谷歌Chrome是全球市场份额位列第二的桌面浏览器,公司计划利用其打造一个更加安全的网络世界。本周,测试版的Chrome增添了一项新功能,如果用户试图打开没有使用安全数据传输的连接,浏览器会发出明确警告。使用安全传输能够防止网络身份窃贼和政府窥探你的数据。该功能会随着主流版本的Chrome而广为传播,人们会得到提醒,进而关注这方面可能存在的问题,这可能促使网站运营者付出额外成本来增强安全性能。在谷歌看来,这一举措相当必要。
“我们知道,为了监视目的而发起的攻击司空见惯,”克里斯·帕尔默(Chris Palmer)上月在邮件列表中对添加该功能的原因进行了解释,他是Chrome团队安全方面的程序员。
推动加密传输的技术对网络来说意味深远。如果页面没有加密,任何人都可以随心所欲地读取计算机接收与发送的数据。黑客可以篡改网页,网络服务提供商可以插入自己的广告代码。为了防止这类行为的发生,谷歌于2010年开始对Gmail和搜索网站进行了加密。雅虎和微软也紧随其后。
但是,众多网页并未使用此项技术,包括维基百科、Instagram、Craigslist、CNN、亚马逊产品页面等等。2014年的一项分析指出,排名前100万的网站中,55%没有采用加密措施。
谷歌推动加密传输技术已有数年之久,斯诺登事件曝光后,该技术的推广显得更为重要。爱德华·斯诺登(Edward Snowden)是前CIA技术分析员,后供职于国防项目承包商。他于2013年曝光了政府用于监视的种种手段。
尚处于测试中的最新版Chrome提供了一项手动设置,可以让浏览器就未加密页面向用户发出警告。试图访问未加密页面时,用户将会在地址栏左侧看到红色“X”符号。
为 了使用这项功能,用户需要安装Chrome Canary(金丝雀版本),然后访问chrome://flags界面(在地址栏输入“chrome://flags”然后回车,不包括引号),接下来 启用“mark non-secure origins as non-secure”(标记不安全的来源)选项。
谷歌计划分步骤推广该项功能。目前,绿色的挂锁图标用以指示安全页面,未加密页面则无任何标志。今后,随着加密页面的普及,对它们的访问将不会显示任何标记,而试图访问未加密网站的用户则会看到红色警告标志。
推广HTTPS
加密的网页经由HTTPS技术发送,这5个字母是“安全超文本传输协议”的英文缩写。诞生于25年前的网络革命中,HTTPS能够有效防止密码在登录页面被窃取以及帮助人们在电子商务中安全地使用信用卡号码。
谷 歌的推广工作将会遇到一个障碍,那就是应用加密手段需要网站运营商使用性能更为强大,同时也更昂贵的硬件设备。但是,该技术的底层加密标准SSL/TLS “已经不再需要耗费大量的计算资源,”谷歌的安全专家亚当·朗尼(Adam Langley)对此反驳道。“上述理由在10多年前可以说得通,但现在情况已经发生了很大的变化。应用该技术的开销已经很小。”
斯诺登揭露的阴暗勾当也为谷歌争取到了更多的支持者。
众 多厂商——包括火狐浏览器开发者Mozilla、网络设备制造商思科以及内容分发网络提供商阿卡迈——纷纷团结在一起,他们于去年发起了一个称之为 “Let's Encrypt”(让我们加密吧)的项目,旨在帮助网站运营者采用HTTPS技术。该项目提供免费的证书,而证书是加密网站连接的一项必要条件。
来自Mozilla的支持
谷歌HTTPS计划的另一个盟友是Mozilla。
“增加网络的安全性能是我们使命的核心部分,”非盈利机构Mozilla的密码工程经理理查德·巴恩斯(Richard Barnes)说道。“我们强烈支持将HTTPS部署到尽可能多的地方。”
他非常支持谷歌循序渐进的做法,因为他觉得过于激进的举措会带来反效果。
未来的方向
Yandex是谷歌在俄罗斯的竞争对手,就未加密网络连接向用户发出警告的问题上,该公司有自己的看法。
Yandex的信息安全负责人安东·卡波夫(Anton Karpov)表示,对于互联网行业来说,目前还无法像HTTP一样提供对HTTPS的支持。与谷歌的看法相左,卡波夫认为性能强劲的硬件才能满足加密计算的需求。
另一个障碍来自内容分发网络(CDN)行业,该行业的公司拥有全球网络带宽资源及服务器,能够让用户就近获取网站内容。CDN可以提供HTTPS连接,但并非免费的。
阻碍同样存在于技术行业之外。例如,今年1月,英国首相戴维·卡梅伦(David Cameron)主张禁用那些政府无法破解的加密通信软件,理由是为了打击恐怖主义行为。
网络加密技术可以帮助挫败政府的野心。例如,用户可以通过位于另一个国家的服务器发起加密通讯。
总的来说,加密技术的普及已经形成一种趋势。苹果决定加密存储于iPhone和iPad上的数据,而谷歌也打算在安卓上添加类似的功能。包括谷歌的SPDY以及相关的标准HTTP/2在内的最新网络技术都更多地需要加密技术的支持。
我们仍需时日才能看到加密在网络中变得无处不在,但是谷歌正在努力推动这一目标的实现。