Chrome默认启用安全连接：用户上网安全再升级

“能力越大，责任越重”，《蜘蛛侠》中的这句台词同样适用于现实世界的科技巨头。如今，谷歌Chrome浏览器作为浏览器市场的领头羊，再次将用户上网安全视为己任。日前，谷歌宣布从2026年10月发布的Chrome 154版本开始，将默认启用“始终使用安全连接”策略，防止用户在不知情的情况下访问HTTP网站。

自Chrome 154版本起，当用户尝试访问HTTP网站时，浏览器将立即弹出警告窗口。除非用户选择“忽略风险，继续访问”，否则Chrome将拒绝加载该网站。值得注意的是，一旦用户对某个HTTP网站放行，下次访问时Chrome将默认执行，除非用户清除浏览器数据，否则无需再次确认，以减少用户困扰。

虽然弹窗警告在提升用户安全意识方面效果显著，但其代价也不容忽视。对用户而言，弹窗提醒与弹窗广告无异，都可能打断上网体验。长期以往，用户可能会选择盲目同意，导致对隐私和安全提示的敏感度降低。欧盟过去数年频繁强调隐私保护，最近却开始减少“cookie弹窗确认”的频率，正是出于这一考虑。

谷歌之所以采取这一措施，是因为HTTP网站已成为网络攻击的主要源头。恶意HTTP网站在加载恶意资源后迅速跳转到HTTPS网站，用户甚至无法看到浏览器地址栏中的“不安全”警告，就已悄然中招。

作为Web生态的基础，超文本传输协议（HTTP）曾在上世纪90年代引领互联网潮流，为网络数据交互奠定基石。但随着互联网经济的发展，数据价值得到广泛认可，网络安全问题日益凸显。使用明文传输、未加密的HTTP协议成为黑客攻击的突破口。由于HTTP报文未加密，内容可能被窃听，且无需验证通信方身份和报文完整性，黑客可轻易篡改信息、伪装身份。

例如，早期黑客通过抓包工具或嗅探器窃取游戏账号信息。又如DDoS攻击在PC互联网时代频繁发生，原因之一便是HTTP协议无法确定通信双方是否有访问权限，导致服务器接收无意义请求。因此，支持加密传输和身份认证的HTTPS协议应运而生，通过RSA等非对称加密算法将明文转为密文，即便黑客使用抓包工具也只能看到乱码。

然而，HTTPS协议虽能确保用户与服务器间的通信安全及内容完整性，但并不意味着采用HTTPS的网站就绝对安全。毕竟HTTPS仅认证数据传输安全，不背书网站本身的安全性。

对于互联网知识较少的用户而言，他们仅能看到Chrome显示的“锁”标志。按Chrome新规，使用HTTPS的网站不会弹出提示，即便网站用于网络钓鱼或电信诈骗。因此，Chrome默认启用“一律使用安全连接”特性存在隐性缺陷：它虽能增强用户对HTTP不安全的认识，但也可能导致用户对HTTPS的盲目信任。

随着网络普及，用户从极客变为大众，互联网认知水平反降。与此同时，黑客紧跟时代步伐。当前黑客多自建钓鱼网站诱骗用户主动交出敏感信息。

这实际上反映了谷歌等厂商在保障用户信息安全上面临的挑战：放任用户访问不安全链接等于暴露其于风险中；而强化用户对HTTP不安全的认识又可能加剧他们对HTTPS的盲目信任。

因此Chrome将“一律使用安全连接”设为默认可能适得其反。其实这与国内著名的“360悖论”类似：如果能彻底删除360安全卫士则无需它；若不能删除则依赖它。

总之，如果用户了解安全连接的意义则无需该功能保护；反之若不了解则安全连接也无法保障其上网安全。