Google Chrome 79配备了两个主要的密码安全功能以及一个在Android上的大型Bug
上周,谷歌宣布了Chrome 79的发布。该浏览器供应商推出了一些新功能,旨在帮助用户获得更安全的在线体验,而公关人员希望这些新功能会受到欢迎。相反,在过去的一周左右的时间里,与Chrome 79有关的大多数讨论都围绕着一个相当严重的错误进行,该错误不仅给Google造成了不少麻烦,也给许多Android用户和应用程序开发人员造成了不少麻烦。但是,在开始之前,我们先谈谈Chrome的新安全功能。
Table of Contents
Chrome知道您是否使用了密码泄露
必须说,第一个新功能实际上并不是那个新功能。 Google将它集成到了今年早些时候出现的Password Checkup Chrome扩展程序中。
密码检查听起来无非是夸张的密码强度计,但实际上还不止如此。这样做的目的是针对大量违反登录凭据的数据库检查您使用的每个密码。如果找到匹配的内容,它将提醒您,并建议您更改泄露的密码。
这几乎不是一个开创性的想法。特洛伊·亨特(Troy Hunt)拥有类似服务已有一段时间了,甚至美国国家标准技术研究院(NIST)都说实施类似警报是个好主意,因为可以说,泄露的密码比起简单的密码更危险,猜一个。正因为如此,谷歌决定将检查直接集成到浏览器中。更新到最新的Chrome版本的用户不再需要使用Google的扩展程序。
显然,有些人可能会担心隐私问题。毕竟,Google承诺会告诉您您所使用的密码是否已被破坏。如果看不到您的密码,该怎么办?答案是“加密”。
当Chrome 79启动时,谷歌表示 ,只要其安全团队找到从在线服务中泄露的登录凭据,谷歌就会使用一个复杂的过程来创建“散列和加密”的密码副本,然后将其存储在服务器中。输入密码时,该过程会进行哈希处理并加密,然后根据Google的数据库检查结果。因此,Google看不到您的明文密码,但是它可以告诉您该密码过去是否被泄露。
在这个特定领域,Chrome并没有真正吸引先锋的力量。几个月前,Mozilla将Troy Hunt的API集成到Firefox中。但是,有将近40亿条受到破坏的记录,用于检查Chrome用户密码的数据集要大得多。无论如何,很高兴看到世界上最受欢迎的浏览器的创建者正在努力维护人们的在线安全。说到这,谷歌随Chrome 79一起引入的第二个功能也可能非常有用。
Chrome获得增强的网络钓鱼防护
多年来,Chrome浏览器一直依靠Google的安全浏览API来标记网络钓鱼和危险网站。简而言之,浏览器将检查您访问的每个URL是否包含已知的网页仿冒页面列表,如果浏览器认为您将被骗子欺骗,则会显示红色大警告。新的URL一直都添加到网络钓鱼页面的“安全浏览”列表中,Chrome每半小时下载一次更新版本。从历史上看,这已经帮助人们跟上了骗局,但事实证明,这已经远远不够。 Chrome的开发人员已经注意到,网络钓鱼者最近开始更频繁地更改域和URL,这意味着30分钟的延迟通常是致命的。
为了解决这个问题,Chrome的新版本现在提供了更高级的,近乎实时的网络钓鱼防护,应该可以使警告数量增加30%以上,并且假冒的登录凭据也要少得多。如果启用了新功能,则Google将需要浏览您访问的URL,但是它没有什么可担心的,因为所有数据都将被匿名化。
所有这些都是好消息,可以公平地说,至少有一些用户热切期望Chrome 79的发布。但是,配备Android设备的用户感到有些惊讶。
新的Chrome版本破坏了许多Android应用程序
更新宣布后不久,Android用户开始抱怨有些不对劲。突然之间,他们发现设备上的某些应用已被重置。他们已自动退出帐户,其个人设置已被覆盖。很自然,人们首先联系了应用程序的开发人员,他们对此问题完全不满意,因为它不是由他们进行的任何更改引起的。
最终,罪魁祸首被发现了-它是Google最新更新的浏览器。所有受影响的应用程序都在Android的WebView(Chrome的简化版)上运行,这使通常通过浏览器查看的Web应用程序的功能更易于转移到独立的Android应用程序。这些应用存储诸如缓存的文件和会话cookie之类的信息,而Chrome 79更改了该数据的位置。结果,这些应用程序无法再找到用户的旧设置和文件,它们又返回到默认模式。对于某些应用程序,功能受到严重影响,毫不奇怪,负面评论很快就到了。
该错误引起了很多混乱。甚至有人认为数据已经丢失了。值得庆幸的是,Chrome的开发团队知道情况并非如此,今天早些时候,他们宣布人们应该很快就期望得到修复。 Chrome 79.0.3945.93还原了导致该错误的更改,并且在人们更新了浏览器后,他们的应用应会再次按预期运行。受影响的应用程序的开发人员无需执行任何操作。
从表面上看,至少修复该错误似乎不太复杂。不过,该补丁确实花费了Google一段时间,而且在此期间应用程序开发人员遭受的损失尤其微不足道。如此之多,以至于它使Chrome 79的新密码检查和网络钓鱼防护功能黯然失色。希望将来类似的事件越来越少。