Im September letzten Jahres haben Chrome-Entwickler einen radikalen Vorschlag unterbreitet:
Ändern Sie die Anzeige von URLs im Browser . In einigen Veröffentlichungen erschienen Artikel sofort mit panischen Überschriften:
"Google will URLs töten"Theoretisch ist Google für Nutzer von Vorteil, wenn sie über eine Suche auf alle Websites zugreifen und nicht direkt über eine Browser-URL. Wahrscheinlich wurde zu diesem Zweck zu einem bestimmten Zeitpunkt die Adressleiste mit der Suchleiste kombiniert. Aber die Adressleiste ist noch weit weg. Bisher unternimmt Google nur die ersten Schritte, um dem Chrome-Browser ein wenig Kontrolle über die Anzeige von URLs zu geben. Dies geschieht zur Sicherheit der Benutzer.
Laut Google ist die URL-Syntax für ein Massenpublikum zu schwierig.
Komplexe URL-Syntax
"Die Leute haben es wirklich schwer, URLs zu verstehen",
sagte Adrian Porter Felt, technischer Leiter von Chrome. - Diese Adressen sind schwer zu lesen und es ist nicht klar, welchem Teil der Adresse Sie vertrauen müssen. Im Allgemeinen vermittelt die URL meiner Meinung nach die Identität der Website nicht korrekt. Wir möchten jedoch die Identität des Webs für alle verständlich machen, damit die Benutzer wissen, wessen Website in einem Browser geöffnet wird, und logisch begründen können, ob sie vertrauenswürdig ist. Dies bedeutet jedoch große Änderungen, wann und wie Chrome URLs anzeigt. Wir wollen die moderne URL-Oberfläche herausfordern und herausfordern, um eine angemessenere Darstellung der Identität zu erreichen. “
Die URL als eindeutige Kennung einer Ressource wird nirgendwo hingehen. Google betrachtet dies jedoch eher als Maschinenkennung als als für Menschen lesbare Adresse. Es ist schwer für die Leute, die komplexe Syntax der URL zu verstehen, die von Angreifern ständig verwendet wird. Sie verwenden URLs mit Subdomains oder Adressen, die sich um ein Zeichen unterscheiden, oder installieren kostenlose HTTPS-Zertifikate, um ein grünes Symbol für ihre Phishing-Sites zu erhalten.
Phishing-Test
Normale Benutzer werden den Unterschied zwischen Domänen mit einer ähnlichen Schreibweise nicht immer schnell erkennen, zum Beispiel:
example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
..
Selbst in einem einfachen Phishing-Test von Google erhält nicht jeder eine maximale Punktzahl von 8 von 8 Punkten. Übrigens sieht die Auswahl eines Domainnamens für den Test für Google sehr ironisch aus, da es sich um einen Phishing-Test handelt.
TrickURI: Heuristiken zum Filtern von URLs in einem Browser
Am vergangenen Dienstag hielt Emily Stark, Leiterin der Sicherheitsabteilung für nutzbare Sicherheit, eine
Präsentation auf der
Enigma- Sicherheitskonferenz. Sie sprach über die ersten Schritte von Google zur "zuverlässigeren Identifizierung von Websites".
"Wir sprechen über eine Änderung der Art und Weise, wie wir die Identität einer Website darstellen
", sagte Stark. - Die Benutzer sollten leicht verstehen, auf welcher Website sie sich befinden, damit sie nicht irregeführt werden können. Um dies zu verstehen, sollte eine Person keine gründlichen Kenntnisse über die Funktionsweise des Internets haben. “
Mit anderen Worten, der Browser sollte eine reguläre URL in etwas Klareres und Verständlicheres verwandeln. In einigen Fällen sollte ein kleiner Teil der Adresse in den Hintergrund gerückt werden, in anderen Fällen sollte der verkürzte Link geöffnet und angezeigt werden, welche Domain dahinter steht.
Das Chrome-Team konzentriert sich nun darauf, URLs zu finden, die "von der Standardpraxis abweichen".
Hierfür wurde ein Open-Source-Tool namens
TrickURI entwickelt. Es fungiert als Proxy und wird auf einem Clientcomputer mit einem Stammzertifikat installiert, sodass Entwickler ihre Webanwendung auf korrekte, klare und verständliche URs analysieren können. Entwickler erhalten ein Verständnis dafür, wie URLs für Benutzer in verschiedenen Situationen aussehen.
Unabhängig von TrickURI wird ein Warnsystem für Chrome-Nutzer entwickelt, wenn die URL möglicherweise Phishing enthält. Im Gegensatz zum bestehenden
Safe Browsing- Mechanismus funktioniert das neue System nicht gemäß der "schwarzen Liste", sondern basiert auf bestimmten Heuristiken ...
"Unsere Heuristik zum Erkennen irreführender URLs besteht darin, Zeichen zu vergleichen, die einander ähnlich sind, und Domänen, die sich nur durch eine geringe Anzahl von Zeichen voneinander unterscheiden", sagte Stark. - Unser Ziel ist es, eine Reihe heuristischer Methoden zu entwickeln, die verhindern, dass Angreifer irreführende URLs verwenden. Die Hauptaufgabe besteht nicht darin, legitime Domains als verdächtig zu kennzeichnen. Deshalb sind wir so langsam und starten dieses System schrittweise als Experiment. "
"URLs funktionieren für bestimmte Personen sehr gut."
Das Aufgeben der Standard-URL-Zuordnung ist ein kontroverses Thema. Selbst innerhalb von Google haben Entwickler keinen Konsens darüber. Eine solche radikale Änderung ist schwierig: Selbst die
Ablehnung der grünen Hervorhebung von HTTPS-Websites war nicht einfach: Wir mussten mit Entwicklern anderer Browser eine konsistente Richtlinie aushandeln.
Und dies ist nicht die letzte Änderung, die Google vornehmen wird:
"Die Situation ist wirklich kompliziert, weil URLs jetzt für bestimmte Personen und in bestimmten Situationen sehr gut funktionieren und viele Menschen sie lieben", sagt Stark.
Die überwiegende Mehrheit der normalen Menschen liest und versteht URLs jedoch nicht so einfach wie erfahrene Benutzer. Aus diesem Grund hat sich Google dazu verpflichtet, die URL-Oberfläche zu ändern: "Ich weiß nicht, wie sie aussehen wird, da derzeit im Team eine aktive Diskussion darüber stattfindet",
sagt der Pariser Entwicklungsdirektor bei Chrome. "Ich weiß eines: Egal was wir vorschlagen, dies wird eine kontroverse Entscheidung sein." Dies ist eines der Hindernisse bei der Arbeit mit einer sehr alten, offenen und weit verbreiteten Plattform. Änderungen sind widersprüchlich, unabhängig von ihrer Form. Aber es ist wichtig, zumindest etwas zu tun, da URLs niemanden zufrieden stellen, es ist irgendwie scheiße [sie saugen irgendwie]. "
Monopol Chrome
Unabhängige Experten unterstützen die Initiative von Google zur Verbesserung der Sicherheit im Web, äußern jedoch einige Bedenken. Das Problem ist, dass heute der Löwenanteil der Browser mit Chromium betrieben wird, sodass sich zu viel Leistung in den Händen der Entwickler dieses Browsers konzentriert hat. Jede ihrer Aktionen wird fast automatisch zum Standard für andere Browser. Sogar Microsoft hat kürzlich
offiziell seine eigene EdgeHTML-Engine zugunsten von Chromium in der Desktop-Version des Browsers
aufgegeben .
Bisher hält nur Mozilla. In Bezug auf die Entscheidung von Kollegen von Microsoft
sagten sie
Folgendes : „Auf Wiedersehen, EdgeHTML. Durch die Verwendung von Chromium für die Verwendung gibt Microsoft Google mehr Kontrolle über das Online-Leben. Es mag melodramatisch klingen, ist es aber nicht. „Browser-Engines - Googles Chromium und Mozillas Gecko Quantum - sind interne Softwareteile, die tatsächlich definieren, was jeder von uns im Internet tun kann. Sie bestimmen die Hauptmerkmale: Welche Inhalte können wir als Verbraucher sehen, unsere Sicherheit beim Anzeigen von Inhalten und wie stark wir Websites und Dienste kontrollieren. Die Entscheidung von Microsoft bietet Google mehr Möglichkeiten, im Alleingang zu entscheiden, welche Optionen jedem von uns zur Verfügung stehen. “
Man kann nur hoffen, dass Chrome-Entwickler ihre Macht bei der Manipulation von URLs nicht missbrauchen.
