9月10日消息,《连线》网站撰稿回顾了诞生至今十年间Chrome浏览器在安全性上的演变历程。很多人或许想不起Chrome浏览器诞生之前的情形。这款浏览器已迎来十周岁生日。它如此热门的背后原因之一是,它让网络世界变得更安全。但人们并未充分认识到这一点。
在Chrome浏览器初次亮相时,谷歌开发者并未构想要让它的安全性超越IE、Safari等知名竞争对手。但他们确实构建了一种以全新方式组合关键元素的服务,进而让Chrome的浏览体验明显更安全、更可靠。
“Chrome让我们步入了怎样的时代?或许是Web3.0,”《连线》在谷歌推出Chrome的那天(年9月2日)写道,“它管理标签的方式,它处理错误的方式,它令人目眩的速度......毫无疑问,这是网络开发世界的颠覆者。”
至关重要的是,Chrome以全新的方式管理标签;其“沙箱”模式使每个标签都拥有各自的权限和受保护的内存。这样,如果一个标签崩溃,不会导致整个浏览器崩溃;试图攻击一名Chrome用户的黑客无法一次攻击多个网站。Chrome浏览器更像在权限系统(permissionsystem)上运行许多独立程序的操作系统,而不是一个单独的免费程序。这在各种浏览器产品中,尚属首例。
“Chrome刚诞生时,互联网中的最大威胁就是恶意软件,我认为人们已经忘了当时恶意软件有多普遍,”自年以来一直从事Chrome相关工作的首席工程师贾斯汀舒尔(JustinSchuh)说,“如果用户未使用最新的浏览器,甚至在某些情况下,哪怕使用了最新浏览器,也可能因浏览某个网站而让电脑系统感染恶意代码,而且浑然不知这是如何发生的。所以Chrome的原始设计拥有两大功能:自动更新以及Chrome沙箱。前者可确保用户始终拥有最新版本,后者可确保如果存在可被利用的漏洞,我们可以把漏洞限制在沙箱中。”
这些功能使Chrome在年脱颖而出,如今它已成为某种行业标准,但当时谷歌曾因与Chrome相关的数项重大决策而遭到批评。“自动更新面临很多阻力,这些阻力的来源包括包括Chrome安全团队本身以及当时还未加入团队但如今却是成员的人。”Chrome工程总监帕里沙塔布里兹(ParisaTabriz)表示,“我记得有一位同事认为自动更新是魔鬼。他说这会剥夺用户选择,并对单一故障点过于信任。但现在我们的行业已发生巨大变化,自动更新实际上体现出了浏览器的意义。”
很快Chrome开始被称为安全浏览器,其原始沙箱与谷歌安全浏览服务中的网络钓鱼和恶意软件防护功能相结合,成功地保护用户免受当时的大多数威胁。但随着网络入侵的发展攻击者逐渐不再采用偷偷下载的攻击方式,更多地依赖向网站中嵌入的第三方组件和服务,Chrome快速响应,推出阻止这些新漏洞的应对方案。
“在年和年左右,用户被攻击的频率最高,”塔布里兹指出,“它们来自第三方插件,我们无法像控制Flash那样控制它们。有关Chrome安全和整体网络的一个有趣事实是Flash与其他浏览器存在诸多合作。所以Flash是一项非常强大、酷炫、很有创意的技术,但覆盖面积广,并带来了很多安全问题。所以我们已经开始推行HTML这一开放标准,所有浏览器都可以使用这个标准。”
虽然很明显谷歌在积极争取Chrome用户,并且通过依赖Chrome的Android构建了整个生态系统,但舒尔和塔布里兹指出,Chrome浏览器仍然得到大规模开源项目的支持。他们补充,除了发布代码库之外,Chrome还执行着开放式研发的模式,谷歌乐于采纳全球开发人员的点子,Chromium论坛的对话都是对外公开的。谷歌甚至通过漏洞赏金计划奖励发现并提交Chrome漏洞的研究者,迄今谷歌已支付了超过万美元的赏金。
“不采用开放式研发也有可能实现开源,”舒尔指出,“但世界上任何人都可以订阅我们的外部wiki页面和邮件列表。许多人参与我们的项目,他们使用的不是谷歌的公司账户,而是独立的Chromium帐户。”
过去数年,Chrome团队的一个重要项目是通过“站点隔离”这一新功能扩展Chrome沙箱的概念。该机制使不同的Web组件和站点更加难以相互窃取用户数据。Chrome团队最初设想此功能可以抵御各种类型的在线犯罪和滥用,没想到最终还帮助用户防范了Meltdown和Spectre类型的漏洞。
Chrome最近的一个
联系电话: