谷歌浏览器的重大更新，目的是更好地投广告

本文为头条原创独家首发，未发布在其他平台，请勿抄袭转载。

在当今的浏览器领域，我们不得不承认，谷歌的Chrome系列已经占据了垄断地位，市场份额接近80%，实际上已经成为了业界的标准。在这个浏览器中，谷歌几乎可以独自决定一项技术的去留，只要能承受住舆论的压力。

然而，问题并不仅止于此。尤其是当将谷歌的广告业务与浏览器相关联时，情况变得相当微妙。我们谈论的是世界一流的广告商，也是谷歌收入的核心来源，2022年，谷歌的广告业务贡献了这个巨头超过80%的营收。

然而，在这个经济背景下，即使广告业务日益繁荣，也不得不顺应形势。

为了应对营收危机，谷歌做出了一项决策，它决定对用户进行一些艰苦的操作，将负面名声归咎于浏览器部门。

在过去的五年里，谷歌已经提出了四项有利于自家广告业务的提案，其中两项已经在Chrome正式版中实施。其中最著名、也是最直接的一项是“新一代”浏览器插件的底层标准——Manifest V3。整个故事用一句话就能概括：表面上是技术优化，背后全都是商业利益。

那么，让我们来深入了解一下这项提案。对于那些经常在电脑上使用浏览器的人来说，不管是使用谷歌Chrome还是火狐浏览器，都会熟悉强大的插件系统。插件可以为浏览器增加各种功能，比如手势操作、添加快捷方式、深度个性化浏览器外观，最重要的是广告拦截。然而，所有这些操作都依赖于谷歌早年制定的插件接口标准——Manifest V2。

几年前，谷歌提出要将这一底层标准从V2升级到V3。

当时，谷歌给出了一些合理的理由，比如Manifest V2存在安全问题、权限控制太粗糙、性能不佳等等。然而，当V3标准具体出台时，人们发现一个令人费解的规定，即新版Manifest V3要求广告拦截类插件最多只能拥有三万条规则。然而，即使是最基本的广告拦截插件，也至少需要三十万条规则，超过了这个限制的十倍。

有人立即质疑，谷歌更新插件标准只是为了削弱广告拦截插件的功能。因为与V2相比，V3在其他方面并没有本质改进，但在广告拦截方面却直接下了狠手。

因此，人们普遍怀疑这项举措的动机，认为它是在损害用户利益。

除了打击广告拦截插件，新版插件底层还以安全和隐私的名义，阻止开发者自行建立服务器以收集用户数据。这理论上是一项好举措，但如果阻止开发者建立数据收集渠道，以逼迫所有人只能使用谷歌的数据收集器，这就不太合理了。

面对来自各方的强烈抗议，Manifest V3的推出时间已经从2019一直推迟到2020，然后受到疫情影响，多次延期，最终在2023年才宣布暂停更新计划，没有提供新的时间表。

总而言之，谷歌显然收到了压力，尽管它可能不会强行终止现有的V2插件支持，但这并不代表它没有其他打算。

如果说Manifest V3是一个过于直接、容易被看穿的提案，那么在过去的两年里，谷歌的一些举措就显得更加隐秘。其中，成功进入正式版的“隐私沙盒”就是代表之一。

或许你会好奇，为什么这个听起来很正面的提案会受到如此多的负面评价。为了理解这一点，我们需要回顾一下过去的情况。在21世纪初的那个时代，网站和广告联盟可以通过用户毫无察觉的技术手段，在不同的网站上几乎无限制地追踪用户。

广告商可以根据这些追踪记录了解用户最近访问的网站、兴趣爱好以及可能的问题，从而推送最能吸引点击的广告。这只是追踪用户的其中一种用途，而其他用途我们就不展开了。

然而，如今随着浏览器功能的成熟，现代网站对用户无感知追踪的难度已经非常高，各家浏览器也已经

给出了禁用最后一种无感追踪手段的时间表。因此，谷歌牵头提出了一个名为"隐私沙盒"的计划，听起来像是保护隐私的良方，但实际上是为了在无感追踪手段失效之前重新建立一个推荐广告的框架。

隐私沙盒计划经历了两个时期，让我们简单介绍一下：

首先，该计划最初依赖于一种名为"FLoC"的机制。这一机制会总结用户在浏览器上的一周活动，通过一种特殊的算法生成一个数字。这个算法的巧妙之处在于，它能确保行为相似的用户生成的数字也会非常接近。因此，通过比较生成的数字，广告商可以将用户分成一组组行为相似的人，从而有针对性地投放广告。

然而，这一方案在提出后没多久，广告联盟和网站等行业巨头就开始反对。

他们指出，FLoC方案需要广告商拥有其他大数据分析来源，以确定生成的数字代表什么。这就需要广告商拥有强大的大数据分析能力，这对于成千上万的小型广告商来说几乎是不可能的。

因此，FLoC方案实际上只为头部企业提供服务，例如谷歌自己。这也导致了广泛的抵制和反对，远超过了Manifest V3。不到一年的时间，FLoC版本的隐私沙盒方案就被谷歌宣布放弃了。

取而代之的是"Topics API"方案。

在这个版本中，隐私沙盒为广告商完成了大数据分析，根据用户的行为在用户兴趣方面进行分析，然后在浏览器中直接为用户贴上各种标签。每当广告商希望投放广告时，隐私沙盒会随机提供一些标签，以供广告商提供"相关性更高的广告"。这个方案看起来更加安全，理论上可以在不追踪用户的情况下向用户投放适合的广告。

然而，这个方案也引发了一些关切。虽然它只提供了一两个标签，但并没有限制网页广告访问的次数。

因此，只要广告商不断访问Topics API隐私沙盒以获取用户的兴趣标签，他们最终仍然可以获取用户的完整兴趣爱好侧写，这与隐私沙盒最初的目的背道而驰。

因此，W3C和火狐浏览器等业内人士直接拒绝了将"隐私沙盒"系统作为标准，而谷歌浏览器则将其集成到了最新的正式版中，而用户量不小的微软Edge浏览器也没有反对。尽管有人反对，但事情可能已经无法挽回，除非我们选择更换浏览器，否则没有太多其他的对抗方法。

谷歌可能已经意识到了自己的力量，最近悄悄提出了一个新提案：环境完整性接口。通过这个接口，网站可以获取浏览器运行的环境信息，如运行浏览器的计算机是否是虚拟机、是否被root、浏览历史是否像真人等。虽然谷歌声称这个接口可以让网站更快地判断用户是否是机器人，从而减少验证码的使用次数，但这个接口也可以检测浏览器是否安装了广告拦截插件。

尽管一些浏览器开发商集体反对这一提案，但微软Edge浏览器的态度却变得模糊了。

虽然环境完整性API的事情刚刚提上议程，但我认为谷歌很有可能会再下一城。

总的来说，谷歌在浏览器领域的一系列决策都受到了广泛的舆论压力。从直接操作底层接口、广告拦截插件，到推广对广告商有利的"隐私沙盒"和"广告拦截检测接口"等等，这一切都引发了用户和行业的关切。从用户的角度来看，我建议大家卸载Chrome，Firefox是一个不错的选择，它坚守着互联网精神。当然，如果您不想牺牲太多用户体验，还有一些与Chrome浏览器同源的浏览器，如Vivaldi和Brave，也是不错的选择。

Chrome浏览器发布紧急更新，修补“CVE-2023-4863”零日漏洞

IT之家 9 月 12 日消息，谷歌日前发布了一个紧急安全更新，修复了 Chrome 浏览器中出现的零日安全漏洞。

▲ 图源 谷歌博客

该公司在安全公告中宣布：“谷歌意识到，CVE-2023-4863 的漏洞已被外部利用，这个问题被描述为堆缓冲区溢出，存在于 WebP 图像格式中。”

IT之家经过查询得知，当程序试图向分配的内存缓冲区写入超过缓冲区实际设计容量的数据时，就会发生堆缓冲区溢出。在某些情况下，这个漏洞可能会让攻击者在受害者的设备上执行任意代码。

▲ 图源 谷歌博客

据悉，苹果安全工程与架构（SEAR）和多伦多大学蒙克学院公民实验室于 2023 年 9 月 6 日发现并向谷歌报告了这一漏洞。不过，谷歌没有披露该漏洞的详细信息，仅仅提到该漏洞已经“被外部利用”，也没有提供攻击者如何利用该漏洞的信息。

谷歌目前已经发布了 Mac / Linux 平台 Chrome 浏览器 116.0.5845.187 版本，Windows 平台 116.0.5845.187.188，修复了 CVE-2023-4863 漏洞，并“强烈要求用户进行更新”。

参考