“能力越大、责任越大”是《蜘蛛侠》中的经典台词,这个道理放在现实世界中也一样。如今作为浏览器领域无可争议的霸主,谷歌的Chrome又双叒叕开始为用户上网冲浪的安全操心了。日前谷歌方面宣布,从2026年10月发布的Chrome 154版本开始默认启用“始终使用安全连接策略”,让用户不会在不知情的情况下访问HTTP网站。
从Chrome 154版本开始,一旦用户尝试访问HTTP网站,Chrome就会立刻进行弹窗警告。除非选择“无视风险,坚持访问”,否则Chrome将拒绝加载。需要注意的是,一旦用户对某个HTTP网站放行,下次访问时Chrome就会默认执行,只有用户在清除浏览器数据后才需要重新进行确认,从而避免误伤。
用弹窗的方式来提示用户效果确实显著,可代价着实也不小。毕竟对于用户而言,弹窗提醒和弹窗广告其实并无本质的区别,都会在客观上中断上网冲浪的体验。久而久之,为了不被弹窗干扰,用户反而会无脑选择同意,进而对隐私和安全提示脱敏。这也是为什么过去数年频频打出隐私牌的欧盟,最近却开始着手降低“cookie弹窗确认”出现的频率。
既然如此,谷歌为何还要用弹窗来警告用户不要访问HTTP网站呢?是因为在他们看来,HTTP网站已经成为了网络攻击的重要策源地,恶意HTTP网站会在加载恶意资源后快速跳转到HTTPS网站,用户甚至来不及看到浏览器地址栏弹出的“不安全”的红色感叹号警告,便已中毒于无形之中。
作为Web生态的基石,超文本传输协议(HyperText Transfer Protocol,HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议,它指定了客户端可能发送给服务器什么样的请求,以及期望服务器能给到什么样的响应。可以说在上世纪90年代诞生的HTTP,一度曾是互联网的代名词,也为网络空间的数据交互奠定了坚实的基础。
简单明了就是HTTP在互联网草创时期的优势,可如今随着互联网经济的发展,数据的价值已经被普遍认可,网络安全问题开始涌现。使用明文传输、数据并未经过加密的HTTP协议,就成为了黑客实施网络攻击的突破口。由于HTTP的通信报文使用明文(不加密),内容可能会被窃听,再加上无需验证通信方的身份和报文的完整性,就使得黑客可以轻易篡改信息、乃至伪装身份。
比如,古早时期的黑客盗取玩家游戏账号就是使用抓包工具(Wireshark)或嗅探器(Sniffer),来窃取游戏官网和玩家浏览器之间的通信内容,从而获得账号、密码等关键信息。又比如DDoS攻击是PC互联网时代网站站长的一门必修课,彼时DDoS极为频繁的原因之一便是HTTP协议无法确定正在通信的双方是否有访问权限,就导致网站服务器对于无意义的请求也会照单全收。
因此由HTTP加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议HTTPS应运而生,它主要就是升级了使用非对称的RSA加密算法来将明文变成密文,这样即便有黑客使用抓包工具,也只能看到一团乱码,而不是具体的数据。
事实上,HTTPS协议也只能确保用户与服务器的通信安全,同时确保内容不被篡改,也就是说它能确保你访问的是baidu.com、而不是baiidu.com。但HTTP不安全并不等于HTTPS就一定安全,如果采用HTTPS的网站本身存在问题呢?毕竟HTTPS只是数据传输安全的认证,并不会为网站来做背书。
对于互联网相关技术不太了解的用户,并不知道HTTPS到底是保护什么,他们只能看到Chrome显示网站有象征安全的“锁”。按照Chrome的新规,一个使用HTTPS协议的网站是不会弹出提示的,即便网站本身是为网络钓鱼、电信诈骗服务的也一样。
由于连接安全不等于网站也人畜无害,就导致谷歌为Chrome默认开启“一律使用安全连接”特性存在一个隐性的缺陷。那就是它固然会强化用户对于HTTP不安全的认知,但也会让用户产生HTTPS安全的错误印象。
随着互联网的普及,使用网络的人群已经从二十余年前的极客变成了普罗大众,这就使得网民对于互联网的认知水平其实是在不升反降。与此同时,黑客绝对称得上是互联网世界最与时俱进的一批人。当下的黑客几乎不再使用抓包工具来主动窃取用户与网站服务器之间的通信内容,而是会自建钓鱼网站,等待用户主动交出敏感信息。
从某种意义上来说,这其实就反映了谷歌等厂商在保障用户信息安全上的挑战。如果什么都不做,放任用户访问安全性低的HTTP链接,就等于让用户暴露在安全风险中。可如果强化用户对于HTTP不安全的认知,同时也会加固他们对于HTTPS的盲目信任。
所以Chrome将“一律使用安全连接”从用户选择开启改为默认开启,反而会有适得其反的风险。其实“一律使用安全连接”与国内大名鼎鼎的“360悖论”有着异曲同工之妙,即如果你能自行彻底删除360安全卫士,那么它就对你毫无意义;可如果做不到将其完全删除,那你就是需要360安全卫士的那类人。
简而言之,如果用户知道安全连接到底代表什么是安全的,TA就不需要这个功能的保护。反之,如果对此一无所知,使用安全连接其实也保证不了TA的上网安全。
【本文图片来自网络】
