作為挑戰(zhàn)微軟 IE 對(duì)瀏覽器壟斷的 Chrome 誕生已有 10 年。10 年間 Google 的這款開源瀏覽器以快速、簡(jiǎn)潔以及明確的安全策略受到了用戶的喜愛，并且逐漸成為占據(jù)主導(dǎo)地位的瀏覽器首選。但是近日 Google 對(duì) Chrome 的一項(xiàng)涉及安全隱私的升級(jí)卻引起了密碼學(xué)家 Matthew Green 的質(zhì)疑。他提出，如果 Google 給不出合適的解釋的話，以后他也不會(huì)使用 Chrome 了。

這個(gè)博客主要是留給密碼學(xué)的，我也一直都試圖避免偶爾放一些 " 互聯(lián)網(wǎng)上誰誰誰又錯(cuò)了 " 之類的文章。畢竟，Twitter 才是干這個(gè)的！但是時(shí)不時(shí)地總有一些太過操蛋的事情讓我破例。今天我想針對(duì) Google Chrome 寫一篇特別的文章，寫寫我對(duì)它過去有多愛，以及鑒于 Chrome 新的對(duì)用戶很不友好的強(qiáng)迫登錄策略，為什么我今后將不再用它的原因。

Chrome 簡(jiǎn)史

10 年前當(dāng) Google 推出 Chrome 的時(shí)候，它似乎是罕有的所有人都共贏的情況。2008 年，瀏覽器市場(chǎng)還在被微軟統(tǒng)治著，這家公司有著利用瀏覽器的統(tǒng)治性壓制競(jìng)爭(zhēng)對(duì)手的丑陋?dú)v史。更糟的是，微軟對(duì)于進(jìn)入搜索業(yè)務(wù)還在發(fā)生噪音。這給 Google 的互聯(lián)網(wǎng)資產(chǎn)造成了存在威脅。

在這種情況下，Chrome 是一個(gè)漂亮的解決方案。即便這款瀏覽器沒有為 Google 產(chǎn)生一分錢的收入，但它讓互聯(lián)網(wǎng)對(duì) Google 的其他產(chǎn)品開放的目的也達(dá)到了。互聯(lián)網(wǎng)社區(qū)的好處則是收獲了一款金錢能買來的最好的開放團(tuán)隊(duì)所開發(fā)的、極其出色的開源瀏覽器。當(dāng)然，這種評(píng)價(jià)對(duì)于 Mozilla（因?yàn)?Chrome 而付出了高昂代價(jià)）來說聽起來也許有點(diǎn)令人傷心，但是總的來說這對(duì)于互聯(lián)網(wǎng)標(biāo)準(zhǔn)來說是件好事。

多年以來情況都是這樣發(fā)展的。當(dāng)然，Google 給 Chrome 提供了一個(gè) " 登錄 " 的選項(xiàng)，這項(xiàng)功能推斷起來大概是把你的瀏覽數(shù)據(jù)上傳到 Google，但這只是一個(gè)選項(xiàng)。而選項(xiàng)是很容易忽略不計(jì)的。如果你不用這個(gè)選項(xiàng)，Google 的隱私策略很明確：你的數(shù)據(jù)就會(huì)留在所在的計(jì)算機(jī)上。

什么變了？

幾周前 Google 推出了一項(xiàng)會(huì)從根本上改變登錄體驗(yàn)的 Chrome 升級(jí)。從現(xiàn)在開始，你每次登入一項(xiàng) Google 產(chǎn)品（比如 Gmail）時(shí)，Chrome 都會(huì)自動(dòng)用的 Google 賬號(hào)登入瀏覽器。這一步是默認(rèn)操作，不會(huì)詢問你是否同意，甚至都沒有明顯通知你。（然而很重要的是：Google 開發(fā)者宣稱其實(shí)這會(huì)開始將你的數(shù)據(jù)同步給 Google。后面會(huì)有進(jìn)一步的說明。）

你能看到（前提是你看）的主要提示就是你的 Google 檔案圖片會(huì)出現(xiàn)在瀏覽器窗口右上角。我有一天就注意到了這一點(diǎn)：

這一變化并不是完全沒人注意：在Hacker News之類的網(wǎng)站上已經(jīng)有了一些熱烈的討論。但是主流技術(shù)媒體似乎對(duì)此完全忽視。這是不幸的——我希望能有所改變——因?yàn)檫@次升級(jí)對(duì) Google 和未來的 Chrome 有著巨大的潛在意義。

在本文剩下部分，我將討論為什么這一點(diǎn)很重要。從我的角度來說，這可以概括為以下 4 點(diǎn)：

對(duì)于為什么有必要做此改變，Chrome 開發(fā)團(tuán)隊(duì)沒人能提供明顯合理的理由，而他們給出的解釋也說不過去。

這一用戶隱私和信任產(chǎn)生巨大的潛在影響，而 Google 似乎并不愿意解決這個(gè)問題。

這一改變會(huì)把 Google 為 Chrome 制訂的隱私政策搞得一團(tuán)糟。

Google 需要停止把客戶信任當(dāng)做可再生資源來對(duì)待，因?yàn)楝F(xiàn)在信任已經(jīng)非常脆弱了。

Google 闡明的理由說不過去

觸發(fā)這一自動(dòng)登入行為的新功能叫做 " 瀏覽器和 cookie jar 之間的身份一致性。" 在 Twitter 上跟兩位不同的 Chrome 開發(fā)者（對(duì)他們進(jìn)行匿名以免他們恨我）進(jìn)行過交流之后，我得到的理由如下：

請(qǐng)注意這并沒有開啟 Sync。你仍然需要明確選擇開啟才行。其目標(biāo)是解決大家的一個(gè)問題：大家在內(nèi)容領(lǐng)域用賬號(hào) A 登入，但是卻用 B 的身份進(jìn)行同步，這就會(huì)產(chǎn)生困惑。

我來解釋一下這段解釋：如果你出現(xiàn)已經(jīng)在 Chrome 登錄但是你的朋友也跟使用同一臺(tái)計(jì)算機(jī)的情況，你就有可能意外地將朋友的 cookie 上傳到你的賬號(hào)這種情況。這個(gè)似乎挺糟糕，我們當(dāng)然想避免這一點(diǎn)。

但是請(qǐng)注意這個(gè)場(chǎng)景下的一個(gè)關(guān)鍵點(diǎn)。這個(gè)問題適用的前提是你已經(jīng)登入了 Chrome。對(duì)于那些選擇不登錄到瀏覽器的用戶來說絕對(duì)不會(huì)出現(xiàn)上述問題。

所以如果已登錄用戶是你的問題的話，為什么你不做出變更強(qiáng)制未登入用戶變成登入用戶呢？我可能已經(jīng)浪費(fèi)了太多筆墨去猜測(cè)所謂的 " 問題 " 與 " 解決 " 之間的錯(cuò)配，但是我不在乎：因?yàn)?Chrome 公關(guān)團(tuán)隊(duì)沒有一個(gè)人能夠提供自圓其說的解釋。

這很重要，因?yàn)?" 同不同步 " 差別很大……

這一改變對(duì)隱私和信任潛在影響很大

Chrome 團(tuán)隊(duì)對(duì)這一改變給出了一條辯護(hù)理由。他們指出僅僅因?yàn)槟愕臑g覽器 " 已登錄 " 并不意味著會(huì)上傳數(shù)據(jù)到 Google 的服務(wù)器上。尤其是：

雖然 Chrome 現(xiàn)在會(huì)未經(jīng)你同意登入你的 Google 賬號(hào)（緊隨 Gmail 登錄之后），但 Chrome 不會(huì)激活 " 同步 " 功能將你的數(shù)據(jù)發(fā)給 Google。這需要額外的同意步驟。所以理論上你的數(shù)據(jù)應(yīng)該還是在本地保留。

這是我的理解。不過我認(rèn)為把我對(duì)話過的 Chrome 開發(fā)者的立場(chǎng)歸納為這個(gè)也許更合適：如果沒有 " 同步 " 功能的話，他們做出的改變就沒有任何錯(cuò)誤，一切都很好。

這是胡說，有幾點(diǎn)理由。

用戶同意很重要。10 年來 Chrome 瀏覽器一直都詢問過你一個(gè)問題：" 你想用 Google 賬號(hào)登錄進(jìn)去嗎？" 而這 10 年來我的回答一直都是不謝謝。Chrome 仍然問我這個(gè)問題——只是現(xiàn)在它不再尊重我的決定了。

Chrome 的開發(fā)者試圖讓我相信這樣是 OK 的，因?yàn)槲胰匀皇艿揭徊筋~外的同意步驟的保護(hù)。但這里的問題很明顯：

如果你不尊重我對(duì) Chrome 最大的面向用戶的隱私選項(xiàng)的否決權(quán)（甚至連已經(jīng)不尊重了都不通知我一聲?。?，為什么我還應(yīng)該信任你提供給我的任何其他同意選項(xiàng)呢？還有什么能阻止你幾個(gè)月后當(dāng)大家都不注意時(shí)改變主意呢？

這件事的問題在于我從來都沒聽說過 Chrome 有 " 同步 " 的選項(xiàng)——出于這個(gè)簡(jiǎn)單的原因我直到 201 年 9 月份都沒有登錄過 Chrome。現(xiàn)在我被迫了解這些新術(shù)語(yǔ)，隨著 " 登錄 " 和 " 不登錄 " 之間的界限已經(jīng)逐步模糊，我希望 Chrome 團(tuán)隊(duì)仍然遵守將所有用戶數(shù)據(jù)放在本地的承諾。

Chrome 的同步 UI 是一個(gè)黑暗模式：現(xiàn)在我被迫登入 Chrome 了，我面對(duì)的是一個(gè)此前從未見過的全新菜單。它的樣子是這樣的：

那個(gè)大大的藍(lán)色按鈕是不是表明我已經(jīng)把我的數(shù)據(jù)同步給 Google 了呢？是的話就太嚇人了！等一下，也許這只是邀請(qǐng)你進(jìn)行同步呢！如果是的話，如果你意外點(diǎn)擊了它的話會(huì)發(fā)生什么事情？（我不會(huì)說出答案，你得自己去找。只需要確保在此過程中你不會(huì)意外上傳所有的數(shù)據(jù)。一切都會(huì)進(jìn)行得很快。）

簡(jiǎn)而言之，Google 已經(jīng)把同意上傳數(shù)據(jù)的問題從某個(gè)我需要付出努力（輸入我的 Google 證書，登錄進(jìn) Chrome）才能表示同意，變成了一次意外點(diǎn)擊就能完成的事情。這是一個(gè)黑暗模式。無論是否有意，其效果都會(huì)讓大家在不知情的情況下激活同步變得容易，或者以為自己已經(jīng)在同步了，因此增加 Google 對(duì)自己數(shù)據(jù)的訪問不會(huì)有額外的代價(jià)。

不要把我的話當(dāng)真了。它甚至令（前）Google 員工感到毛骨悚然。

老大哥其實(shí)不需要看著你。我們向自己的 web 瀏覽器透露的事情比我們告訴最好的朋友的事情都要多。我們對(duì)互聯(lián)網(wǎng)安全的理解還比較含糊。是，互聯(lián)網(wǎng)是在刺探我們，但是我們也相信這種刺探是比較弱的，概率性的。這不像某人站在背后看著我們的每一次點(diǎn)擊一樣。

可是如果你這種信念沒有了之后呢？無數(shù)研究表明，哪怕是感覺到監(jiān)視的存在也會(huì)極大地放大用戶對(duì)自己強(qiáng)制檢查的程度。如果用戶的真實(shí)姓名和照片總是加載在瀏覽器右上角的話，他們?yōu)g覽敏感信息的時(shí)候還會(huì)不會(huì)感覺毫無波瀾呢？Chrome 開發(fā)團(tuán)隊(duì)說 " 是的 "。但我認(rèn)為他們錯(cuò)了。

我們都知道，這種新做法對(duì)隱私是有影響的，哪怕同步?jīng)]開也會(huì)有。Chrome 開發(fā)者宣稱 " 同步 " 關(guān)閉的話，Chrome 就不會(huì)有隱私方面的影響。這個(gè)也許沒錯(cuò)。但如果再仔細(xì)看看細(xì)節(jié)的話，似乎沒人敢肯定這一點(diǎn)。

比方說，如果我登出瀏覽器，然后登錄進(jìn)去打開 " 同步 " 的話，會(huì)不會(huì)所有的數(shù)據(jù)（包括登出期間）都會(huì)被上傳到 Google？如果我被迫登入進(jìn)去然后后續(xù)打開 " 同步 " 的話會(huì)發(fā)生什么？沒人能告訴我這些情況下上傳的數(shù)據(jù)是不是一樣的。這種差別關(guān)系很大。

這種改變把 Chrome 的隱私政策弄得一團(tuán)糟

Chroem 的隱私政策是一份出奇簡(jiǎn)單的文檔。它的隱私政策跟大多數(shù)的不一樣，上面明明白白地向 Chrome 用戶做出承諾而不是慣常的律師口吻春秋筆法。在功能上它描述了兩種瀏覽模式：" 基本瀏覽模式 " 以及 " 登入模式 "。這些模式有著非常不同的屬性。你自己看：

在 " 基本瀏覽模式 " 里，你的數(shù)據(jù)是在本地存儲(chǔ)的。在 " 登入 " 模式里，你的數(shù)據(jù)會(huì)發(fā)往 Google 服務(wù)器。這很容易理解。如果你想要隱私，那就別登入。但是如果你的瀏覽器自行決定將你從一個(gè)模式切換到另一種模式時(shí)會(huì)發(fā)生什么呢？

從技術(shù)上來說，這種隱私策略仍然是準(zhǔn)確的。如果你處在基本瀏覽模式下，你的數(shù)據(jù)仍然存在本地。問題是你不再能夠決定自己處在哪種模式。無論始作俑者的意圖是什么這都會(huì)徒勞無功。也許 Google 會(huì)更新這份文檔以反映 Chrome 開發(fā)者告訴我的這種新的 " 同步 " 區(qū)別。我們等著瞧吧。

更新：在我推特上講了我的擔(dān)心之后，周日我收到了兩位 Chrome 開發(fā)者的 DM，他們都告訴了我一條好消息：Google 正在更新他們的隱私政策來反映 Chrome 這一新的操作。嗯，我想這也許是好消息吧。但是我沒法不去注意到在周末更新隱私政策其實(shí)對(duì)于變更來說是很麻煩的一件事……顯然甚至連登入用戶的問題都解決不了。

信任不是可再生資源

對(duì)于一家靠收集大規(guī)模用戶數(shù)據(jù)維持生計(jì)的公司來說，Google 設(shè)法避免了 Facebook 帶來的那種負(fù)面的隱私影響。這不是因?yàn)?Google 收集的數(shù)據(jù)更少，而是因?yàn)?Google 對(duì)此一貫更為慎重和負(fù)責(zé)任。

當(dāng) Facebook 總是不斷改變隱私政策然后在隨后道歉了事時(shí)，Google 一直都堅(jiān)持清晰的隱私政策并且少做改變。當(dāng)然，在它收集的時(shí)候，Google 的確收集了大量的數(shù)據(jù)，但只要 Google 對(duì)用戶安全與隱私做出了明確承諾，一般來說都會(huì)堅(jiān)持下去。但這一點(diǎn)似乎正在改變。

Google 的名聲來之不易，但是失去去輕而易舉。像這樣的改變會(huì)消滅大量的用戶信任。如果這種改變解決的是用戶的關(guān)鍵問題的話，也許失去信任也是值得的。我希望 Google 能說服我情況的確是這樣的。

結(jié)論

本文已經(jīng)扯得太遠(yuǎn)了，但是在結(jié)束之前我想討論一下兩個(gè)常見的反駁觀點(diǎn)，這些看法均出自本領(lǐng)域我敬重的一些人口中。

一種看法認(rèn)為 Google 其實(shí)已經(jīng)通過 cookie 和無所不在的廣告網(wǎng)絡(luò)與合作關(guān)系來監(jiān)控你，所以如果他們強(qiáng)迫你處在登入狀態(tài)的話又有什么大不了的呢？我敬重的一個(gè)人把 Chrome 的改變描述為 " 讓你披上兩個(gè)名字標(biāo)簽而不是一個(gè)。" 我認(rèn)為這種抗辯理由是很愚蠢的，無論是從道德層面——就因?yàn)槟闱址噶宋业碾[私并不能成為新的大規(guī)模侵犯的理由——同時(shí)在客觀上也是愚蠢的。Google 已經(jīng)花費(fèi)了數(shù)百萬美元用于增加額外的跟蹤功能給 Chrome 和 Android。他們這么做不是為了找樂子，而是因?yàn)檫@么做能夠給他們制造想要的數(shù)據(jù)。

另一種抗辯理由是這樣的：我是 Google 產(chǎn)品的新手，所以當(dāng)然他們會(huì)這么做。極端的做法說我應(yīng)該用 lunx+Tor 以及 DSB 的定制搜索引擎，如果不這么做的話我自然得自作自受。

我反對(duì)這種理由。我認(rèn)為像 Google 這樣的公司做出好的、可用的，不會(huì)大規(guī)模違背用戶隱私的開源軟件完全是有可能的。10 年來我認(rèn)為 Google Chrome 一直都是這樣做的。

為什么他們決定要做出改變？我不知道。這讓我感到悲哀。

【來源：36氪】