写点什么

Chrome 和 HTTPS:安全 Web 的征途

  • 2016-11-13
  • 本文字数:1419 字

    阅读完需:约 5 分钟

Web 安全事关互联网用户的信息安全乃至财产安全,它的重要程度已不可同日而语。然而是否每个用户对他们所处的网络环境都了如指掌?是否每个网站都积极采取措施尽可能提升网站的安全性?为用户打开 Web 大门的浏览器又可以做些什么来提升网络安全性?

Parisa Tabriz 在谷歌领导着一个团队,这个团队专门负责 Chrome 浏览器的安全问题。Tabriz 认为,一般网民无法正确区分浏览器安全警告图标,对现代浏览器来说这是一个最基本的问题。大部分浏览器使用的图标容易让人产生混淆。这种混淆带来的结果,从好的方面来说,最多也就是让我们在网站上误打误撞,从不好的方面说,它们会让我们置身于一个缺乏安全的网络环境里。

全世界有近半的网站仍然在使用未加密的 HTTP 连接,他们并没有为此采取任何积极措施,最多也就是在地址栏旁边放上一个醒目的“不安全”字样。Chrome 团队为此感到羞耻。

从今年一月份开始,Chrome 对它的 web 安全模型进行改造。之前 Chrome 会对没有正确加密的网站给出警告,从现在开始,它会把需要输入用户名、密码或信用卡信息的网站都标识为“不安全”的。警告图标会显示在 Chrome 的地址栏左边。到 2017 年下半年,Chrome 团队将把更多没有使用 HTTPS 连接的网站标识为“不安全”的。这些网站包括那些没有使用加密的网站和提供不安全链接下载的网站。

Josh Aas 是 HTTPS 非盈利组织 Let’s Encrypt 的创办者,他说“没有什么比浏览器更能作为网站转向使用 HTTPS 的理由了”。

不过对网站来说,全部转向 HTTPS 并不像按个开关那样容易。一些网站包含了第三方内容,要把它们全部加密,会牵扯到太多的东西。另外,修改网页地址会影响它们的搜索排名。纽约时报从 2014 年底就开始转向 HTTPS,然后直到 2015 年底这项任务都还没有完成。

Aas 说,有些人认为现在转向 HTTPS 还为时过早,不过这是必然的趋势,我们走的是一条正确的道路。

Tabriz 团队发布了一组数据,这组数据有关世界各地的网民用户通过 Chrome 访问加密网站的情况。按照不同操作系统来分,Windows 平台上使用 Chrome 访问加密网站的比例占 51%,MacOS 平台 60%,而 Android 平台仅 43%。按照国家来分,美国 60% 的 Windows 用户使用 Chrome 访问加密网站,土耳其有 47%,而在日本仅三分之一。

Tabriz 认为,web 安全问题不仅仅是技术问题,同时也是人的问题。2010 年,Tabriz 和另一个同事启动了“常驻黑客”计划,教会开发者如何自己去发现并修补漏洞。自 2014 年 Tabriz 接管这个团队以来,她一直致力于如何把 Chrome 打造成为一扇向安全 web 敞开的大门。Tabriz 认为,不仅仅要看好 Chrome 这扇门,还要努力让门外的世界也变得安全。

Chrome 团队对 1300 多个网民进行过问卷调查,并历时两年,走访了印度、巴西和印尼等国家,对那里的网民用户进行同样的调查。这些调查是关于用户如何理解网站安全警告的,然后结果并不能让人感到乐观。Tabriz 说,这不仅事关那些符号,怎么让色盲用户和非英语国家用户也能正确分辨这些图标完全是人的问题。

Tabriz 的团队收到来自开发社区的抱怨,说她们走得太超前,甚至有点“毁坏生活”的意思。不过 Tabriz 仍然坚持自己的步伐。她说,说服自己不去做一些事情是很容易的,不过她已经为此做好了充分准备。所以那些不想被落在后面的网站,最好要紧跟她们的步伐。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-11-13 18:002584
用户头像

发布了 322 篇内容, 共 154.8 次阅读, 收获喜欢 148 次。

关注

评论

发布
暂无评论
发现更多内容

微信朋友圈高性能分析

十二万伏特皮卡丘

架构训练营

带你了解两种线性规划的方法:稀疏矩阵存储和预处理

华为云开发者联盟

矩阵 存储 线性规划 稀疏矩阵 预处理

物联网通信技术,那些你不知道的事

华为云开发者联盟

物联网 网络 通信 有线 无线

服务限流限流算法、限流策略以及该在哪里限流

Jokay

高可用 分布式限流 限流算法 限流 单机限流

【大牛疯狂教学】熬夜整理2021最新Android高级笔试题

欢喜学安卓

android 程序员 面试 移动开发

产研效率提升-工具篇-消息中心

循环智能

效率 方法 工具 流程 消息

频繁创建基于Etcd实现的分布式锁会有什么问题?

BUG侦探

分布式锁 etcd 内存泄漏

星火矿池APP源码开发

获客I3O6O643Z97

区块链+

解读 AppStore 新功能:自定义产品页面和 A/B Test 工具

37手游iOS技术运营团队

ios apple AB testing实战 appstore 马甲包

超好玩:使用 Erda 构建部署应用是什么体验?

尔达Erda

开源 DevOps 云原生 PaaS Go 语言

图解URL、URI和URN 区别

devpoint

API url 7月日更

权威认可!腾讯云数据安全中台入选2021先锋实践案例

腾讯安全云鼎实验室

#腾讯云 数据安全中台

PHA挖矿系统源码开发介绍

获客I3O6O643Z97

PHA矿机挖矿 PHA质押挖矿

策略+IOC 消灭ifelse,拿来吧你

skow

Java 设计模式 代码设计

穿越六年艰难转型,明道云终于再获主流投资

明道云

互联网

如何优雅地关闭SpringBoot应用程序?听我给你讲

麦洛

Spring Boot

【大牛系列教学】2021年Android程序员职业规划

欢喜学安卓

android 程序员 面试 移动开发

mysqldump备份技巧分享

Simon

MySQL 逻辑备份

【LeetCode】最高频元素的频数Java题解

Albert

算法 LeetCode 7月日更

和12岁小同志搞创客开发:遥控舵机

不脱发的程序猿

DIY 创客开发 控制舵机

Flutter Android 工程结构及应用层编译源码深入分析

工匠若水

flutter android dart Gradle 工匠若水

白林学院校友会小程序前端和后台管理系统设计方案

CC同学

校友录小程序 校友会小程序 同学录小程序

一招教你数据仓库如何高效批量导入与更新数据

华为云开发者联盟

数据库 数据仓库 GaussDB(DWS) MERGE INTO

对标Shopify的千亿市值,有赞还要走多久?

ToB行业头条

SaaS 电商SaaS

详解Spring中Bean的作用域与生命周期

华为云开发者联盟

spring 容器 ioc bean Bean对象

Go语言,并发控制神器之Context

微客鸟窝

Go 语言

史上最全关于苹果开发者账号及上架APPStore总结

孙叫兽

苹果 APP开发 appstore app上架

从源码分析Hystrix工作机制

vivo互联网技术

Java 源码分析 分布式 Hystrix

DAPP系统源码模式开发定制

获客I3O6O643Z97

DAPP智能合约交易系统开发 DAPP系统开发

基于 WebRTC 的1 对 1 通话实战(二)信令服务器实现

IT酷盖

音视频 WebRTC 信令服务器

Triton推理服务器在阿里云机器学习PAI-EAS公测啦!!!

阿里云大数据AI技术

Chrome和HTTPS:安全Web的征途_Chrome_薛命灯_InfoQ精选文章