2011-03-19

《谷歌:中国最好的朋友》系列之一:谷歌安全性能简介

转发此新闻:
作者:拓木 2011319 (本文快捷链接 http://goo.gl/kZiyS)

前言
谷歌和中国是个说不完的话题。谷歌对中国进步起到的作用,将来一定会在历史书上记下光辉的一笔。尤其是去年谷歌退出大陆事件之后,一直想写点什么却没有动笔;这次茉莉花事件中,谷歌做为中国自由爱好者不可缺少的工具,其作用愈发突出,所以籍此机会,分享一些东西和大家共勉。第一篇想写一点有实际作用的东西,也就是谷歌各种产品的安全性能,包括https加密服务,Gmail安全性能和Chrome安全性能,希望能对大家使用互联网和谷歌能有帮助。本作者远非专业人士,疏漏之处见谅。

https 加密服务
简单的说,https就是加密的http。由于GFW扫描所有进出中国的信息包,所以建议对任何敏感的问题,都请使用https(在浏览器地址栏里可以查看)。缺省状况下,GmailGoogle Buzz使用https,而且Google ReaderGoogle Docs都有https的选项。这里想特别提出的就是Google Search也有https加密搜索(https://www.google.com),使用加密搜索结果页面就可以顺利通过GFW扫描。但是由于GFW(网络防火墙)会对URL(网址)也进行扫描,所以如果URL含有敏感字符串也会有问题,一个解决办法是在搜索框内搜索疑似敏感词的时候在字间加入空格或标点,这样不影响搜索结 果,但是可以达到在URL中嵌入"+"号或其他标点的效果,得以通过GFW最简单的扫描。

也正是因为如此,谷歌的https服务自2011年三月开始就开始受到GFW的骚扰。月光博客(http://www.williamlong.info/archives/2579.html)对此做了详细的研究和介绍。但是由于Gmail在中国大陆用户众多,这样的骚扰自然会引起网民的强烈反弹,所以我认为这样的骚扰应该不会加剧到完全屏蔽。对于中国大陆的用户,如果你发现Gmail或者Reader经常掉线,一定要发出自己不满的声音。

Gmail: 最安全的邮件服务
Email 一直是某些政府当局攻击的首要目标。一个异议人士的email被攻破,他的邮件即可成为罪证,而他的所有contacts也都会成为当局跟踪的目标。 Gmail是所有email服务中安全性能做的最完备的。正确使用Gmail基本上可以保证不被破解。基于Gmail Google Groups (谷歌群/谷歌邮件组)也是安全性能非常好的。

如果你担心自己可能会成为当局的目标,一下几点建议会有帮助。

- “双步验证
(2-step verification http://gmailblog.blogspot.com/2011/02/advanced-sign-in-security-for-your.html) 这是谷歌今年初面向用户最新推出的功能(此功能去年九月对企业用户推出)。这个双步指的是除了Gmail账户密码,用户还需要手机才能登录Gmail 具体设置方法是在Gmail右上方选择"Account settings",转到"Google accounts"的设置页面,点击"Personal Settings"下面的"Using 2-step verification"链接。双步验证是网上密码保护的最高境界,据我所知Gmail是所有面对普通用户的互联网服务中推出此项功能的唯一一家。

- 可疑账户活动
Gmail页面的下端,你可以看到这样一行字“This account is open in 1 other location (***.**.***.**).   Last account activity: 2 hours ago on this computer.  Details”。点击"Details"可以看到更多的细节,比如最近十次左右的访问记录,包括地理信息。如果你的帐号被远距离访问,那么gmail 系统会在页面上发出一个鲜明的警告;如果的确有非法访问,用户最好更改密码,并且最好把这些非法访问发布出来,以供他人参考。

- Sender IP Anonymity
Gmail还有一个重要的与众不同的特性:不会泄露发件人的IP地址。普通的email服务会将发件人的IP地址记录在emailheader里面,比如"Received: from"或者"X-Originating-IP"。这样当局可以通过收到或截留的email侦知发件人的地址。而Gmail则用Gmail server IP取代了发件人IP,从而保护发件人的隐私。

- “View” PDF in Gmail by Google Docs
Email 常常会受到phishing(钓鱼邮件)的攻击。即使收到来自熟人的电邮,也不要轻易打开电邮里面的链接或者附件。这是因为发件地址可以轻易伪装,链接的 实际destination url和显示的url可以完全不同,而且pdf附件也有很多漏洞被利用来攻击用户的电脑。对pdf附件来说,Gmail给出了一个很好的解决办法,你可以 看到附件旁边有“View”"Download"两个选项,使用"view"这个选项是绝对安全的,它会将pdf文档实时转为Google Docs形式在浏览器中打开,这样即使是带毒的pdf文档也无法感染用户电脑。

Chrome: 最安全的浏览器
各种浏览器中,Google开发的Chrome是安全性能最好的。Chrome从设计之初即将安全性能放在首位。沙盒”(sandbox)方案的使用是 Chrome安全性能的重要保证。Chrome里的浏览进程的权限被限制在"沙盒"中,从而对其他浏览进程或者硬盘的操作受到严格的限制。除此之 外,Chrome"safe browsing"功能也可以在用户不小心点击钓鱼网页时提出警告。所有的浏览器中,IE和基于IE的浏览器安全性是最差的。绝大多数对用户的网络攻击都 是基于IE的漏洞。

结语
本文依据作者个人所知而作,疏漏难免,将会随时改进。若有建议和意见请给我发email (zhangtuomu@gmail.com),或者在buzz讨论。谷歌官方有专门的关于网络安全的博客,建议大家订阅 http://googleonlinesecurity.blogspot.com/

本文是这个系列的第一篇,下一篇会介绍谷歌哪些举措和服务有助于言论和信息的自由传播,以及哪些服务和功能能够帮助大家更好的交流合作。

--
注:本系列文章由拓木先生应茉莉花革命发起者的邀请而写,欢迎转载,请注明首发出处:
转发此新闻:

6 条评论:

匿名 说...

回复“reciteenglish 说...
'能否开发一组容易使用的软件或网络路由器系统,可以安装在有无线网络功能的手机上,笔记本电脑上或者台式机上,方便老百姓自己组成一个自治的动态网,此动态网的信息不经过政府控制的网络传输系统(或者只是传送加密信息), 摆脱政府或者政府控制的公司的监控。然后基于这个系统,可以开发各种实用的应用,比如一个村子的农民花不多钱就可以组成一个自己的网络,拥有无线手持设备的网友,可以在大街上互相传递信息。
星期五, 四月 22, 2011'"
tor,一款网络工具,最初由美国军方开发,用于机密信息的传输,后来又由美国民间组织维护。该工具称之为洋葱头,类似于洋葱头的层层加密,破解是困难的。并且用它可以建设隐藏网站,访问的人不会知道这个网站在哪,建设网站的人也不会知道是谁在哪访问它。遗憾的是这个工具被墙了,必须使用代理才能链接。不过一旦链接很难被阻断,节点是由他人共享的,因此不能用于下载,并且用它上网速度有些慢。tor下载地址(要翻墙):https://www.torproject.org/download/download-easy.html.en
tor浏览器套件下载地址(要翻墙):https://www.torproject.org/projects/torbrowser.html.en

匿名 说...

我上茉莉花用的是360浏览器,想知道这是否会被监控

匿名 说...

我上茉莉花用的是360浏览器,想知道这是否会被监控

匿名 说...

大陆的很多软件都是会受到监控的,如qq会在你发出敏感信息后强制下线,360杀软会经常误报。建议普通人使用搜狗浏览器、有安全隐患的建议使用Chrome或者Firefox

Detry 说...

盡量給更多的時間,為自己和朋友經常走在清新的空氣和剛剛在良好的公司有一個很好的時間。,我們會為你做你的工作。论文格式

匿名 说...

現在firefox已經反超了google 你們要記住住開源項目永遠比閉源項目好。

发表评论