![危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
Google的软件工程师Ben Wiser在周三回应了对该提案的严重关切,他坚称WEI旨在解决在线欺诈和滥用问题,而不会带来浏览器指纹识别和跨站跟踪所带来的隐私问题。
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
据参与这个备受争议的反欺诈项目的一名开发者介绍,Google的Web环境完整性(WEI)提案旨在使网络“更加私密和安全”。
Google的软件工程师Ben Wiser在周三回应了对该提案的严重关切,他坚称WEI旨在解决在线欺诈和滥用问题,而不会带来浏览器指纹识别和跨站跟踪所带来的隐私问题。
他在GitHub Issues帖子中解释说:“WEI实验是一个更大目标的一部分,即在阻止跨站跟踪和减少依赖指纹识别来打击欺诈和滥用的同时,保持网络的安全和开放。”
“欺诈检测和缓解技术通常严重依赖于分析客户端在一段时间内的独特行为以寻找异常,这涉及从人类用户和疑似自动化客户端收集大量客户端数据。”
WEI是一个认证方案。它为网页发布者提供了一种方式,可以在网站或应用中添加代码,通过与可信的第三方(例如Google)检查,看访问者的软件和硬件堆栈是否满足被认为是真实的某些标准。
从技术上讲,认证只是传输一个带有值的令牌的问题——这个值来自尚未公开的硬件和软件特性——这个值表明客户端是否值得信任。然后由网站发布者决定如何回应这个信号。
理论上,如果有效地实施,WEI可以让网络游戏发布者检查游戏玩家是否通过使用未经授权的硬件或软件来作弊。或者,它可能被内容发布者用来检查广告是显示给真实的访问者还是欺诈的机器人。
人们担心的是,WEI可能会被用来禁止广告拦截,阻止某些浏览器,限制网络抓取(尽管在网站的服务条款下通常被禁止,但仍然在很大程度上是合法的),排除下载YouTube视频或其他内容的软件,并对其他合法的网络活动施加其他限制。
WEI的认证检查实际上在寻找什么尚未公开。从已经添加到Chromium开源项目的WEI代码中也看不出来。但Wisner坚称,“WEI并不是为了单独针对浏览器或扩展程序”,并且并不是为了阻止伪装自己身份的浏览器。
然而,一项技术的预期用途并不一定限制了它以新的狡猾的方式被使用。
警钟敲响
在技术社区中,对该提案表示警告的人们认为,网络不应该被纳入一个基于许可的制度,其中第三方对用户的价值进行评判——没有咨询,基于不透明的标准。
Vivaldi的软件开发者Julien Picalausa在周二的一篇文章中写道:“这个想法很简单,也很危险。它将为网站提供一个API,告诉他们当前正在使用的浏览器和平台是否被一个权威的第三方(称为认证者)信任。”
“细节尚不明确,但目标似乎是防止与各种网站的‘假’交互。虽然这看起来像一个崇高的动机,而且列出的用例看起来非常合理,但提出的解决方案绝对糟糕,已经被等同于网站的DRM,带来了所有的含义。”
尽管这个想法可能很危险,但认证已经在原生平台(Android和iOS)上实施——有些人会说这些是相对开放的网络相比的独裁政权。
但认证甚至已经进入了网络。Tim Perry,开发工具HTTP Toolkit的创建者,在周二的博客文章中指出,Apple为其Safari浏览器提供了私有访问令牌。网络安全公司Cloudflare使用私有访问令牌作为避免向人们展示CAPTCHA谜题以证明他们不是机器人的一种方式。
Perry认为,Apple的方案不那么令人担忧,因为Safari的市场份额(移动和桌面浏览器的约20%)远小于Chrome/Chromium(网络客户端的约70%)。尽管如此,他反对认证,因为它从根本上是反竞争的。
Perry宣称:“网络上的欺诈和机器人是一个真正的问题,讨论如何防御这个问题是完全合理的,而且通常非常有价值!”
“这是一个难题。也就是说,这必须与网络本身的健康进行仔细的平衡。阻止竞
争,阻碍开源和开放网络,以及剥夺用户对自己设备的所有控制权,这不是一个合理的权衡。”
Google认为Apple的私有访问令牌过于私密。WEI提案说,“由于令牌完全被掩盖,这项技术假设认证者可以在没有任何来自网站关于如假阳性或假阴性等缺口的反馈的情况下,提供持续的、高质量的认证。”
Apple的私有访问令牌并不涉及设备制造商(Apple,作为认证者)和Cloudflare之间的设备数据交换。Google认为,以这种方式掩盖令牌数据会拒绝来自参与认证过程的网站的反馈,这些网站可能能够使用被扣留的设备数据来最小化不正确的信任判断。
事实上,Wiser建议,引发WEI的是隐私改进。“像用户代理减少、IP减少、防止跨站存储和指纹随机化等隐私功能使得更难区分或重新识别个体客户端,这对隐私很好,但使打击欺诈更困难,”他声称。
他辩称,这样做的结果是,决心打击欺诈的网站已经通过增加他们对登录门的使用,侵入性的指纹技术,以及像CAPTCHAs和SMS验证这样的侵入性挑战来回应。Wiser认为,这些防御措施使网络体验变得更糟。
“我们认为这是一个难以解决的问题,但是一个非常重要的问题,我们将继续努力。我们将继续在公开场合设计、讨论和辩论,”他说。
根本的缺陷
Vivaldi的CEO Jon von Tetzchner在接受The Register采访时说,虽然Google尚未明确指出WEI将如何衡量以做出信任判断,但细节并不真正重要——整个方法都是有问题的。
“监控经济是存在问题的一个大原因,”他解释说,“而监控经济的解决方案似乎是更多的监控。”
Von Tetzchner说,Google想知道谁在看它的广告,但他认为,Google应该关注它的广告在哪里显示——通常是在网络垃圾页面上,由参与广告欺诈的机器人查看。
他回忆起他参与Opera浏览器时,不得不处理Google Docs在浏览器上无法工作的问题。“当我们开始使用Vivaldi时,我的想法是,好吧,我们正在使用Chromium,这不会是问题,”他说。
但兼容性问题仍然存在,他说,Vivaldi不得不隐藏自己的身份(伪装其默认的用户代理字符串)以使用户能够访问流行的Google服务。他担心WEI代表了更多的同样的问题。
Von Tetzchner认为,认证不是应对在线欺诈的适当回应。
“我只是不认为这是一个解决方案,”他说。“解决方案是摆脱监控经济。我们一直在试图禁止监控经济,禁止收集数据,制作用户档案,并将其用于广告。我真的不明白为什么这在社会上应该是合法的。
“监控经济非常有毒,”他补充说。“它为社会创造了重大问题。我认为明显的事情应该是停止使用这项技术。使用它没有任何意义,有其他同样有效的做广告的方式。但是对某些公司来说,这里有很多钱,他们不想放弃他们所拥有的东西。”
公司要给员工办理手机卡,申请个几十张上百张的,本是很正常的事,但是这些办好的手机卡,却频频在境外使用,而且还有不少联系人被骗了钱,这多少就有点不正常了。
2023年5月份,天桥公安分局新城派出所的民警在工作中发现,有多张属地为山东济南的手机卡,在缅北地区冒充京东客服 、京东金条的工作人员,定向对山东这边实施诈骗。接到线索后,民警立即对这些电话卡的使用情况进行调查取证。
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一内鬼被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
经过民警查证,这些手机卡涉案17起 ,涉及被骗金额230余万元。随后,民警联系了相关通信运营商,发现这批手机卡都是通过一个叫石某的业务员办理出去的。
据石某交代,当时,是一名叫董某某的人,说公司为了业绩和引流,需要开通大批的手机卡。而石某为了扩大业绩,在没有仔细核实对方身份和用途的情况下,就应承下来。
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一内鬼被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
于是,在接下来的日子里,石某按照董某某的要求,按照每人三到五张的数量,先后为50多人办理手机卡。所有开设的手机卡,都留在柜面后,由石某转交给了董某某。而随着董某某的落网,整个案件的脉络被一点点地还原出来。
据了解,董某某通过网上认识了云南的上线刀某,刀某告诉董某某贩卖一张卡,能获利50~70元。因此,在刀某的帮助和策划下,董某某开始四处拉人头,在互联网上发布虚假信息,诱导那些不明真相和急于打工挣钱的年轻人。
办一张卡给80元,几百元轻松到手,因此,不少人就在网上联系了董某某,并按照董某某的要求,来网点用自己的身份信息办理了手机卡,事后,石某将这些卡转交给了董某某,而董某某打包运往中缅边境后,加价卖给其上线。
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一内鬼被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
民警介绍:
手机卡和银行卡一样,虽然使用途径不一样,但都是骗子用来隐匿身份、实现诈骗手段重要的渠道。一张卡可能在他们手中翻不起什么浪花,但是到了电信网络诈骗团伙手里,起的作用就非常巨大了,有可能会导致受害人被骗几万、几十万甚至是上百万元。
乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中!
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一内鬼被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一内鬼被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
重磅|2023华盟HW工程师招募
![危险、糟糕!Google的浏览器安全计划存在缺陷;这一内鬼被抓了,警方通报;]( "危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;")
原文始发于微信公众号(黑白之道):危险、糟糕!Google的浏览器安全计划存在缺陷;这一“内鬼”被抓了,警方通报;
评论