Google 在用“看不見”的方式保護你的隱私

10-26

當你一次次在不同的網站輸入自己的賬號密碼、身份證號、銀行卡號時,有沒有考慮過:「這安全嗎?」可能對於大多數人來講,我們無法得知自己的數據會在何時、以何種方式泄露,但至少應該知道——我要訪問的網站是否值得信任。

去年 9 月,Google 宣佈在 Chrome 中將所有未通過 https 加密的網站標記為「不安全」。用戶在加載網頁時,地址欄左側的圖標會提示安全狀態,如果是 https 打頭的網頁會顯示綠色的小鎖,代表網頁「相對安全」,http 打頭的網頁則會提示「不安全」或者「危險」。

這樣做是為瞭幫助用戶以更安全的方式瀏覽網頁,但同時也在督促網站轉向 https 模式。

身份驗證、數據加密:可不止加個「s」那麼簡單

當我們有越來越多個人信息和財產安全牽扯到網絡時,http 的安全隱患也愈發顯眼。

我們瀏覽網頁是通過和網站間的數據傳輸實現的,http 提供瞭統一的標準來規范這種行為。http 在設計之初,更多是考慮傳輸速度和效率,所以傳輸過程中所有數據使用的都是明文,也並沒有對傳輸雙方的身份進行驗證,信息很容易被獲取甚至篡改,這給用戶的上網行為帶來安全隱患。

明文信息在傳輸過程中要經過運營商、路由器、Wi-Fi 熱點等多個環節,每一層數據都有被泄露的可能。很多人都遇到過網站被劫持的情況,最常見的就是網頁間彈出的小廣告,這就是明文信息在傳輸過程中被進行瞭篡改。一些流氓軟件、網站用流量劫持的方式來進行惡意推廣。

流量劫持隻是明文信息傳輸的危害之一,更嚴重的後果是泄露用戶隱私。比如當你在網購時輸入銀行卡號、密碼等信息,沒有經過加密的數據就像仍在路邊的 iPhone X,在有一定技術手段的黑客面前簡直就是唾手可得。

在 http 的基礎上,https 增加瞭身份驗證和數據加密來保證傳輸安全,簡單來說,https 就是安全版的 http。網站在收到用戶的訪問請求後,會首先發送證書和一對密鑰給瀏覽器,一個用作加密,另一個用作解密,瀏覽器在認證網站可信之後,才會把加密過的信息傳輸給網站。有瞭認證和加密的 https 保證瞭數據的安全:除瞭傳輸的雙方,第三方無從獲得和更改數據。

對於網站來說,經過加密的網頁可以防止被惡意劫持,而對於用戶,https 保證瞭自己的數據不被泄露。

明文信息不夠安全,轉「https」成大勢所趨

https 協議在 1994 年就已經推出,但一直未得到廣泛的應用,因為加密的數據無法像明文信息一樣快速傳輸,使用 https 會讓訪問速度變慢。

在 https 的推行上,Google 是先驅者。2010 年初,Gmail 全面默認以 https 訪問,Google 提到:「我們在安全和速度之間找到瞭一個折中的方案」,默認使用 https 的 Gmail 保護瞭用戶的數據不被第三方獲取。同年 5 月份,Google 宣佈將 https 的啟用范圍擴大到整個「Google 搜索」,用戶的搜索內容不會再被第三方獲取或阻止。

2016 年,Google 宣佈在 Chrome 瀏覽器中將所有未通過 https 加密的網站標記為「不安全」,這是 Google 全面向 http 說「不」的開始。隨後,蘋果在 WWDC 2016 大會上也宣佈瞭一項針對隱私安全保護的政策:「蘋果將對 Apple Store 中的所有應用啟用 ATS(App Transport Security:應用程序安全傳輸)功能,強制通過 https 連接,如果開發者在 2017 年 1 月 1 日仍然采用 http,應用將無法下載。」在國內,微信年初推出的小程序也要求全部采用 https 協議。對開發者來說,部署 https 已經成為大勢所趨。

Google 全面推行 https 一年,已經取得一些明顯的成效。從 Google 的報告中可以看到,一年前全球前 100 的網站中隻有 37 個默認使用 https,而現在這個數字已經上升為 71 個。

近兩年,國內很多網站也開始轉向 https。2015 年,百度啟用全站 https 加密,搜索結果的內容不會再被第三方路由器或瀏覽器篡改。2016 年,直播平臺鬥魚全站升級到 https,彈幕中的惡意攻擊、廣告得到瞭抑制。新浪微博、B 站也都陸續啟用 https。

對於訪問量、用戶量巨大的網站來說,由 http 轉 https 並不是個小工程,前期要付出的成本、壓力、技術要求是很高的。在推行過程中,Google、蘋果這樣具有平臺效應的企業所付出的努力至關重要。對於這些「先行者」來說,前期可能並不會獲得明顯的成效,但對行業未來而言,技術革新作用巨大。

巨頭推動,再主流的技術也要走下神壇

與「拋棄」http 很像的一個例子是 Flash 的退出。最早 Adobe Flash Player 以節省帶寬的特點成為網頁中廣告、動畫的常用格式,但它本身的諸多限制和信息安全問題越來越受人詬病。2010 年,喬佈斯發表瞭一篇「對 Flash 的思考」的文章,指出隨著 HTML5 的發展,Adobe Flash 在網頁中變得可有可無。關於喬佈斯個人與 Adobe 的矛盾當然也是拒絕 Flash 的原因之一,但 Flash 耗電、不安全等本身存在的問題才是其「被淘汰」的主因。蘋果、Facebook、Google、微軟等公司相繼棄用 Flash,今年 7 月份,Adobe 宣佈將於 2020 年 12 月 30 日停止更新和發行 Flash Player。

圖片來源:Wccftech

從長遠的時空角度看,http、Flash 從神壇下落都是必然,但如果沒有大企業的「推動」,新技術的革新可能沒有那麼快。Google 添加「不安全」提示,蘋果棄用 Flash,對大多數用戶來說根本感受不到。

舊規則被替代,其本身問題暴露是主因,新技術出現是外部因素,在此之上,大公司的推動才是「壓死駱駝的最後一根稻草」。

(關於 Google 全面啟用 https 的契機,其實還有另一段更深的「傳說」,感興趣可以到 Gmail 的維基百科頁面查看。)

編輯:早優夫斯基

精彩圖片
文章評論 相關閱讀
© 2016 看看新聞 http://www.kankannews.cc/