Chrome浏览器诞生10年，网络环境更安全更可靠了

本篇文章1869字，读完约5分钟

9月10日，《连线》网站写了一篇评论，回顾了过去十年中浏览器安全性的演变。

许多人可能不记得chrome浏览器诞生之前的情况。这个浏览器已经庆祝了它的10岁生日。它受欢迎的原因之一是它让网络世界更加安全。但是人们在完全理解中没有意识到这一点。

当chrome第一次出现时，谷歌开发人员并没有想到让它比ie、safari和其他著名的竞争对手更安全。但是他们确实建立了一个以新的方式结合关键元素的服务，这使得chrome的浏览体验更加安全和可靠。

“铬把我们带入了什么时代？《连线》在谷歌推出chrome的当天(2008年9月2日)写道:“也许是web 3.0。”“它管理标签的方式、处理错误的方式以及令人眼花缭乱的速度...毫无疑问，这是对网络世界发展的颠覆。”

关键是，chrome以一种新的方式管理标签；它的“沙箱”模式使每个标签都有自己的权限和受保护的内存。这样，如果一个标签崩溃了，它不会导致整个浏览器崩溃；试图攻击chrome用户的黑客不能同时攻击多个网站。Chrome浏览器更像是一个在许可系统上运行许多独立程序的操作系统，而不是一个单独的自由程序。这是各种浏览器产品中的第一例。

“当chrome诞生时，互联网上最大的威胁是恶意软件。我认为人们已经忘记了当时恶意软件有多普遍，”首席工程师贾斯汀舒赫(justin schuh)说，他自2009年以来一直从事与chrome相关的工作。“如果用户不使用最新的浏览器，即使在某些情况下，即使他们使用最新的浏览器，他们也可能通过浏览网站而用恶意代码感染计算机系统，而他们不知道这是如何发生的。因此，chrome最初的设计有两个功能:自动更新和chrome沙盒。前者确保用户始终拥有最新版本，而后者确保如果存在可被利用的漏洞，我们可以将该漏洞限制在沙箱中。”

这些特性使chrome在2008年脱颖而出，现在它已经成为一个行业标准，但当时谷歌因几个与chrome相关的重要决定而受到批评。“自动更新面临许多障碍。这些障碍的来源包括chrome安全团队本身以及那些当时尚未加入该团队但现在已成为其成员的人。”chrome的工程总监Parisa parisa tabriz说:“我记得有一个同事认为自动更新是魔鬼。”他说，这将剥夺用户的选择，并把太多的信任放在单一的失败点上。但现在我们的行业已经发生了巨大的变化，自动更新实际上反映了浏览器的含义。”

Chrome很快开始被称为安全浏览器，它最初的沙箱结合了谷歌安全浏览服务中的网络钓鱼和恶意软件保护功能，成功地保护了用户免受当时的大多数威胁。然而，随着网络入侵的发展，攻击者逐渐停止使用秘密下载的攻击方法，更多地依赖于嵌入网站的第三方组件和服务。chrome迅速做出反应，并提出了防止这些新漏洞的解决方案。

大不里士指出:“在2011年和2012年，用户最频繁地受到攻击。”“它们来自第三方插件，我们无法像控制闪存一样控制它们。关于chrome安全和整个网络的一个有趣的事实是flash与其他浏览器有很多合作。因此，闪存是一种非常强大、酷和创新的技术，但它覆盖的范围很广，并带来许多安全问题。因此，我们已经开始实现html的开放标准，所有浏览器都可以使用它。”

尽管很明显，谷歌正在积极争取chrome用户，并通过依赖chrome的android构建了整个生态系统，舒尔和大不里士指出，chrome浏览器仍然受到大规模开源项目的支持。他们补充说，除了发布代码库，chrome还实现了开放的R&D模式，谷歌愿意采纳全球开发者的想法，chrome论坛的对话也向公众开放。谷歌甚至奖励通过漏洞奖励计划发现并提交铬漏洞的研究人员。到目前为止，谷歌已经支付了超过420万美元的奖励。

舒尔指出:“没有开放的R&D，开源是可能实现的，但世界上任何人都可以订阅我们的外部维基页面和邮件列表。”许多人参与了我们的项目。他们使用的不是谷歌的公司账户，而是一个独立的铬账户。”

在过去的几年里，chrome团队的一个重要项目是通过“站点隔离”的新功能来扩展chrome沙箱的概念。这种机制使得不同的web组件和站点之间更难窃取用户数据。Chrome团队最初认为该功能可以抵御各种类型的在线犯罪和滥用，但并没有期望帮助用户防范崩溃和幽灵类型的漏洞。

chrome最近的一个焦点是倡导加密连接在互联网上的广泛使用。为了鼓励网站使用https协议并放弃http，谷歌与其他安全领域的开发者合作了几年。2017年初，chrome通过在浏览器中弹出消息提醒不使用https的网站。Chrome曾将使用https的网站标记为安全网站，但后来它开始直接将它们视为标准网站，并将仅使用http的网站标记为不安全网站，并警告用户。今天，77%的chrome流量受到https的保护。