來之Google I/O的聲音:Chrome將進一步保護使用者的隱私和安全
在今年的 Google I/O 上,Chrome 宣佈將進一步提升隱私性和安全性,今天 Chromium 官方部落格發表了一篇文章,簡單分享給大家。
Google 開發 Chrome 的目標就是構建一個快速、簡單、安全、穩定的服務,實話實說,他們做的很好,瀏覽器可以說是網際網路上最大的 SaaS 軟體了,而 Chrome 無疑是做的最好的,Google 將他所有的設想通過 Chrome 實現出來了。最近 Edge 也將採用 Chromium 核心,更加說明了這一點。
關於瀏覽器安全,本次 Chrome 提出了兩個解決方案, 第一個就是 Cookie 工作機制的改變 。
基本的目標就是讓 Cookie 的使用更透明,以及進一步控制對 Cookie 的使用。
Cookie 不屬於 HTTP 協議的一部分,但對 Web 的貢獻卻非常大,但在設計上它卻是脆弱的,帶來了很多安全問題。
Cookie 設計的本意是為了保持會話,比如可以記住使用者的登入狀態,但現在 Cookie 已經被濫用了,比如用於跟蹤使用者在 Web 上的瀏覽行為,以便基於使用者的行為提供廣告(或者其他可盈利的東西)。
廣告平臺為了跟蹤使用者行為,就會跨站設定各種型別的 Cookie,但對於瀏覽器來說,它不知道 Cookie 是源站(使用者記錄使用者登入狀態)還是廣告平臺設定的,所以無法對 Cookie 進行各類控制。
很多使用者為了安全性,會在 Chrome 控制檯上清除所有 Cookie,本意是為了清除其他廣告商設定的 Cookie,但由於Chrome無法知曉Cookie的屬主,所以只能全部清除,此時使用者的會話就退出了,給使用者非常不好的體驗。
為了解決這個問題,Chrome 修改了 Cookie 部分工作方式,它讓開發人員顯示指定那些 Cookie 可以跨站設定,那些 Cookie 只能自己設定,這個機制背後的技術方案就是 SameSite cookie。
這一機制也會讓使用者更加透明的瞭解到那些 Cookie 是重要的,那些是廣告商設定的,這樣就可以有選擇性的清除 Cookie。
這個機制另外一個好處就是能夠讓 Cookie 避免 CSRF 這樣的跨站攻擊。
基於這個機制上,如果你想跨站設定 Cookie,必須採用 HTTPS 連線,當然隨著 HTTPS 的推廣,這一技術的實行已經沒有什麼障礙了,也不是一個新技術。
除了更改 Cookie 的工作機制, 另一個提升安全性的解決方案 就是限制“fingerprinting”攻擊方式。
一些廣告商或者不法人員為了跟蹤使用者行為,想了很多技術方法,採用更加隱蔽的方法控制Cookie,“fingerprinting”不是一種攻擊方法,而是由多種攻擊組成的。
“fingerprinting”更加的隱蔽,也不受使用者控制,它的破壞力更大,Chrome要做的就是識別各類“fingerprinting”攻擊,從而保障使用者的安全。
關於“fingerprinting”和Cookie的危險性,我後面會系統學習下,然後再風險給大家:),大家也可以購買我的書 《深入淺出HTTPS:從原理到實戰》 ,瞭解更多的 Web 安全知識。