“Chrome浏览器诞生10年，互联网环境更安全更可信了”

本篇文章3312字，读完约8分钟

这条科技新闻于9月10日，connection网站的写作回顾了chrome浏览器诞生10年来的安全性演化。

很多人可能想不起来chrome浏览器诞生之前的事。 这个浏览器迎来了10岁的生日。 这样受欢迎的背后原因之一是让网络世界更安全。 但是，人们还没有充分认识到这一点。

当chrome浏览器出道时，谷歌开发者并没有想过要实现超越ie、safari等知名竞争对手的安全性。 但是，他们确实用新的方法构建了关键要素组合的服务，使chrome的阅读体验明显安全可靠。

“chrome把我们推向了什么样的时代？ 可能是web 3.0”“连接”在谷歌发布chrome之日( 2008年9月2日)，“管理标签的方法，就是解决错误的方法，令人眼花缭乱的速度……没错，这就是互联网开发世界的

重要的是，chrome以新的方式管理标签。其“沙箱”模式使每个标签都有各自的权限和受保护的内存。 因此，如果标记崩溃，则整个浏览器不会崩溃。 想要攻击chrome客户的黑客不能一次攻击多个站点。 chrome浏览器类似于在“权限系统”( permission system )中运行多个独立程序的操作系统，而不是单独的免费程序。 这在各浏览器产品中还是第一次。

“我想chrome刚诞生的时候，互联网上最大的威胁就是恶意软件，忘记了当时恶意软件有多普遍”，这是2009年以来，从事chrome相关工作的首席工程师朱婷( Jujinstinshul， “如果客户没有使用最新的浏览器，在某些情况下，即使没有使用最新的浏览器，也可能会浏览网站。 chrome的原始设计有两个功能:自动更新和chrome沙箱。 前者保证客户始终拥有最新版本，后者保证如果存在可用漏洞，则可以将漏洞限制在沙箱中。 ”。

这些功能使chrome在2008年脱颖而出，现在已成为某个领域的基准，但谷歌曾因与chrome相关的一些重大决定而遭到批评。 “自动更新面临着很多阻力。 这些阻力的来源包括chrome安全小组本身和当时没有加入小组但现在是成员的人。 ”。 chrome工程总监帕丽莎·塔布里兹( parisa tabriz )说:“我记得有同事认为自动更新是恶魔。 他说这剥夺了客户的选择，过分信任单一的障碍点。 但是现在我们的领域发生了很大的变化，自动更新实际上展示了浏览器的意义。 ”。

很快chrome就被称为安全浏览器了。 那个原始沙箱结合了谷歌安全浏览器服务的网络钓鱼和反恶意软件功能，成功地保护了顾客免受当时大部分的威胁。 但是，随着网络入侵的迅速发展，攻击者不再使用偷偷下载的攻击方法，而是依赖于嵌入在网站自身的第三方组件和服务，因此，chrome迅速应对了这些新的漏洞

塔布里茨指出:“在年和年左右，客户被攻击的频率最高。” “它来自第三方插件，不能被控制为控制flash。 有关chrome安全和整个互联网的一个感兴趣的事实是，flash与其他浏览器有很多合作。 所以flash是一种非常强大、酷炫、创造性的技术，但是覆盖面积很大，带来了很多安全问题。 所以，我们开始推进html这个开放标准。 所有浏览器都可以采用这个标准。 ”。

虽然谷歌显然在积极争取chrome的客户，依赖chrome的android构建整个生态系统，但舒尔和塔布里茨指出，chrome浏览器仍然受到大开源项目的支持。 他们不仅发表了代码库，chrome还运行着开放的研发模式，谷歌乐于采纳全球开发者的想法，chromium论坛的对话全部公开。 谷歌还鼓励在漏洞奖金计划中发现chrome漏洞并提交的研究者，迄今为止谷歌已支付了420多万美元的奖金。

舒尔指出，“也有可能不使用开放开发来实现开源”。 “但是，全世界的任何人都可以订阅我们的外部wiki页面和邮件列表。 我们的项目有多人参加。 他们采用的不是谷歌的企业账户，而是独立的chromium账户。 ”。

近年来，chrome团队的一个重要项目是通过“站点隔离”这一新功能扩展chrome沙箱的概念。 这种机制可以防止各种web组件和站点窃取客户数据。 chrome团队最初设想，该功能可以防止各种类型的在线犯罪和误用，但最终没有想到会帮助客户防止meltdown和spectre类型的漏洞。

chrome最近的一个关注点是提倡在互联网上广泛采用加密连接。 为了在网站上鼓励采用https协议，消除http，谷歌与安全行业的其他开发者进行了数年的合作。 年初，chrome在浏览器内弹出的消息中提醒大家注意没有使用https的网站。 以前chrome将采用https的网站标记为安全网站整体，后来开始直接将其视为标准网站，将只采用http的网站标记为不安全网站整体，并向客户发出警告。 目前，77%的chrome流量受到https的保护。

chrome的工程经理安德烈斯·波尔图费尔德说:“https已经推广了20年，但互联网几乎一直由http主导，直到最近这种情况才有所改变。” “我们更改了chrome界面，告诉他们‘嘿，你的数据不安全’。 确实如此，但会引起恐慌，对处理问题没有帮助。 因此，我们决定帮助所有网络推进https加密协议。 我们与let's encrypt和火狐等合作伙伴合作，设计了https更便宜、更容易实施。 这是一个很难处理的问题，最初谷歌内部也有很多质疑的声音。 ”

由于过度宣传和对单点故障的担忧，chrome的自动更新功能曾遭到反对。 这表明chrome的安全计划多次受到批评声音的困扰。 随着chrome浏览器的发展，互联网行业担心chome实力太强，会影响领域标准，开发者会在其他平台上比较chrome来优化网站。

在诞生10周年之际，chrome重新设计了电脑端和移动端，简化了标签管理功能，扩展了设置的个性化和“智能回答”的功能。 chrome表示，该功能将立即(甚至在打开网页之前)在chrome的omnibox地址栏中显示新闻。 但是，进一步展望未来十年，该团队表示，计划整合谷歌服务趋势——更深层次的人工智能和机器学习技术，整合越来越多的虚拟现实和增强现实工具，以提高浏览效果。

安全小组表示计划在移动资源管理器中部署站点隔离功能。 在高端智能手机中，相对有限的计算资源使得实现这一点变得困难。 小组还计划向chrome客户优先介绍浏览器的内置密码管理器。 这个密码管理器已经存在多年了，但在chrome的许多其他功能中并不陌生。 在这方面，chrome的主导地位也带来了一点问题浏览器内的密码管理器有风险，不太喜欢安全专家。 但是，比起没有对话，专用密码管理器更安全。

chrome工程师还表示，控制网络钓鱼是一个优先事项。 在这项工作中，工程师们将chrome自身的扫描和监视功能结合起来，鼓励网站使用最适合证书管理和web认证的处理方法。 谷歌致力于向客户介绍如何通过物理认证令牌等措施促进自我保护。

舒尔说:“现在，利用密码进行网络钓鱼是个严重的问题。” “每个人都在看着身边失去密码的人的同时，在去年的大选中选择网络钓鱼也发挥了重要的意义。 如果从现在开始的3~5年内密码网络钓鱼的问题还没有得到大幅处理，我会非常失望。 ”。

也许最值得注意的是，该团队表示，下一个规模的https宣传等项目是重新设计url在互联网上的显示方法，这是重新构想在线id的任务的一部分。 该小组表示，如果客户能够在特定时间点更好地跟踪与这些实体的互动，他们就能够信任谁、何时信任谁以及更好地决定理由。 但是，重建url生态系统的努力必然会产生分歧。 塔布里茨说:“从目前的形势来看，让人们使用url是非常困难的，会引起争论。”

无论好坏，由于chrome安全团队多年来一直在应对来自领域和社区的阻力，该团队能够受到如此广泛的网络生态系统项目的更多影响。 迄今为止的大致情况向好的方向迅速发展，但chrome的影响很大程度上加上谷歌的整体特征，意味着未来十年的风险很高。 随着chrome服务在线控制程度的提高，互联网社区将关注对chrome多样性的真正重视程度。 (惜辰)

来源：安莎通讯社