" 能力越大、責任越大 " 是《蜘蛛俠》中的經典臺詞,這個道理放在現(xiàn)實世界中也一樣。如今作為瀏覽器領域無可爭議的霸主,谷歌的 Chrome 又雙叒叕開始為用戶上網沖浪的安全操心了。日前谷歌方面宣布,從 2026 年 10 月發(fā)布的 Chrome 154 版本開始默認啟用 " 始終使用安全連接策略 ",讓用戶不會在不知情的情況下訪問 HTTP 網站。
用彈窗的方式來提示用戶效果確實顯著,可代價著實也不小。畢竟對于用戶而言,彈窗提醒和彈窗廣告其實并無本質的區(qū)別,都會在客觀上中斷上網沖浪的體驗。久而久之,為了不被彈窗干擾,用戶反而會無腦選擇同意,進而對隱私和安全提示脫敏。這也是為什么過去數年頻頻打出隱私牌的歐盟,最近卻開始著手降低 "cookie 彈窗確認 " 出現(xiàn)的頻率。
作為 Web 生態(tài)的基石,超文本傳輸協(xié)議(HyperText Transfer Protocol,HTTP)是一種用于分布式、協(xié)作式和超媒體信息系統(tǒng)的應用層協(xié)議,它指定了客戶端可能發(fā)送給服務器什么樣的請求,以及期望服務器能給到什么樣的響應。可以說在上世紀 90 年代誕生的 HTTP,一度曾是互聯(lián)網的代名詞,也為網絡空間的數據交互奠定了堅實的基礎。
簡單明了就是 HTTP 在互聯(lián)網草創(chuàng)時期的優(yōu)勢,可如今隨著互聯(lián)網經濟的發(fā)展,數據的價值已經被普遍認可,網絡安全問題開始涌現(xiàn)。使用明文傳輸、數據并未經過加密的 HTTP 協(xié)議,就成為了黑客實施網絡攻擊的突破口。由于 HTTP 的通信報文使用明文(不加密),內容可能會被竊聽,再加上無需驗證通信方的身份和報文的完整性,就使得黑客可以輕易篡改信息、乃至偽裝身份。
因此由 HTTP 加上 TLS/SSL 協(xié)議構建的可進行加密傳輸、身份認證的網絡協(xié)議 HTTPS 應運而生,它主要就是升級了使用非對稱的 RSA 加密算法來將明文變成密文,這樣即便有黑客使用抓包工具,也只能看到一團亂碼,而不是具體的數據。
對于互聯(lián)網相關技術不太了解的用戶,并不知道 HTTPS 到底是保護什么,他們只能看到 Chrome 顯示網站有象征安全的 " 鎖 "。按照 Chrome 的新規(guī),一個使用 HTTPS 協(xié)議的網站是不會彈出提示的,即便網站本身是為網絡釣魚、電信詐騙服務的也一樣。
由于連接安全不等于網站也人畜無害,就導致谷歌為 Chrome 默認開啟 " 一律使用安全連接 " 特性存在一個隱性的缺陷。那就是它固然會強化用戶對于 HTTP 不安全的認知,但也會讓用戶產生 HTTPS 安全的錯誤印象。
從某種意義上來說,這其實就反映了谷歌等廠商在保障用戶信息安全上的挑戰(zhàn)。如果什么都不做,放任用戶訪問安全性低的 HTTP 鏈接,就等于讓用戶暴露在安全風險中。可如果強化用戶對于 HTTP 不安全的認知,同時也會加固他們對于 HTTPS 的盲目信任。
所以 Chrome 將 " 一律使用安全連接 " 從用戶選擇開啟改為默認開啟,反而會有適得其反的風險。其實 " 一律使用安全連接 " 與國內大名鼎鼎的 "360 悖論 " 有著異曲同工之妙,即如果你能自行徹底刪除 360 安全衛(wèi)士,那么它就對你毫無意義;可如果做不到將其完全刪除,那你就是需要 360 安全衛(wèi)士的那類人。
【本文圖片來自網絡】
