Google 杀死 URL 的第一步

“关键挑战是避免将合法域名标记为可疑域名。” —— Chrome 可用性安全团队负责人 Emily Stark

Google 杀死 URL 的第一步

去年 9 月,Google Chrome 团队透露了受争议的“杀死” URL 的计划。URL 是 Uniform Resource Locator(统一资源定位符)的缩写,用户无需记住复杂的 IP 地址而只需要记住域名就能访问一个网站。但随着 Web 功能的扩展,组成网址的字符串日益复杂和难以理解。

Google 杀死 URL 的第一步

Google Chrome 团队设想在增强 Web 安全和确保网站身份完整性的同时为用户分享链接提供方便。Chrome 可用性安全团队负责人 Emily Stark 在湾区 Enigma 安全会议上谈论了搜索巨人杀死网址的第一步。

Stark 强调,Google 没有试图在消除 URL 的同时引发混乱,相反它想要让黑客更难利用用户对网站身份的混淆。目前复杂的 URL 让黑客可以进行钓鱼或其它欺骗性攻击,例如攻击者可以设计出与真实网站相似的恶意网页,使得受害者不会注意到他们访问的是 G00gle 而不是 Google。Chrome 团队当前的重心正是在防钓鱼攻击上,其基础是名叫 TrickURI 的开源工具,它可以检查 URL 是否准确和一致,对潜在的钓鱼 URL 向用户发出警告。

Google 杀死 URL 的第一步

对于 Google 用户来说,防范网络钓鱼和其他在线诈骗的第一道防线仍然是该 Google 的安全浏览平台。而 Chrome 团队目前也正在探索和完善安全浏览平台,特别是针对容易导致用户上当受骗的 URL。

其实 Chrome 团队一直在考虑网址安全问题,2014 年,Chrome 尝试了一种称为 origin chip 的格式化功能,该功能仅显示网站的主域名,以帮助用户明确他们实际浏览的是哪个域。该实验获得了一些人的支持,因为它使得网络身份更加直观,但也遭到了另外一些人的批评,后来项目夭折。Chrome 工程总监 Parisa Tabriz 指出,这就是当你要变革一个老古董的时候将面临的——人们不允许你去变革。

同样的,Chrome 在 HTTPS 的推广计划中也遭到了不少阻力,人们觉得 Google 太激进了。“所以无论我们在这里做什么,我都知道它会引起争议,我们的 URL 改造计划还有很长的路要走”,Chrome 的工程经理 Adrienne Porter Felt 表示。

声明:本文经授权转自开源中国,作者局长。

相关推荐