Anfang September war Google Chrome 10 Jahre alt und führte in seinem kurzen Leben viele radikale Änderungen im Web ein. Das Sicherheitsteam von Chrome kämpft gerne gegen große und konzeptionelle Probleme, von der Verbreitung automatischer Updates bis zur aggressiven Förderung der HTTPS-Verschlüsselung. Ein solcher Einfluss und ein solcher Umfang können zu Meinungsverschiedenheiten führen. Während Chrome seine Arbeit für die nächsten zehn Jahre plant, erwägt das Team die umstrittenste Initiative von allen: die Funktionsweise von URLs im Web grundlegend zu ändern.
Der Uniform Resource Locator (URL) ist die vertraute Webadresse, die Sie täglich verwenden. Diese Adressen sind im DNS-Adressbuch aufgeführt und leiten Browser an die richtigen IP-Adressen (Internet Protocol) weiter, um Webserver zu unterscheiden und zu identifizieren. Das heißt, Sie gehen zu habr.com und lesen Habr, ohne sich mit komplexen Routing-Protokollen und Zahlenfolgen zu beschäftigen. Mit der Zeit wurden URLs jedoch immer schwieriger zu lesen und zu verstehen. Mit der Erweiterung der Netzwerkfunktionalität werden URLs zunehmend zu unleserlichen Zeichenfolgen aus jeglicher Verwirrung, die Komponenten von fremden Diensten kombinieren oder sich als Linkverkürzer und Umleitungsschemata tarnen. Auf Mobilgeräten gibt es im Allgemeinen keinen Ort, an dem die gesamte URL angezeigt werden kann.
Die daraus resultierende Undurchsichtigkeit hat es blühenden Cyberkriminellen ermöglicht, bösartige Websites zu erstellen, die dieses Durcheinander geschickt ausnutzen. Sie geben vor, echte Organisationen zu sein, starten Phishing-Programme, verteilen Links zum Herunterladen bösartiger Anwendungen und organisieren gefälschte Webdienste - alles, weil es für Webbenutzer schwierig ist, den Überblick zu behalten, mit wem sie es zu tun haben. Und jetzt, so das Chrome-Team, ist es an der Zeit, große Änderungen vorzunehmen.
"Die Leute haben es wirklich schwer, URLs zu verstehen", sagte Adrienne Porter Felt, technische Direktorin des Chrome-Teams. - Es ist schwer zu lesen, es ist schwer zu verstehen, welchem Teil Sie vertrauen müssen, und im Allgemeinen scheint es mir nicht, dass die URLs die Identität der Website korrekt wiedergeben. Und wir möchten an einen Ort ziehen, an dem die Identität des Webs für alle verständlich ist - damit sie wissen, mit wem sie über die Website sprechen, und vernünftigerweise darüber sprechen können, ob ihnen vertraut werden kann. Dies bedeutet jedoch eine große Änderung, wann und wie Chrome URLs anzeigt. Wir möchten die Art und Weise, wie die URLs angezeigt werden, in Frage stellen und sie herausfordern, wenn wir uns einer geeigneten Darstellung der Identität nähern. “
Wenn Sie sich nur schwer vorstellen können, was Sie anstelle einer URL verwenden können, sind Sie nicht allein. Wissenschaftler haben jahrelang über Optionen nachgedacht, aber dieses Problem hat keine einfache Antwort. Porter Felt und ihr Kollege Justin Schuh, der Chefingenieur von Chrome, sagten, dass selbst im Google-Team die Meinungen geteilt seien. Und während die Gruppe keine Beispiele aus den vorgeschlagenen Schemata anbietet.
Sie sagen, dass sie sich jetzt darauf konzentrieren, alle Möglichkeiten zu identifizieren, wie Menschen URLs verwenden, um nach einer Alternative zu suchen, die die Sicherheit und Integrität der Webidentität verbessert und gleichzeitig alltägliche Aufgaben wie das Senden von Links an andere Personen auf Mobilgeräten erleichtert.
"Ich weiß nicht, wie es aussehen wird, da derzeit im Team eine aktive Diskussion darüber stattfindet", sagt Parisa Tabriz, Teamdirektorin. „Ich weiß eines: Was auch immer wir vorschlagen, es wird eine kontroverse Entscheidung sein. Dies ist eines der Hindernisse bei der Arbeit mit einer sehr alten, offenen und weit verbreiteten Plattform. Änderungen sind widersprüchlich, unabhängig von ihrer Form. Es ist jedoch wichtig, zumindest etwas zu tun, da URLs niemanden zufriedenstellen. URL ist scheiße. "
Das Chrome-Team hat lange über die URL-Sicherheit nachgedacht. 2014 versuchte sie, eine Formatierungsfunktion namens „Ursprungs-Chip“ einzuführen, die nur den primären Domainnamen der Site anzeigt, damit Benutzer besser verstehen, auf welcher Domain sie sich tatsächlich befinden. Um die gesamte URL anzuzeigen, können Sie auf ein Teil klicken. Der Rest des URL-Eingabefelds funktioniert wie ein Google-Suchfeld. Das Experiment erhielt nicht nur positive Noten für die Verbesserung der Identität des Webs, sondern auch eine Reihe von Kritikpunkten. Nach mehreren Wochen der Ausführung der Funktion in der Vorabversion von Chrome hat das Team die Veröffentlichung dieser Funktion ausgesetzt.
"Ein Teil der Quelle war das erste Eindringen von Chrome in ein neues Unternehmen", sagt Porter Felt. - Wir haben viel darüber gelernt, wie sich Menschen URLs vorstellen und verwenden. Aber ehrlich gesagt war das Problem schwerwiegender als wir erwartet hatten. Wir nutzen das 2014 erhaltene Feedback, um über unsere aktuelle Arbeit nachzudenken. “
Tabriz stellt außerdem fest, dass das Team einer ernsthaften Gegenreaktion gegen seine HTTPS-Verschlüsselungsinitiative ausgesetzt war. Der Schritt von Chrome, verschlüsselte Websites als Standard zu betrachten und unverschlüsselte Websites als unsicher zu bezeichnen, schien zunächst radikal. Das Team arbeitete jedoch mit anderen Browsern und Technologieunternehmen zusammen, um diese Änderungen im Internet zu verbreiten und verschlüsselte Nachrichten zu fördern, die die Privatsphäre der Benutzer schützen. "In Bezug auf die Sicherheit sind sich alle einig, dass so grundlegende Dinge wie HTTPS erforderlich sind", sagt Tabriz. "Aber es lohnt sich, etwas zu ändern, und die Leute geraten sofort in Panik." Egal was wir tun, ich weiß, dass dies kontrovers sein wird. Für solche Dinge braucht es nur Zeit. “
Porter Felt sagt, dass die Gruppe bereit sein wird, im Herbst oder im Frühjahr über ihre Ideen zu sprechen. Die Gruppe stellt fest, dass ihr Ziel nicht darin besteht, die Verwendung von URLs ohne Logik auf den Kopf zu stellen, sondern eine vorhandene Ansicht zu verbessern, da die Identifizierung von Objekten die Grundlage des gesamten Web-Sicherheitsmodells ist. Da diese Vorschläge jedoch von einem einflussreichen Unternehmen wie Google stammen, das ein derartiges Interesse daran hat, wie Menschen im Internet surfen und es nutzen, ist die Aufmerksamkeit der Community für das Angebot eines Unternehmens von entscheidender Bedeutung.
Laut einer der Managerinnen des Chrome-Teams, Emily Stark, fordert dieses Projekt, dass man die URL bemerkt [
das Projekt ist der URLephant im Raum / Verweis auf das englische Sprichwort über die Möglichkeit, das Offensichtliche nicht zu bemerken, dessen Wurzeln in Krylovs Fabel " Curious " liegen. perev. ].