En septiembre del año pasado, los desarrolladores de Chrome presentaron una propuesta radical: cambiar la visualización de las URL en el navegador . En algunas publicaciones, los artículos aparecieron inmediatamente con titulares de pánico "Google quiere matar las URL"

Teóricamente, Google es beneficioso para que los usuarios accedan a todos los sitios a través de una búsqueda, en lugar de hacerlo directamente desde una URL del navegador. Probablemente, para este propósito, en algún momento, la barra de direcciones se combinó con la barra de búsqueda. Pero la barra de direcciones aún está muy lejos. Hasta ahora, Google solo está dando los primeros pasos, dando al navegador Chrome un pequeño control sobre la visualización de las URL. Esto se hace por la seguridad de los usuarios.

Google dice que la sintaxis de URL es demasiado difícil para una audiencia masiva.

Sintaxis de URL compleja

"La gente realmente tiene dificultades para comprender las URL", dijo Adrian Porter Felt, líder técnico de Chrome. - Estas direcciones son difíciles de leer y no está claro en qué parte de la dirección debe confiar. En general, en mi opinión, la URL no transmite correctamente la identidad del sitio. Pero queremos pasar a hacer que la identidad de la web sea comprensible para todos, para que las personas sepan qué sitio se abre en un navegador y puedan razonar lógicamente si se puede confiar en él. Pero eso significa grandes cambios en cuándo y cómo Chrome muestra las URL. Queremos desafiar la moderna interfaz URL y desafiarla, avanzando hacia una representación de identidad más apropiada ".

La URL como identificador único de un recurso no irá a ninguna parte. Pero Google considera que se trata de un identificador de máquina en lugar de una dirección legible por humanos. Es difícil para las personas comprender la sintaxis compleja de la URL, que los atacantes utilizan constantemente. Utilizan URL con subdominios o direcciones que difieren en un carácter, o instalan certificados HTTPS gratuitos para obtener un ícono verde para sus sitios de phishing.

Prueba de phishing

Los usuarios comunes no siempre verán rápidamente la diferencia entre dominios con una ortografía similar, por ejemplo:

example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
..

Incluso en una simple prueba de phishing de Google , no todos obtendrán una puntuación máxima de 8 de 8 puntos. Por cierto, elegir un nombre de dominio para la prueba parece muy irónico por parte de Google, dado que esta es una prueba de phishing.

TrickURI: heurística para filtrar URL en un navegador

El martes pasado, la jefa del departamento de seguridad de seguridad utilizable Emily Stark hizo una presentación en la Conferencia de Seguridad Enigma . Ella habló sobre los primeros pasos de Google en "identificación de sitios web más confiable".

"Estamos hablando de cambiar la forma en que representamos la identidad de un sitio " , dijo Stark. - Las personas deben entender fácilmente en qué sitio se encuentran para que no puedan ser engañadas. Para comprender esto, una persona no debe tener un conocimiento profundo de cómo funciona Internet ".

En otras palabras, el navegador debe convertir una URL normal en algo más claro y más comprensible. En algunos casos, una parte menor de la dirección debe tomarse en segundo plano, y en otros, por el contrario, abra el enlace acortado y muestre qué dominio está detrás de él.

El equipo de Chrome ahora se está enfocando en encontrar URL que "se desvíen de la práctica estándar". Para esto se ha desarrollado una herramienta de código abierto llamada TrickURI . Funciona como un proxy y se instala en una máquina cliente con un certificado raíz, lo que ayuda a los desarrolladores a analizar su aplicación web en busca de UR correctas, claras y comprensibles. Los desarrolladores comprenderán cómo las URL buscan a los usuarios en diferentes situaciones.



Independientemente de TrickURI, se está desarrollando un sistema de advertencia para los usuarios de Chrome cuando la URL parece ser potencialmente phishing. A diferencia del mecanismo existente de Navegación segura , el nuevo sistema no funcionará de acuerdo con la "lista negra", sino que se basará en ciertas heurísticas ...

"Nuestra heurística para detectar URL engañosas implica comparar caracteres que son similares entre sí y dominios que se diferencian entre sí solo por un pequeño número de caracteres", dijo Stark. - Nuestro objetivo es desarrollar un conjunto de métodos heurísticos que eviten que los atacantes usen URL engañosas, y la tarea principal no es marcar dominios legítimos como sospechosos. Es por eso que estamos muy lentamente, lanzando gradualmente este sistema como un experimento ".

"Las URL funcionan muy bien para ciertas personas".

Renunciar a la asignación de URL estándar es un tema controvertido. Incluso dentro de Google, los desarrolladores no tienen un consenso sobre esto. Cualquier cambio radical es difícil: incluso rechazar el resaltado verde de los sitios HTTPS no fue fácil: tuvimos que negociar una política coherente con los desarrolladores de otros navegadores.



Y este no es el último cambio que Google va a hacer:

"La situación es realmente complicada, porque ahora las URL funcionan muy bien para ciertas personas y en ciertas situaciones, y muchas personas los aman", dice Stark.

Sin embargo, la gran mayoría de la gente común no lee y entiende las URL tan fácilmente como los usuarios experimentados. Por lo tanto, Google se compromete a cambiar la interfaz URL: "No sé cómo se verá, porque en este momento hay una discusión activa en el equipo sobre esto", dice el Director de Desarrollo de París en Chrome. "Sé una cosa: no importa lo que propongamos, esta será una decisión controvertida". Este es uno de los obstáculos para trabajar con una plataforma muy antigua, abierta y generalizada. Los cambios serán contradictorios, cualquiera sea la forma que adopten. Pero es importante hacer al menos algo, porque las URL no satisfacen a nadie, apesta [apestan] ".

Monopoly Chrome

Expertos independientes apoyan la iniciativa de Google para mejorar la seguridad en la Web, aunque expresan algunas preocupaciones. El problema es que hoy la mayor parte de los navegadores funciona con Chromium, por lo que se ha concentrado demasiado poder en las manos de los desarrolladores de este navegador. Cualquiera de sus acciones se convierte casi automáticamente en el estándar para otros navegadores. Incluso Microsoft recientemente abandonó oficialmente su propio motor EdgeHTML a favor de Chromium en la versión de escritorio del navegador.

Hasta ahora, solo Mozilla aguanta. Con respecto a la decisión de los colegas de Microsoft, dijeron lo siguiente : "Adiós, EdgeHTML. Al adoptar Chromium para su uso, Microsoft le da a Google más control sobre la vida en línea. Puede sonar melodramático, pero no lo es. "Los motores de navegación - Chromium de Google y Gecko Quantum de Mozilla - son piezas internas de software que en realidad definen mucho de lo que cada uno de nosotros puede hacer en Internet. Determinan las características principales: qué contenido podemos ver como consumidores, nuestra seguridad al ver contenido y cuánto controlamos los sitios web y los servicios. La decisión de Microsoft le da a Google más oportunidades para decidir por sí solo qué opciones están disponibles para cada uno de nosotros ".

Uno solo puede esperar que los desarrolladores de Chrome no abusen de su poder en la manipulación de URL.

---