編者按：作為挑戰(zhàn)微軟IE對(duì)瀏覽器壟斷的Chrome誕生已有10年。10年間Google的這款開(kāi)源瀏覽器以快速、簡(jiǎn)潔以及明確的安全策略受到了用戶(hù)的喜愛(ài)，并且逐漸成為占據(jù)主導(dǎo)地位的瀏覽器首選。但是近日Google對(duì)Chrome的一項(xiàng)涉及安全隱私的升級(jí)卻引起了密碼學(xué)家Matthew Green的質(zhì)疑。他提出，如果Google給不出合適的解釋的話(huà)，以后他也不會(huì)使用Chrome了。

[[245812]]

這個(gè)博客主要是留給密碼學(xué)的，我也一直都試圖避免偶爾放一些“互聯(lián)網(wǎng)上誰(shuí)誰(shuí)誰(shuí)又錯(cuò)了”之類(lèi)的文章。畢竟，Twitter才是干這個(gè)的!但是時(shí)不時(shí)地總有一些太過(guò)操蛋的事情讓我破例。今天我想針對(duì)Google Chrome寫(xiě)一篇特別的文章，寫(xiě)寫(xiě)我對(duì)它過(guò)去有多愛(ài)，以及鑒于Chrome新的對(duì)用戶(hù)很不友好的強(qiáng)迫登錄策略，為什么我今后將不再用它的原因。

Chrome簡(jiǎn)史

10年前當(dāng)Google推出Chrome的時(shí)候，它似乎是罕有的所有人都共贏(yíng)的情況。2008年，瀏覽器市場(chǎng)還在被微軟統(tǒng)治著，這家公司有著利用瀏覽器的統(tǒng)治性壓制競(jìng)爭(zhēng)對(duì)手的丑陋?dú)v史。更糟的是，微軟對(duì)于進(jìn)入搜索業(yè)務(wù)還在發(fā)生噪音。這給Google的互聯(lián)網(wǎng)資產(chǎn)造成了存在威脅。

在這種情況下，Chrome是一個(gè)漂亮的解決方案。即便這款瀏覽器沒(méi)有為Google產(chǎn)生一分錢(qián)的收入，但它讓互聯(lián)網(wǎng)對(duì)Google的其他產(chǎn)品開(kāi)放的目的也達(dá)到了?；ヂ?lián)網(wǎng)社區(qū)的好處則是收獲了一款金錢(qián)能買(mǎi)來(lái)的最好的開(kāi)放團(tuán)隊(duì)所開(kāi)發(fā)的、極其出色的開(kāi)源瀏覽器。當(dāng)然，這種評(píng)價(jià)對(duì)于Mozilla(因?yàn)镃hrome而付出了高昂代價(jià))來(lái)說(shuō)聽(tīng)起來(lái)也許有點(diǎn)令人傷心，但是總的來(lái)說(shuō)這對(duì)于互聯(lián)網(wǎng)標(biāo)準(zhǔn)來(lái)說(shuō)是件好事。

多年以來(lái)情況都是這樣發(fā)展的。當(dāng)然，Google給Chrome提供了一個(gè)“登錄”的選項(xiàng)，這項(xiàng)功能推斷起來(lái)大概是把你的瀏覽數(shù)據(jù)上傳到Google，但這只是一個(gè)選項(xiàng)。而選項(xiàng)是很容易忽略不計(jì)的。如果你不用這個(gè)選項(xiàng)，Google的隱私策略很明確：你的數(shù)據(jù)就會(huì)留在所在的計(jì)算機(jī)上。

什么變了?

幾周前Google推出了一項(xiàng)會(huì)從根本上改變登錄體驗(yàn)的Chrome升級(jí)。從現(xiàn)在開(kāi)始，你每次登入一項(xiàng)Google產(chǎn)品(比如Gmail)時(shí)，Chrome都會(huì)自動(dòng)用的Google賬號(hào)登入瀏覽器。這一步是默認(rèn)操作，不會(huì)詢(xún)問(wèn)你是否同意，甚至都沒(méi)有明顯通知你。(然而很重要的是：Google開(kāi)發(fā)者宣稱(chēng)其實(shí)這會(huì)開(kāi)始將你的數(shù)據(jù)同步給Google。后面會(huì)有進(jìn)一步的說(shuō)明。)

你能看到(前提是你看)的主要提示就是你的Google檔案圖片會(huì)出現(xiàn)在瀏覽器窗口右上角。我有一天就注意到了這一點(diǎn)：

這一變化并不是完全沒(méi)人注意：在Hacker News之類(lèi)的網(wǎng)站上已經(jīng)有了一些熱烈的討論。但是主流技術(shù)媒體似乎對(duì)此完全忽視。這是不幸的——我希望能有所改變——因?yàn)檫@次升級(jí)對(duì)Google和未來(lái)的Chrome有著巨大的潛在意義。

在本文剩下部分，我將討論為什么這一點(diǎn)很重要。從我的角度來(lái)說(shuō)，這可以概括為以下4點(diǎn)：

• 對(duì)于為什么有必要做此改變，Chrome開(kāi)發(fā)團(tuán)隊(duì)沒(méi)人能提供明顯合理的理由，而他們給出的解釋也說(shuō)不過(guò)去。
• 這一用戶(hù)隱私和信任產(chǎn)生巨大的潛在影響，而Google似乎并不愿意解決這個(gè)問(wèn)題。
• 這一改變會(huì)把Google為Chrome制訂的隱私政策搞得一團(tuán)糟。
• Google需要停止把客戶(hù)信任當(dāng)做可再生資源來(lái)對(duì)待，因?yàn)楝F(xiàn)在信任已經(jīng)非常脆弱了。

Google闡明的理由說(shuō)不過(guò)去

觸發(fā)這一自動(dòng)登入行為的新功能叫做“瀏覽器和cookie jar之間的身份一致性。”在Twitter上跟兩位不同的Chrome開(kāi)發(fā)者(對(duì)他們進(jìn)行匿名以免他們恨我)進(jìn)行過(guò)交流之后，我得到的理由如下：

請(qǐng)注意這并沒(méi)有開(kāi)啟Sync。你仍然需要明確選擇開(kāi)啟才行。其目標(biāo)是解決大家的一個(gè)問(wèn)題：大家在內(nèi)容領(lǐng)域用賬號(hào)A登入，但是卻用B的身份進(jìn)行同步，這就會(huì)產(chǎn)生困惑。

我來(lái)解釋一下這段解釋?zhuān)喝绻愠霈F(xiàn)已經(jīng)在Chrome登錄但是你的朋友也跟使用同一臺(tái)計(jì)算機(jī)的情況，你就有可能意外地將朋友的cookie上傳到你的賬號(hào)這種情況。這個(gè)似乎挺糟糕，我們當(dāng)然想避免這一點(diǎn)。

但是請(qǐng)注意這個(gè)場(chǎng)景下的一個(gè)關(guān)鍵點(diǎn)。這個(gè)問(wèn)題適用的前提是你已經(jīng)登入了Chrome。對(duì)于那些選擇不登錄到瀏覽器的用戶(hù)來(lái)說(shuō)絕對(duì)不會(huì)出現(xiàn)上述問(wèn)題。

所以如果已登錄用戶(hù)是你的問(wèn)題的話(huà)，為什么你不做出變更強(qiáng)制未登入用戶(hù)變成登入用戶(hù)呢?我可能已經(jīng)浪費(fèi)了太多筆墨去猜測(cè)所謂的“問(wèn)題”與“解決”之間的錯(cuò)配，但是我不在乎：因?yàn)镃hrome公關(guān)團(tuán)隊(duì)沒(méi)有一個(gè)人能夠提供自圓其說(shuō)的解釋。

這很重要，因?yàn)?ldquo;同不同步”差別很大……

這一改變對(duì)隱私和信任潛在影響很大

Chrome團(tuán)隊(duì)對(duì)這一改變給出了一條辯護(hù)理由。他們指出僅僅因?yàn)槟愕臑g覽器“已登錄”并不意味著會(huì)上傳數(shù)據(jù)到Google的服務(wù)器上。尤其是：

雖然Chrome現(xiàn)在會(huì)未經(jīng)你同意登入你的Google賬號(hào)(緊隨Gmail登錄之后)，但Chrome不會(huì)激活“同步”功能將你的數(shù)據(jù)發(fā)給Google。這需要額外的同意步驟。所以理論上你的數(shù)據(jù)應(yīng)該還是在本地保留。

這是我的理解。不過(guò)我認(rèn)為把我對(duì)話(huà)過(guò)的Chrome開(kāi)發(fā)者的立場(chǎng)歸納為這個(gè)也許更合適：如果沒(méi)有“同步”功能的話(huà)，他們做出的改變就沒(méi)有任何錯(cuò)誤，一切都很好。

這是胡說(shuō)，有幾點(diǎn)理由。

用戶(hù)同意很重要。10年來(lái)Chrome瀏覽器一直都詢(xún)問(wèn)過(guò)你一個(gè)問(wèn)題：“你想用Google賬號(hào)登錄進(jìn)去嗎?”而這10年來(lái)我的回答一直都是不謝謝。Chrome仍然問(wèn)我這個(gè)問(wèn)題——只是現(xiàn)在它不再尊重我的決定了。

Chrome的開(kāi)發(fā)者試圖讓我相信這樣是OK的，因?yàn)槲胰匀皇艿揭徊筋~外的同意步驟的保護(hù)。但這里的問(wèn)題很明顯：

如果你不尊重我對(duì)Chrome最大的面向用戶(hù)的隱私選項(xiàng)的否決權(quán)(甚至連已經(jīng)不尊重了都不通知我一聲!)，為什么我還應(yīng)該信任你提供給我的任何其他同意選項(xiàng)呢?還有什么能阻止你幾個(gè)月后當(dāng)大家都不注意時(shí)改變主意呢?

這件事的問(wèn)題在于我從來(lái)都沒(méi)聽(tīng)說(shuō)過(guò)Chrome有“同步”的選項(xiàng)——出于這個(gè)簡(jiǎn)單的原因我直到201年9月份都沒(méi)有登錄過(guò)Chrome?，F(xiàn)在我被迫了解這些新術(shù)語(yǔ)，隨著“登錄”和“不登錄”之間的界限已經(jīng)逐步模糊，我希望Chrome團(tuán)隊(duì)仍然遵守將所有用戶(hù)數(shù)據(jù)放在本地的承諾。

Chrome 的同步UI是一個(gè)黑暗模式：現(xiàn)在我被迫登入Chrome了，我面對(duì)的是一個(gè)此前從未見(jiàn)過(guò)的全新菜單。它的樣子是這樣的：

那個(gè)大大的藍(lán)色按鈕是不是表明我已經(jīng)把我的數(shù)據(jù)同步給Google了呢?是的話(huà)就太嚇人了!等一下，也許這只是邀請(qǐng)你進(jìn)行同步呢!如果是的話(huà)，如果你意外點(diǎn)擊了它的話(huà)會(huì)發(fā)生什么事情?(我不會(huì)說(shuō)出答案，你得自己去找。只需要確保在此過(guò)程中你不會(huì)意外上傳所有的數(shù)據(jù)。一切都會(huì)進(jìn)行得很快。)

簡(jiǎn)而言之，Google已經(jīng)把同意上傳數(shù)據(jù)的問(wèn)題從某個(gè)我需要付出努力(輸入我的Google證書(shū)，登錄進(jìn)Chrome)才能表示同意，變成了一次意外點(diǎn)擊就能完成的事情。這是一個(gè)黑暗模式。無(wú)論是否有意，其效果都會(huì)讓大家在不知情的情況下激活同步變得容易，或者以為自己已經(jīng)在同步了，因此增加Google對(duì)自己數(shù)據(jù)的訪(fǎng)問(wèn)不會(huì)有額外的代價(jià)。

不要把我的話(huà)當(dāng)真了。它甚至令(前)Google員工感到毛骨悚然。

老大哥其實(shí)不需要看著你。我們向自己的web瀏覽器透露的事情比我們告訴最好的朋友的事情都要多。我們對(duì)互聯(lián)網(wǎng)安全的理解還比較含糊。是，互聯(lián)網(wǎng)是在刺探我們，但是我們也相信這種刺探是比較弱的，概率性的。這不像某人站在背后看著我們的每一次點(diǎn)擊一樣。

可是如果你這種信念沒(méi)有了之后呢?無(wú)數(shù)研究表明，哪怕是感覺(jué)到監(jiān)視的存在也會(huì)極大地放大用戶(hù)對(duì)自己強(qiáng)制檢查的程度。如果用戶(hù)的真實(shí)姓名和照片總是加載在瀏覽器右上角的話(huà)，他們?yōu)g覽敏感信息的時(shí)候還會(huì)不會(huì)感覺(jué)毫無(wú)波瀾呢?Chrome開(kāi)發(fā)團(tuán)隊(duì)說(shuō)“是的”。但我認(rèn)為他們錯(cuò)了。

我們都知道，這種新做法對(duì)隱私是有影響的，哪怕同步?jīng)]開(kāi)也會(huì)有。Chrome開(kāi)發(fā)者宣稱(chēng)“同步”關(guān)閉的話(huà)，Chrome就不會(huì)有隱私方面的影響。這個(gè)也許沒(méi)錯(cuò)。但如果再仔細(xì)看看細(xì)節(jié)的話(huà)，似乎沒(méi)人敢肯定這一點(diǎn)。

比方說(shuō)，如果我登出瀏覽器，然后登錄進(jìn)去打開(kāi)“同步”的話(huà)，會(huì)不會(huì)所有的數(shù)據(jù)(包括登出期間)都會(huì)被上傳到Google?如果我被迫登入進(jìn)去然后后續(xù)打開(kāi)“同步”的話(huà)會(huì)發(fā)生什么?沒(méi)人能告訴我這些情況下上傳的數(shù)據(jù)是不是一樣的。這種差別關(guān)系很大。

這種改變把Chrome的隱私政策弄得一團(tuán)糟

Chroem的隱私政策是一份出奇簡(jiǎn)單的文檔。它的隱私政策跟大多數(shù)的不一樣，上面明明白白地向Chrome用戶(hù)做出承諾而不是慣常的律師口吻春秋筆法。在功能上它描述了兩種瀏覽模式：“基本瀏覽模式”以及“登入模式”。這些模式有著非常不同的屬性。你自己看：

在“基本瀏覽模式”里，你的數(shù)據(jù)是在本地存儲(chǔ)的。在“登入”模式里，你的數(shù)據(jù)會(huì)發(fā)往Google服務(wù)器。這很容易理解。如果你想要隱私，那就別登入。但是如果你的瀏覽器自行決定將你從一個(gè)模式切換到另一種模式時(shí)會(huì)發(fā)生什么呢?

從技術(shù)上來(lái)說(shuō)，這種隱私策略仍然是準(zhǔn)確的。如果你處在基本瀏覽模式下，你的數(shù)據(jù)仍然存在本地。問(wèn)題是你不再能夠決定自己處在哪種模式。無(wú)論始作俑者的意圖是什么這都會(huì)徒勞無(wú)功。也許Google會(huì)更新這份文檔以反映Chrome開(kāi)發(fā)者告訴我的這種新的“同步”區(qū)別。我們等著瞧吧。

更新：在我推特上講了我的擔(dān)心之后，周日我收到了兩位Chrome開(kāi)發(fā)者的DM，他們都告訴了我一條好消息：Google正在更新他們的隱私政策來(lái)反映Chrome這一新的操作。嗯，我想這也許是好消息吧。但是我沒(méi)法不去注意到在周末更新隱私政策其實(shí)對(duì)于變更來(lái)說(shuō)是很麻煩的一件事……顯然甚至連登入用戶(hù)的問(wèn)題都解決不了。

信任不是可再生資源

對(duì)于一家靠收集大規(guī)模用戶(hù)數(shù)據(jù)維持生計(jì)的公司來(lái)說(shuō)，Google設(shè)法避免了Facebook帶來(lái)的那種負(fù)面的隱私影響。這不是因?yàn)镚oogle收集的數(shù)據(jù)更少，而是因?yàn)镚oogle對(duì)此一貫更為慎重和負(fù)責(zé)任。

當(dāng)Facebook總是不斷改變隱私政策然后在隨后道歉了事時(shí)，Google一直都堅(jiān)持清晰的隱私政策并且少做改變。當(dāng)然，在它收集的時(shí)候，Google的確收集了大量的數(shù)據(jù)，但只要Google對(duì)用戶(hù)安全與隱私做出了明確承諾，一般來(lái)說(shuō)都會(huì)堅(jiān)持下去。但這一點(diǎn)似乎正在改變。

Google的名聲來(lái)之不易，但是失去去輕而易舉。像這樣的改變會(huì)消滅大量的用戶(hù)信任。如果這種改變解決的是用戶(hù)的關(guān)鍵問(wèn)題的話(huà)，也許失去信任也是值得的。我希望Google能說(shuō)服我情況的確是這樣的。

結(jié)論

本文已經(jīng)扯得太遠(yuǎn)了，但是在結(jié)束之前我想討論一下兩個(gè)常見(jiàn)的反駁觀(guān)點(diǎn)，這些看法均出自本領(lǐng)域我敬重的一些人口中。

一種看法認(rèn)為Google其實(shí)已經(jīng)通過(guò)cookie和無(wú)所不在的廣告網(wǎng)絡(luò)與合作關(guān)系來(lái)監(jiān)控你，所以如果他們強(qiáng)迫你處在登入狀態(tài)的話(huà)又有什么大不了的呢?我敬重的一個(gè)人把Chrome的改變描述為“讓你披上兩個(gè)名字標(biāo)簽而不是一個(gè)。”我認(rèn)為這種抗辯理由是很愚蠢的，無(wú)論是從道德層面——就因?yàn)槟闱址噶宋业碾[私并不能成為新的大規(guī)模侵犯的理由——同時(shí)在客觀(guān)上也是愚蠢的。Google已經(jīng)花費(fèi)了數(shù)百萬(wàn)美元用于增加額外的跟蹤功能給Chrome和Android。他們這么做不是為了找樂(lè)子，而是因?yàn)檫@么做能夠給他們制造想要的數(shù)據(jù)。

另一種抗辯理由是這樣的：我是Google產(chǎn)品的新手，所以當(dāng)然他們會(huì)這么做。極端的做法說(shuō)我應(yīng)該用lunx+Tor以及DSB的定制搜索引擎，如果不這么做的話(huà)我自然得自作自受。

我反對(duì)這種理由。我認(rèn)為像Google這樣的公司做出好的、可用的，不會(huì)大規(guī)模違背用戶(hù)隱私的開(kāi)源軟件完全是有可能的。10年來(lái)我認(rèn)為Google Chrome一直都是這樣做的。

為什么他們決定要做出改變?我不知道。這讓我感到悲哀。