Pada bulan September tahun lalu, pengembang Chrome mengajukan proposal radikal: mengubah tampilan URL di browser . Dalam beberapa publikasi, artikel segera muncul dengan tajuk panik “Google ingin membunuh URL”

Secara teoritis, Google bermanfaat bagi pengguna untuk mengakses semua situs melalui pencarian, bukan langsung dari URL browser. Mungkin, untuk tujuan ini, pada suatu waktu, bilah alamat digabungkan dengan bilah pencarian. Tetapi bilah alamat masih jauh. Sejauh ini, Google hanya mengambil langkah pertama, memberi browser Chrome sedikit kontrol atas tampilan URL. Ini dilakukan untuk keamanan pengguna.

Google mengatakan sintaksis URL terlalu sulit untuk pemirsa massal.

Sintaks URL kompleks

"Orang-orang benar-benar kesulitan memahami URL," kata Adrian Porter Felt, pimpinan teknis Chrome. - Alamat-alamat ini sulit dibaca dan tidak jelas bagian mana dari alamat yang perlu Anda percayai. Secara umum, menurut pendapat saya, URL tidak menyampaikan identitas situs dengan benar. Tetapi kami ingin beralih untuk membuat identitas web dapat dipahami oleh semua orang, sehingga orang-orang tahu situsnya terbuka di browser dan secara logis dapat menentukan apakah itu dapat dipercaya. Tapi itu berarti perubahan besar kapan dan bagaimana Chrome menampilkan URL. Kami ingin menantang dan menantang antarmuka URL modern saat kami bergerak ke arah representasi identitas yang lebih tepat. "

URL sebagai pengidentifikasi unik sumber daya tidak akan pergi ke mana pun. Tetapi Google menganggap ini sebagai pengidentifikasi mesin dan bukan alamat yang bisa dibaca manusia. Sulit bagi orang untuk memahami sintaksis kompleks URL, yang terus-menerus digunakan oleh penyerang. Mereka menggunakan URL dengan subdomain atau alamat yang berbeda berdasarkan satu karakter, atau memasang sertifikat HTTPS gratis untuk mendapatkan ikon hijau untuk situs phishing mereka.

Tes phishing

Pengguna biasa tidak akan selalu dengan cepat melihat perbedaan antara domain dengan ejaan yang serupa, misalnya:

example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
..

Bahkan dalam tes phishing sederhana dari Google , tidak semua orang akan mendapatkan skor maksimum 8 dari 8 poin. Ngomong-ngomong, memilih nama domain untuk pengujian terlihat sangat ironis di pihak Google, mengingat ini adalah tes phishing.

TrickURI: heuristik untuk memfilter URL di browser

Selasa lalu, kepala departemen keamanan pimpinan keamanan yang dapat digunakan Emily Stark membuat presentasi di Konferensi Keamanan Enigma . Dia berbicara tentang langkah pertama Google di "identifikasi situs web yang lebih andal."

"Kami sedang berbicara tentang mengubah cara kami mewakili identitas situs, " kata Stark. - Orang harus dengan mudah memahami situs apa yang mereka gunakan sehingga mereka tidak dapat disesatkan. Untuk memahami hal ini, seseorang seharusnya tidak memiliki pengetahuan mendalam tentang cara kerja Internet. ”

Dengan kata lain, browser harus mengubah URL reguler menjadi sesuatu yang lebih jelas dan lebih mudah dipahami. Dalam beberapa kasus, sebagian kecil alamat harus dijadikan latar belakang, dan dalam kasus lain, sebaliknya, buka tautan singkat dan tunjukkan domain mana yang ada di belakangnya.

Tim Chrome sekarang fokus pada menemukan URL yang "menyimpang dari praktik standar." Alat sumber terbuka yang disebut TrickURI telah dikembangkan untuk ini. Ini berfungsi sebagai proksi dan diinstal pada mesin klien dengan sertifikat root, membantu pengembang menganalisis aplikasi web mereka untuk UR yang benar, jelas, dan dapat dipahami. Pengembang akan mendapatkan pemahaman tentang bagaimana URL mencari pengguna dalam situasi yang berbeda.



Terpisah dari TrickURI, sistem peringatan sedang dikembangkan untuk pengguna Chrome ketika URL tampaknya berpotensi phishing. Berbeda dengan mekanisme Penjelajahan Aman yang ada, sistem baru tidak akan berfungsi sesuai dengan "daftar hitam", tetapi berdasarkan heuristik tertentu ...

"Heuristik kami untuk mendeteksi URL yang menyesatkan melibatkan membandingkan karakter yang mirip satu sama lain dan domain yang berbeda satu sama lain hanya dengan sejumlah kecil karakter," kata Stark. - Tujuan kami adalah mengembangkan seperangkat metode heuristik yang mencegah penyerang menggunakan URL yang menyesatkan, dan tugas utamanya adalah tidak menandai domain yang sah sebagai mencurigakan. Itu sebabnya kami sangat lambat, secara bertahap meluncurkan sistem ini sebagai percobaan. "

“URL berfungsi dengan baik untuk orang-orang tertentu.”

Menyerah pemetaan URL standar adalah topik yang kontroversial. Bahkan di dalam Google, pengembang tidak memiliki konsensus tentang ini. Perubahan radikal semacam itu sulit: bahkan menolak sorotan hijau situs HTTPS tidaklah mudah: kami harus menegosiasikan kebijakan yang konsisten dengan pengembang browser lainnya.



Dan ini bukan perubahan terakhir yang akan dilakukan Google:

“Situasinya benar-benar rumit, karena sekarang URL berfungsi sangat baik untuk orang-orang tertentu dan dalam situasi tertentu, dan banyak orang menyukainya,” kata Stark.

Namun, sebagian besar orang awam tidak membaca dan memahami URL semudah pengguna berpengalaman. Karenanya, Google berkomitmen untuk mengubah antarmuka URL: "Saya tidak tahu seperti apa tampilannya, karena saat ini ada diskusi aktif dalam tim tentang masalah ini," kata Paris Development Director di Chrome. "Saya tahu satu hal: apa pun yang kami usulkan, ini akan menjadi keputusan yang kontroversial." Ini adalah salah satu kendala dalam bekerja dengan platform yang sangat tua, terbuka, dan luas. Perubahan akan bertentangan, bentuk apa pun yang diambil. Tetapi penting untuk melakukan setidaknya sesuatu, karena URL tidak memuaskan siapa pun, ini agak menyebalkan [mereka agak payah]. "

Monopoli Chrome

Pakar independen mendukung inisiatif Google untuk meningkatkan keamanan di Web, meskipun mereka menyatakan beberapa keprihatinan. Masalahnya adalah bahwa hari ini bagian terbesar browser ditenagai oleh Chromium, sehingga terlalu banyak daya terkonsentrasi di tangan para pengembang browser ini. Setiap tindakan mereka hampir secara otomatis menjadi standar untuk browser lain. Bahkan Microsoft baru-baru ini secara resmi meninggalkan mesin EdgeHTML - nya sendiri demi Chromium di versi desktop browser.

Sejauh ini, hanya Mozilla yang bertahan. Mengenai keputusan rekan-rekan dari Microsoft, mereka mengatakan sebagai berikut : “Selamat tinggal, EdgeHTML. Dengan mengadopsi Chromium untuk digunakan, Microsoft memberi Google kontrol lebih besar atas kehidupan online. Mungkin terdengar melodramatik, tetapi sebenarnya tidak. “Mesin peramban - Google Chromium dan Mozilla's Gecko Quantum - adalah bagian internal perangkat lunak yang benar-benar menentukan banyak hal yang dapat kita lakukan di Internet. Mereka menentukan fitur utama: konten apa yang kita sebagai konsumen dapat lihat, keamanan kita saat melihat konten dan seberapa banyak kita mengontrol situs web dan layanan. Keputusan Microsoft memberi Google lebih banyak peluang untuk memutuskan sendiri pilihan mana yang tersedia untuk kita masing-masing. "

Orang hanya bisa berharap bahwa pengembang Chrome tidak akan menyalahgunakan kekuatan mereka dalam memanipulasi URL.

---