问：Google Wave是一款备受人们期待的协作工具（collaboration tool）。那么，在2010年，Google会为它的Wave协议研究何种安全选项呢？那些在2009年九月协议中发布的大的安全漏洞解决了吗？

　　答：Google的确希望Wave能够成为一个招人喜爱的应用程序，它把电子邮件、即时消息通讯、wiki、论坛以及其他社交网络工具集成在一起，以便让大家在网络环境中进行多媒体协作以及实时编辑。实际上，Google想让Wave取代电子邮件，成为互联网通信的主要形式。

　　但是，众所周知，电子邮件一直以来都受安全问题的困扰，所以任何有意取代电子邮件的工具都应该避免在一开始就疲于处理我们一直以来倍感头疼的问题，比如不执行脚本或者自动装载内容（如图像）。Google宣称，Wave将比电子邮件更加安全，并计划发布大部分源代码；目前其安全功能包括TLS身份验证、对所有Wave流量进行加密，以及把用户列入白名单的功能等。然而，Wave正在努力平衡安全性与协作功能。

　　Wave协议于2009年九月发布，经过仔细查看之后，很明显它像大多数新软件一样，其重点是能够正常工作，而不是其安全性。尽管Wave给email带来了许多问题，但是Wave允许在小工具中使用脚本和iframe元素，而当一个wave被查看的时候，这些工具实际上都是从源码中自动装载的。（允许执行脚本或者自动下载图像的电子邮件程序，使得黑客可以对用户的电脑发起攻击。）这样就允许动态修改功能，这既可以被看作是一项特性，也可以被看成是一个慢性的安全问题，这也是在开发易用的协作工具时所面临的一个难题。

　　然而，Google Wave的安全问题似乎拖延了日程表上的计划。现在，虽然你可以给wave设置一些基本的用户权限，比如只读，但是你仍然不能把wave的单个组件设置成只读。而且你还不能永久删除内容，包括用户。实际上，很多安全加强工作仍在进行当中。比如，Google还在努力寻找能够保证自动程序和小工具安全的办法。指导开发人员不去写糟糕的自动程序不是一个好办法，而且为已经有问题的自动程序设置黑名单也行不通，因为我们在阻止垃圾邮件时已经尝试过这种方式了。

　　Google Wave需要解决所有与现在的协作以及实时社交网络服务相关的安全风险，比如说上面提到的那些问题，但是协作的本质意味着：让安全更加有力和有效将是一个真正的挑战。对于Google公司来说，Wave可能是一个杀手级的应用程序，但是如果不对Wave框架的安全性继续进行改进，尤其是客户端，它将永远达不到企业级别。所有的通信内容都存储在Wave服务器上，而不是在用户之间进行发送，这也意味着数据保护和规则遵从会阻止它成为首选工具。

　　你可能会说：我觉得Wave现在还不够成熟，企业还不能冒着风险来用它做任何事情（除了开发以及熟悉此工具），当然更不会用它来处理关键或者敏感的数据。虽然安全问题正在得到解决，但是我们需要时间来检验它们是否真的得到解决。