最新專訪實錄文章

Image credit:

Chrome 的骑士盾,谷歌 Security Princess 访谈

这位公主不需保护,反倒肩负着我们大家的网络安全。

Eric Chan
2017 年 2 月 7 日, 晚上 11:00
童话故事里的公主都有一种需要被保护的感觉,就像马里奥大叔在这么多年来都要在库巴手上拯救出碧姬公主一样。不过在谷歌的这位 Security Princess 却手执盾牌,守护着大家的 Chrome 浏览器免受恶意程序攻击。小编这次就乘着世界网络安全日的机会,与 Security Princess -- Parisa Tabriz 聊聊天,听她分享在维护网络安全的想法和建议,让大家可以在浏览网页时更安全。

Security Princess 的责任


这位守护着 Chrome 「城堡」的公主的芳名是 Parisa Tabriz,单从外表观察以及得悉她出生于医护世家的背景,几乎不会把她与网络安全联系在一起。不过 Parisa 在高中时代学习网页设计的机会,却让她对电脑科学产生兴趣,进而在大学时选修相关的工程学科,以及学得一身高超的骇客本领,随后就是作为「信息安全工程师(Information Security Engineer)」的身份加入谷歌工作。

那到底为什么 Parisa 会从工程师变成「公主」呢?那就是因为她一次参加会议时,发觉原来的职称实在是太无聊了,所以就改为 Security Princess,并一直沿用到现在。这可不是口耳相传而已,而是实实在在的印在名片上!

Parisa 先后为多款谷歌产品的安全性把关,于 4 年前开始接管 Google Chrome 的安全,这也算是回归到她会踏进这领域的原点吧。因为 Parisa 认为「浏览器」就像人们连上互联网的一扇窗,其安全性是非常的重要。所谓的「上网」,其实并非使用者直接存取网站服务器里的内容,中间还需要经过路由器、互联网服务供应商、服务器节点等多个中途点,每一个环节都会有着被中间人(Man-in-the-Middle)攻击的风险。作为终端的浏览器其实也只占了中间的一个部份,所以 Parisa 和她的团队同时有着另一个更大的目标:提升整体互联网的安全。

为 Chrome 浏览器把关



作为负责 Chrome 安全的把关人,这里也是一个好的切入点来提升整体互联网的安全。因为它能通过「安全浏览网站状态」的功能事先排查使用者想要进入的网页是否潜藏着危险,像是钓鱼、木马、恶意软件等,并发出警告。Parisa 的团队有着二十多位来自不同领域的专材,除了电脑工程外,还有设计、法律等的人员,为的就是在找出有风险网页之余,还能以有效的方式传达至使用者,这也就是我们一直都有报道过 Chrome 浏览器会因应网页的安全度而有着不同的提示,像是网址列上的加密图标,以至大大的红色警告页面(上图)。

Chrome 浏览器因为登陆在包括桌机和移动设备上不同的平台,它们之间在硬件和操作系统的根本性分别,Parisa 表示这是对于他们安全团队的一大挑战。以硬件来说,桌机因为性能更高,所以 Chrome 浏览器的安全程度也相对强大,但同时也因为有着附加元件和其他额外功能而要面对更多风险;移动设备则是一个愈来愈多使用者使用的平台,不过却因为移动版 Chrome 没有附加元件而减少被骇的风险,只是设备的硬件性能却成了一个瓶颈。但无论平台有多大的分别,风险还是平等地多的,所以安全性团队也有努力地在把桌机的保护功能带到移动设备上,其中一个最新的就是上面提到的那大红背景警告页面。

说到现在的一个网络安全热话,就是 HTTPS 加密浏览。一如前面所述,网页浏览其实需要经过重重的关卡,资料可能在任何一个环节被骇客截获,所以谷歌也有大力推广网站应该要采用 HTTPS 加密连线。Parisa 分享了一个最新的数字,指截至本月为止,在全球百大网站里,已经有着 54 个支持 HTTPS 连线,其中 44 个更是预设使用。比一年前分别只有 39 个和 24 个的数字,已经有着极大进步,而 Parisa 和团队则会继续努力去了解和协助余下的网站转用 HTTPS,同时也有在 Chrome 浏览器加入提示,让使用者知悉网站是否有被加密。

除此之外,过去一直被垢病为恶意广告温床的 Flash 插件终算要被 HTML 5 所取替。Parisa 认为这是一个时代的进步,因为这由过去单靠 Adobe 一方去为这插件做除虫,进化成使用开放的 HTML5 协定,让互联网整体作为一个社交来共同维护。所以无论 HTML5 日后被发现到存有什么问题,也能集众人之力尽快解决。

推广网络安全和教育


Professor Palmer and the Art of Black Magic
在谷歌一方奋力改进 Chrome 时,在促进互联网安全的议题上,教育大众也是一个重要的理节。再以 HTML5 为例子,俗语说「三个臭皮匠、顶个诸葛亮」,所以集众人之力更能让事情事半功倍。除了是骇客社交会议和有奖金的悬赏计划之外,谷歌也有投资于教育的方面。

谷歌已经设立了适合不同电脑知识的网络安全教育网站,让拥有基础编程知识的学生,甚至是几岁的小朋友都可以接触并培养到网络安全有关的想法。Parisa 甚至在美国当地亲身向低下阶层的小朋友或女童军(上图)等不同团体,以有趣的方式教授基本的网络安全知识,当中也有包括动手制作简单的加密设备,寓教于乐。

保护自己


最后就是 Parisa 给我们分享的五点网络安全建议,但其实不少也是老生常谈了呢。
  • 便宜莫贪:钓鱼或恶意广告最爱用的手段。
  • 不要重复使用密码:不管你的密码强度多高,网站一旦有漏洞就会被盗,而且能按图索骥地入侵其他帐户。真怕忘记的话,不妨善用密码管理员吧。
  • 不要使用公共电脑和检查帐户安全:这很明显了吧。
  • 小心下载的软件和应用程序:与第一点相似,但风险更高吧。
  • 保持软件更新:这部分应该不用担心,因为 Chrome 浏览器现在都有自动更新功能,除非你是使用老旧操作系统的了...

总结


Chrome Security 2016
说到「骇客」或「网络安全专家」,我们一般的印象都是宅宅或精英份子。不过在与 Parisa 公主见面之后,就会发现原来一个如此具亲和力的人,就是肩责着保护我们互网联安全重任的骑士。Parisa 也有提到的就是她也有向电视或电影公司建议一改「骇客」的造型,以免给予小朋友一个㛭误的印象,扼杀网络安全的幼苗。而且她也有展示与其团队的合照,仔细看看相中成员其实都与我们一般人无异,与电影故事里的夸张形容根本是南辕北辙吧。

在聊天之中,Parisa 的一句话是最发人深省的:「Do No Evil,Do Know Evil」。这句话的前半段是 Google 的座右铭,目的是提醒其员工千万不要走歪;而 Parisa 加上的后半句,则是告诉我们身处在这危机四伏的互联网世界里,必需要知己知彼才能保护自己。

趁着世界网络安全日,大家就来检查一下自己的互联网帐户有没有好好的设置各种安全设定,包括两步骤认证、高强度密码,以及更新一下应用程序吧!