|
去年 9 月,谷歌 Chrome 安全团队的成员提出了一个激进的建议:消灭我们所知道的 URL(统一资源定位符,通俗来讲,就是网址)。实际上研究人员并不是在提倡改变 web 的底层基础设施。不过,他们确实想要重新设计浏览器以更好地传达我们所浏览的网站,这样我们就不必面对越来越长的、难以理解的 URL,以及随之而来的欺诈行为。在近日举行的湾区英格玛安全会议上,Chrome 可用性安全主管 Emily Stark 发表讲话,详细介绍了谷歌迈向更强大的网站标识(website identify)的第一步。
Stark 强调,谷歌并不是真的要删掉 URL 从而引发混乱。相反,它想让黑客更难钻普通用户的空子。目前,复杂的 URL 让网络攻击者的欺诈行为变得容易。他们可以创建一个看起来指向合法网站的恶意链接,但实际上自动将受害者重定向到一个钓鱼网站。或者,他们可以将恶意网站的 URL 设计得与真实 URL 相差无几,希望受害者不会注意到他们使用的是 G00gle 而不是 Google。针对上述种种 URL 诡计,Chrome 团队正在开发的两个项目旨在为用户的网络安全提供保障。
Stark 说道:“我们真正在讨论的是改变网站标识的呈现方式。人们应该很容易地知道他们在哪个网站,而不是误认为他们在另一个网站。这并不需要对互联网的工作原理有深入的了解。”
到目前为止,Chrome 团队的工作重点是找出如何检测偏离标准实践的 URL。其基础是一个名为 TrickURI 的开源工具,它与 Stark 的会议发言同步发布,可以帮助开发人员检查他们的软件是否准确和一致地显示 URL。该团队的目标是为开发人员提供一些可测试的东西,这样他们就可以知道在不同情况下 URL 看起来应该是什么样。除了 TrickURI 之外,Stark 和她的同事们还在努力为 Chrome 用户创建警告功能,当一个 URL 看起来像诈骗 URL 时对用户提出警告。警告功能仍在内测阶段,因为开发启发式算法是一个很复杂的过程,需要正确标记出恶意站点而不错判合法站点。
对于谷歌的用户来说,防御钓鱼等网络诈骗的第一道防线仍然是公司的安全浏览平台(safe browsing platform)。但 Chrome 团队正在探索对安全浏览的补充,即特别关注标记的具有潜在威胁的 URL。
“我们检测误导性 URL 的启发式算法涉及比较两个域名中是否有少数字符不同,或者是否存在看起来相似的字符。”Stark 说,“我们的目标是开发一套启发式算法,让攻击者远离极具误导性的 URL,一个关键挑战是避免将合法域名误判为可疑域名。这也是我们的警告功能迟迟没有发布的原因。”
谷歌表示,在 Chrome 团队改进这些检测功能的同时,它还没有开始向普通用户发布警告功能。URL 警告功能可能不会在短期内得到大规模普及,Stark 强调还有更多的工作要做,比如如何让用户关注 URL 的重要部分,以及如何改进 Chrome 呈现它们的方式。最大的挑战是向人们展示与他们的安全和在线决策相关的 URL 部分,同时以某种方式过滤掉所有使 URL 难以读取的额外信息。浏览器有时还需要面对一种相反的问题,即对缩短的或截断的 URL 进行扩展以帮助用户进行理解。
“整个问题十分具有挑战性,因为 URL 对某些人或者在某些情况下真的很重要,很多人喜欢它们”,Stark 说:“我们对开源 URL 显示工具 TrickURI 所取得的进展以及探索警告易混淆 URL 的工作感到兴奋。”
Chrome 安全团队以前也处理过互联网安全问题,他们在 Chrome 中开发修复程序,然后利用谷歌的影响力来鼓励每个人都采用这种做法。在过去的五年里,该策略在促进 HTTPS 网络加密的普及方面取得了巨大的成功。但是批评这种方法的人担心 Chrome 的强大和无处不在的缺点,使得这种积极创新的力量也可能具有误导性或者被滥用。有了像 URL 这样基础的东西,批评人士担心 Chrome 团队可能会采用对 Chrome 有好处的网站身份显示策略,实际上却对网络的其他部分没有好处。在这种情况下,即使 Chrome 的隐私和安全状况有了看似微小的改变,也会对网络社区产生重大影响。
此外,这种无处不在的权衡还得感谢风险厌恶型的企业客户。Luta Security 创始人 Katie Moussouris 表示:“目前的 URL 通常无法达到用户能够快速识别其中风险的水平。”但随着 Chrome 在企业 (而非消费者))应用领域的发展,迫于客户的压力它将不会那么轻易地去对可视化界面和底层安全架构作出重大改变。Chrome 大受欢迎不仅带来了保证用户安全的重大责任,无形中也要求其在新特性、可用性和向后兼容性方面不能随意变动。
这的确听起来像是一个不太容易实现的工作。下一个问题将是 Chrome 团队的新想法在实践中表现如何,以及是否真的能让我们上网更加安全。
-End- 编辑:AIDreamer,责编:Braden 参考链接:https://www./story/google-chrome-kill-url-first-steps/
|
|
|
