Google 宣布 Chrome 的「安全瀏覽」功能即將實時化
新安全瀏覽功能
Google 近日宣布了 Chrome 瀏覽器中「安全瀏覽」功能的重大改變,將實時進行檢查,並使用伺服器端清單,以避免與 Google 共享使用者的瀏覽資訊。過去,Chrome 每小時會下載一次已知存在惡意軟體、不受歡迎的軟體和網路釣魚詐騙的網站清單。現在 Chrome 將轉為將使用者所存取的網址傳送至伺服器端進行檢查,從而得以實時更新。Google 宣稱這套新的伺服器端系統可以比起使用本地清單,捕捉到多達 25% 的網路釣魚攻擊。新功能優勢
這套新的系統有一個顯著的優勢,就是不需等待長達一小時以獲得更新的清單,因為根據 Google 的說法,一般的惡意網站存在時間不超過 10 分鐘。此外本地清單的大小也不斷增加,對於低階機器和低頻寬存取造成更大的負擔。此新系統已開始逐步推出桌面和 iOS 版本,而 Android 版本的支援則將在本月晚些時候推出。隱私保護
儘管這項新功能聽起來有些眼熟,這可能是因為您已經熟悉了「安全瀏覽強化模式」。這個模式同樣會將您所存取的網址與線上的實時清單進行比對,並運用人工智慧來阻擋並不在任何清單上的攻擊,進行更深層的檔案掃描,並且包含保護免受惡意 Chrome 擴充功能的功能。雖然增強模式一直是選擇性的,將保持這樣(就算去年 Google 開始推動使用者啟用它)。標準保護模式則不使用這些人工智慧功能。系統執行原理
根據 Google 的說法,當您存取一個網站時,Chrome 首先會檢查其快取以判斷該網站的網址(URL)是否已知為安全。如果所存取的網址不在快取中,那麼可能就存在安全風險,因此需進行實時檢查。然後,Chrome 會按照 URL 雜湊的指導進行移位轉換,將 URL 轉換為 32 位元組的完整雜湊值。接著,Chrome 會將完整雜湊值縮短為 4 位元組的雜湊值字首。最後 Chrome 將對這些雜湊值字首進行加密,並將其傳送至隱私伺服器。隱私伺服器會去除可能的使用者標識,並將加密的雜湊值字首透過 TLS 存取(將其與許多其他 Chrome 使用者的請求混合在一起)轉發至安全瀏覽伺服器。安全瀏覽伺服器會解密這些雜湊值字首,並將其與伺服器端的資料庫進行匹配,以返回與 Chrome 傳送的雜湊值字首相匹配的所有不安全網址的完整雜湊值。在接收到不安全的完整雜湊值後,Chrome 會將其與所存取的網址的完整雜湊值進行比對。如果有任何匹配,Chrome 就會顯示警告。隱私伺服器
最引人注目的部分或許就是隱私伺服器了。事實上 Google 實際上與 CDN 和邊緣運算專家 Fastly 合作使用 Fastly 的 Oblivious HTTP 隱私伺服器。這個伺服器位於 Chrome 和安全瀏覽之間,並從瀏覽器請求中去除了任何識別資訊。Fastly 建立了這個系統作為一個隱私服務,能夠坐在使用者和網路應用之間,匿名化其元資料,同時仍能和網路應用進行資料交換。Google 強調這些伺服器是由 Fastly 獨立運營的(懷疑論者可能會認為,即使是 Google 也不信任自己不偷窺您的瀏覽資料...)。據此,Google 的安全瀏覽服務應該是無法看見您的 IP 位址。與此同時 Fastly 也不會看見這些網址,因為它們是由瀏覽器加密的,而 Fastly 沒有辦法存取使用的公私鑰。結語
這項新的實時安全瀏覽功能無疑為 Chrome 使用者帶來了更強大的網路安全保護。儘管有人可能擔心隱私問題,但 Google 已經透過與 Fastly 合作,設計了一套高度保障隱私的系統。這一舉措也呼應了近來網路安全日益受到重視的現象,使得人們在瀏覽網頁時更能放心。網路安全-GoogleChrome,瀏覽器,實時安全,瀏覽保護
