售前咨询
技术支持
渠道合作

谷歌安全小组:系好WEB安全带,让我们带你飞

       在去年8月的一次黑客团队精神展示会上,Parisa Tabriz为她领导的谷歌公司Chrome浏览器安全团队订购了一套“队服”。队服上印有“Department of Chromeland Security”(Chromeland安全部门)字样,外加一个打着叉的红色挂锁。这个挂锁即是当初Chrome用来警告用户访问“可能受监视和威胁的不安全网站”的标志。

       然而,当团队成员Adrienne Porter Felt穿上这件队服时,她妹妹却指着带锁图标问道:“为什么衣服上有个钱包?”这一小事说明了,如果一个普通上网者能把“警告标志”认成“钱包”,那这个交互一定做得非常失败,也意味着这个标志无法发挥它的作用。

       Chrome安全团队每天负责为数十亿的用户考察访问网站的安全性,却只能用一个“令人费解”的图标来帮助人们区分一个采用加密链接的网站和毫无防护易受攻击的网站之间的区别。这种攻击可以来自一个在星巴克里坐在你邻桌的黑客,可以来自你家那台早已被攻陷的路由器,也可以是你整天在使用的被植入硬广告的互联网服务商。这些警告网络威胁的标志常令人感到困惑,但最糟糕的情况莫过于因为指向不明而遭人忽略。

       这就是Chrome团队决定明确标示“不使用强加密手段的网站”的原因。这些网站数不胜数,其中有数千家热门网站不曾使用HTTPS加密。而今Chrome团队将明确对其给出“不安全”警告。在此过程中,他们将推动更完善的网络安全标准。

       “有人说我们这么做会引发用户的恐慌,因为半数的网站都将变得不能直视”,Tabriz说道,“但对于我们而言,这么做是对用户的忠诚。所谓良药苦口,如果没有HTTPS,访问一个网站的用户或网络服务就无法预测该网站上的任何东西是否被篡改或监听。这岂不是更糟糕?”

  强化加密手段

       从明年1月起,Chrome浏览器将转换网络安全模式。它将把任何接受用户名密码或信用卡的未加密网站标识为“不安全”,而非仅针对HTTPS网站对用户发出“不完善或配置错误”的警告。这种“明示”将出现在Chrome地址栏的左侧。

HTTP

谷歌Chrome的新警告图案,分别指HTTPS加密网站(上)、非HTTPS网站(中)和HTTPS加密不完善的网站(下) CREDIT: GOOGLE

       团队很快还会宣布另一个对网站进行分类的方案,将指明在某一截止日期(2017年末的某日)前仍不使用HTTPS的网站。下面是两种候选方案:任何以隐身模式访问的未加密网页和任何提供下载的非HTTPS网站。请检查你日常访问的网络论坛、下载站点、可注册的媒体站点,看是否有绿色挂锁标志,然后你会发现那些没通过这个测试的网站会有一个讨厌的唤醒标志。而在未来的几年里,Chrome打算根据HTTPS标准将网站划分成更多类型。

       “这很重要,”关注HTTPS非营利性项目Let’s Encrypt的创始人Josh Aas说。“因为没什么比浏览器的用户界面更能有效促进网站转向HTTPS的了。”

       对于许多网站管理员来说,谷歌的做法大概不怎么受欢迎。因为启用HTTPS并不想打开一个开关那样容易。例如,很多具有诸如广告和视频那样的元素的复杂媒体网站,在对其每一条内容进行加密时,都要由那些外部数据来源决定,然后才能符合谷歌的要求。WIRED网站在4月宣布将对所有Wired.com页面启用HTTPS,但却花了5个月时间来解决那些不安全的第三方内容问题并在更改其全部网页地址的情况下在搜索结果中保持较高排名(这很讽刺)。纽约时报在2014年底曾要求其他新闻网站在2015年底前启用HTTPS,但其自己的网站却没能做到这一点。

       但是,相对于HTTPS带来的好处,花费心血去部署它不过是很小的代价。Aas说:“会有人觉得他们过早被强迫这么做,但在互联网的每次改变中这都会发生。而且这是大势所趋。”

       谷歌有足够的商业上的理由来强力推行HTTPS。与苹果App Store这样的封闭环境相反,谷歌喜欢开放网络,在这样的环境中,它的搜索引擎占据着统治地位,它的广告收入占公司的全部800亿美元年收入的绝大部分。为了和移动应用进行竞争,Tabriz解释,谷歌想要让网页更深入你的电脑,能够访问那些敏感信息,如位置和离线数据这些移动应用经常访问的信息。但如果网页的触角想要更深入你的隐私,那么它必须要做到安全。因为你不会想让一个‘中间人’能够访问那些东西。

       为了展示网络安全的进展程度,Tbariz的团队近日在谷歌网站发布了一组新的数据,显示通过Chrome访问已加密网站的准确数据,该组数据按照国家和操作系统划分。数据显示,约51%的Windows Chrome访问量被加密,而有60%的MacOS访问量被加密。安卓以43%排在后面,也许是因为很多手机用户的最敏感的连接都是通过app而不是通过网页产生。该报告也将加密数据按照国家进行划分,显示在美国有60%的Windows用户的Chrome连接被加密,这一数字在土耳其是47%,而在日本只有1/3。

       Tabriz说,他们将继续提升Chrome的HTTPS需求,直到所有操作系统的HTTPS使用率达到100%。他们的最终目标是将加密普及到不必通过图标特别指明HTTPS的程度——那样,除非用户看到相反的标识,否则都会相信网站已被加密。“我决定将致力于此,”Tabriz说。“因为如果我们没有HTTPS,我们也就没有真正的安全。”

HTTP

通过Chrome访问的HTTPS页面比例随时间变化图 CREDIT: GOOGLE

 

       Tabriz:安全问题不仅是解决技术问题,更是在解决人类的问题

       自Tabriz十年前开始在谷歌做安全工程师起,她就把自己看成了白帽黑客。她认为安全问题不只是技术问题,也是人的问题。她说,在反复发现和修复公司代码中的bug的过程中,她决心改变谷歌的程序员们。所以,在2010年她和一位同事开始了谷歌的“内部黑客”计划,这是一个对程序员进行信息安全训练的对抗性课程,程序员们通过该课程学习查找、利用和修复他们工作中的bug。

      Tabriz对HTTPS的特殊兴趣开始于2011年,那时她的安全团队的同事们发现证书颁发机构DigiNotar——这是一家负责分发某HTTPS网站认证证书的机构——被黑客攻陷了。当时攻击者们使用他们的访问权限伪造了到Gmail之类的谷歌网站的加密连接,并对访问者进行监听。这次攻击看上去像是伊朗政府干的,波及超过30万伊朗用户。而Tabriz 的父亲就是一位伊朗人,他会定期返回家乡德黑兰,对Tabriz来说,这次攻击让她产生了共鸣。她记得读过一个伊朗人在博客上关于这次事件的评论:“对你们来说,一个伪造的证书意味着密码和个人信息被窃取,”他写道。“对于我以及其他数以千计的伊朗人来说,这会导致被捕入狱、酷刑甚至死刑。”

       所以当Tabriz2014年接手Chrome安全团队时,她关注的不仅仅是对Chrome的保护,更包括对通过Chrome访问的整个网络的保护。长期以来,谷歌一直致力于提高Chrome的安全性,使其超越其他浏览器。Chrome是第一个严格执行“沙盒”机制(“沙盒”是一种限制恶意网页进入用户电脑的访问深度的安全措施)的主流浏览器,Chrome自动安装安全更新,并以数十万美元高价悬赏收集其安全漏洞的信息。而Tabriz对HTTPS的推动则走的更远,不仅审视Chrome自身的代码,还要提升整个网络的安全性来达到Chrome的要求。

       Chrome团队推动网络安全的最有力工具就是你在网站URL前面看到的那个挂锁标志,它指示出网站的加密程度。但现在Chrome和其他浏览器使用的是不直观的、甚至违反常理的体系来引导用户访问那些安全的网站,这些浏览器仅在一个加密连接看起来有些可疑时才会对用户发出警告;例如,当一个网站的证书——用于证明该网站真实身份的数据——无效或过期的时候,浏览器就会这样做。但如果你访问一个完全未加密的网站——不管该网站向你索要的是信用卡号、密码还是其他敏感信息——当你的信息被泄漏的时候,你的浏览器根本不会发出警告。

       当Tabriz的团队考虑如何重新设计这个有缺陷的体系时,他们只能从零开始。Porter Felt和他的同事以及伯克利的研究人员一起,首先开始推动Chrome的加密技术,他们就对浏览器的安全警告的认知情况调查了超过1300人。他们用了两年多时间,去印度、巴西和印度尼西亚调查人们对安全标识的理解,如曾经困扰Porter Felt妹妹的红锁标志。例如,在印度,Porter Felt采访了十几个新学会上网的人,其中大部分人甚至猜不到这个锁的标志代表什么。“这个问题超出了密码学的范畴,”Tabriz说。“向色盲人士、不会说英语的人士或把锁当成钱包的人展示这个标志,是人方面的问题。”

  改变交互图标

       Porter Felt和同事将其调查结果在去年夏天举行的关于可用私有性和安全性的USENIX研讨会上公布,结果显示出Chrome的安全标志是多么失败。当使用Chrome浏览一个未加密HTTP页面时,只有约五分之一的用户将地址栏左侧的白色页面图标看作是“不安全”的意思。当要他们选择一个符号作为安全网站的标志时,他们中选择红锁的和选择绿锁的一样多。而当用户看到一个黑色圆形包围的惊叹号出现在“HTTP”字样前面时,38%的人认为该网站不安全,并将立即离开该页面。而将这个符号换成一个红色三角形包围着一个惊叹号并和“HTTP”字样一起出现时,超过三分之二的回答者认为是不安全的意思,并会离开页面。

HTTP

部分谷歌考虑用来代表网站加密(上面一行)或加密不足(下面一行)的标志 CREDIT: GOOGLE

       最终,Porter Felt和Chrome团队决定引入一套机制来教育用户,而不再使用那些令用户麻木的警告了。现在,当有人登陆一个典型的非加密网站时,Chrome将显示一个包在白色圆形中的“i”的图标,而不再使用惊叹号,这表示邀请用户点击它以获得更多信息。1月开始,这样的“i”符号将与直截了当的“不安全”提示语一起出现。Tabriz说,她希望几年之内,HTTPS将发展到他们可以把红色三角形和惊叹号图标放在所有仍使用HTTP的网站上的程度。“在我们不耐烦的时候,我们就要把所有网站都标识为不安全,”Tabriz说。“大部分网站都不使用HTTPS,这令我很为难。因为这个问题不会自己解决。”

       不过,该团队正在采取“胡萝卜加大棒”政策:惩罚那些在改进自身安全警告方面进展迟缓的网站,同时致力于使HTTPS更易用。团队制作了很多评估HTTPS网站组件的工具,挖掘出那些触发Chrome警告的漏洞并向开发者说明。团队还向非营利性项目Let’s Encrypt捐出35万美元,该项目免费分发了数以百万计的加密证书,而不是向其他证书颁发机构那样收取年费。

       即便如此,Porter Felt和Tabriz说他们收到很多邮件和开发者论坛的评论,指责他们前进的步子太快,破坏了很多网站,甚至“毁了他们的生活”。但Tabriz决心坚持Chrome的缓慢但不可动摇的前进步伐,直到对所有人来说网络变得更加安全。

       “说服自己不做事或不向前迈进是很容易的,”Tabriz说。“但我脸皮很厚。”如果世界上那么多网站不想被抛在后面,那么他们得抓紧行动了。

来自:SSL中国

上一篇:

下一篇:

相关新闻