“關鍵挑戰是避免將合法域名標記為可疑域名。” —— Chrome 可用性安全團隊負責人 Emily Stark
去年 9 月,Google Chrome 團隊透露了受爭議的“殺死” URL 的計劃。URL 是 Uniform Resource Locator(統一資源定位符)的縮寫,用戶無需記住複雜的 IP 地址而只需要記住域名就能訪問一個網站。但隨著 Web 功能的擴展,組成網址的字符串日益複雜和難以理解。
Google Chrome 團隊設想在增強 Web 安全和確保網站身份完整性的同時為用戶分享鏈接提供方便。Chrome 可用性安全團隊負責人 Emily Stark 在灣區 Enigma 安全會議上談論了搜索巨人殺死網址的第一步。
Stark 強調,Google 沒有試圖在消除 URL 的同時引發混亂,相反它想要讓黑客更難利用用戶對網站身份的混淆。目前複雜的 URL 讓黑客可以進行釣魚或其它欺騙性攻擊,例如攻擊者可以設計出與真實網站相似的惡意網頁,使得受害者不會注意到他們訪問的是 G00gle 而不是 Google。Chrome 團隊當前的重心正是在防釣魚攻擊上,其基礎是名叫 TrickURI 的開源工具,它可以檢查 URL 是否準確和一致,對潛在的釣魚 URL 向用戶發出警告。
對於 Google 用戶來說,防範網絡釣魚和其他在線詐騙的第一道防線仍然是該 Google 的安全瀏覽平臺。而 Chrome 團隊目前也正在探索和完善安全瀏覽平臺,特別是針對容易導致用戶上當受騙的 URL。
其實 Chrome 團隊一直在考慮網址安全問題,2014 年,Chrome 嘗試了一種稱為 origin chip 的格式化功能,該功能僅顯示網站的主域名,以幫助用戶明確他們實際瀏覽的是哪個域。該實驗獲得了一些人的支持,因為它使得網絡身份更加直觀,但也遭到了另外一些人的批評,後來項目夭折。Chrome 工程總監 Parisa Tabriz 指出,這就是當你要變革一個老古董的時候將面臨的——人們不允許你去變革。
同樣的,Chrome 在 HTTPS 的推廣計劃中也遭到了不少阻力,人們覺得 Google 太激進了。“所以無論我們在這裡做什麼,我都知道它會引起爭議,我們的 URL 改造計劃還有很長的路要走”,Chrome 的工程經理 Adrienne Porter Felt 表示。
閱讀更多 CSDN 的文章
