去年8月,谷歌Chrome浏览器安全团队负责人帕里莎·塔布里兹,为展现团队精神而给她的团队成员定制了时尚运动衫,上面醒目印着“Department of Chromeland Security (Chrome安全部)”字样,以及在用户访问不安全网站时Chrome给出的警告标志:一把画了个“X”的红色挂锁。
但几天后塔布里兹团队成员安德莲娜·波特·菲尔特穿上那件运动衫时,她妹妹看着那个矩形上挂个弧形的小锁图标很天真地问:为什么运动衫上要印个红色钱包啊?对塔布里兹的团队而言,网上普通人都能分辨出钱包和挂锁符号的错误假设,代表着现代浏览器的一个基本问题。
塔布里兹的团队负责帮助数十亿人评估所访问网站的安全性,但却只有一个迷样难猜的图标来区分锁定连接的加密网站与不受保护的网站——后者可致用户面临威胁侵害,或者被星巴克隔壁桌坐着的黑客嗅探走了口令,或者被黑了家庭路由器任由电子邮件被窃听,又或者被互联网服务提供商秘密注入了广告。当今大多数浏览器用来划定安全标准线的那套象形图标真是太令人费解了,往好了说是有误导性;往坏了说就是非故意不作为,甚至在网站安全缺失上不诚实。
谷歌的Chrome安全团队负责人帕里莎·塔布里兹
这也是为什么Chrome安全团队第一次,对全球网站中近半数不采用强加密的那些进行点名羞辱的原因,一点面子都不给,直接在成千上万没使用HTTPS加密连接的流行站点域名旁标上清晰的“Not secure(不安全)”字样。这一过程,可能会导致线上安全标准的改变。
有人说我们不能让近半数的网页看起来很吓人,人们会对网络产生恐惧的。但对我们而言,这是试图对用户保持诚实的问题。不用HTTPS,用户或网页服务就不用期待站点上的东西没被篡改或窃听了。这才是真正疯狂不理智的。 |
一点儿面子也不给
明年1月份开始,Chrome就将颠覆网页安全模式:取消Chrome当前只对错误加密配置的HTTPS站点给出警示的做法,转而对任何接受用户名及口令或信用卡账号却没加密的网站竖起“不安全”小红旗。这一绝不会被误解的警告,将出现在Chrome地址栏左侧。
谷歌的Chrome警告新方案:最上表示HTTPS加密的网站,中间表示非HTTPS网站,最下表示配置不对的HTTPS网站
稍后,该团队还计划标出在2017年最后期限时仍未使用HTTPS的另一类网站。候选网站类别有:通过Chrome隐身模式浏览的所有未加密页面;提供下载的全部非HTTPS站点。
检查下你平时常浏览的论坛、下载站点、需注册的媒体门户是否缺乏那很能说明问题的绿色挂锁,你会发现其中很多都通不过测试而触发警报。未来几年,Chrome计划让越来越多的网站符合HTTPS标准。
HTTPS推广非盈利组织 “Let’s Encrypt (让我们加密吧)”创始人乔西·艾什说:“这真的很重要。没有比浏览器用户界面更有效的HTTPS迁移激励了。”
但对很多网站管理员而言,谷歌的加密羞辱方法是件很痛苦的事。启用HTTPS可不像是扳动开关那么简单,比如说,很多有广告和视频之类元素的复杂媒体网站,想要符合谷歌的标准,就得依靠这些外部数据源把每块内容都加密了。
举个例子,《连线》杂志,在4月就宣布将使wired.com域名下所有网页都切换到HTTPS上,但花了5个月时间才将不安全第三方内容之类的问题解决,倒是在修改网址的过程中一直在保持站点的搜索引擎结果高排位。《纽约时报》,则在2014年末向众新闻网站发出在2015年底采用HTTPS的倡议,但它自己至今都未达到标准。
然而,激怒网站管理员,是HTTPS带来的安全益处所需支付的小小代价。“肯定有人会觉得自己被逼太早进入这一切了。但网络上发生的每一次变革都是这样的。这是我们必须迈进的方向。”
在HTTPS迁移运动上,谷歌有着切实的商业因素需要如此激进。与苹果应用商店的闭源环境不同,谷歌喜欢这个开放的网络环境,在这里,它的搜索引擎占据统治地位,其广告收入扫荡了该公司800亿美元年利润的绝大部分。为与移动应用竞争,塔布里兹解释称,谷歌希望网页能够触及更深层的计算机资源,与移动应用一样能够获取敏感信息,比如位置和离线数据。但若网页触角想要进一步扩展进我们的个人生活,首先,必须是安全的。“没人希望有中间人(一种攻击方式,可拦截窃听HTTP数据)可以获取到这些信息。”
作为网页安全革命的某种进度条,塔布里兹的团队于11月3日在谷歌网站上发布了一组新数据,反映出用Chrome浏览器访问的加密网站百分比,按国别和操作系统予以分类。
数据显示,Windows平台上Chrome流量中约有51%是加密的,MacOS平台上这一数据是60%。安卓稍显落后,加密流量为43%,或许是因为很多用户的敏感智能手机连接是通过App进行而非浏览器吧。按国别来看,尽管60%的美国Windows用户Chrome连接是加密的,在土耳其却只有47%,日本更少,只有1/3是加密的。
塔布里兹放言,只要全球操作系统上加密连接覆盖率没有达到100%,他们就会继续上紧Chrome的HTTPS要求。最终他们希望让网页加密成为普遍现象,让象征HTTPS的锁形图标不再必要——除非看到有警告出现,否则用户可以认为自己的流量是加密的。“我决心将网页安全引导到这种程度。因为如果不用HTTPS,我们就不会有真正的安全。”
解决人为问题
自10年前成为谷歌安全工程师开始,塔布里兹就以白帽黑客的精神在做这份工作,深深明白安全问题不仅仅是技术问题,也是人的问题。比如说,在不停找出并修复谷歌代码中的重复漏洞后,她决定转而去解决谷歌程序员的问题了。于是,2010年她与一名谷歌同事成立了“Resident Hacker”项目——面向程序员的信息安全培训速成班,教导程序员学会查找、利用、补上自己代码中的漏洞。
塔布里兹对HTTPS的兴趣是在2011年被激起的,当时她在安全团队的同事发现了HTTPS证书授权机构DigiNotar被黑客侵入。攻击者利用他们的权限,伪造连到Gmail之类谷歌网站的虚假加密连接,窃听访问这些虚假网站的用户。该攻击似乎是伊朗政府发起的,影响了超过30万名受害者,其中绝大部分是伊朗人。塔布里兹的父亲是伊朗人,会定期回到老家德黑兰。所以,塔布里兹对此攻击事件有着个人共鸣。她还记得一篇关于此次事件的伊朗博客评论:“对你们而言,虚假证书不过是被盗口令或个人信息。但对千千万万的其他伊朗人而言,这意味着牢狱之灾、拷打折磨,甚至死刑。”
因此,2014年塔布里兹接管Chrome安全团队后,她便将关注重点放在了让开启用户眼界窗口的整个Web更加安全上面,不再仅仅围绕Chrome本身。谷歌一直以来都努力保持Chrome的安全先进性。Chrome是实现严格“沙箱”检测、自动安全更新安装、浏览器安全漏洞奖励的首款流行浏览器。但塔布里兹对HTTPS推广,意味着超越Chrome代码自身,将整个Web安全拖上HTTPS标准。
Chrome团队撬动Web安全最有利的杠杆,或许就是地址栏里看到的那个标志网站加密的锁形图标。但Chrome和其他浏览器目前用的,是反直觉的系统来引导用户登录安全网站——仅仅在加密连接看起来可疑的时候发出警告,例如网站证书无效或过期的时候。但若用户访问的是完全没加密的站点,无论网页要求的是信用卡、口令或其他敏感数据,浏览器在你对窃听者敞开胸怀的时候都不会有任何提示。对加密连接审查各种标准,对非加密连接反而却直接放行,这种做法难道没有问题吗?
带领Chrome安全团队进行HTTPS推广的安德莲娜·波特·菲尔特
塔布里兹的团队考虑怎样重设计该槽点满满的系统时,他们先从咨询调查开始。波特·菲尔特接过了Chrome加密推广的棒子,与其他谷歌人和伯克利的研究人员一起,对1300多人进行了网页浏览器安全警告观感的调查。2年时间里,他们的足迹远至印度、巴西和印尼,测试人们对安全指示器的理解,比如那个曾经让波特·菲尔特的妹妹迷惑不解的红色锁形图标。在印度,波特·菲尔特询问了十几名互联网新手,绝大部分都猜不出锁形标志是什么意思。“这已经不是加密范畴的问题了。”塔布里兹说,“如何向色盲或非英语人士,或觉得小锁是个钱包的人呈现警告标志,是人的问题。”
再见吧,红色钱包
去年夏天的USENIX可用隐私与安全研讨会上,波特·菲尔特及其研究员同事们公布了他们的调查结果,展示了Chrome当前安全标识的失败性。用户用Chrome流量非加密HTTP页面时,只有大约1/5的人会将地址栏左侧的白页图标理解为“不安全”。当被问及选个什么样的符号表示站点安全,选红色挂锁和绿色挂锁的人数不相上下。但当给出中间有个惊叹号的黑色圆形,再附上“HTTP”字样,38%的人都认为该站点是不安全的,并表示会立即关闭这个页面。将符号改成红色三角形带惊叹号加“not safe(不安全)”字样,超过2/3的受访者表示会立即逃离该网页。
谷歌考虑采用的部分安全标志:第一行代表站点加密性,第二行表示缺乏加密
最后,波特·菲尔特好Chrome团队敲定了一套试图引导用户主动注意安全,而非对此麻木不察的系统。目前,用户访问非加密网站时,Chrome会显示一个白色圆形,中间有“i”字样而非惊叹号“!”,意图达到“邀请(invite)”用户点击以获取更多信息的作用。从1月份开始,该“i”在很多情况下还会加上简单粗暴的“Not secure(不安全)”字样。塔布里兹希望,在未来几年,HTTPS能发展到他们可以将红色三角惊叹号标志放到所有遗留HTTP站点上的程度。“在不耐烦的时候,我们就想着把所有东西都标记为不安全。大量网页都不是HTTPS的,在我看来这太尴尬了。这问题不会自行解决。”
该团队采取的是胡萝卜加大棒政策:一方面用其更新换代的安全警告标志惩罚落后者,一方面继续努力使HTTPS更加容易采纳。Chrome安全团队已经开发出评估HTTPS站点组件的工具,可挖掘出触发Chrome警告的漏洞并向开发者进行解释。35万美元的资金也被捐赠给了非盈利组织 Let’s Encrypt,用以支持他们免费发放大量加密证书的工作。
即便如此,波特·菲尔特和塔布里兹称,他们还是收到了指责他们动作过快、打击站点、“毁坏生活”的电子邮件和开发者论坛评论。不过,塔布里兹依然坚持慢慢推进Chrome那不为所动的“全面更加安全”的时间线。
她说:“说服自己不去做什么事情,不去向前迈进很容易。但我已建立了强大的内心,对批评免疫。”
译自《连线》杂志 原文作者:Andy Greenberg