写点什么

Chrome 和 HTTPS:安全 Web 的征途

  • 2016-11-13
  • 本文字数:1419 字

    阅读完需:约 5 分钟

Web 安全事关互联网用户的信息安全乃至财产安全,它的重要程度已不可同日而语。然而是否每个用户对他们所处的网络环境都了如指掌?是否每个网站都积极采取措施尽可能提升网站的安全性?为用户打开 Web 大门的浏览器又可以做些什么来提升网络安全性?

Parisa Tabriz 在谷歌领导着一个团队,这个团队专门负责 Chrome 浏览器的安全问题。Tabriz 认为,一般网民无法正确区分浏览器安全警告图标,对现代浏览器来说这是一个最基本的问题。大部分浏览器使用的图标容易让人产生混淆。这种混淆带来的结果,从好的方面来说,最多也就是让我们在网站上误打误撞,从不好的方面说,它们会让我们置身于一个缺乏安全的网络环境里。

全世界有近半的网站仍然在使用未加密的 HTTP 连接,他们并没有为此采取任何积极措施,最多也就是在地址栏旁边放上一个醒目的“不安全”字样。Chrome 团队为此感到羞耻。

从今年一月份开始,Chrome 对它的 web 安全模型进行改造。之前 Chrome 会对没有正确加密的网站给出警告,从现在开始,它会把需要输入用户名、密码或信用卡信息的网站都标识为“不安全”的。警告图标会显示在 Chrome 的地址栏左边。到 2017 年下半年,Chrome 团队将把更多没有使用 HTTPS 连接的网站标识为“不安全”的。这些网站包括那些没有使用加密的网站和提供不安全链接下载的网站。

Josh Aas 是 HTTPS 非盈利组织 Let’s Encrypt 的创办者,他说“没有什么比浏览器更能作为网站转向使用 HTTPS 的理由了”。

不过对网站来说,全部转向 HTTPS 并不像按个开关那样容易。一些网站包含了第三方内容,要把它们全部加密,会牵扯到太多的东西。另外,修改网页地址会影响它们的搜索排名。纽约时报从 2014 年底就开始转向 HTTPS,然后直到 2015 年底这项任务都还没有完成。

Aas 说,有些人认为现在转向 HTTPS 还为时过早,不过这是必然的趋势,我们走的是一条正确的道路。

Tabriz 团队发布了一组数据,这组数据有关世界各地的网民用户通过 Chrome 访问加密网站的情况。按照不同操作系统来分,Windows 平台上使用 Chrome 访问加密网站的比例占 51%,MacOS 平台 60%,而 Android 平台仅 43%。按照国家来分,美国 60% 的 Windows 用户使用 Chrome 访问加密网站,土耳其有 47%,而在日本仅三分之一。

Tabriz 认为,web 安全问题不仅仅是技术问题,同时也是人的问题。2010 年,Tabriz 和另一个同事启动了“常驻黑客”计划,教会开发者如何自己去发现并修补漏洞。自 2014 年 Tabriz 接管这个团队以来,她一直致力于如何把 Chrome 打造成为一扇向安全 web 敞开的大门。Tabriz 认为,不仅仅要看好 Chrome 这扇门,还要努力让门外的世界也变得安全。

Chrome 团队对 1300 多个网民进行过问卷调查,并历时两年,走访了印度、巴西和印尼等国家,对那里的网民用户进行同样的调查。这些调查是关于用户如何理解网站安全警告的,然后结果并不能让人感到乐观。Tabriz 说,这不仅事关那些符号,怎么让色盲用户和非英语国家用户也能正确分辨这些图标完全是人的问题。

Tabriz 的团队收到来自开发社区的抱怨,说她们走得太超前,甚至有点“毁坏生活”的意思。不过 Tabriz 仍然坚持自己的步伐。她说,说服自己不去做一些事情是很容易的,不过她已经为此做好了充分准备。所以那些不想被落在后面的网站,最好要紧跟她们的步伐。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-11-13 18:002566
用户头像

发布了 322 篇内容, 共 154.1 次阅读, 收获喜欢 148 次。

关注

评论

发布
暂无评论
发现更多内容

二叉树-四种遍历方式的 Java 实现

多选参数

二叉树 遍历

了解JS压缩图片,这一篇就够了

华为云开发者联盟

Java html5 vue.js 大前端 npm

架构到底是什么?

架构精进之路

架构

学过 C++ 的你,你不得不知的这 10 条细节

小林coding

c c++ 编程 编程之路

对于一款软件而言,完备的功能固然重要,但交互体验也不该被忽视

Philips

Java 敏捷开发 UI .net core 交互设计

当代一线城市年轻人生活工作实录(蓝领打工仔篇)

Philips

Java .net 敏捷开发 快速开发 MES系统

当代一线城市年轻人工作生活实录(HR篇)

Philips

Java 敏捷开发 快速开发 .net core

年轻的樵夫哟,你掉的是这个免费 8 核 4G 公网服务器,还是这个随时可用的 Docker 实验平台?

newbe36524

Docker 微服务 .net core ASP.NET Core

HTTP方式文件分片断点下载

xcbeyond

Java 断点续传 下载 Range

面试官问:运行时的内存布局

Java小咖秀

Java JVM

MECE分析法

陈磊@Criss

测者陈磊

我们是如何逐渐变普通的?

架构精进之路

个人成长 认知提升

一、GraphQL,你准备好了么?

星期35

面经手册 · 第5篇《看图说话,讲解2-3平衡树「红黑树的前身」》

小傅哥

Java 数据结构 小傅哥 红黑树 2-3树

Docker 禁止美国“实体清单”主体使用,Docker 开源项目应不受影响

程序员生活志

Docker 互联网热点

AI+云,数字金融掘金客户微细分

人称T客

昨梦记

波波夫

PHPStrom安装Xdebug及使用

书旅

php Xdebug PHPStrom

5步教你完成小熊派开发板贴片

华为云开发者联盟

后端 开发工具 华为云 小熊派 开发板

技术分享丨数据仓库的建模与ETL实践技巧

华为云开发者联盟

数据仓库 数据分析 数据模型 GaussDB ETL算法

初识WebRTC

soolaugust

WebRTC

高并发,你真的了解吗?

华为云开发者联盟

负载均衡 软件 高并发 操作系统 服务器集群

【得物技术】乘风破浪—优雅代码四部曲

得物技术

Java 代码规范

实战分享丨MySQL 与Django版本匹配相关经验

华为云开发者联盟

MySQL 数据库 django 华为云

C++ 借来的资源,如何还的潇洒?

小林coding

c c++ 编程 编程习惯 内存管理

python操作word文件

wjchenge

Python word

C++ 互斥锁和条件变量的性能比较

小林coding

c c++ 编程 并发编程

如何有效提高技能?我推荐《刻意练习》

老胡爱分享

个人成长 练习

KPI考核存在的问题

石云升

读书笔记 考核 KPI 数字化管理

最受 IT 公司欢迎的 30 款开源软件

程序员生活志

开源

推荐一款可视化+NoteBook工具

数据社

大数据 可视化 Zeppelin notebook

Chrome和HTTPS:安全Web的征途_Chrome_薛命灯_InfoQ精选文章