En septembre de l'année dernière, les développeurs de Chrome ont avancé une proposition radicale: changer l'affichage des URL dans le navigateur . Dans certaines publications, des articles ont immédiatement paru avec des titres de panique «Google veut tuer les URL»

En théorie, Google est avantageux pour les utilisateurs d'accéder à tous les sites via une recherche, plutôt que directement à partir d'une URL de navigateur. Probablement, à cette fin, à un moment donné, la barre d'adresse a été combinée avec la barre de recherche. Mais la barre d'adresse est encore loin. Jusqu'à présent, Google ne fait que les premières étapes, donnant au navigateur Chrome un peu de contrôle sur l'affichage des URL. Ceci est fait pour la sécurité des utilisateurs.

Google dit que la syntaxe des URL est trop difficile pour un public de masse.

Syntaxe d'URL complexe

"Les gens ont vraiment du mal à comprendre les URL", a déclaré Adrian Porter Felt, responsable technique de Chrome. - Ces adresses sont difficiles à lire et la partie de l'adresse à laquelle vous devez faire confiance n'est pas claire. En général, à mon avis, l'URL ne transmet pas correctement l'identité du site. Mais nous voulons continuer à rendre l'identité du Web compréhensible pour tout le monde, afin que les gens sachent à qui le site s'ouvre dans un navigateur et puissent logiquement déterminer s'il peut être fiable. Mais cela signifie de grands changements dans le moment et la façon dont Chrome affiche les URL. Nous voulons défier et remettre en question l'interface URL moderne à mesure que nous nous dirigeons vers une représentation plus appropriée de l'identité. »

L'URL comme identifiant unique d'une ressource n'ira nulle part. Mais Google considère qu'il s'agit d'un identifiant de machine plutôt que d'une adresse lisible par l'homme. Il est difficile pour les utilisateurs de comprendre la syntaxe complexe de l'URL, qui est constamment utilisée par les attaquants. Ils utilisent des URL avec des sous-domaines ou des adresses qui diffèrent d'un caractère ou installent des certificats HTTPS gratuits pour obtenir une icône verte pour leurs sites de phishing.

Test de phishing

Les utilisateurs ordinaires ne verront pas toujours rapidement la différence entre les domaines avec une orthographe similaire, par exemple:

example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
..

Même dans un simple test de phishing de Google , tout le monde n'obtiendra pas un score maximum de 8 sur 8 points. Soit dit en passant, le choix d'un nom de domaine pour le test semble très ironique de la part de Google, étant donné qu'il s'agit d'un test de phishing.

TrickURI: heuristique pour filtrer les URL dans un navigateur

Mardi dernier, la chef du département de sécurité responsable de la sécurité utilisable, Emily Stark, a fait une présentation lors de la conférence Enigma Security. Elle a parlé des premières étapes de Google pour «une identification plus fiable des sites Web».

"Nous parlons de changer la façon dont nous représentons l'identité d'un site " , a déclaré Stark. - Les utilisateurs doivent facilement comprendre sur quel site ils se trouvent afin de ne pas être induits en erreur. Pour comprendre cela, une personne ne doit pas avoir une connaissance approfondie du fonctionnement d'Internet. »

En d'autres termes, le navigateur devrait transformer une URL régulière en quelque chose de plus clair et plus compréhensible. Dans certains cas, une partie mineure de l'adresse doit être prise en arrière-plan, et dans d'autres, au contraire, ouvrez le lien abrégé et montrez quel domaine se trouve derrière.

L'équipe de Chrome se concentre désormais sur la recherche d'URL qui "s'écartent de la pratique standard". Un outil open source appelé TrickURI a été développé pour cela. Il fonctionne comme un proxy et est installé sur une machine cliente avec un certificat racine, aidant les développeurs à analyser leur application Web pour des UR correctes, claires et compréhensibles. Les développeurs apprendront comment les URL recherchent les utilisateurs dans différentes situations.



Indépendamment de TrickURI, un système d'avertissement est en cours de développement pour les utilisateurs de Chrome lorsque l'URL semble être potentiellement du phishing. Contrairement au mécanisme de navigation sécurisée existant, le nouveau système ne fonctionnera pas selon la "liste noire", mais basé sur certaines heuristiques ...

"Notre heuristique pour détecter les URL trompeuses implique de comparer les caractères qui sont similaires les uns aux autres et les domaines qui ne diffèrent les uns des autres que par un petit nombre de caractères", a déclaré Stark. - Notre objectif est de développer un ensemble de méthodes heuristiques qui empêchent les attaquants d'utiliser des URL trompeuses, et la tâche principale n'est pas de marquer les domaines légitimes comme suspects. C'est pourquoi nous lançons très lentement ce système à titre expérimental. "

"Les URL fonctionnent très bien pour certaines personnes."

Renoncer au mappage d'URL standard est un sujet controversé. Même à l'intérieur de Google, les développeurs n'ont pas de consensus à ce sujet. Un tel changement radical est difficile: même refuser la mise en évidence verte des sites HTTPS n'a pas été facile: nous avons dû négocier une politique cohérente avec les développeurs d'autres navigateurs.



Et ce n'est pas le dernier changement que Google va faire:

«La situation est vraiment compliquée, car maintenant les URL fonctionnent très bien pour certaines personnes et dans certaines situations, et beaucoup de gens les adorent», explique Stark.

Cependant, la grande majorité des gens ordinaires ne lisent pas et ne comprennent pas les URL aussi facilement que les utilisateurs expérimentés. Par conséquent, Google s'est engagé à changer l'interface URL: "Je ne sais pas à quoi cela ressemblera, car en ce moment, il y a une discussion active au sein de l'équipe sur ce problème", explique le directeur du développement de Paris chez Chrome. "Je sais une chose: peu importe ce que nous proposons, ce sera une décision controversée." C'est l'un des obstacles au travail avec une plateforme très ancienne, ouverte et répandue. Les changements seront contradictoires, quelle que soit leur forme. Mais il est important de faire au moins quelque chose, car les URL ne satisfont personne, ça craint [ils craignent en quelque sorte]. "

Monopoly Chrome

Des experts indépendants soutiennent l'initiative de Google visant à améliorer la sécurité sur le Web, bien qu'ils expriment certaines préoccupations. Le problème est qu'aujourd'hui la part du lion des navigateurs est alimentée par Chromium, donc trop de puissance s'est concentrée entre les mains des développeurs de ce navigateur. Chacune de leurs actions devient presque automatiquement la norme pour les autres navigateurs. Même Microsoft a récemment officiellement abandonné son propre moteur EdgeHTML au profit de Chromium dans la version de bureau du navigateur.

Jusqu'à présent, seul Mozilla tient. Concernant la décision de collègues de Microsoft, ils ont dit ce qui suit : «Au revoir, EdgeHTML. En adoptant Chromium pour utilisation, Microsoft donne à Google plus de contrôle sur la vie en ligne. Cela peut sembler mélodramatique, mais ce n'est pas le cas. «Les moteurs de navigateur - Google Chrome et Gecko Quantum de Mozilla - sont des logiciels internes qui définissent en fait une grande partie de ce que chacun de nous peut faire sur Internet. Ils déterminent les principales caractéristiques: quel contenu nous, en tant que consommateurs, pouvons voir, notre sécurité lors de la visualisation du contenu et dans quelle mesure nous contrôlons les sites Web et les services. La décision de Microsoft donne à Google davantage de possibilités de décider à lui seul quelles options sont disponibles pour chacun de nous. "

On ne peut qu'espérer que les développeurs Chrome n'abuseront pas de leur pouvoir dans la manipulation des URL.

---