A principios de septiembre, Google Chrome tenía 10 años, y en su corta vida introdujo muchos cambios radicales en la web. Al equipo de seguridad de Chrome le encanta luchar contra problemas grandes y conceptuales, desde popularizar actualizaciones automáticas hasta promover agresivamente el cifrado HTTPS. Tal influencia y tal alcance pueden conducir a una división de opiniones; y mientras Chrome planea su trabajo para los próximos diez años, el equipo está considerando la iniciativa más discutible de todas: cambiar fundamentalmente la forma en que funcionan las URL en la web.
El Localizador Uniforme de Recursos (URL) es la dirección web familiar que usa a diario. Estas direcciones se enumeran en la libreta de direcciones DNS y redirigen los navegadores a las direcciones correctas de Protocolo de Internet (IP), que ayudan a distinguir e identificar servidores web. Es decir, vas a habr.com y lees a Habr, sin molestarte con protocolos de enrutamiento complejos y secuencias de números. Pero con el tiempo, las URL se volvieron cada vez más difíciles de leer y comprender. Con la expansión de la funcionalidad de la red, las URL se están convirtiendo cada vez más en cadenas ilegibles de cualquier confusión que combine componentes de servicios extraños o se disfrazen como abreviadores de enlaces y esquemas de redireccionamiento. Y en los dispositivos móviles generalmente no hay lugar para mostrar la URL completa.
La opacidad resultante ha permitido que florezcan los cibercriminales que crean sitios maliciosos que aprovechan hábilmente este desastre. Pretenden ser organizaciones reales, ejecutan esquemas de phishing, distribuyen enlaces para descargar aplicaciones maliciosas, organizan servicios web falsos, todo porque es difícil para los usuarios web realizar un seguimiento de con quién están tratando. Y ahora, según el equipo de Chrome, ha llegado el momento de grandes cambios.
"La gente realmente tiene dificultades para comprender las URL", dijo Adrienne Porter Felt, directora técnica del equipo de Chrome. - Es difícil de leer, es difícil entender en qué parte debe confiar y, en general, no me parece que las URL transmitan correctamente la identidad del sitio. Y queremos pasar a un lugar donde la identidad de la web sea comprensible para todos, para que sepan con quién están hablando usando el sitio web y puedan hablar razonablemente sobre si se puede confiar en ellos. Pero eso significará un gran cambio en cuándo y cómo Chrome muestra las URL. Queremos desafiar la forma en que se muestran las URL y desafiarlas a medida que avanzamos hacia una representación de identidad adecuada ".
Si te resulta difícil imaginar lo que puedes usar en lugar de una URL, entonces no estás solo. Los científicos han estado considerando opciones durante años, pero este problema no tiene una respuesta simple. Porter Felt y su colega Justin Schuh, ingeniero jefe de Chrome, dijeron que incluso en el equipo de Google, las opiniones estaban divididas. Y aunque el grupo no ofrece ningún ejemplo de los esquemas propuestos.
Afirman que ahora se están concentrando en identificar todas las formas en que las personas usan las URL para tratar de encontrar una alternativa que mejore la seguridad e integridad de la identidad de la web, al tiempo que agrega conveniencia a las tareas cotidianas como enviar enlaces a otras personas en dispositivos móviles.
"No sé cómo será, porque en este momento hay una discusión activa en el equipo sobre esto", dice Parisa Tabriz, directora del equipo. “Sé una cosa: lo que sea que propongamos, será una decisión controvertida. Este es uno de los obstáculos para trabajar con una plataforma muy antigua, abierta y generalizada. Los cambios serán contradictorios, cualquiera sea la forma que adopten. Pero es importante hacer al menos algo, porque las URL no satisfacen a nadie. URL apesta ".
El equipo de Chrome ha estado reflexionando sobre la seguridad de URL durante mucho tiempo. En 2014, trató de introducir una función de formato llamada "chip de origen", que muestra solo el nombre de dominio principal del sitio, para ayudar a los usuarios a comprender en qué dominio están realmente. Para ver la URL completa, puede hacer clic en una pieza, y el resto del campo de entrada de URL funcionó como un campo de búsqueda de Google. El experimento recibió no solo calificaciones positivas por mejorar la identidad de la web, sino también un montón de críticas. Después de varias semanas de ejecutar la función en la versión preliminar de Chrome, el equipo suspendió el lanzamiento de esta función.
"Una parte de la fuente fue la primera intrusión de Chrome en una nueva área de actividad", dice Porter Felt. - Aprendimos mucho sobre cómo las personas imaginan y usan las URL. Pero, sinceramente, el problema fue más grave de lo que esperábamos. Utilizamos los comentarios recibidos en 2014 para reflexionar sobre nuestro trabajo actual ”.
Tabriz también señala que el equipo enfrentó una reacción violenta contra su iniciativa de cifrado HTTPS. La decisión de Chrome de considerar los sitios cifrados como estándar, y llamar inseguros a los sitios no cifrados, parecía radical al principio. Pero el equipo trabajó junto con otros navegadores y compañías tecnológicas para difundir estos cambios en la web y promover mensajes cifrados que protegen la privacidad del usuario. "Entre la seguridad, todos están de acuerdo con la necesidad de algo tan básico como HTTPS", dice Tabriz. "Pero vale la pena hacer un cambio, y la gente inmediatamente comienza a entrar en pánico". Por lo tanto, no importa lo que hagamos, sé que esto será controvertido. Solo toma tiempo para tales cosas ".
Porter Felt dice que el grupo estará listo para hablar sobre sus ideas en el otoño o en la primavera. El grupo señala que su objetivo no es invertir el uso de URL sin ninguna lógica, sino mejorar una vista existente, dado que la identificación de objetos es la base de todo el modelo de seguridad web. Pero dado que estas propuestas provendrán de una compañía influyente como Google, que tiene tanto interés en cómo las personas navegan en la web y la usan, la atención de la comunidad a la oferta de cualquier compañía será crítica.
Según uno de los gerentes del equipo de Chrome, Emily Stark, este proyecto requiere que uno comience a notar la url [
el proyecto es el URLephant en la sala / referencia al proverbio inglés sobre la posibilidad de no notar lo obvio, cuyas raíces se encuentran en la fábula " Curiosa " de Krylov / aprox. perev. ]