì)手，就未加密網(wǎng)絡(luò)連接向用戶發(fā)出警告的問(wèn)題上，該公司有自己的看法。

Yandex的信息安全負(fù)責(zé)人安東·卡波夫(Anton Karpov)表示，對(duì)于互聯(lián)網(wǎng)行業(yè)來(lái)說(shuō)，目前還無(wú)法像HTTP一樣提供對(duì)HTTPS的支持。與谷歌的看法相左，卡波夫認(rèn)為性能強(qiáng)勁的硬件才能滿足加密計(jì)算的需求。

另一個(gè)障礙來(lái)自內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)行業(yè)，該行業(yè)的公司擁有全球網(wǎng)絡(luò)帶寬資源及服務(wù)器，能夠讓用戶就近獲取網(wǎng)站內(nèi)容。CDN可以提供HTTPS連接，但并非免費(fèi)的。

阻礙同樣存在于技術(shù)行業(yè)之外。例如，今年1月，英國(guó)首相戴維·卡梅倫(David Cameron)主張禁用那些政府無(wú)法破解的加密通信軟件，理由是為了打擊恐怖主義行為。

網(wǎng)絡(luò)加密技術(shù)可以幫助挫敗政府的野心。例如，用戶可以通過(guò)位于另一個(gè)國(guó)家的服務(wù)器發(fā)起加密通訊。

總的來(lái)說(shuō)，加密技術(shù)的普及已經(jīng)形成一種趨勢(shì)。蘋(píng)果決定加密存儲(chǔ)于iPhone和iPad上的數(shù)據(jù)，而谷歌也打算在安卓上添加類似的功能。包括谷歌的SPDY以及相關(guān)的標(biāo)準(zhǔn)HTTP/2在內(nèi)的最新網(wǎng)絡(luò)技術(shù)都更多地需要加密技術(shù)的支持。

我們?nèi)孕钑r(shí)日才能看到加密在網(wǎng)絡(luò)中變得無(wú)處不在，但是谷歌正在努力推動(dòng)這一目標(biāo)的實(shí)現(xiàn)。