作為挑戰(zhàn)微軟 IE 對瀏覽器壟斷的 Chrome 誕生已有 10 年。10 年間 Google 的這款開源瀏覽器以快速、簡潔以及明確的安全策略受到了用戶的喜愛,并且逐漸成為占據(jù)主導地位的瀏覽器首選。但是近日 Google 對 Chrome 的一項涉及安全隱私的升級卻引起了密碼學家 Matthew Green 的質(zhì)疑。他提出,如果 Google 給不出合適的解釋的話,以后他也不會使用 Chrome 了。
這個博客主要是留給密碼學的,我也一直都試圖避免偶爾放一些 " 互聯(lián)網(wǎng)上誰誰誰又錯了 " 之類的文章。畢竟,Twitter 才是干這個的!但是時不時地總有一些太過操蛋的事情讓我破例。今天我想針對 Google Chrome 寫一篇特別的文章,寫寫我對它過去有多愛,以及鑒于 Chrome 新的對用戶很不友好的強迫登錄策略,為什么我今后將不再用它的原因。
Chrome 簡史
10 年前當 Google 推出 Chrome 的時候,它似乎是罕有的所有人都共贏的情況。2008 年,瀏覽器市場還在被微軟統(tǒng)治著,這家公司有著利用瀏覽器的統(tǒng)治性壓制競爭對手的丑陋歷史。更糟的是,微軟對于進入搜索業(yè)務還在發(fā)生噪音。這給 Google 的互聯(lián)網(wǎng)資產(chǎn)造成了存在威脅。
在這種情況下,Chrome 是一個漂亮的解決方案。即便這款瀏覽器沒有為 Google 產(chǎn)生一分錢的收入,但它讓互聯(lián)網(wǎng)對 Google 的其他產(chǎn)品開放的目的也達到了。互聯(lián)網(wǎng)社區(qū)的好處則是收獲了一款金錢能買來的最好的開放團隊所開發(fā)的、極其出色的開源瀏覽器。當然,這種評價對于 Mozilla(因為 Chrome 而付出了高昂代價)來說聽起來也許有點令人傷心,但是總的來說這對于互聯(lián)網(wǎng)標準來說是件好事。
多年以來情況都是這樣發(fā)展的。當然,Google 給 Chrome 提供了一個 " 登錄 " 的選項,這項功能推斷起來大概是把你的瀏覽數(shù)據(jù)上傳到 Google,但這只是一個選項。而選項是很容易忽略不計的。如果你不用這個選項,Google 的隱私策略很明確:你的數(shù)據(jù)就會留在所在的計算機上。
什么變了?
幾周前 Google 推出了一項會從根本上改變登錄體驗的 Chrome 升級。從現(xiàn)在開始,你每次登入一項 Google 產(chǎn)品(比如 Gmail)時,Chrome 都會自動用的 Google 賬號登入瀏覽器。這一步是默認操作,不會詢問你是否同意,甚至都沒有明顯通知你。(然而很重要的是:Google 開發(fā)者宣稱其實這會開始將你的數(shù)據(jù)同步給 Google。后面會有進一步的說明。)
你能看到(前提是你看)的主要提示就是你的 Google 檔案圖片會出現(xiàn)在瀏覽器窗口右上角。我有一天就注意到了這一點:
這一變化并不是完全沒人注意:在Hacker News之類的網(wǎng)站上已經(jīng)有了一些熱烈的討論。但是主流技術媒體似乎對此完全忽視。這是不幸的——我希望能有所改變——因為這次升級對 Google 和未來的 Chrome 有著巨大的潛在意義。
在本文剩下部分,我將討論為什么這一點很重要。從我的角度來說,這可以概括為以下 4 點:
對于為什么有必要做此改變,Chrome 開發(fā)團隊沒人能提供明顯合理的理由,而他們給出的解釋也說不過去。
這一用戶隱私和信任產(chǎn)生巨大的潛在影響,而 Google 似乎并不愿意解決這個問題。
這一改變會把 Google 為 Chrome 制訂的隱私政策搞得一團糟。
Google 需要停止把客戶信任當做可再生資源來對待,因為現(xiàn)在信任已經(jīng)非常脆弱了。
Google 闡明的理由說不過去
觸發(fā)這一自動登入行為的新功能叫做 " 瀏覽器和 cookie jar 之間的身份一致性。" 在 Twitter 上跟兩位不同的 Chrome 開發(fā)者(對他們進行匿名以免他們恨我)進行過交流之后,我得到的理由如下:
請注意這并沒有開啟 Sync。你仍然需要明確選擇開啟才行。其目標是解決大家的一個問題:大家在內(nèi)容領域用賬號 A 登入,但是卻用 B 的身份進行同步,這就會產(chǎn)生困惑。
我來解釋一下這段解釋:如果你出現(xiàn)已經(jīng)在 Chrome 登錄但是你的朋友也跟使用同一臺計算機的情況,你就有可能意外地將朋友的 cookie 上傳到你的賬號這種情況。這個似乎挺糟糕,我們當然想避免這一點。
但是請注意這個場景下的一個關鍵點。這個問題適用的前提是你已經(jīng)登入了 Chrome。對于那些選擇不登錄到瀏覽器的用戶來說絕對不會出現(xiàn)上述問題。
所以如果已登錄用戶是你的問題的話,為什么你不做出變更強制未登入用戶變成登入用戶呢?我可能已經(jīng)浪費了太多筆墨去猜測所謂的 " 問題 " 與 " 解決 " 之間的錯配,但是我不在乎:因為 Chrome 公關團隊沒有一個人能夠提供自圓其說的解釋。
這很重要,因為 " 同不同步 " 差別很大……
這一改變對隱私和信任潛在影響很大
Chrome 團隊對這一改變給出了一條辯護理由。他們指出僅僅因為你的瀏覽器 " 已登錄 " 并不意味著會上傳數(shù)據(jù)到 Google 的服務器上。尤其是:
雖然 Chrome 現(xiàn)在會未經(jīng)你同意登入你的 Google 賬號(緊隨 Gmail 登錄之后),但 Chrome 不會激活 " 同步 " 功能將你的數(shù)據(jù)發(fā)給 Google。這需要額外的同意步驟。所以理論上你的數(shù)據(jù)應該還是在本地保留。
這是我的理解。不過我認為把我對話過的 Chrome 開發(fā)者的立場歸納為這個也許更合適:如果沒有 " 同步 " 功能的話,他們做出的改變就沒有任何錯誤,一切都很好。
這是胡說,有幾點理由。
用戶同意很重要。10 年來 Chrome 瀏覽器一直都詢問過你一個問題:" 你想用 Google 賬號登錄進去嗎?" 而這 10 年來我的回答一直都是不謝謝。Chrome 仍然問我這個問題——只是現(xiàn)在它不再尊重我的決定了。
Chrome 的開發(fā)者試圖讓我相信這樣是 OK 的,因為我仍然受到一步額外的同意步驟的保護。但這里的問題很明顯:
如果你不尊重我對 Chrome 最大的面向用戶的隱私選項的否決權(甚至連已經(jīng)不尊重了都不通知我一聲!),為什么我還應該信任你提供給我的任何其他同意選項呢?還有什么能阻止你幾個月后當大家都不注意時改變主意呢?
這件事的問題在于我從來都沒聽說過 Chrome 有 " 同步 " 的選項——出于這個簡單的原因我直到 201 年 9 月份都沒有登錄過 Chrome。現(xiàn)在我被迫了解這些新術語,隨著 " 登錄 " 和 " 不登錄 " 之間的界限已經(jīng)逐步模糊,我希望 Chrome 團隊仍然遵守將所有用戶數(shù)據(jù)放在本地的承諾。
Chrome 的同步 UI 是一個黑暗模式:現(xiàn)在我被迫登入 Chrome 了,我面對的是一個此前從未見過的全新菜單。它的樣子是這樣的:
那個大大的藍色按鈕是不是表明我已經(jīng)把我的數(shù)據(jù)同步給 Google 了呢?是的話就太嚇人了!等一下,也許這只是邀請你進行同步呢!如果是的話,如果你意外點擊了它的話會發(fā)生什么事情?(我不會說出答案,你得自己去找。只需要確保在此過程中你不會意外上傳所有的數(shù)據(jù)。一切都會進行得很快。)
簡而言之,Google 已經(jīng)把同意上傳數(shù)據(jù)的問題從某個我需要付出努力(輸入我的 Google 證書,登錄進 Chrome)才能表示同意,變成了一次意外點擊就能完成的事情。這是一個黑暗模式。無論是否有意,其效果都會讓大家在不知情的情況下激活同步變得容易,或者以為自己已經(jīng)在同步了,因此增加 Google 對自己數(shù)據(jù)的訪問不會有額外的代價。
不要把我的話當真了。它甚至令(前)Google 員工感到毛骨悚然。
老大哥其實不需要看著你。我們向自己的 web 瀏覽器透露的事情比我們告訴最好的朋友的事情都要多。我們對互聯(lián)網(wǎng)安全的理解還比較含糊。是,互聯(lián)網(wǎng)是在刺探我們,但是我們也相信這種刺探是比較弱的,概率性的。這不像某人站在背后看著我們的每一次點擊一樣。
可是如果你這種信念沒有了之后呢?無數(shù)研究表明,哪怕是感覺到監(jiān)視的存在也會極大地放大用戶對自己強制檢查的程度。如果用戶的真實姓名和照片總是加載在瀏覽器右上角的話,他們?yōu)g覽敏感信息的時候還會不會感覺毫無波瀾呢?Chrome 開發(fā)團隊說 " 是的 "。但我認為他們錯了。
我們都知道,這種新做法對隱私是有影響的,哪怕同步?jīng)]開也會有。Chrome 開發(fā)者宣稱 " 同步 " 關閉的話,Chrome 就不會有隱私方面的影響。這個也許沒錯。但如果再仔細看看細節(jié)的話,似乎沒人敢肯定這一點。
比方說,如果我登出瀏覽器,然后登錄進去打開 " 同步 " 的話,會不會所有的數(shù)據(jù)(包括登出期間)都會被上傳到 Google?如果我被迫登入進去然后后續(xù)打開 " 同步 " 的話會發(fā)生什么?沒人能告訴我這些情況下上傳的數(shù)據(jù)是不是一樣的。這種差別關系很大。
這種改變把 Chrome 的隱私政策弄得一團糟
Chroem 的隱私政策是一份出奇簡單的文檔。它的隱私政策跟大多數(shù)的不一樣,上面明明白白地向 Chrome 用戶做出承諾而不是慣常的律師口吻春秋筆法。在功能上它描述了兩種瀏覽模式:" 基本瀏覽模式 " 以及 " 登入模式 "。這些模式有著非常不同的屬性。你自己看:
在 " 基本瀏覽模式 " 里,你的數(shù)據(jù)是在本地存儲的。在 " 登入 " 模式里,你的數(shù)據(jù)會發(fā)往 Google 服務器。這很容易理解。如果你想要隱私,那就別登入。但是如果你的瀏覽器自行決定將你從一個模式切換到另一種模式時會發(fā)生什么呢?
從技術上來說,這種隱私策略仍然是準確的。如果你處在基本瀏覽模式下,你的數(shù)據(jù)仍然存在本地。問題是你不再能夠決定自己處在哪種模式。無論始作俑者的意圖是什么這都會徒勞無功。也許 Google 會更新這份文檔以反映 Chrome 開發(fā)者告訴我的這種新的 " 同步 " 區(qū)別。我們等著瞧吧。
更新:在我推特上講了我的擔心之后,周日我收到了兩位 Chrome 開發(fā)者的 DM,他們都告訴了我一條好消息:Google 正在更新他們的隱私政策來反映 Chrome 這一新的操作。嗯,我想這也許是好消息吧。但是我沒法不去注意到在周末更新隱私政策其實對于變更來說是很麻煩的一件事……顯然甚至連登入用戶的問題都解決不了。
信任不是可再生資源
對于一家靠收集大規(guī)模用戶數(shù)據(jù)維持生計的公司來說,Google 設法避免了 Facebook 帶來的那種負面的隱私影響。這不是因為 Google 收集的數(shù)據(jù)更少,而是因為 Google 對此一貫更為慎重和負責任。
當 Facebook 總是不斷改變隱私政策然后在隨后道歉了事時,Google 一直都堅持清晰的隱私政策并且少做改變。當然,在它收集的時候,Google 的確收集了大量的數(shù)據(jù),但只要 Google 對用戶安全與隱私做出了明確承諾,一般來說都會堅持下去。但這一點似乎正在改變。
Google 的名聲來之不易,但是失去去輕而易舉。像這樣的改變會消滅大量的用戶信任。如果這種改變解決的是用戶的關鍵問題的話,也許失去信任也是值得的。我希望 Google 能說服我情況的確是這樣的。
結論
本文已經(jīng)扯得太遠了,但是在結束之前我想討論一下兩個常見的反駁觀點,這些看法均出自本領域我敬重的一些人口中。
一種看法認為 Google 其實已經(jīng)通過 cookie 和無所不在的廣告網(wǎng)絡與合作關系來監(jiān)控你,所以如果他們強迫你處在登入狀態(tài)的話又有什么大不了的呢?我敬重的一個人把 Chrome 的改變描述為 " 讓你披上兩個名字標簽而不是一個。" 我認為這種抗辯理由是很愚蠢的,無論是從道德層面——就因為你侵犯了我的隱私并不能成為新的大規(guī)模侵犯的理由——同時在客觀上也是愚蠢的。Google 已經(jīng)花費了數(shù)百萬美元用于增加額外的跟蹤功能給 Chrome 和 Android。他們這么做不是為了找樂子,而是因為這么做能夠給他們制造想要的數(shù)據(jù)。
另一種抗辯理由是這樣的:我是 Google 產(chǎn)品的新手,所以當然他們會這么做。極端的做法說我應該用 lunx+Tor 以及 DSB 的定制搜索引擎,如果不這么做的話我自然得自作自受。
我反對這種理由。我認為像 Google 這樣的公司做出好的、可用的,不會大規(guī)模違背用戶隱私的開源軟件完全是有可能的。10 年來我認為 Google Chrome 一直都是這樣做的。
為什么他們決定要做出改變?我不知道。這讓我感到悲哀。
【來源:36氪】
