一般来说,我的个人博文不会吐槽互联网方面的内容。但一直以来总有些东西如鲠在喉,所以今天不得不破例了。
今天我想专门写写Google Chrome这个以前我很喜爱的浏览器,自从它开始强制用户登录之后,我便没有再使用了。
Chrome简史
十年前Google发布了Chrome,当时似乎能达到罕见的共赢局面。2008年,浏览器市场由微软垄断,这要归功于它利用浏览器的统治地位打压竞争对手的不光彩历史。更甚的是,微软还想染指搜索业务,这给Google的互联网业务造成了威胁。
在这种局面下,Chrome打开了一扇新的大门。尽管Chrome浏览器没有给Google带来一分钱的利润,但它存在的目的是保证互联网的大门永远对Google的其他产品开放。额外的好处就是互联网的开发社区得到了一个由最好的开发团队开发的、优秀的开源浏览器。这对Mozilla不算个好消息(它们由于Chrome的出现而付出了沉重的代价),但总体来说对于互联网标准是有益的。
多年来情况一直如此。当然,Google在Chrome添加了非必须的“登录”功能,这个功能可以将你的浏览数据打包发送到Google,但这个功能并不是强制的,你可以很容易地忽略它。如果你不想要这个功能带来的好处,那么Google的隐私政策还是很明确的:[你的数据只应该存在自己的电脑上](https://www.google.com/chrome/privacy/#browser-modes)。
发生了什么变化?
几周前,Google发布了一个Chrome更新,彻底改变了登录的使用方式。以后,用户每次登陆到Google的产品(如Gmail),Chrome会自动将浏览器登录到你的Google账号。它不会询问你的许可,甚至不会明确地告诉你(不过很重要的一点是,Google的开发者声称,这种登录不会将你的数据同步到Google——至少现在还不会)。
如果非要说警示,那么你能得到的唯一警示就是,你的头像会程序现在浏览器窗口的右上角。有一天我注意到了:
许多人也注意到了这个改变。Hacker News之类的网站上也有一些[讨论](https://news.ycombinator.com/item?id=17942252)。但主流科技媒体似乎完全忽略了这个情况。这是个不幸的现象,因为这次更新对Google和Chrome会有很大的影响,希望以后能有所改进。
下面将讨论为什么这次改动非常重要。在我看来,基本上可以归纳为4点:
Chrome开发团队没有给出合理的理由解释这次更改的必要性,而他们给出的解释毫无道理;
这次更改对于用户隐私和新用户有巨大的影响,而似乎Google并没打算解决问题;
这个改动违反了Google自己制定的Chrome隐私协议;
Google应该停止把用户当做资源的行为。
我猜想这篇文章的评论区会比较热闹吧。
Google的解释毫无道理
触发自动登录的功能叫做“浏览器和cookie容器支架你的身份一致性”。在Twitter上与两个Chrome开发者分别讨论这个问题后(这里我就不提名字了免得招恨),我得到了以下的解释:
“注意这并不会启用同步。你仍然需要明确地设置才能启用。”
“这个功能的目的是解决一个问题:在内容区域以A账号登录,但浏览器以B同步,就必然会产生问题。”
换句话说,如果你已经登录了Chrome,然后你的朋友用了你的电脑,那么你朋友的Google cookie就会上传到你的账号上。这的确是个问题,我们当然要避免。
但请注意这里的限制条件。为了触发这个问题,你必须已经登录了Chrome。这个问题完全不会影响到一开始就没有登录过浏览器的用户。
所以,既然这个问题只影响到已登录的用户,为什么你们的修改会强制从未登录过的用户登录浏览器呢?我可以花很多时间来纠结他们所说的“问题”和“修改”这两个词的区别,但想想还是算了,因为Chrome团队任何面向公众的人都不能将圆变成方。
而这个问题很重要,因为“同步”与否关系到……
这个改变对隐私和信任有重大影响
Chrome团队对该修改提供了一个解释。他们指出,浏览器的“登录”并不意味着会将你的数据上传到Google的服务器。具体来说:
尽管Google现在会不经允许(在Gmail登录之后)登录到你的Google账号,但Chrome不会启用“同步”功能并将你的数据发送到Google。这需要额外的许可。所以理论上来说你的数据还是会保留在本地。
这段话是我转述的。但我认为,跟我讨论问题的Chrome开发者态度可以概括成一句话:只要不同步,那么做任何修改都是对的,任何事都是允许的。
这是完全错误的。理由有几个:
用户许可很重要。十年来Chrome浏览器一直在问我一个问题:“你要用你的Google账号登录吗?”而十年来我一直在回答“不”。现在Chrome依然会问我这个问题,只是它已不再尊重我的决定了。
Chrome开发者试图让我相信这是无所谓的,因为还有另一个许可来保护我。但问题很明显:如果在Chrome中最大的隐私选项上你不尊重我的许可(甚至根本不告诉我你不再尊重了!),那我凭什么相信你提供的其他许可选项呢?如果过几个月我们都忘了这件事后你偷偷地改了,谁能知道?
问题的关键在于,我甚至从来没听说过Chrome的“同步”选项,只因为我在2018年9月之前从来没有登录过Chrome。现在我不得不学习这些新词汇,并且寄希望于Chrome团队能遵守承诺,在“未登录”和“登录”之间的界限越来越模糊之际,能够将我的数据保留在本地。
Chrome的同步UI是一种暗模式(指经过特意设计诱使用户完成某项动作的界面设计)。现在我被迫登录到Google,于是看到了这个以前从未见过的全新的菜单。它长这样:
那个蓝色的大按钮是代表我已经在与Google同步数据吗?太可怕了!等等,也许它是在邀请我开始同步!如果是这样的话,我要是不小心点了这个按钮,我的数据会怎样?(我不知道答案是什么,答案留给读者去找吧。但要保证别一不小心上传了你的所有数据,上传可能会很快的。)
简单来说,就数据上传的许可问题来说,以前我需要实际的努力(即在Chrome中输入我的Google用户名和密码)才能完成的事情,现在Google将其改成了只需点一个按钮就能完成,这就是一种暗模式。不管动机如何,它的结果就是让人们能在不知不觉中启用数据同步,或者诱导人们认为已经在同步了,进而不需要任何额外的代价就能让Google访问人们更多的数据。
这一点,连(前)Google的员工都很震惊。
老大哥不需要真的盯着你。连最好的朋友都不能告诉的事情,我们都会告诉浏览器。我们似乎知道“互联网在监视我们”,但我们也相信,这种监视很弱,而且是随机的。并不是有人站在你身后,每当你点鼠标都检查你的驾照一样。
如果这种信仰消失会怎样?许多研究表明,即使是对监视的感知,也能从数量级上提高人们强迫自我审查的程度。用户在浏览敏感信息时,如果他们的名字和照片显示在浏览器的角落里,他们会感到舒服吗?Chrome开发团队的回答是“会”。我认为他们错了。
据我们所知,即使关闭同步,新的方式也对隐私有影响。Chrome开发团队说,关闭同步后,Chrome不会对隐私造成影响。也许是真的,但实际的细节却经不起推敲。
比如,如果我从浏览器退出登录,然后重新登录,再启用“同步”,那么我过去(退出登录期间)的数据会被上传到Google吗?如果我被强迫登录,然后启用了“同步”会怎样?没人说得清这些情况下的数据上传行为是否一致。而这些细节十分关键。
这些改变违反了Chrome的隐私政策
[Chrome的隐私政策](https://www.google.com/chrome/privacy/)十分简洁。与其他隐私政策不同,Google的隐私政策写成了对Chrome用户的承诺形式,而不是通常的法律文书。从功能上来说,它描述了两种浏览模式:“基本模式”和“登录模式”。这两者的特点有很大区别。
“基本模式”下,所有数据都保存在本地。“登录模式”下,数据发送到Google服务器。很容易理解。如果想要隐私,就不要登录。但如果浏览器私自决定从一种模式切换到另一种模式会怎样?
理论上,隐私政策依然是准确的,基本模式下数据依然保存在本地。但问题是,你不再能够决定你所处的模式了。这是对最初起草隐私政策的人的莫大讽刺。也许Google会更新这个文档以反映Chrome团队告诉我的“同步”的区别。等着看吧。
最新更新:在推特上说了我的担忧之后,最近我又分别收到了两名Chrome开发者的私信,两人都告诉我了好消息,就是Google正在更新隐私政策,来反映Chrome的新行为。嗯……的确是个好消息。但我不禁注意到,在周末更新隐私政策可能真是遇上大麻烦了……而且显然并不能解决未登录用户的问题。
信任是不可再生资源
作为一家依靠收集大量用户数据来维持的公司,Google成功地避免了其他公司(如Facebook)面临的负面隐私问题。这并不是因为Google收集的数据少,只是因为Google更保守,对于隐私方面更重视而已。
Facebook的做法是经常改动隐私设置,改完再道歉,Google的隐私策略很清晰,而且很少变动。当然,Google也会收集很多数据,但只要Google能明确地遵守用户安全和隐私方面的承诺就没问题。但现在似乎发生了变化。
赢得声望很难,但失去声望却很容易,这种改变会丧失很多用户的信任。如果这种改变能解决致命的问题,或许还值得。我希望Google能说服我他们这么做是值得的。
结论
这篇文章我写了很久,但在结束之前,我希望指出在这方面我尊敬的人们经常提出的两个反论。
一种观点认为,Google已经通过cookie和无孔不入的广告网络在监视每一个人了,所以强迫浏览器切换成登录模式又有什么变化呢?我尊敬的某个人把这次Chrome的改动描绘成“戴一个狗牌变成戴两个狗牌”。我认为这种观点很愚蠢:从道德方面,你已经在侵犯我的隐私,并不意味着你可以进一步侵犯;客观来看,这个观点也很愚蠢。Google花了几百万美元在Chrome和安卓上增加追踪功能。他们这样做并不是因为好玩,而是因为他们需要那些数据。
另一种反论(如果一定要说是反论的话)大概是这样:反正我也不懂Google的产品,反正他们肯定会这么做。极端版本认为,如果我不想接受这些后果,我应该只使用lynx和Tor,还有DJB的自定义搜索引擎。
我反对这种观点。我认为,对于Google这样的公司,开发好的、可用的开源软件,并且不大规模地侵犯用户隐私,是完全可能的。十年来我一直相信,Google Chrome做到了这一点。
我不知道他们为什么要改变,对此我感到很伤心。
原文:https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/
作者:Mattew Green,Johns Hopkins大学教授,专业方向是无线网、支付系统和数字内容保护平台中的加密系统的设计和分析。
译者:弯月,责编:郭芮