Geekly articles weekly

Google为什么更改浏览器中的标准URL界面

去年9月,Chrome开发人员提出了一个激进的提议: 更改浏览器中URL的显示 。 在某些出版物中,文章立即以惊恐的标题出现: “ Google想要杀死URL”

从理论上讲,Google对于用户通过搜索而不是直接从浏览器URL来访问所有站点是有利的。 为此,可能一次将地址栏与搜索栏组合在一起。 但是地址栏仍然很远。 到目前为止,Google仅采取了第一步,使Chrome浏览器可以稍微控制URL的显示。 这样做是为了确保用户安全。

谷歌表示,URL语法对于广大受众来说太难了。

复杂的URL语法


Chrome的技术负责人Adrian Porter Felt 说: “人们确实很难理解URL。” -这些地址很难阅读,不清楚您需要信任地址的哪一部分。 我认为,一般而言,URL无法正确传达网站的身份。 但是我们要继续前进,以使每个人都能理解Web的身份,以便人们知道谁的站点在浏览器中打开,并可以从逻辑上推理是否值得信任。 但这意味着Chrome显示网址的时间和方式发生了巨大变化。 随着我们朝着更合适的身份表示迈进,我们想挑战和挑战现代URL界面。”

URL作为资源的唯一标识符不会随处可见。 但是Google认为这是机器标识符,而不是人类可读的地址。 人们很难理解URL的复杂语法,攻击者经常使用该语法。 他们使用的子域或地址相差一个字符的URL,或安装免费的HTTPS证书来为其钓鱼网站获取绿色图标。

网络钓鱼测试


普通用户不会总是很快看到拼写相似的域之间的差异,例如:

example.com/profiles/al
example.com.profiles.al
examp1e.com/profiles/al
example.co/profiles/al
..

即使通过Google进行的简单的网络钓鱼测试 ,也不是每个人都能在8分中获得最高8分。 顺便说一句,考虑到这是网络钓鱼测试,选择测试的域名对于Google而言似乎非常具有讽刺意味。

TrickURI:用于在浏览器中过滤URL的启发式


上周二,可用安全主管安全部门负责人Emily Stark在Enigma安全会议上作了演讲 。 她谈到了Google在“更可靠的网站识别”方面的第一步。

斯塔克说: “我们正在谈论改变代表网站身份的方式。” -人们应该容易理解他们所处的站点,以免被误导。 要理解这一点,一个人不应该对互联网的工作原理有深入的了解。”

换句话说,浏览器应该将常规URL变成更清晰,更易理解的内容。 在某些情况下,应将地址的一小部分作为背景,而在其他情况下,则应打开缩短的链接并显示其背后的域。

Chrome的团队现在专注于查找“​​偏离标准做法”的网址。 为此,开发了一个名为TrickURI的开源工具。 它充当代理,并通过根证书安装在客户端计算机上,从而帮助开发人员分析其Web应用程序以获取正确,清晰和可理解的UR。 开发人员将了解URL在不同情况下如何寻找用户。



与TrickURI分开的是,当URL似乎存在网络钓鱼行为时,正在为Chrome用户开发一个警告系统。 与现有的“ 安全浏览”机制不同,新系统将无法根据“黑名单”运行,而是基于某些启发式算法。

斯塔克说:“我们用于检测误导性URL的启发式方法包括比较彼此相似的字符和彼此相差仅几个字符的域。” -我们的目标是开发一套启发式方法,以防止攻击者使用误导性URL,而主要任务是不将合法域标记为可疑。 这就是为什么我们如此缓慢地逐步启动该系统作为实验的原因。”

“ URL对某些人来说非常有效。”


放弃标准的URL映射是一个有争议的话题。 即使在Google内部,开发人员对此也没有共识。 任何此类根本性的改变都是困难的:即使拒绝HTTPS网站的绿色突出显示也不是一件容易的事:我们必须与其他浏览器的开发人员协商一致的政策。



这不是Google要做的最后改变:

“情况真的很复杂,因为现在URL对某些人和在某些情况下非常有效,而且很多人喜欢它们,” Stark说。

但是,绝大多数普通人并不像经验丰富的用户那样容易地阅读和理解URL。 因此,Google致力于更改URL界面:“我不知道它的外观,因为目前团队对此进行了积极的讨论,” Chrome开发总监Paris 说道 。 “我知道一件事:无论我们提出什么建议,这都是一个有争议的决定。” 这是使用非常古老,开放且广泛使用的平台的障碍之一。 无论采取何种形式,变化都是矛盾的。 但是,至少要做一些事情很重要,因为URL不能满足任何人的要求,这很烂(它们很烂)。”

垄断铬


独立专家表示支持,尽管他们表达了一些担忧,但他们支持Google改善网络安全性的倡议。 问题在于,如今,大多数浏览器都由Chromium提供支持,因此太多的功能集中在该浏览器的开发人员手中。 他们的任何动作几乎都会自动成为其他浏览器的标准。 即使是微软公司,最近也正式放弃了自己的EdgeHTML引擎,转而使用Chromium作为桌面版本的浏览器。

到目前为止,只有Mozilla持有。 关于微软同事的决定,他们 :“再见,EdgeHTML。 通过采用Chromium,Microsoft赋予了Google对在线生活的更多控制权。 这听起来很不错,但事实并非如此。 “浏览器引擎-Google的Chromium和Mozilla的Gecko Quantum-是内部软件,实际上定义了我们每个人在互联网上可以做的很多事情。 它们确定了主要功能:我们作为消费者可以看到哪些内容,查看内容时的安全性以及我们对网站和服务的控制程度。 微软的决定为Google提供了更多机会,让我们可以一手决定哪些选项可供我们每个人使用。”

只能希望Chrome开发人员不会滥用其处理网址的能力。

Source: https://habr.com/ru/post/zh-CN438758/

More articles:


All Articles