【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

Chrome 和 HTTPS:安全 Web 的征途

  • 2016-11-13
  • 本文字数:1419 字

    阅读完需:约 5 分钟

Web 安全事关互联网用户的信息安全乃至财产安全,它的重要程度已不可同日而语。然而是否每个用户对他们所处的网络环境都了如指掌?是否每个网站都积极采取措施尽可能提升网站的安全性?为用户打开 Web 大门的浏览器又可以做些什么来提升网络安全性?

Parisa Tabriz 在谷歌领导着一个团队,这个团队专门负责 Chrome 浏览器的安全问题。Tabriz 认为,一般网民无法正确区分浏览器安全警告图标,对现代浏览器来说这是一个最基本的问题。大部分浏览器使用的图标容易让人产生混淆。这种混淆带来的结果,从好的方面来说,最多也就是让我们在网站上误打误撞,从不好的方面说,它们会让我们置身于一个缺乏安全的网络环境里。

全世界有近半的网站仍然在使用未加密的 HTTP 连接,他们并没有为此采取任何积极措施,最多也就是在地址栏旁边放上一个醒目的“不安全”字样。Chrome 团队为此感到羞耻。

从今年一月份开始,Chrome 对它的 web 安全模型进行改造。之前 Chrome 会对没有正确加密的网站给出警告,从现在开始,它会把需要输入用户名、密码或信用卡信息的网站都标识为“不安全”的。警告图标会显示在 Chrome 的地址栏左边。到 2017 年下半年,Chrome 团队将把更多没有使用 HTTPS 连接的网站标识为“不安全”的。这些网站包括那些没有使用加密的网站和提供不安全链接下载的网站。

Josh Aas 是 HTTPS 非盈利组织 Let’s Encrypt 的创办者,他说“没有什么比浏览器更能作为网站转向使用 HTTPS 的理由了”。

不过对网站来说,全部转向 HTTPS 并不像按个开关那样容易。一些网站包含了第三方内容,要把它们全部加密,会牵扯到太多的东西。另外,修改网页地址会影响它们的搜索排名。纽约时报从 2014 年底就开始转向 HTTPS,然后直到 2015 年底这项任务都还没有完成。

Aas 说,有些人认为现在转向 HTTPS 还为时过早,不过这是必然的趋势,我们走的是一条正确的道路。

Tabriz 团队发布了一组数据,这组数据有关世界各地的网民用户通过 Chrome 访问加密网站的情况。按照不同操作系统来分,Windows 平台上使用 Chrome 访问加密网站的比例占 51%,MacOS 平台 60%,而 Android 平台仅 43%。按照国家来分,美国 60% 的 Windows 用户使用 Chrome 访问加密网站,土耳其有 47%,而在日本仅三分之一。

Tabriz 认为,web 安全问题不仅仅是技术问题,同时也是人的问题。2010 年,Tabriz 和另一个同事启动了“常驻黑客”计划,教会开发者如何自己去发现并修补漏洞。自 2014 年 Tabriz 接管这个团队以来,她一直致力于如何把 Chrome 打造成为一扇向安全 web 敞开的大门。Tabriz 认为,不仅仅要看好 Chrome 这扇门,还要努力让门外的世界也变得安全。

Chrome 团队对 1300 多个网民进行过问卷调查,并历时两年,走访了印度、巴西和印尼等国家,对那里的网民用户进行同样的调查。这些调查是关于用户如何理解网站安全警告的,然后结果并不能让人感到乐观。Tabriz 说,这不仅事关那些符号,怎么让色盲用户和非英语国家用户也能正确分辨这些图标完全是人的问题。

Tabriz 的团队收到来自开发社区的抱怨,说她们走得太超前,甚至有点“毁坏生活”的意思。不过 Tabriz 仍然坚持自己的步伐。她说,说服自己不去做一些事情是很容易的,不过她已经为此做好了充分准备。所以那些不想被落在后面的网站,最好要紧跟她们的步伐。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-11-13 18:002067
用户头像

发布了 322 篇内容, 共 133.7 次阅读, 收获喜欢 142 次。

关注

评论

发布
暂无评论
发现更多内容

week9-homework

J

厉害!腾讯T3-2都还在学的微服务+MySQL+Kafka+boot2.x+虚拟机PDF

Java架构之路

Java 程序员 架构 面试 编程语言

疫情闭关修炼半个月,我竟把JDK源码都读懂了!

996小迁

Java 编程 架构 面试 程序人生

一个系统小BUG修复投产居然花了3个小时来处理(上)

罗小龙

28天写作 投产事故 解决思路

技术招聘常被吐槽,企业应该考虑好这一点

李忠良

28天写作

项目管理系列(8)-从0到1搭建PMO(一)

Ian哥

28天写作

28天瞎写的第二百二十六天:TechCrunch Hackathon 的故事

树上

28天写作

【并发编程的艺术】JVM内存模型

程序员架构进阶

架构 Java内存模型 Java虚拟机 28天写作

历史上的今天

IT蜗壳-Tango

七日更

无代码、Excel与Airtable

lidaobing

低代码 Excel 无代码开发 28天写作 Airtable

惊悚,单个java进程占用700%的CPU

万里无云

Java 后端 cpu

人设崩塌的美国生物实验室

脑极体

2050年的一次出游 (28天写作 Day15/28)

mtfelix

自动驾驶 28天写作 科幻写作

5G最核心的本质是能力可被编排及开放

JiangX

5G 数字化转型 28天写作

如何开发一个完善的Kafka生产者客户端?

码农架构

kafka 架构 中间件 消息中间件

史上最全!阿里巴巴2021年最新最全500道Java后端面试大全(值得收藏)

Java 编程 程序员 面试

你有多久没去看海了呢「幻想短篇 15/28」

道伟

28天写作

Java虚拟机知识 - JVM入门

小马哥

Java JVM 架构师 Java虚拟机 七日更

从零开始学java第一天(为报训练营做准备)

落曦

深度 | 阿里云蒋江伟:什么是真正的云原生?

阿里巴巴云原生

云计算 容器 运维 云原生 k8s

Windows AD 是否开启或者关闭了UAC服务

BigYoung

windows Windows 10

【高并发】ReadWriteLock怎么和缓存扯上关系了?!

冰河

并发编程 读写锁 高并发 ReadWriteLock 签约计划第二季

共识算法的简单理解(一)

石君

28天写作

产品质量管理活动流程

L3C老司机

用docker-compose快速部署ChirpStack

远鹏

Docker-compose IoT ChirpStack LoraWan Go 语言

HTML(六)——html表单

程序员的时光

程序员 大前端 七日更 28天写作

区块链数字货币钱包系统软件开发|区块链数字货币钱包APP开发

系统开发

2020 总结 | VoltDB的亮点,你了解多少?

VoltDB

数据库 物联网 VoltDB

week9-conclusion

J

soul 数据同步(三)http长轮询 同步策略

xzy

关于“为更新而更新”的一种新的理解

Nydia

Chrome和HTTPS:安全Web的征途_Chrome_薛命灯_InfoQ精选文章