解讀Chrome 69的安全特性

技術(shù)宅

盤點(diǎn)網(wǎng)絡(luò)安全的三大威脅

瀏覽器作為我們上網(wǎng)的主要工具，現(xiàn)在正遭受越來越多的安全威脅。對(duì)普通網(wǎng)民來說，這些威脅主要分三大類：一類是釣魚網(wǎng)站，釣魚者通過制作和官方一模一樣的網(wǎng)頁誘使我們點(diǎn)擊，從而捕獲我們的密碼；一類是惡意廣告，通過腳本和插件，在我們上網(wǎng)時(shí)彈出各種廣告頁面；再有就是各種瀏覽器插件，比如大家都很熟悉的Flash，它的漏洞有可能會(huì)被黑客利用，在后臺(tái)自動(dòng)下載惡意代碼等等（圖1）。

Chrome 69的安全解決之道

針對(duì)上述日益嚴(yán)重的網(wǎng)絡(luò)威脅，現(xiàn)在的瀏覽器廠商開始有針對(duì)性地推出各種組件，以確保我們的上網(wǎng)安全。許多人在用的谷歌瀏覽器，最近發(fā)布的新版Chrome 69（以下簡稱Chrome），就針對(duì)上述三大威脅增強(qiáng)了多個(gè)安全功能。

HTTPS是目前主流的網(wǎng)站加密協(xié)議，現(xiàn)在對(duì)安全性要求較高的網(wǎng)站，比如各大銀行的網(wǎng)銀、淘寶等購物網(wǎng)站、百度等搜索及綜合網(wǎng)站等，都使用了該加密協(xié)議（圖2）。針對(duì)沒有使用HTTPS加密協(xié)議的網(wǎng)站，Chrome會(huì)直接將其標(biāo)記為“不安全”，這樣就為用戶更好地識(shí)別釣魚網(wǎng)站提供了一個(gè)初步的識(shí)別。這是因?yàn)榇蟛糠轴烎~網(wǎng)站主要模仿的是主流網(wǎng)站，但它們一般又不會(huì)使用 HTTPS加密協(xié)議，因?yàn)樗鼈兒茈y申請(qǐng)到合法的加密證書。Chrome將沒有使用HTTPS加密協(xié)議的網(wǎng)站標(biāo)注為“不安全”，無疑成了瀏覽者規(guī)避釣魚網(wǎng)站的一道防線（圖3）。

除了防范釣魚網(wǎng)站，Chrome對(duì)某些“正常”網(wǎng)站竊取用戶隱私的行為也進(jìn)行了限制。在Chrome的設(shè)置中提供了更多的安全選項(xiàng)，可以禁止網(wǎng)站獲取用戶的位置、攝像頭等信息，盡可能在源頭封殺這類網(wǎng)站對(duì)用戶隱私的盜取（圖4）。

不只針對(duì)網(wǎng)站服務(wù)器端的安全隱患，對(duì)本地具有明顯安全隱患的插件，比如大家常用的Flash插件，Chrome也直接進(jìn)行了停用。當(dāng)用戶不得不使用Flash插件的時(shí)候，可以通過用戶自行手動(dòng)點(diǎn)擊快速啟用它，這無疑增加了我們保護(hù)瀏覽安全的主動(dòng)性（圖5）。

另一方面，Chrome在底層對(duì)瀏覽器的安全架構(gòu)進(jìn)行了加強(qiáng)。在日常瀏覽中，惡意的第三方插件是網(wǎng)絡(luò)安全的一大殺手，為了更好地保護(hù)瀏覽安全，Chrome默認(rèn)禁止第三方軟件對(duì)瀏覽器注入代碼。而當(dāng)企業(yè)的軟件需要對(duì)瀏覽器注入代碼時(shí)，需要手動(dòng)獲取權(quán)限，用戶可以在新的“Third Party Blocking Enabled”政策中設(shè)置這些第三方軟件。這樣在瀏覽網(wǎng)頁時(shí)，原來會(huì)注入瀏覽器進(jìn)程的代碼在新版Chrome中徹底消失。

對(duì)于惡意廣告攔截，Chrome對(duì)底層代碼進(jìn)行了改進(jìn)，像惡意廣告常用的iFrames技術(shù)（通常會(huì)嵌入在網(wǎng)頁中自動(dòng)重定向當(dāng)前頁面到另一個(gè)URL），新版Chrome可以阻止它重定向，并對(duì)重定向的網(wǎng)址進(jìn)行攔截，防止用戶被自動(dòng)跳轉(zhuǎn)到重定向的惡意頁面（圖6）。

對(duì)于Tab-under之類的惡意廣告（當(dāng)用戶點(diǎn)擊一個(gè)鏈接，網(wǎng)站會(huì)在另一個(gè)標(biāo)簽頁打開新的URL，而老的標(biāo)簽頁不但不關(guān)閉，還成了各種廣告的集散地），新版Chrome同樣可以進(jìn)行攔截，用戶點(diǎn)擊后每打開一個(gè)新頁面都會(huì)被阻止，直到得到用戶允許為止（圖7）。

除了上述幾大安全策略，新版Chrome還有許多安全改進(jìn)。以幫助企業(yè)管理員工密碼安全為例，新增了密碼警示政策，當(dāng)用戶在危險(xiǎn)網(wǎng)站或非白名單網(wǎng)站上輸入密碼時(shí)，他們會(huì)收到警告提醒他們更改密碼。通過防止密碼在網(wǎng)站上重復(fù)使用，來保護(hù)公司賬戶的安全性。

瀏覽安全 任重而道遠(yuǎn)

現(xiàn)在的網(wǎng)絡(luò)安全形勢(shì)越來越嚴(yán)峻，因?yàn)槭盏揭粋€(gè)釣魚鏈接，輸入自己的賬戶和密碼后被釣魚者轉(zhuǎn)走錢物，或者在瀏覽某個(gè)網(wǎng)頁時(shí)突然重定向到一個(gè)惡意網(wǎng)頁而中毒的新聞幾乎每天都在發(fā)生。對(duì)于釣魚網(wǎng)頁、惡意代碼、廣告，作為普通的終端用戶幾乎是沒有任何辨別和攔截能力的。

瀏覽器作為用戶上網(wǎng)的主要工具，廠商們根據(jù)常見的網(wǎng)絡(luò)威脅提供各種有針對(duì)性的防護(hù)措施，這無疑是每個(gè)上網(wǎng)者都迫切需要的安全需求。也正是基于對(duì)用戶的這些需求，現(xiàn)在越來越多瀏覽器通過更新為我們提供各種表層和底層的安全防護(hù)方案，包括Chrome、360、百度等主流的瀏覽器，都提供了對(duì)釣魚網(wǎng)站直接標(biāo)識(shí)的功能，這些措施可以更有效地保護(hù)上網(wǎng)安全（圖8）。

不過瀏覽安全仍然任重道遠(yuǎn)，作為普通用戶，我們更希望廠商們能夠提供更多、使用更簡單的安全瀏覽器！