В сентябре прошлого года разработчики Chrome выдвинули радикальное предложение: изменить отображение URL в браузере. В некоторых изданиях сразу появились статьи с паническими заголовками «Google хочет убить URL»
Теоретически, Google выгодно, чтобы пользователи заходили на все сайты через поиск, а не напрямую по URL из браузера. Наверное, для этой цели в своё время адресную строку совместили с поисковой строкой. Но до полного исчезновения адресной строки ещё далеко. Пока что Google делает лишь первые шаги, по чуть-чуть отдавая браузеру Chrome контроль над отображением URL. Это делается для безопасности пользователей.
Google говорит, что синтаксис URL слишком труден для массовой аудитории.
Сложный синтаксис URL
«Люди на самом деле с трудом разбираются в URL, — сказала Адриэн Портер Фелт, технический руководитель команды Chrome. — Эти адреса тяжело читать и непонятно, какой части адреса нужно доверять. В общем, на мой взгляд, URL неправильно передаёт идентичность сайта. А мы хотим перейти к тому, чтобы идентичность веба была понятна всем, чтобы люди знали, чей сайт открывается в браузере, и могли логически рассуждать, можно ли ему доверять. Но это означает большие перемены в том, когда и как Chrome показывает URL. Мы хотим бросить вызов современному интерфейсу URL и подвергнуть его сомнению, продвигаясь по направлению к более подходящему представлению идентичности».
URL как уникальный идентификатор ресурса никуда не денется. Но Google считает, что это скорее машинный идентификатор, а не человекочитаемый адрес. Людям трудно разобраться в сложном синтаксисе URL, чем постоянно пользуются злоумышленники. Они используют URL с поддоменами или адресами, которые отличаются на один символ, или устанавливают бесплатные HTTPS-сертификаты, чтобы получить «зелёный значок» для своих фишинговых сайтов.
Тест на фишинг
Обычные пользователи не всегда быстро увидят разницу между доменами с похожим написанием, например:
example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
и т.д.Даже в простом тесте на фишинг от Google далеко не каждый получат максимальную оценку 8 из 8 баллов. Кстати, выбор доменного имени для теста выглядит очень иронично со стороны Google, учитывая, что это тест на фишинг.
TrickURI: эвристики для фильтрации URL в браузере
В минувший вторник, руководитель отдела по безопасности интерфейса Chrome (usable security lead) Эмили Старк выступила с докладом на конференции по безопасности Enigma. Она рассказала о первых шагах Google по «более надёжной идентификации веб-сайтов».
«Мы говорим об изменении способа представления идентичности сайта, — сказала Старк. — Люди должны легко понимать, на каком сайте находятся, чтобы их не могли ввести в заблуждение. Для понимания этого у человека не должно быть глубоких знаний о том, как работает интернет».
Другими словами, браузер должен превратить обычный URL в нечто более чёткое и понятное. В каких-то случаях следует убрать на задний план незначительную часть адреса, а в других наоборот — раскрыть сокращённую ссылку и показать, какой домен за ней стоит.
Сейчас усилия команды Chrome сосредоточены на обнаружении URL-адресов, которые «отклоняются от стандартной практики». Для этого разработан инструмент с открытым исходным кодом под названием TrickURI. Он работает как прокси и устанавливается на клиентскую машину с рутовым сертификатом, помогая разработчикам проанализировать своё веб-приложение на предмет корректных, чётких и понятных UR. Разработчики получат понимание, как выглядят URL-адреса для пользователей в разных ситуациях.
Отдельно от TrickURI разрабатывается система предупреждений для пользователей Chrome, когда URL-адрес кажется потенциально фишинговым. В отличие от существующего механизма Safe Browsing, новая система будет работать не по «чёрному списку», а на основе неких эвристик…
«Наша эвристика для обнаружения вводящих в заблуждение URL-адресов включает сравнение символов, которые похожи друг на друга, и доменов, которые отличаются друг от друга только небольшим количеством символов, — сказала Старк. — Наша цель — разработать набор эвристических методов, которые не дают злоумышленникам использовать вводящие в заблуждение URL-адреса, и главная задача — не помечать законные домены как подозрительные. Вот почему мы пока очень медленно, постепенно запускаем эту систему как эксперимент».
«URL-адреса очень хорошо работают для определённых людей»
Отказ от стандартного отображения URL — неоднозначная тема. Даже внутри Google у разработчиков нет на этот счёт единого мнения. Любое столь радикальное изменение сложно даётся: даже отказ от зелёной подсветки HTTPS-сайтов дался нелегко: пришлось вести переговоры о согласованной политике с разработчиками других браузеров.
И это не последнее изменение, которое собирается сделать Google:
«Ситуация действительно сложная, потому сейчас что URL-адреса очень хорошо работают для определённых людей и в определённых ситуациях, и многие люди любят их», — говорит Старк.
Однако абсолютному большинству простых людей читать и понимать URL далеко не так легко, как опытным пользователям. Поэтому Google твёрдо намерена менять интерфейс URL: «Пока не знаю, как это будет выглядеть, потому что в данное время по этому поводу в команде идёт активная дискуссия, — говорит Париса Табриз директор по разработке в Chrome. — Знаю одно: что бы мы ни предложили, это будет спорным решением. Это одно из препятствий в работе с очень старой, открытой и распространённой платформой. Изменения будут противоречивыми, какую бы форму они ни приняли. Но важно делать хоть что-то, потому что URL не удовлетворяют никого, это вроде как отстой [they kind of suck]».
Монополия Chrome
Независимые эксперты поддерживают инициативу Google по улучшению безопасности в Сети, хотя и выражают некоторые опасения. Проблема в том, что сегодня львиная доля браузеров работает на базе Chromium, так что в руках разработчиков этого браузера сконцентрировалось слишком много власти. Любое их действие почти автоматически становится стандартом для остальных браузеров. Даже Microsoft недавно официально отказалась от собственного движка EdgeHTML в пользу Chromium в десктопной версии браузера.
Пока держится только Mozilla. По поводу решения коллег из Microsoft они сказали следующее: «Прощай, EdgeHTML. Приняв Chromium для использования, Microsoft отдаёт в руки Google ещё больший контроль над онлайновой жизнью. Это может прозвучать мелодраматично, но это не так. «Браузерные движки — Chromium от Google и Gecko Quantum от Mozilla — являются внутренними частями программного обеспечения, которые на самом деле определяют многое из того, что каждый из нас может сделать в интернете. Они определяют основные возможности: какой контент мы как потребители можем увидеть, нашу безопасность при просмотре контента и насколько мы контролируем веб-сайты и сервисы. Решение Microsoft даёт Google больше возможностей единолично решать, какие возможности доступны каждому из нас».
Остаётся только надеяться, что в манипуляциях с URL разработчики Chrome не злоупотребят своей властью.
Автор: GlobalSign_admin