为何不应关掉iOS上Safari的「诈骗网站警告」功能

近日有人发现，iOS上的Safari浏览器设定其中一项功能「诈骗网站警告」（Fraudulent Website Warning）在启用后，有可能把部分资料提供给腾讯，引起私隐方面的关注，有人建议关闭这项功能。但这并非好建议，简单讲几项重点︰

只有在境内的装置才会使用「腾讯安全浏览」，其他都用Google相同服务；「腾讯安全浏览」获得的资讯跟「Google安全浏览」一样； Safari不会直接把你要连上的网站网址传送出去；有关资讯并非绝无私隐风险，但诈骗网站的风险较高；苹果有责任清楚解说，不应要用户阅读私隐政策条文才得悉此事。

在考虑讨论是否需要关闭「诈骗网站警告」功能前，应先理解这项功能的用途及部分细节。根据苹果的介绍（可在iOS上Safari的设定中点选「关于Safari与私隐政策」后看到）︰

启用「诈骗网站警告」功能后，如你到访的网站疑似钓鱼网站，Safari即会显示警告。钓鱼是一种窃取你个人资料（例如用户名称、密码和其他帐户资料）的诈骗行为。诈骗网站会伪装成正常的网站（例如、金融机构或电邮供应商）。到访网站前，Safari可能会将从网站地址计算出的资料传送予「Google安全浏览」和「腾讯安全浏览」以检查是否为诈骗网站。这些安全浏览供应商也可能会记录你的IP地址。

这项功能是要阻止用户到访可疑、危险的网站，所以Safari会透过「Google安全浏览」（腾讯那部分留待稍后解说）检查要连上的每个网址。

根据资讯安全专家格连（Matthew Green）的介绍，「Google安全浏览」的早期版本，就是让浏览器传送完整网址到Google的伺服器，检查后再汇报是否安全，但这种做法让Google可以记录用户要连上的网站及IP地址，可谓「私隐噩梦」，因此Google很快便推出更安全的设计，亦是现时Safari使用的方法。

由于整个流程可能有点複杂，以下先用一个比喻解说。

假设你的工作是协助客户移民，有人告诉你，他可以连上内政部取得「禁止移民名单」（也假设这份名单存在），但他不会把所有资料交给你，你又不想透露客户私隐。于是你们协议的方法如下︰

他整理好名单上所有人的号码，但只给你每个号码的首两个字。当你有新客户的时候，便检查其号码首两个字是否吻合。假如有的话，你就告诉他是哪两个字（例如Y7），他再把名单上相应的号码（即以Y7开首的号码）给你。这样他就不会知道你客户的完整号码。

你打算浏览的网址，就像上面故事中客户的号码，是不会直接交给对方（Google）的私隐，但又需要核对网址是否在其清单上，所以用上述方式交换资讯。

当然，网址不像号码一样，实际操作会稍为複杂一点（这部分可以略过）︰

Google把其资料库中所有不安全的网址，以杂凑函数（hash）SHA256转换成256位元的杂凑值，并只保留最先的32位元，以节省储存空间； Google把这些资讯都传给浏览器，储存在你的装置上；当你连上一个网址时，你的浏览器会用相同演算法计算网址的杂凑值首32位元，再检查只否跟Google传来的资料吻合；假如吻合的话，浏览器会将有关资讯传到Google伺服器，后者会传回吻合的完整的杂凑值让你的浏览器检查。

杂凑（hashing）是一种处理数据的方法，粗略来说其作用是把资料（例如网址、密码）「打乱」，让双方不用交出完整资料，同时可以对比两项资料是否吻合，一般可用作核实档案未经窜改或保护密码。

整个过程中，Google伺服器只接受到网址杂凑值的首32位元，无法把直接这项资讯转换成网址，就像上面故事中对方只知道你的客户号码以「Y7」开首，无法得悉其完整证明。另外，由于要连上Google伺服器，其IP地址亦有可能被记录。

现在我们知道「Google安全浏览」的做法，那么「腾讯安全浏览」呢？

互联网协会委员朱家昌检视过相关的程式码后表示，「Google安全浏览」及「腾讯安全浏览」的应用程式介面（API）基本上一样，两者可以互通，使用两项服务所交出的资讯相同。

他亦指「诈骗网站警告」这项功能可以大幅减少接触到恶意软件及诈骗网站的机会，绝不建议因今次私隐忧虑而关闭，一来地区设定在以外的用户不受影响，二来对大数人而言，此功能远远利多于弊。

而的用户无法连上Google，无法使用「Google安全浏览」的服务，因此苹果给用户使用腾讯相同服务的做法合理，但他认为，苹果有责任在把用户资料传给第三方时清楚解释。

最后必须指出，採取任何安全措施时，必须平冲风险及好处，不能因小失大。虽然Google及腾讯收到用户网址的部分杂凑值及IP地址后，理论上可能从这些资讯尝试寻找用户的行为（实际上需要更多研究），然而不能忽略的风险是，一旦装置有恶意软件或连上诈骗网站，同样会令个人资料被盗，可能失去更多私隐。

为何不应关掉iOS上Safari的「诈骗网站警告」功能

相关推荐