Buzz
Nhiều người có thể thấy khó nhớ thời điểm trước khi có Chrome. Nhưng khi trình duyệt của Google tròn 10 tuổi vào thứ Ba này, đáng chú ý về một nguồn gốc ít được đánh giá cao của sự phổ biến của nó: cách nó làm cho web trở nên an toàn hơn.
Các nhà phát triển Google không phải là người phát minh ra mọi cải tiến làm cho Chrome trở thành một lựa chọn an toàn hơn so với các đối thủ đã được thiết lập như Internet Explorer và Safari khi nó ra mắt. Nhưng họ đã kiến trúc dựng dịch vụ để kết hợp các thành phần quan trọng theo một cách mới, tạo ra một trải nghiệm duyệt web an toàn và đáng tin cậy hơn đáng kể.
"Chúng ta đang bước vào thế giới Web 3.0 với Chrome đúng không?" Mytour viết vào ngày 2 tháng 9 năm 2008, ngày Chrome ra mắt. "Cách nó quản lý tab, cách nó xử lý lỗi, tốc độ chói lọi của nó... không có nghi ngờ gì rằng đây là một trò chơi thay đổi trong thế giới phát triển web."
Điều quan trọng là, Chrome quản lý tab theo một cách mới; "sandbox" của nó làm cho mỗi tab chạy với quyền hạn và bộ nhớ được bảo vệ riêng. Như vậy, nếu một tab bị crash, nó không làm crash toàn bộ trình duyệt, và nếu một kẻ tấn công cố gắng tấn công người dùng Chrome, cô ấy sẽ không thể chiếm đóng nhiều hơn một trang web cùng một lúc. Lần đầu tiên, một trình duyệt hoạt động giống như một hệ điều hành, chạy nhiều chương trình cô lập trên một hệ thống quyền hạn, thay vì là một chương trình tự do tổ chức duy nhất.
"Khi Chrome bắt đầu, mối đe dọa lớn là malware 'drive-by', và tôi nghĩ mọi người quên điều đó đã phổ biến như thế nào trong những ngày đó," nói Justin Schuh, một kỹ sư chính đã làm việc trên Chrome từ năm 2009. "Nếu bạn không có một trình duyệt cập nhật, hoặc thậm chí trong một số trường hợp nếu bạn có, bạn có thể duyệt đến một trang web và nhận mã độc hại vào hệ thống và bạn sẽ không biết điều đó đã xảy ra như thế nào. Vì vậy, thiết kế ban đầu của Chrome có hai phần lớn: cập nhật tự động để đảm bảo bạn luôn có phiên bản mới nhất, và sandbox của Chrome để đảm bảo nếu có một lỗ hổng có thể bị tận dụng, chúng ta có thể giới hạn nó trong sandbox."
Những tính năng đặc biệt của Chrome trong năm 2008 giờ đây đã trở thành một tiêu chuẩn ngành công nghiệp, nhưng vào thời điểm đó Google đã nhận được chỉ trích về những đánh cược lớn của trình duyệt mới này. "Có rất nhiều sự chống đối với cập nhật tự động kể cả từ đội ngũ bảo mật của Chrome—bao gồm cả những người hiện đang làm việc trong đội ngũ của chúng tôi," nói Parisa Tabriz, Giám đốc Kỹ thuật của Chrome. "Tôi nhớ một đồng nghiệp nói rằng cập nhật tự động là quỷ. Anh ấy nói rằng nó đang lấy đi sự lựa chọn của người dùng, và đặt quá nhiều niềm tin vào một điểm thất bại duy nhất. Nhưng bây giờ có một sự chuyển đổi lớn trong ngành công nghiệp rằng cập nhật tự động thực sự hợp lý cho trình duyệt."
Chrome sớm trở nên nổi tiếng với tư cách trình duyệt an toàn, và sandbox ban đầu của nó, kết hợp với các tính năng bảo vệ phishing và malware từ dịch vụ Safe Browsing của Google, hiệu quả bảo vệ người dùng khỏi hầu hết các mối đe dọa của thời đại. Nhưng khi hacking web phát triển và kẻ tấn công chuyển từ việc tải xuống drive-by để dựa nhiều hơn vào việc khai thác các thành phần và dịch vụ của bên thứ ba được nhúng trong các trang web, Chrome đã nhanh chóng bắt kịp để khắc phục những loại lỗ hổng khác nhau này.
"Chúng tôi đã thấy nhiều sự đ compromi người dùng nhất vào khoảng năm 2011 và 2012," Tabriz nói. "Chúng đến từ các plugin của bên thứ ba mà chúng tôi không thể kiểm soát như Flash. Một trong những điều thú vị về Bảo mật Chrome và web nói chung là có rất nhiều đối tác với các trình duyệt khác. Vì vậy, Flash là một công nghệ mạnh mẽ, sáng tạo, nhưng cũng rất độc quyền và đi kèm với nhiều vấn đề về bảo mật. Vì vậy, chúng tôi đã chuyển sang sử dụng một tiêu chuẩn mở với HTML5 mà tất cả các trình duyệt đều có thể sử dụng."
Mặc dù Google rõ ràng là quyết liệt trong việc thu hút người dùng Chrome và đã xây dựng một hệ sinh thái hoàn chỉnh thông qua Android dựa trên Chrome, Schuh và Tabriz lưu ý rằng trình duyệt vẫn được hỗ trợ bởi một dự án mã nguồn mở lớn. Và họ thêm rằng ngoài việc công bố mã nguồn, Chrome cũng được phát triển rất có ý thức theo cách công khai, với đóng góp từ khắp nơi trên thế giới và diễn đàn Chromium công khai. Google thậm chí đã trả hơn 4,2 triệu đô la thông qua chương trình bug bounty của mình cho các nhà nghiên cứu nếu họ gửi lỗ hổng Chrome.
"Có thể mở nguồn một thứ gì đó mà không phải là một dự án mã nguồn mở," Schuh nói. "Nhưng trang wiki và danh sách gửi của chúng tôi ngoại trừ, bất kỳ ai trên thế giới cũng có thể đăng ký. Và nhiều người làm việc trong các dự án của chúng tôi, họ không sử dụng tài khoản Google doanh nghiệp, mà là tài khoản Chromium độc lập."
Một dự án quan trọng trong những năm gần đây đã là mở rộng khái niệm về Chrome sandbox thông qua một tính năng mới gọi là "tách trang web." Cơ chế này phân chia các trang web thành các quy trình khác nhau một cách mạnh mẽ hơn, làm cho việc đánh cắp dữ liệu người dùng giữa các thành phần và trang web khác nhau trở nên khó khăn hơn. Mặc dù đội ngũ Chrome ban đầu tưởng tượng tính năng này như một biện pháp bảo vệ chống lại nhiều loại tội phạm và lạm dụng trực tuyến, nó đã bảo vệ khỏi các lỗ hổng xử lý kiểu Meltdown và Spectre.
Một tập trung gần đây hơn: ủng hộ việc sử dụng kết nối được mã hóa trên web. Sau vài năm hợp tác với cộng đồng an ninh khác để khuyến khích các trang web sử dụng HTTPS thay vì HTTP, Chrome đã đổi thông điệp trong trình duyệt của mình vào đầu năm 2017 để chỉ trích các trang web vẫn chưa cung cấp bảo vệ. Trước đây, các trang web có HTTPS được đánh dấu là an toàn, Chrome đã thay đổi để xem đó là điều bình thường và bắt đầu đánh dấu các trang chỉ sử dụng HTTP là không an toàn với cảnh báo đến người dùng. Hiện nay, 77% lưu lượng Chrome đã được bảo vệ bằng HTTPS.
"HTTPS đã có sẵn trong 20 năm, nhưng web đã chủ yếu là HTTP cho đến gần đây," nói Adrienne Porter Felt, quản lý kỹ thuật của Chrome. "Chúng ta có thể đã thay đổi giao diện Chrome để nói với mọi người 'đừng, dữ liệu của bạn không an toàn.' Điều đó có thể là đúng, nhưng nó cũng sẽ làm kinh hoàng và nó sẽ không giải quyết vấn đề. Vì vậy, chúng tôi quyết định sẽ giúp làm cho toàn bộ web được mã hóa. Chúng tôi đã hợp tác với đối tác như Let’s Encrypt và Firefox và những người khác để làm cho HTTPS trở nên rẻ hơn và dễ triển khai hơn. Đó là một vấn đề khó khăn để giải quyết và ban đầu, chúng tôi đã gặp nhiều sự hoài nghi ngay cả từ bên trong công ty của mình."
Những người phản đối ban đầu về cập nhật tự động của Chrome lo lắng về việc đi quá xa và một điểm thất bại duy nhất đã báo trước về những lời phê phán mà đã đến với các sáng kiến an ninh của Chrome lần nữa và lần nữa. Khi trình duyệt lan rộng, cộng đồng web trở nên ngày càng đề phòng với sức mạnh của dịch vụ để ảnh hưởng đến các tiêu chuẩn và thúc đẩy các nhà phát triển tối ưu hóa trang web cho Chrome hơn so với các nền tảng khác.
Nhân kỷ niệm 10 năm, Chrome trình làng thiết kế mới trên máy tính và di động, tính năng quản lý tab được tối ưu hóa, cài đặt cá nhân hóa mở rộng và tính năng "Smart Answers" mà Chrome nói sẽ tức thì hiển thị thông tin trong thanh địa chỉ "Omnibox" của Chrome trước khi mở bất kỳ trang web nào. Nhưng nhìn xa vào 10 năm tới, nhóm cho biết họ có kế hoạch tích hợp sâu hơn với trí tuệ nhân tạo và máy học - một xu hướng trong các dịch vụ Google - và tích hợp thêm công cụ thực tế ảo và ảo ảnh để duyệt web tốt hơn.
Nhóm bảo mật cụ thể có kế hoạch làm việc để mang tính năng cách ly trang web đến duyệt web trên điện thoại di động; nguồn lực tính toán hạn chế trên điện thoại thông minh làm cho điều này trở nên khó khăn. Nhóm cũng có kế hoạch ưu tiên giáo dục người dùng Chrome về trình quản lý mật khẩu tích hợp sẵn trong trình duyệt, một tính năng đã tồn tại từ nhiều năm nhưng đã chủ yếu không được chú ý vì Chrome có quá nhiều tính năng khác để quảng bá. Ở đây, sự thống trị của Chrome cũng đặt ra một số câu hỏi; trình quản lý mật khẩu tích hợp trong trình duyệt có thể có những vấn đề về an toàn và không được các chuyên gia bảo mật ưa chuộng. Chúng có thể tốt hơn là không có gì, nhưng một trình quản lý mật khẩu riêng biệt sẽ là lựa chọn an toàn hơn.
Các kỹ sư của Chrome cũng nói rằng việc kiểm soát lừa đảo vẫn là một ưu tiên hàng đầu. Nỗ lực này kết hợp quét và giám sát của Chrome với việc thúc đẩy các trang web áp dụng các biện pháp tốt nhất trong quản lý thông tin xác thực và xác thực web. Và Google đang cấp nhật người dùng về cách họ có thể tự bảo vệ thông qua các biện pháp như thông tin xác thực vật lý.
"Lừa đảo mật khẩu là một vấn đề lớn ngay bây giờ," Schuh nói. "Mọi người đều biết ai đó đã bị lừa đảo mật khẩu, và nó đã đóng một vai trò quan trọng trong cuộc bầu cử năm 2016. Tôi sẽ rất, rất buồn nếu từ ba đến năm năm nữa lừa đảo mật khẩu vẫn là điều chúng ta cảm thấy chưa giải quyết lớn".
Có lẽ đáng chú ý nhất, nhóm nói rằng dự án quy mô HTTPS tiếp theo của họ sẽ là làm việc để thiết kế lại cách URL được hiển thị trên web như một phần của nỗ lực để tưởng tượng lại danh tính trực tuyến. Nhóm cho biết nếu người dùng có một cách tốt hơn để theo dõi các thực thể mà họ đang tương tác tại một thời điểm nhất định, họ sẽ có khả năng ra quyết định tốt hơn về việc tin tưởng vào ai và khi nào. Nhưng mọi nỗ lực để làm mới hệ sinh thái URL sẽ không tránh khỏi sự phân biệt. "Nó sẽ rất khó khăn và gây tranh cãi khi làm cho mọi người rời xa URL như chúng đang là," Tabriz nói.
Tốt hay xấu, tất cả những năm đối đầu với sự phản đối của ngành công nghiệp và cộng đồng đã làm cho đội an ninh Chrome trở nên mạnh mẽ hơn và tham gia vào những dự án hệ sinh thái web ngày càng rộng lớn như vậy. Và mặc dù nó thường là điều tốt đẹp cho đến nay, sự lan rộng của Chrome kết hợp với sự thống trị chung của Google đặt ra những mối đe dọa cao trong vòng 10 năm tới. Cộng đồng web sẽ theo dõi để xem Chrome thực sự đánh giá cao sự đa dạng khi dịch vụ ngày càng kiểm soát nhiều hơn trực tuyến.
Những bài viết tuyệt vời khác từ Mytour
- Làm thế nào NotPetya, một đoạn mã duy nhất, làm đổ vỡ thế giới
- ESSAY ẢNH: Một thập kỷ tuyệt vời tại Burning Man
- Ca sĩ mang kiến thức F1 đến Porsche 911
- Trí tuệ nhân tạo là tương lai—nhưng phụ nữ ở đâu?
- Nghĩ rằng dòng sông hiện đang nguy hiểm? Chỉ đợi thôi
- Nhận thêm nhiều thông tin nội bộ của chúng tôi với bản tin hàng tuần Backchannel của chúng tôi
