去年8月，谷歌Chrome瀏覽器安全團(tuán)隊(duì)負(fù)責(zé)人帕里莎·塔布里茲，為展現(xiàn)團(tuán)隊(duì)精神而給她的團(tuán)隊(duì)成員定制了時(shí)尚運(yùn)動(dòng)衫，上面醒目印著“Department of Chromeland Security (Chrome安全部)”字樣，以及在用戶(hù)訪(fǎng)問(wèn)不安全網(wǎng)站時(shí)Chrome給出的警告標(biāo)志：一把畫(huà)了個(gè)“X”的紅色掛鎖。

但幾天后塔布里茲團(tuán)隊(duì)成員安德蓮娜·波特·菲爾特穿上那件運(yùn)動(dòng)衫時(shí)，她妹妹看著那個(gè)矩形上掛個(gè)弧形的小鎖圖標(biāo)很天真地問(wèn)：為什么運(yùn)動(dòng)衫上要印個(gè)紅色錢(qián)包啊?對(duì)塔布里茲的團(tuán)隊(duì)而言，網(wǎng)上普通人都能分辨出錢(qián)包和掛鎖符號(hào)的錯(cuò)誤假設(shè)，代表著現(xiàn)代瀏覽器的一個(gè)基本問(wèn)題。

塔布里茲的團(tuán)隊(duì)負(fù)責(zé)幫助數(shù)十億人評(píng)估所訪(fǎng)問(wèn)網(wǎng)站的安全性，但卻只有一個(gè)迷樣難猜的圖標(biāo)來(lái)區(qū)分鎖定連接的加密網(wǎng)站與不受保護(hù)的網(wǎng)站——后者可致用戶(hù)面臨威脅侵害，或者被星巴克隔壁桌坐著的黑客嗅探走了口令，或者被黑了家庭路由器任由電子郵件被竊聽(tīng)，又或者被互聯(lián)網(wǎng)服務(wù)提供商秘密注入了廣告。當(dāng)今大多數(shù)瀏覽器用來(lái)劃定安全標(biāo)準(zhǔn)線(xiàn)的那套象形圖標(biāo)真是太令人費(fèi)解了，往好了說(shuō)是有誤導(dǎo)性;往壞了說(shuō)就是非故意不作為，甚至在網(wǎng)站安全缺失上不誠(chéng)實(shí)。

[[176095]]

谷歌的Chrome安全團(tuán)隊(duì)負(fù)責(zé)人帕里莎·塔布里茲

這也是為什么Chrome安全團(tuán)隊(duì)第一次，對(duì)全球網(wǎng)站中近半數(shù)不采用強(qiáng)加密的那些進(jìn)行點(diǎn)名羞辱的原因，一點(diǎn)面子都不給，直接在成千上萬(wàn)沒(méi)使用HTTPS加密連接的流行站點(diǎn)域名旁標(biāo)上清晰的“Not secure(不安全)”字樣。這一過(guò)程，可能會(huì)導(dǎo)致線(xiàn)上安全標(biāo)準(zhǔn)的改變。

一點(diǎn)兒面子也不給

明年1月份開(kāi)始，Chrome就將顛覆網(wǎng)頁(yè)安全模式：取消Chrome當(dāng)前只對(duì)錯(cuò)誤加密配置的HTTPS站點(diǎn)給出警示的做法，轉(zhuǎn)而對(duì)任何接受用戶(hù)名及口令或信用卡賬號(hào)卻沒(méi)加密的網(wǎng)站豎起“不安全”小紅旗。這一絕不會(huì)被誤解的警告，將出現(xiàn)在Chrome地址欄左側(cè)。

谷歌的Chrome警告新方案：最上表示HTTPS加密的網(wǎng)站，中間表示非HTTPS網(wǎng)站，最下表示配置不對(duì)的HTTPS網(wǎng)站

稍后，該團(tuán)隊(duì)還計(jì)劃標(biāo)出在2017年最后期限時(shí)仍未使用HTTPS的另一類(lèi)網(wǎng)站。候選網(wǎng)站類(lèi)別有：通過(guò)Chrome隱身模式瀏覽的所有未加密頁(yè)面;提供下載的全部非HTTPS站點(diǎn)。

檢查下你平時(shí)常瀏覽的論壇、下載站點(diǎn)、需注冊(cè)的媒體門(mén)戶(hù)是否缺乏那很能說(shuō)明問(wèn)題的綠色掛鎖，你會(huì)發(fā)現(xiàn)其中很多都通不過(guò)測(cè)試而觸發(fā)警報(bào)。未來(lái)幾年，Chrome計(jì)劃讓越來(lái)越多的網(wǎng)站符合HTTPS標(biāo)準(zhǔn)。

HTTPS推廣非盈利組織 “Let’s Encrypt (讓我們加密吧)”創(chuàng)始人喬西·艾什說(shuō)：“這真的很重要。沒(méi)有比瀏覽器用戶(hù)界面更有效的HTTPS遷移激勵(lì)了。”

但對(duì)很多網(wǎng)站管理員而言，谷歌的加密羞辱方法是件很痛苦的事。啟用HTTPS可不像是扳動(dòng)開(kāi)關(guān)那么簡(jiǎn)單，比如說(shuō)，很多有廣告和視頻之類(lèi)元素的復(fù)雜媒體網(wǎng)站，想要符合谷歌的標(biāo)準(zhǔn)，就得依靠這些外部數(shù)據(jù)源把每塊內(nèi)容都加密了。

舉個(gè)例子，《連線(xiàn)》雜志，在4月就宣布將使wired.com域名下所有網(wǎng)頁(yè)都切換到HTTPS上，但花了5個(gè)月時(shí)間才將不安全第三方內(nèi)容之類(lèi)的問(wèn)題解決，倒是在修改網(wǎng)址的過(guò)程中一直在保持站點(diǎn)的搜索引擎結(jié)果高排位?！都~約時(shí)報(bào)》，則在2014年末向眾新聞網(wǎng)站發(fā)出在2015年底采用HTTPS的倡議，但它自己至今都未達(dá)到標(biāo)準(zhǔn)。

然而，激怒網(wǎng)站管理員，是HTTPS帶來(lái)的安全益處所需支付的小小代價(jià)。“肯定有人會(huì)覺(jué)得自己被逼太早進(jìn)入這一切了。但網(wǎng)絡(luò)上發(fā)生的每一次變革都是這樣的。這是我們必須邁進(jìn)的方向。”

在HTTPS遷移運(yùn)動(dòng)上，谷歌有著切實(shí)的商業(yè)因素需要如此激進(jìn)。與蘋(píng)果應(yīng)用商店的閉源環(huán)境不同，谷歌喜歡這個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境，在這里，它的搜索引擎占據(jù)統(tǒng)治地位，其廣告收入掃蕩了該公司800億美元年利潤(rùn)的絕大部分。為與移動(dòng)應(yīng)用競(jìng)爭(zhēng)，塔布里茲解釋稱(chēng)，谷歌希望網(wǎng)頁(yè)能夠觸及更深層的計(jì)算機(jī)資源，與移動(dòng)應(yīng)用一樣能夠獲取敏感信息，比如位置和離線(xiàn)數(shù)據(jù)。但若網(wǎng)頁(yè)觸角想要進(jìn)一步擴(kuò)展進(jìn)我們的個(gè)人生活，首先，必須是安全的。“沒(méi)人希望有中間人(一種攻擊方式，可攔截竊聽(tīng)HTTP數(shù)據(jù))可以獲取到這些信息。”

作為網(wǎng)頁(yè)安全革命的某種進(jìn)度條，塔布里茲的團(tuán)隊(duì)于11月3日在谷歌網(wǎng)站上發(fā)布了一組新數(shù)據(jù)，反映出用Chrome瀏覽器訪(fǎng)問(wèn)的加密網(wǎng)站百分比，按國(guó)別和操作系統(tǒng)予以分類(lèi)。

數(shù)據(jù)顯示，Windows平臺(tái)上Chrome流量中約有51%是加密的，MacOS平臺(tái)上這一數(shù)據(jù)是60%。安卓稍顯落后，加密流量為43%，或許是因?yàn)楹芏嘤脩?hù)的敏感智能手機(jī)連接是通過(guò)App進(jìn)行而非瀏覽器吧。按國(guó)別來(lái)看，盡管60%的美國(guó)Windows用戶(hù)Chrome連接是加密的，在土耳其卻只有47%，日本更少，只有1/3是加密的。

塔布里茲放言，只要全球操作系統(tǒng)上加密連接覆蓋率沒(méi)有達(dá)到100%，他們就會(huì)繼續(xù)上緊Chrome的HTTPS要求。最終他們希望讓網(wǎng)頁(yè)加密成為普遍現(xiàn)象，讓象征HTTPS的鎖形圖標(biāo)不再必要——除非看到有警告出現(xiàn)，否則用戶(hù)可以認(rèn)為自己的流量是加密的。“我決心將網(wǎng)頁(yè)安全引導(dǎo)到這種程度。因?yàn)槿绻挥肏TTPS，我們就不會(huì)有真正的安全。”

解決人為問(wèn)題

自10年前成為谷歌安全工程師開(kāi)始，塔布里茲就以白帽黑客的精神在做這份工作，深深明白安全問(wèn)題不僅僅是技術(shù)問(wèn)題，也是人的問(wèn)題。比如說(shuō)，在不停找出并修復(fù)谷歌代碼中的重復(fù)漏洞后，她決定轉(zhuǎn)而去解決谷歌程序員的問(wèn)題了。于是，2010年她與一名谷歌同事成立了“Resident Hacker”項(xiàng)目——面向程序員的信息安全培訓(xùn)速成班，教導(dǎo)程序員學(xué)會(huì)查找、利用、補(bǔ)上自己代碼中的漏洞。

塔布里茲對(duì)HTTPS的興趣是在2011年被激起的，當(dāng)時(shí)她在安全團(tuán)隊(duì)的同事發(fā)現(xiàn)了HTTPS證書(shū)授權(quán)機(jī)構(gòu)DigiNotar被黑客侵入。攻擊者利用他們的權(quán)限，偽造連到Gmail之類(lèi)谷歌網(wǎng)站的虛假加密連接，竊聽(tīng)訪(fǎng)問(wèn)這些虛假網(wǎng)站的用戶(hù)。該攻擊似乎是伊朗政府發(fā)起的，影響了超過(guò)30萬(wàn)名受害者，其中絕大部分是伊朗人。塔布里茲的父親是伊朗人，會(huì)定期回到老家德黑蘭。所以，塔布里茲對(duì)此攻擊事件有著個(gè)人共鳴。她還記得一篇關(guān)于此次事件的伊朗博客評(píng)論：“對(duì)你們而言，虛假證書(shū)不過(guò)是被盜口令或個(gè)人信息。但對(duì)千千萬(wàn)萬(wàn)的其他伊朗人而言，這意味著牢獄之災(zāi)、拷打折磨，甚至死刑。”

因此，2014年塔布里茲接管Chrome安全團(tuán)隊(duì)后，她便將關(guān)注重點(diǎn)放在了讓開(kāi)啟用戶(hù)眼界窗口的整個(gè)Web更加安全上面，不再僅僅圍繞Chrome本身。谷歌一直以來(lái)都努力保持Chrome的安全先進(jìn)性。Chrome是實(shí)現(xiàn)嚴(yán)格“沙箱”檢測(cè)、自動(dòng)安全更新安裝、瀏覽器安全漏洞獎(jiǎng)勵(lì)的首款流行瀏覽器。但塔布里茲對(duì)HTTPS推廣，意味著超越Chrome代碼自身，將整個(gè)Web安全拖上HTTPS標(biāo)準(zhǔn)。

Chrome團(tuán)隊(duì)撬動(dòng)Web安全最有利的杠桿，或許就是地址欄里看到的那個(gè)標(biāo)志網(wǎng)站加密的鎖形圖標(biāo)。但Chrome和其他瀏覽器目前用的，是反直覺(jué)的系統(tǒng)來(lái)引導(dǎo)用戶(hù)登錄安全網(wǎng)站——僅僅在加密連接看起來(lái)可疑的時(shí)候發(fā)出警告，例如網(wǎng)站證書(shū)無(wú)效或過(guò)期的時(shí)候。但若用戶(hù)訪(fǎng)問(wèn)的是完全沒(méi)加密的站點(diǎn)，無(wú)論網(wǎng)頁(yè)要求的是信用卡、口令或其他敏感數(shù)據(jù)，瀏覽器在你對(duì)竊聽(tīng)者敞開(kāi)胸懷的時(shí)候都不會(huì)有任何提示。對(duì)加密連接審查各種標(biāo)準(zhǔn)，對(duì)非加密連接反而卻直接放行，這種做法難道沒(méi)有問(wèn)題嗎?

[[176096]]

帶領(lǐng)Chrome安全團(tuán)隊(duì)進(jìn)行HTTPS推廣的安德蓮娜·波特·菲爾特

塔布里茲的團(tuán)隊(duì)考慮怎樣重設(shè)計(jì)該槽點(diǎn)滿(mǎn)滿(mǎn)的系統(tǒng)時(shí)，他們先從咨詢(xún)調(diào)查開(kāi)始。波特·菲爾特接過(guò)了Chrome加密推廣的棒子，與其他谷歌人和伯克利的研究人員一起，對(duì)1300多人進(jìn)行了網(wǎng)頁(yè)瀏覽器安全警告觀感的調(diào)查。2年時(shí)間里，他們的足跡遠(yuǎn)至印度、巴西和印尼，測(cè)試人們對(duì)安全指示器的理解，比如那個(gè)曾經(jīng)讓波特·菲爾特的妹妹迷惑不解的紅色鎖形圖標(biāo)。在印度，波特·菲爾特詢(xún)問(wèn)了十幾名互聯(lián)網(wǎng)新手，絕大部分都猜不出鎖形標(biāo)志是什么意思。“這已經(jīng)不是加密范疇的問(wèn)題了。”塔布里茲說(shuō)，“如何向色盲或非英語(yǔ)人士，或覺(jué)得小鎖是個(gè)錢(qián)包的人呈現(xiàn)警告標(biāo)志，是人的問(wèn)題。”

再見(jiàn)吧，紅色錢(qián)包

去年夏天的USENIX可用隱私與安全研討會(huì)上，波特·菲爾特及其研究員同事們公布了他們的調(diào)查結(jié)果，展示了Chrome當(dāng)前安全標(biāo)識(shí)的失敗性。用戶(hù)用Chrome流量非加密HTTP頁(yè)面時(shí)，只有大約1/5的人會(huì)將地址欄左側(cè)的白頁(yè)圖標(biāo)理解為“不安全”。當(dāng)被問(wèn)及選個(gè)什么樣的符號(hào)表示站點(diǎn)安全，選紅色掛鎖和綠色掛鎖的人數(shù)不相上下。但當(dāng)給出中間有個(gè)驚嘆號(hào)的黑色圓形，再附上“HTTP”字樣，38%的人都認(rèn)為該站點(diǎn)是不安全的，并表示會(huì)立即關(guān)閉這個(gè)頁(yè)面。將符號(hào)改成紅色三角形帶驚嘆號(hào)加“not safe(不安全)”字樣，超過(guò)2/3的受訪(fǎng)者表示會(huì)立即逃離該網(wǎng)頁(yè)。

[[176097]]

谷歌考慮采用的部分安全標(biāo)志：第一行代表站點(diǎn)加密性，第二行表示缺乏加密

最后，波特·菲爾特好Chrome團(tuán)隊(duì)敲定了一套試圖引導(dǎo)用戶(hù)主動(dòng)注意安全，而非對(duì)此麻木不察的系統(tǒng)。目前，用戶(hù)訪(fǎng)問(wèn)非加密網(wǎng)站時(shí)，Chrome會(huì)顯示一個(gè)白色圓形，中間有“i”字樣而非驚嘆號(hào)“!”，意圖達(dá)到“邀請(qǐng)(invite)”用戶(hù)點(diǎn)擊以獲取更多信息的作用。從1月份開(kāi)始，該“i”在很多情況下還會(huì)加上簡(jiǎn)單粗暴的“Not secure(不安全)”字樣。塔布里茲希望，在未來(lái)幾年，HTTPS能發(fā)展到他們可以將紅色三角驚嘆號(hào)標(biāo)志放到所有遺留HTTP站點(diǎn)上的程度。“在不耐煩的時(shí)候，我們就想著把所有東西都標(biāo)記為不安全。大量網(wǎng)頁(yè)都不是HTTPS的，在我看來(lái)這太尷尬了。這問(wèn)題不會(huì)自行解決。”

該團(tuán)隊(duì)采取的是胡蘿卜加大棒政策：一方面用其更新?lián)Q代的安全警告標(biāo)志懲罰落后者，一方面繼續(xù)努力使HTTPS更加容易采納。Chrome安全團(tuán)隊(duì)已經(jīng)開(kāi)發(fā)出評(píng)估HTTPS站點(diǎn)組件的工具，可挖掘出觸發(fā)Chrome警告的漏洞并向開(kāi)發(fā)者進(jìn)行解釋。35萬(wàn)美元的資金也被捐贈(zèng)給了非盈利組織 Let’s Encrypt，用以支持他們免費(fèi)發(fā)放大量加密證書(shū)的工作。

即便如此，波特·菲爾特和塔布里茲稱(chēng)，他們還是收到了指責(zé)他們動(dòng)作過(guò)快、打擊站點(diǎn)、“毀壞生活”的電子郵件和開(kāi)發(fā)者論壇評(píng)論。不過(guò)，塔布里茲依然堅(jiān)持慢慢推進(jìn)Chrome那不為所動(dòng)的“全面更加安全”的時(shí)間線(xiàn)。

她說(shuō)：“說(shuō)服自己不去做什么事情，不去向前邁進(jìn)很容易。但我已建立了強(qiáng)大的內(nèi)心，對(duì)批評(píng)免疫。”

譯自《連線(xiàn)》雜志 原文作者：Andy Greenberg