為更有效保護使用者,Google宣布強化Safe Browsing功能,提供實時的網址檢查,協助用戶避開潛在惡意網站。
Google表示,桌面版和iOS版Chrome的保護模式將以實時方式,檢查網站是否被列入Google伺服器端的已知有害網站清單。如果該網站被懷疑有風險,用戶看到警告並提供更多資訊。透過實時檢查網站, Google預計可阻擋25%更多的釣魚攻擊嘗試。
Chrome瀏覽器的現行做法是參考本機端已知的不安全網站清單,每30到60分鐘更新一次,然後利用雜湊方式將每個瀏覽的網站與資料庫進行比對。不過此防護機制存在一些問題。首先是清單規模過於龐大,部分裝置無力負荷;其次是釣魚網站出現與消失的速度極快,多數存在時間不到10分鐘,清單難以及時更新。
因此,Google重新設計Safe Browsing。在新架構下,每當用戶嘗試瀏覽網站時,網址會先與瀏覽器的全域和本機快取進行比對,包含已知安全網址及先前Safe Browsing檢查結果,以確定該網站的狀態。如果瀏覽的網址不在快取中,就會執行實時檢查,將網址處理成32位元組完整雜湊,然後截斷為4位元組長的雜湊前綴,加密並傳送到隱私伺服器。
Google解釋,隱私伺服器會移除使用者識別資訊,並透過TLS連線將加密的雜湊前綴轉發到Safe Browsing伺服器,同時混雜許多其他Chrome使用者的請求。
接著,Safe Browsing伺服器將解密雜湊前綴,並與伺服器端資料庫進行比對,回傳所有不安全網址的完整雜湊,其中包括瀏覽器傳送的任何雜湊前綴的匹配項目。
最後,在用戶端,完整雜湊將與瀏覽網址的完整雜湊進行比較,如果匹配就會顯示警告訊息。
為保障隱私,整個過程中Google不會取得使用者的瀏覽記錄。隱私伺服器是由Fastly運營的Oblivious HTTP (OHTTP)中繼器,位於Chrome與Safe Browsing伺服器之間,以防止後者存取使用者的IP位址,從而禁止將網址檢查與使用者的網路瀏覽記錄做關聯性連結。
Google強調, Safe Browsing只能看到用戶網址的雜湊前綴,而不是IP位址;隱私伺服器則能看到IP位址,但無法看到雜湊前綴。因此,沒有任何單一方可同時存取用戶的身份和雜湊前綴,所以用戶的瀏覽活動仍然是隱密的。
新版Safe Browsing目前已在桌面和iOS版Chrome中啟用,為使用者提供更即時且更徹底的保護。未來也將擴展至Android等其他平台。
本文轉載自Thehackernews。