密碼技術專家：為什麼我再也不用 Chrome 了？

讓用戶被動同步可不是好主意。

編者按：作為挑戰微軟IE對瀏覽器壟斷的Chrome誕生已有10年。10年間Google的這款開源瀏覽器以快速、簡潔以及明確的安全策略受到了用戶的喜愛，並且逐漸成為佔據主導地位的瀏覽器首選。但是近日Google對Chrome的一項涉及安全隱私的升級卻引起了密碼學家Matthew Green的質疑。他提出，如果Google給不出合適的解釋的話，以後他也不會使用Chrome了。

這個博客主要是留給密碼學的，我也一直都試圖避免偶爾放一些「互聯網上誰誰誰又錯了」之類的文章。畢竟，Twitter才是干這個的！但是時不時地總有一些太過操蛋的事情讓我破例。今天我想針對Google Chrome寫一篇特別的文章，寫寫我對它過去有多愛，以及鑒於Chrome新的對用戶很不友好的強迫登錄策略，為什麼我今後將不再用它的原因。

Chrome簡史

10年前當Google推出Chrome的時候，它似乎是罕有的所有人都共贏的情況。2008年，瀏覽器市場還在被微軟統治著，這家公司有著利用瀏覽器的統治性壓制競爭對手的醜陋歷史。更糟的是，微軟對於進入搜索業務還在發生噪音。這給Google的互聯網資產造成了存在威脅。

在這種情況下，Chrome是一個漂亮的解決方案。即便這款瀏覽器沒有為Google產生一分錢的收入，但它讓互聯網對Google的其他產品開放的目的也達到了。互聯網社區的好處則是收穫了一款金錢能買來的最好的開放團隊所開發的、極其出色的開源瀏覽器。當然，這種評價對於Mozilla（因為Chrome而付出了高昂代價）來說聽起來也許有點令人傷心，但是總的來說這對於互聯網標準來說是件好事。

多年以來情況都是這樣發展的。當然，Google給Chrome提供了一個「登錄」的選項，這項功能推斷起來大概是把你的瀏覽數據上傳到Google，但這只是一個選項。而選項是很容易忽略不計的。如果你不用這個選項，Google的隱私策略很明確：你的數據就會留在所在的計算機上。

什麼變了？

幾周前Google推出了一項會從根本上改變登錄體驗的Chrome升級。從現在開始，你每次登入一項Google產品（比如Gmail）時，Chrome都會自動用的Google賬號登入瀏覽器。這一步是默認操作，不會詢問你是否同意，甚至都沒有明顯通知你。（然而很重要的是：Google開發者宣稱其實這會開始將你的數據同步給Google。後面會有進一步的說明。）

你能看到（前提是你看）的主要提示就是你的Google檔案圖片會出現在瀏覽器窗口右上角。我有一天就注意到了這一點：

這一變化並不是完全沒人注意：在Hacker News之類的網站上已經有了一些熱烈的討論。但是主流技術媒體似乎對此完全忽視。這是不幸的——我希望能有所改變——因為這次升級對Google和未來的Chrome有著巨大的潛在意義。

在本文剩下部分，我將討論為什麼這一點很重要。從我的角度來說，這可以概括為以下4點：

對於為什麼有必要做此改變，Chrome開發團隊沒人能提供明顯合理的理由，而他們給出的解釋也說不過去。

這一用戶隱私和信任產生巨大的潛在影響，而Google似乎並不願意解決這個問題。

這一改變會把Google為Chrome制訂的隱私政策搞得一團糟。

Google需要停止把客戶信任當做可再生資源來對待，因為現在信任已經非常脆弱了。

Google闡明的理由說不過去

觸發這一自動登入行為的新功能叫做「瀏覽器和cookie jar之間的身份一致性。」在Twitter上跟兩位不同的Chrome開發者（對他們進行匿名以免他們恨我）進行過交流之後，我得到的理由如下：

請注意這並沒有開啟Sync。你仍然需要明確選擇開啟才行。其目標是解決大家的一個問題：大家在內容領域用賬號A登入，但是卻用B的身份進行同步，這就會產生困惑。

我來解釋一下這段解釋：如果你出現已經在Chrome登錄但是你的朋友也跟使用同一台計算機的情況，你就有可能意外地將朋友的cookie上傳到你的賬號這種情況。這個似乎挺糟糕，我們當然想避免這一點。

但是請注意這個場景下的一個關鍵點。這個問題適用的前提是你已經登入了Chrome。對於那些選擇不登錄到瀏覽器的用戶來說絕對不會出現上述問題。

所以如果已登錄用戶是你的問題的話，為什麼你不做出變更強制未登入用戶變成登入用戶呢？我可能已經浪費了太多筆墨去猜測所謂的「問題」與「解決」之間的錯配，但是我不在乎：因為Chrome公關團隊沒有一個人能夠提供自圓其說的解釋。

這很重要，因為「同不同步」差別很大……

這一改變對隱私和信任潛在影響很大

Chrome團隊對這一改變給出了一條辯護理由。他們指出僅僅因為你的瀏覽器「已登錄」並不意味著會上傳數據到Google的伺服器上。尤其是：

雖然Chrome現在會未經你同意登入你的Google賬號（緊隨Gmail登錄之後），但Chrome不會激活「同步」功能將你的數據發給Google。這需要額外的同意步驟。所以理論上你的數據應該還是在本地保留。

這是我的理解。不過我認為把我對話過的Chrome開發者的立場歸納為這個也許更合適：如果沒有「同步」功能的話，他們做出的改變就沒有任何錯誤，一切都很好。

這是胡說，有幾點理由。

用戶同意很重要。10年來Chrome瀏覽器一直都詢問過你一個問題：「你想用Google賬號登錄進去嗎？」而這10年來我的回答一直都是不謝謝。Chrome仍然問我這個問題——只是現在它不再尊重我的決定了。

Chrome的開發者試圖讓我相信這樣是OK的，因為我仍然受到一步額外的同意步驟的保護。但這裡的問題很明顯：

如果你不尊重我對Chrome最大的面向用戶的隱私選項的否決權（甚至連已經不尊重了都不通知我一聲！），為什麼我還應該信任你提供給我的任何其他同意選項呢？還有什麼能阻止你幾個月後當大家都不注意時改變主意呢？

這件事的問題在於我從來都沒聽說過Chrome有「同步」的選項——出於這個簡單的原因我直到201年9月份都沒有登錄過Chrome。現在我被迫了解這些新術語，隨著「登錄」和「不登錄」之間的界限已經逐步模糊，我希望Chrome團隊仍然遵守將所有用戶數據放在本地的承諾。

Chrome 的同步UI是一個黑暗模式：現在我被迫登入Chrome了，我面對的是一個此前從未見過的全新菜單。它的樣子是這樣的：

那個大大的藍色按鈕是不是表明我已經把我的數據同步給Google了呢？是的話就太嚇人了！等一下，也許這只是邀請你進行同步呢！如果是的話，如果你意外點擊了它的話會發生什麼事情？（我不會說出答案，你得自己去找。只需要確保在此過程中你不會意外上傳所有的數據。一切都會進行得很快。）

簡而言之，Google已經把同意上傳數據的問題從某個我需要付出努力（輸入我的Google證書，登錄進Chrome）才能表示同意，變成了一次意外點擊就能完成的事情。這是一個黑暗模式。無論是否有意，其效果都會讓大家在不知情的情況下激活同步變得容易，或者以為自己已經在同步了，因此增加Google對自己數據的訪問不會有額外的代價。

不要把我的話當真了。它甚至令（前）Google員工感到毛骨悚然。

老大哥其實不需要看著你。我們向自己的web瀏覽器透露的事情比我們告訴最好的朋友的事情都要多。我們對互聯網安全的理解還比較含糊。是，互聯網是在刺探我們，但是我們也相信這種刺探是比較弱的，概率性的。這不像某人站在背後看著我們的每一次點擊一樣。

可是如果你這種信念沒有了之後呢？無數研究表明，哪怕是感覺到監視的存在也會極大地放大用戶對自己強制檢查的程度。如果用戶的真實姓名和照片總是載入在瀏覽器右上角的話，他們瀏覽敏感信息的時候還會不會感覺毫無波瀾呢？Chrome開發團隊說「是的」。但我認為他們錯了。

我們都知道，這種新做法對隱私是有影響的，哪怕同步沒開也會有。Chrome開發者宣稱「同步」關閉的話，Chrome就不會有隱私方面的影響。這個也許沒錯。但如果再仔細看看細節的話，似乎沒人敢肯定這一點。

比方說，如果我登出瀏覽器，然後登錄進去打開「同步」的話，會不會所有的數據（包括登出期間）都會被上傳到Google？如果我被迫登入進去然後後續打開「同步」的話會發生什麼？沒人能告訴我這些情況下上傳的數據是不是一樣的。這種差別關係很大。

這種改變把Chrome的隱私政策弄得一團糟

Chroem的隱私政策是一份出奇簡單的文檔。它的隱私政策跟大多數的不一樣，上面明明白白地向Chrome用戶做出承諾而不是慣常的律師口吻春秋筆法。在功能上它描述了兩種瀏覽模式：「基本瀏覽模式」以及「登入模式」。這些模式有著非常不同的屬性。你自己看：

在「基本瀏覽模式」里，你的數據是在本地存儲的。在「登入」模式里，你的數據會發往Google伺服器。這很容易理解。如果你想要隱私，那就別登入。但是如果你的瀏覽器自行決定將你從一個模式切換到另一種模式時會發生什麼呢？

從技術上來說，這種隱私策略仍然是準確的。如果你處在基本瀏覽模式下，你的數據仍然存在本地。問題是你不再能夠決定自己處在哪種模式。無論始作俑者的意圖是什麼這都會徒勞無功。也許Google會更新這份文檔以反映Chrome開發者告訴我的這種新的「同步」區別。我們等著瞧吧。

更新：在我推特上講了我的擔心之後，周日我收到了兩位Chrome開發者的DM，他們都告訴了我一條好消息：Google正在更新他們的隱私政策來反映Chrome這一新的操作。嗯，我想這也許是好消息吧。但是我沒法不去注意到在周末更新隱私政策其實對於變更來說是很麻煩的一件事……顯然甚至連登入用戶的問題都解決不了。

信任不是可再生資源

對於一家靠收集大規模用戶數據維持生計的公司來說，Google設法避免了Facebook帶來的那種負面的隱私影響。這不是因為Google收集的數據更少，而是因為Google對此一貫更為慎重和負責任。

當Facebook總是不斷改變隱私政策然後在隨後道歉了事時，Google一直都堅持清晰的隱私政策並且少做改變。當然，在它收集的時候，Google的確收集了大量的數據，但只要Google對用戶安全與隱私做出了明確承諾，一般來說都會堅持下去。但這一點似乎正在改變。

Google的名聲來之不易，但是失去去輕而易舉。像這樣的改變會消滅大量的用戶信任。如果這種改變解決的是用戶的關鍵問題的話，也許失去信任也是值得的。我希望Google能說服我情況的確是這樣的。

結論

本文已經扯得太遠了，但是在結束之前我想討論一下兩個常見的反駁觀點，這些看法均出自本領域我敬重的一些人口中。

一種看法認為Google其實已經通過cookie和無所不在的廣告網路與合作關係來監控你，所以如果他們強迫你處在登入狀態的話又有什麼大不了的呢？我敬重的一個人把Chrome的改變描述為「讓你披上兩個名字標籤而不是一個。」我認為這種抗辯理由是很愚蠢的，無論是從道德層面——就因為你侵犯了我的隱私並不能成為新的大規模侵犯的理由——同時在客觀上也是愚蠢的。Google已經花費了數百萬美元用於增加額外的跟蹤功能給Chrome和Android。他們這麼做不是為了找樂子，而是因為這麼做能夠給他們製造想要的數據。

另一種抗辯理由是這樣的：我是Google產品的新手，所以當然他們會這麼做。極端的做法說我應該用lunx+Tor以及DSB的定製搜索引擎，如果不這麼做的話我自然得自作自受。

我反對這種理由。我認為像Google這樣的公司做出好的、可用的，不會大規模違背用戶隱私的開源軟體完全是有可能的。10年來我認為Google Chrome一直都是這樣做的。

為什麼他們決定要做出改變？我不知道。這讓我感到悲哀。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！