Em setembro do ano passado, os desenvolvedores do Chrome apresentaram uma proposta radical: alterar a exibição de URLs no navegador . Em algumas publicações, os artigos apareceram imediatamente com manchetes de pânico: "O Google quer matar URLs"

Teoricamente, o Google é benéfico para os usuários acessarem todos os sites por meio de uma pesquisa, em vez de diretamente de um URL do navegador. Provavelmente, para esse fim, ao mesmo tempo, a barra de endereço foi combinada com a barra de pesquisa. Mas a barra de endereço ainda está longe. Até agora, o Google está dando apenas os primeiros passos, dando ao navegador Chrome um pouco de controle sobre a exibição de URLs. Isso é feito para a segurança dos usuários.

O Google diz que a sintaxe do URL é muito difícil para um público em massa.

Sintaxe complexa de URL

"As pessoas realmente têm dificuldade em entender os URLs", disse Adrian Porter Felt, líder técnico do Chrome. - Esses endereços são difíceis de ler e não está claro em qual parte do endereço você precisa confiar. Em geral, na minha opinião, o URL não transmite corretamente a identidade do site. Mas queremos passar a tornar a identidade da Web compreensível para todos, para que as pessoas saibam cujo site é aberto em um navegador e possam logicamente raciocinar se é confiável. Mas isso significa grandes mudanças em quando e como o Chrome exibe URLs. Queremos desafiar e desafiar a interface moderna da URL à medida que avançamos em direção a uma representação mais apropriada da identidade. ”

O URL como um identificador exclusivo de um recurso não irá a lugar algum. Mas o Google considera que este é um identificador de máquina, e não um endereço legível por humanos. É difícil para as pessoas entenderem a sintaxe complexa do URL, que é constantemente usada pelos atacantes. Eles usam URLs com subdomínios ou endereços que diferem por um caractere ou instalam certificados HTTPS gratuitos para obter um ícone verde em seus sites de phishing.

Teste de phishing

Usuários comuns nem sempre verão rapidamente a diferença entre domínios com uma ortografia semelhante, por exemplo:

example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
..

Mesmo em um simples teste de phishing do Google , nem todos obtêm uma pontuação máxima de 8 em 8 pontos. A propósito, escolher um nome de domínio para o teste parece muito irônico por parte do Google, pois esse é um teste de phishing.

TrickURI: heurísticas para filtrar URLs em um navegador

Na terça-feira passada, a chefe do departamento de segurança utilizável, Emily Stark, fez uma apresentação na Enigma Security Conference. Ela falou sobre os primeiros passos do Google na "identificação mais confiável do site".

"Estamos falando de mudar a maneira como representamos a identidade de um site " , disse Stark. - As pessoas devem entender facilmente em que site estão, para que não possam ser enganadas. Para entender isso, uma pessoa não deve ter um conhecimento profundo de como a Internet funciona. ”

Em outras palavras, o navegador deve transformar um URL comum em algo mais claro e compreensível. Em alguns casos, uma parte menor do endereço deve ser levada em segundo plano e, em outros, pelo contrário, abra o link abreviado e mostre qual domínio está por trás dele.

A equipe do Chrome agora está se concentrando em encontrar URLs que "se desviam da prática padrão". Uma ferramenta de código aberto chamada TrickURI foi desenvolvida para isso. Ele funciona como um proxy e é instalado em uma máquina cliente com um certificado raiz, ajudando os desenvolvedores a analisar seu aplicativo Web para obter URs corretas, claras e compreensíveis. Os desenvolvedores entenderão como os URLs procuram usuários em diferentes situações.



Separadamente do TrickURI, um sistema de aviso está sendo desenvolvido para usuários do Chrome quando o URL parece ser potencialmente phishing. Ao contrário do mecanismo de Navegação segura existente, o novo sistema não funcionará de acordo com a "lista negra", mas com base em certas heurísticas ...

"Nossa heurística para detectar URLs enganosas envolve a comparação de caracteres semelhantes entre si e domínios que diferem entre si por apenas um pequeno número de caracteres", disse Stark. - Nosso objetivo é desenvolver um conjunto de métodos heurísticos que impeçam que os invasores usem URLs enganosos, e a principal tarefa não é marcar domínios legítimos como suspeitos. É por isso que estamos muito lentamente, lançando gradualmente este sistema como um experimento ".

"URLs funcionam muito bem para certas pessoas."

Desistir do mapeamento de URL padrão é um tópico controverso. Mesmo dentro do Google, os desenvolvedores não têm um consenso sobre isso. Qualquer mudança radical é difícil: até recusar o destaque verde dos sites HTTPS não foi fácil: tivemos que negociar uma política consistente com desenvolvedores de outros navegadores.



E essa não é a última alteração que o Google fará:

"A situação é realmente complicada, porque agora os URLs funcionam muito bem para certas pessoas e em determinadas situações, e muitas pessoas os amam", diz Stark.

No entanto, a grande maioria das pessoas comuns não lê e entende URLs tão facilmente quanto os usuários experientes. Portanto, o Google está comprometido em alterar a interface do URL: "Não sei como será, porque no momento há uma discussão ativa na equipe sobre isso", diz o diretor de desenvolvimento de Paris do Chrome. "Sei uma coisa: não importa o que propomos, será uma decisão controversa." Esse é um dos obstáculos ao trabalhar com uma plataforma muito antiga, aberta e generalizada. As mudanças serão contraditórias, independentemente da forma que elas tomem. Mas é importante fazer pelo menos alguma coisa, porque os URLs não satisfazem ninguém, é meio chato [eles meio chato] ".

Monopólio Chrome

Especialistas independentes apóiam a iniciativa do Google de melhorar a segurança na Web, embora expressem algumas preocupações. O problema é que hoje a maior parte dos navegadores é alimentada pelo Chromium, e há muita energia concentrada nas mãos dos desenvolvedores desse navegador. Qualquer uma de suas ações se torna quase automaticamente o padrão para outros navegadores. Até a Microsoft recentemente abandonou oficialmente seu próprio mecanismo EdgeHTML em favor do Chromium na versão para desktop do navegador.

Até agora, apenas a Mozilla está aguentando. Quanto à decisão dos colegas da Microsoft, eles disseram o seguinte : “Adeus, EdgeHTML. Ao adotar o Chromium para uso, a Microsoft oferece ao Google mais controle sobre a vida on-line. Pode parecer melodramático, mas não é. “Os mecanismos de navegador - o Chromium do Google e o Gecko Quantum da Mozilla - são softwares internos que realmente definem muito do que cada um de nós pode fazer na Internet. Eles determinam os principais recursos: qual conteúdo nós, como consumidores, podemos ver, nossa segurança ao exibir conteúdo e quanto controlamos sites e serviços. A decisão da Microsoft oferece ao Google mais oportunidades para decidir sozinho quais opções estão disponíveis para cada um de nós. "

Só podemos esperar que os desenvolvedores do Chrome não abusem de seu poder na manipulação de URLs.

---