编者按:作为挑战微软IE对浏览器垄断的Chrome诞生已有10年。10年间Google的这款开源浏览器以快速、简洁以及明确的安全策略受到了用户的喜爱,并且逐渐成为占据主导地位的浏览器首选。但是近日Google对Chrome的一项涉及安全隐私的升级却引起了密码学家Matthew Green的质疑。他提出,如果Google给不出合适的解释的话,以后他也不会使用Chrome了。
这个博客主要是留给密码学的,我也一直都试图避免偶尔放一些“互联网上谁谁谁又错了”之类的文章。毕竟,Twitter才是干这个的!但是时不时地总有一些太过操蛋的事情让我破例。今天我想针对Google Chrome写一篇特别的文章,写写我对它过去有多爱,以及鉴于Chrome新的对用户很不友好的强迫登录策略,为什么我今后将不再用它的原因。
Chrome简史
10年前当Google推出Chrome的时候,它似乎是罕有的所有人都共赢的情况。2008年,浏览器市场还在被微软统治着,这家公司有着利用浏览器的统治性压制竞争对手的丑陋历史。更糟的是,微软对于进入搜索业务还在发生噪音。这给Google的互联网资产造成了存在威胁。
在这种情况下,Chrome是一个漂亮的解决方案。即便这款浏览器没有为Google产生一分钱的收入,但它让互联网对Google的其他产品开放的目的也达到了。互联网社区的好处则是收获了一款金钱能买来的最好的开放团队所开发的、极其出色的开源浏览器。当然,这种评价对于Mozilla(因为Chrome而付出了高昂代价)来说听起来也许有点令人伤心,但是总的来说这对于互联网标准来说是件好事。
多年以来情况都是这样发展的。当然,Google给Chrome提供了一个“登录”的选项,这项功能推断起来大概是把你的浏览数据上传到Google,但这只是一个选项。而选项是很容易忽略不计的。如果你不用这个选项,Google的隐私策略很明确:你的数据就会留在所在的计算机上。
什么变了?
几周前Google推出了一项会从根本上改变登录体验的Chrome升级。从现在开始,你每次登入一项Google产品(比如Gmail)时,Chrome都会自动用的Google账号登入浏览器。这一步是默认操作,不会询问你是否同意,甚至都没有明显通知你。(然而很重要的是:Google开发者宣称其实这会开始将你的数据同步给Google。后面会有进一步的说明。)
你能看到(前提是你看)的主要提示就是你的Google档案图片会出现在浏览器窗口右上角。我有一天就注意到了这一点:
这一变化并不是完全没人注意:在Hacker News之类的网站上已经有了一些热烈的讨论。但是主流技术媒体似乎对此完全忽视。这是不幸的——我希望能有所改变——因为这次升级对Google和未来的Chrome有着巨大的潜在意义。
在本文剩下部分,我将讨论为什么这一点很重要。从我的角度来说,这可以概括为以下4点:
- 对于为什么有必要做此改变,Chrome开发团队没人能提供明显合理的理由,而他们给出的解释也说不过去。
- 这一用户隐私和信任产生巨大的潜在影响,而Google似乎并不愿意解决这个问题。
- 这一改变会把Google为Chrome制订的隐私政策搞得一团糟。
- Google需要停止把客户信任当做可再生资源来对待,因为现在信任已经非常脆弱了。
Google阐明的理由说不过去
触发这一自动登入行为的新功能叫做“浏览器和cookie jar之间的身份一致性。”在Twitter上跟两位不同的Chrome开发者(对他们进行匿名以免他们恨我)进行过交流之后,我得到的理由如下:
请注意这并没有开启Sync。你仍然需要明确选择开启才行。其目标是解决大家的一个问题:大家在内容领域用账号A登入,但是却用B的身份进行同步,这就会产生困惑。
我来解释一下这段解释:如果你出现已经在Chrome登录但是你的朋友也跟使用同一台计算机的情况,你就有可能意外地将朋友的cookie上传到你的账号这种情况。这个似乎挺糟糕,我们当然想避免这一点。
但是请注意这个场景下的一个关键点。这个问题适用的前提是你已经登入了Chrome。对于那些选择不登录到浏览器的用户来说绝对不会出现上述问题。
所以如果已登录用户是你的问题的话,为什么你不做出变更强制未登入用户变成登入用户呢?我可能已经浪费了太多笔墨去猜测所谓的“问题”与“解决”之间的错配,但是我不在乎:因为Chrome公关团队没有一个人能够提供自圆其说的解释。
这很重要,因为“同不同步”差别很大……
这一改变对隐私和信任潜在影响很大
Chrome团队对这一改变给出了一条辩护理由。他们指出仅仅因为你的浏览器“已登录”并不意味着会上传数据到Google的服务器上。尤其是:
虽然Chrome现在会未经你同意登入你的Google账号(紧随Gmail登录之后),但Chrome不会激活“同步”功能将你的数据发给Google。这需要额外的同意步骤。所以理论上你的数据应该还是在本地保留。
这是我的理解。不过我认为把我对话过的Chrome开发者的立场归纳为这个也许更合适:如果没有“同步”功能的话,他们做出的改变就没有任何错误,一切都很好。
这是胡说,有几点理由。
用户同意很重要。10年来Chrome浏览器一直都询问过你一个问题:“你想用Google账号登录进去吗?”而这10年来我的回答一直都是不谢谢。Chrome仍然问我这个问题——只是现在它不再尊重我的决定了。
Chrome的开发者试图让我相信这样是OK的,因为我仍然受到一步额外的同意步骤的保护。但这里的问题很明显:
如果你不尊重我对Chrome最大的面向用户的隐私选项的否决权(甚至连已经不尊重了都不通知我一声!),为什么我还应该信任你提供给我的任何其他同意选项呢?还有什么能阻止你几个月后当大家都不注意时改变主意呢?
这件事的问题在于我从来都没听说过Chrome有“同步”的选项——出于这个简单的原因我直到201年9月份都没有登录过Chrome。现在我被迫了解这些新术语,随着“登录”和“不登录”之间的界限已经逐步模糊,我希望Chrome团队仍然遵守将所有用户数据放在本地的承诺。
Chrome 的同步UI是一个黑暗模式:现在我被迫登入Chrome了,我面对的是一个此前从未见过的全新菜单。它的样子是这样的:
那个大大的蓝色按钮是不是表明我已经把我的数据同步给Google了呢?是的话就太吓人了!等一下,也许这只是邀请你进行同步呢!如果是的话,如果你意外点击了它的话会发生什么事情?(我不会说出答案,你得自己去找。只需要确保在此过程中你不会意外上传所有的数据。一切都会进行得很快。)
简而言之,Google已经把同意上传数据的问题从某个我需要付出努力(输入我的Google证书,登录进Chrome)才能表示同意,变成了一次意外点击就能完成的事情。这是一个黑暗模式。无论是否有意,其效果都会让大家在不知情的情况下激活同步变得容易,或者以为自己已经在同步了,因此增加Google对自己数据的访问不会有额外的代价。
不要把我的话当真了。它甚至令(前)Google员工感到毛骨悚然。
老大哥其实不需要看着你。我们向自己的web浏览器透露的事情比我们告诉最好的朋友的事情都要多。我们对互联网安全的理解还比较含糊。是,互联网是在刺探我们,但是我们也相信这种刺探是比较弱的,概率性的。这不像某人站在背后看着我们的每一次点击一样。
可是如果你这种信念没有了之后呢?无数研究表明,哪怕是感觉到监视的存在也会极大地放大用户对自己强制检查的程度。如果用户的真实姓名和照片总是加载在浏览器右上角的话,他们浏览敏感信息的时候还会不会感觉毫无波澜呢?Chrome开发团队说“是的”。但我认为他们错了。
我们都知道,这种新做法对隐私是有影响的,哪怕同步没开也会有。Chrome开发者宣称“同步”关闭的话,Chrome就不会有隐私方面的影响。这个也许没错。但如果再仔细看看细节的话,似乎没人敢肯定这一点。
比方说,如果我登出浏览器,然后登录进去打开“同步”的话,会不会所有的数据(包括登出期间)都会被上传到Google?如果我被迫登入进去然后后续打开“同步”的话会发生什么?没人能告诉我这些情况下上传的数据是不是一样的。这种差别关系很大。
这种改变把Chrome的隐私政策弄得一团糟
Chroem的隐私政策是一份出奇简单的文档。它的隐私政策跟大多数的不一样,上面明明白白地向Chrome用户做出承诺而不是惯常的律师口吻春秋笔法。在功能上它描述了两种浏览模式:“基本浏览模式”以及“登入模式”。这些模式有着非常不同的属性。你自己看:
在“基本浏览模式”里,你的数据是在本地存储的。在“登入”模式里,你的数据会发往Google服务器。这很容易理解。如果你想要隐私,那就别登入。但是如果你的浏览器自行决定将你从一个模式切换到另一种模式时会发生什么呢?
从技术上来说,这种隐私策略仍然是准确的。如果你处在基本浏览模式下,你的数据仍然存在本地。问题是你不再能够决定自己处在哪种模式。无论始作俑者的意图是什么这都会徒劳无功。也许Google会更新这份文档以反映Chrome开发者告诉我的这种新的“同步”区别。我们等着瞧吧。
更新:在我推特上讲了我的担心之后,周日我收到了两位Chrome开发者的DM,他们都告诉了我一条好消息:Google正在更新他们的隐私政策来反映Chrome这一新的操作。嗯,我想这也许是好消息吧。但是我没法不去注意到在周末更新隐私政策其实对于变更来说是很麻烦的一件事……显然甚至连登入用户的问题都解决不了。
信任不是可再生资源
对于一家靠收集大规模用户数据维持生计的公司来说,Google设法避免了Facebook带来的那种负面的隐私影响。这不是因为Google收集的数据更少,而是因为Google对此一贯更为慎重和负责任。
当Facebook总是不断改变隐私政策然后在随后道歉了事时,Google一直都坚持清晰的隐私政策并且少做改变。当然,在它收集的时候,Google的确收集了大量的数据,但只要Google对用户安全与隐私做出了明确承诺,一般来说都会坚持下去。但这一点似乎正在改变。
Google的名声来之不易,但是失去去轻而易举。像这样的改变会消灭大量的用户信任。如果这种改变解决的是用户的关键问题的话,也许失去信任也是值得的。我希望Google能说服我情况的确是这样的。
结论
本文已经扯得太远了,但是在结束之前我想讨论一下两个常见的反驳观点,这些看法均出自本领域我敬重的一些人口中。
一种看法认为Google其实已经通过cookie和无所不在的广告网络与合作关系来监控你,所以如果他们强迫你处在登入状态的话又有什么大不了的呢?我敬重的一个人把Chrome的改变描述为“让你披上两个名字标签而不是一个。”我认为这种抗辩理由是很愚蠢的,无论是从道德层面——就因为你侵犯了我的隐私并不能成为新的大规模侵犯的理由——同时在客观上也是愚蠢的。Google已经花费了数百万美元用于增加额外的跟踪功能给Chrome和Android。他们这么做不是为了找乐子,而是因为这么做能够给他们制造想要的数据。
另一种抗辩理由是这样的:我是Google产品的新手,所以当然他们会这么做。极端的做法说我应该用lunx+Tor以及DSB的定制搜索引擎,如果不这么做的话我自然得自作自受。
我反对这种理由。我认为像Google这样的公司做出好的、可用的,不会大规模违背用户隐私的开源软件完全是有可能的。10年来我认为Google Chrome一直都是这样做的。
为什么他们决定要做出改变?我不知道。这让我感到悲哀。
