對於連日網上瘋傳 iOS 版 Safari 會將用戶瀏覽的網址連同 IP 傳送到「騰訊安全瀏覽」, Apple 發表聲明澄清「騰訊安全瀏覽」只提供給地區碼設定為中國大陸的裝置,美國、英國與及其他國家用戶瀏覽網站時不會以騰訊的安全清單來驗證。
Apple 的聲明如下:
Apple 通過 Safari Fraudulent Website Warning ( Safari 詐騙網站警告)保護用戶隱私和數據,該功能可標記已被識辨的詐騙網站。啟用此功能後, Safari 會根據已知詐騙網站列表檢查網站 URL ,並當用戶到訪懷疑是詐騙網站的URL時對用戶顯示警告訊息。
在這過程中, Safari 會從 Google 接收了一個已識辨為詐騙網站的列表。區域設定為中國大陸的設備將從騰訊接收詐騙網站列表。用戶到訪的網站的 URL 絕對不會與傳送予安全瀏覽供應商,用戶亦可隨時自行關閉這項功能。
我們昨日的報道中已引述了約翰.霍普金斯大學教授 Matthew Green 解釋有關 Google 安全瀏覽的運作機制:
- Google 先計算不安全網站的網址成 SHA256 雜湊碼( Hash 又稱哈希值)存入資料庫,并將雜湊碼截斷成 32-bit 前綴來節省空間;
- Google 將前綴資料庫下載到用戶的瀏覽器;
- 每次用戶瀏覽時,瀏覽器會先計算網址的雜湊碼與存於本機的前綴資料庫作比對;
- 如果發現網址雜湊碼與本機前綴資料一致,就會將本機前綴送到 Google 伺服器,而 Google 伺服器就會將那個前綴碼的完整 256-bit 雜湊碼送回本機作完整比對。比對成功就代表用戶正打算瀏覽的是不安全網站。
依照這個機制,安全瀏覽服務供應商並不會收到整個網站 URL ,所以基本上是不可能從而得知用戶正在瀏覽甚麼網站。由於「詐騙網站警告」可以有效防止用戶誤闖惡意網站,所以在此呼籲用戶切勿隨便關閉該功能。