再问红芯:安全性是否有保障 产品有多大价值?
原标题:再问红芯浏览器:安全性是否有保障?产品究竟有多大价值?
记者丨王蒙
在“套装”谷歌Chrome内核的质疑声中,红芯浏览器道歉了。
道歉信中,红芯承认其内核Redcore是基于国际通用的开源Chromium内核架构进行的改造和创新。而在随后的一份公开声明中,红芯方面则列举了具体的三个创新点。
在业内人士看来,红芯宣称的“三个创新点”创新意义有多大?同样是基于开源内核做二次开发的浏览器,与其他国产浏览器相比,有没有优势?这款产品的意义在哪里?
三个创新点“新”在何处?
8月16日财经网在《追问国产红芯浏览器:自主创新体现在何处?12项专利技术解决何问题?》一文中,对红芯浏览器的创新成果体现在何处进行了追问。8月16日晚间,红芯官方对外发布公开声明,列举其Redcore内核的技术创新体现在三个方面。
第一,红芯隐盾,该功能主要是让企业的应用系统隐身,只对特定身份和设备可见,从而有效避免外部可能的攻击,帮助企业解决上云和移动化面临的安全问题;
第二,红芯云适配,主要是将企业PC端系统适配至移动端,从而帮助企业快速实现移动办公;
第三,安全可控浏览器,通过私有DNS、加密缓存、国密算法支持等功能,帮助企业进行数据保护和隐私保护。
这三个创新点实现了哪些功能的优化?一位互联网公司前端开发工程师告诉财经网,“这几个创新点不是浏览器的创新点,是通过浏览器插件实现的创新点,和浏览器的创新是有区别的。”
该工程师进一步解释,“红芯描述的这些功能点含糊其辞,一会儿说是内置了证书,一会儿说私有DNS,不管怎么说,即便用户自己配置DNS也不会有太大难度,算不上重大创新。另外连源代码都不做混淆压缩处理的产品,不能指望其在安全性上有太大作为。”
被这位工程师质疑的“安全性”,恰恰是红芯对外宣称中的主打“关键词”。财经网打开其官网发现,红芯专门为“红芯隐盾”做了一个展示页面,宣称的就是“黑客无法看见他看不见的”。
这个被红芯辟出一个页面作介绍的“红芯隐盾”实现的是怎样的功能呢?
网络尖刀创始人曲子龙撰文分析道,红芯隐盾的逻辑简单来说其实就是把浏览器作为一个入口点,控制台负责下发访问规则,设定黑白名单,访问的操作、鼠标事件上传到控制台,发生泄漏的话就通过控制台去找泄漏点。
核心其实就是建立一个私有的DNS,授信只有通过红芯浏览器才能访问到指定数据。划分出私有网络,外部设备没有连接DNS就没有办法访问数据,以此划分边界。
曲子龙表示,与黑客对抗,应用这套机制的本质其实就是尽量的减少攻击面,与其它安全服务及安全产品一样,都是在提高黑客攻击门槛,降低被黑风险,本来这就是一个攻与防相互博弈的过程。
价值有多大?
红芯浏览器在其官方宣传口径中,一直强调专注企业安全、效率和管控。
“造假”风波愈演愈烈后,其官方承认红芯浏览器内核是基于Chromium开源项目,在此基础上进行的创新,一改此前”基于自主可控和掌握浏览器核心技术”的说辞。而据其此前红芯的官方宣传来看,诸多的政府机构和国企均采用了红芯的产品。
一位资深网络安全架构师对财经网分析称,“一个基于第三方开放内核做的二次开发的浏览器是可以用在安全部门的吗?号称国产自主的浏览器,内核都是别人的谈什么国产自主?你的安全性是有保障的吗?”
红芯联合创始人、COO高婧此前曾表示,红芯做的安全是什么?我们叫做软件定义边界,用软件来构建一个虚拟的安全边界。比如制造企业需要对外开放,它的供应商等外部合作伙伴需要访问它的对外应用,而不相干的人压根不应该看到这个应用。我们总结为“网络隐身”,只有特定、经过检验的人群才能看到。我们是中国第一个提出要实现“软件定义边界”的。
做安全服务主要是与黑客做斗争,红芯的隐盾解决黑客攻击的方案是,关闭浏览网页服务默认的端口。
这层逻辑在曲子龙看来陈本峰可能不太了解黑客,“黑客采用流量攻击可以用的端口那么多,服务器都挂了,你隐藏上网协议的端口有什么用?”
曲子龙同时表示,抛开这些不尊重开源、过于浮夸的宣传,不得不说从某种层面红芯也确实解决了很大一部分数据敏感客户的实际需求,有这么一套低成本的防御机制总比以前裸奔着跑要好很多。
至于红芯三年融资超5亿元,C轮还完成2.5亿元融资,对于投资人而言是否“物有所值”,一位早期投资机构投资人告诉财经网,科大讯飞早期300万元的投资还是挺值得的,至于后面轮次进来的投资人可就悬了,一旦找不到接盘的人,你说值不值呢?
财经网梳理发现,在其投资名录中,有晨兴、IDG、达晨创投这样的知名投资机构。且都参与过红芯前两轮投资。
财经网试图联系红芯方面及陈本峰本人,寻找上述问题的答案。但红芯方面人士表示,最近在筹备新闻发布会将统一回应外界质疑,但时间尚未确定。