解讀Chrome 69的安全特性

技術宅

盤點網絡安全的三大威脅

瀏覽器作為我們上網的主要工具，現在正遭受越來越多的安全威脅。對普通網民來說，這些威脅主要分三大類：一類是釣魚網站，釣魚者通過制作和官方一模一樣的網頁誘使我們點擊，從而捕獲我們的密碼；一類是惡意廣告，通過腳本和插件，在我們上網時彈出各種廣告頁面；再有就是各種瀏覽器插件，比如大家都很熟悉的Flash，它的漏洞有可能會被黑客利用，在后臺自動下載惡意代碼等等（圖1）。

Chrome 69的安全解決之道

針對上述日益嚴重的網絡威脅，現在的瀏覽器廠商開始有針對性地推出各種組件，以確保我們的上網安全。許多人在用的谷歌瀏覽器，最近發布的新版Chrome 69（以下簡稱Chrome），就針對上述三大威脅增強了多個安全功能。

HTTPS是目前主流的網站加密協議，現在對安全性要求較高的網站，比如各大銀行的網銀、淘寶等購物網站、百度等搜索及綜合網站等，都使用了該加密協議（圖2）。針對沒有使用HTTPS加密協議的網站，Chrome會直接將其標記為“不安全”，這樣就為用戶更好地識別釣魚網站提供了一個初步的識別。這是因為大部分釣魚網站主要模仿的是主流網站，但它們一般又不會使用 HTTPS加密協議，因為它們很難申請到合法的加密證書。Chrome將沒有使用HTTPS加密協議的網站標注為“不安全”，無疑成了瀏覽者規避釣魚網站的一道防線（圖3）。

除了防范釣魚網站，Chrome對某些“正?！本W站竊取用戶隱私的行為也進行了限制。在Chrome的設置中提供了更多的安全選項，可以禁止網站獲取用戶的位置、攝像頭等信息，盡可能在源頭封殺這類網站對用戶隱私的盜?。▓D4）。

不只針對網站服務器端的安全隱患，對本地具有明顯安全隱患的插件，比如大家常用的Flash插件，Chrome也直接進行了停用。當用戶不得不使用Flash插件的時候，可以通過用戶自行手動點擊快速啟用它，這無疑增加了我們保護瀏覽安全的主動性（圖5）。

另一方面，Chrome在底層對瀏覽器的安全架構進行了加強。在日常瀏覽中，惡意的第三方插件是網絡安全的一大殺手，為了更好地保護瀏覽安全，Chrome默認禁止第三方軟件對瀏覽器注入代碼。而當企業的軟件需要對瀏覽器注入代碼時，需要手動獲取權限，用戶可以在新的“Third Party Blocking Enabled”政策中設置這些第三方軟件。這樣在瀏覽網頁時，原來會注入瀏覽器進程的代碼在新版Chrome中徹底消失。

對于惡意廣告攔截，Chrome對底層代碼進行了改進，像惡意廣告常用的iFrames技術（通常會嵌入在網頁中自動重定向當前頁面到另一個URL），新版Chrome可以阻止它重定向，并對重定向的網址進行攔截，防止用戶被自動跳轉到重定向的惡意頁面（圖6）。

對于Tab-under之類的惡意廣告（當用戶點擊一個鏈接，網站會在另一個標簽頁打開新的URL，而老的標簽頁不但不關閉，還成了各種廣告的集散地），新版Chrome同樣可以進行攔截，用戶點擊后每打開一個新頁面都會被阻止，直到得到用戶允許為止（圖7）。

除了上述幾大安全策略，新版Chrome還有許多安全改進。以幫助企業管理員工密碼安全為例，新增了密碼警示政策，當用戶在危險網站或非白名單網站上輸入密碼時，他們會收到警告提醒他們更改密碼。通過防止密碼在網站上重復使用，來保護公司賬戶的安全性。

瀏覽安全 任重而道遠

現在的網絡安全形勢越來越嚴峻，因為收到一個釣魚鏈接，輸入自己的賬戶和密碼后被釣魚者轉走錢物，或者在瀏覽某個網頁時突然重定向到一個惡意網頁而中毒的新聞幾乎每天都在發生。對于釣魚網頁、惡意代碼、廣告，作為普通的終端用戶幾乎是沒有任何辨別和攔截能力的。

瀏覽器作為用戶上網的主要工具，廠商們根據常見的網絡威脅提供各種有針對性的防護措施，這無疑是每個上網者都迫切需要的安全需求。也正是基于對用戶的這些需求，現在越來越多瀏覽器通過更新為我們提供各種表層和底層的安全防護方案，包括Chrome、360、百度等主流的瀏覽器，都提供了對釣魚網站直接標識的功能，這些措施可以更有效地保護上網安全（圖8）。

不過瀏覽安全仍然任重道遠，作為普通用戶，我們更希望廠商們能夠提供更多、使用更簡單的安全瀏覽器！