谷歌:干掉URL

發(fā)表于 討論求助 2021-06-19 20:34:35

【編者按】近日,在灣區(qū)Enigma安全會議的一次演講中,Chrome可用性安全主管Emily Stark便再次提及了干掉URL這項(xiàng)富有爭議的想法,并詳細(xì)介紹了Google為實(shí)現(xiàn)這一目標(biāo)正在進(jìn)行的一系列重大變革。

本文首發(fā)于安全牛,作者jasmine;由編輯,供行業(yè)人士參考。

2018年9月,正值Chrome瀏覽器發(fā)布十周年之際,谷歌Chrome安全團(tuán)隊(duì)成員提出了一項(xiàng)激進(jìn)的提議:從根本上重新思考互聯(lián)網(wǎng)URL的顯示方式。這些研究人員實(shí)際上并不主張改變網(wǎng)絡(luò)的底層基礎(chǔ)設(shè)施,但是,他們確實(shí)希望能夠重新設(shè)計(jì)瀏覽器顯示 URL的方式,實(shí)現(xiàn)一個人人都能理解的網(wǎng)絡(luò)地址,以便更有效地對抗在線欺詐行為。

近日,在灣區(qū)Enigma安全會議的一次演講中,Chrome可用性安全主管Emily Stark便再次提及了這項(xiàng)富有爭議的想法,并詳細(xì)介紹了Google為實(shí)現(xiàn)這一目標(biāo)正在進(jìn)行的一系列重大變革。

所謂“統(tǒng)一資源定位器”(Uniform Resource Locator,簡稱URL)實(shí)際上就是人們?nèi)粘J褂玫木W(wǎng)址。它們被列在網(wǎng)站的DNS地址簿中,并引導(dǎo)瀏覽器訪問正確的 Internet 協(xié)議地址,以識別和區(qū)分 web 服務(wù)器。

Stark強(qiáng)調(diào),Google并不是試圖通過消除網(wǎng)址來引發(fā)混亂。相反地,它希望能夠?qū)ふ覀鬟f身份的正確方式,增加惡意行為者利用用戶身份的難度,從而大幅減少在線欺詐行為。

隨著時間的推移和web功能的拓展,URL已經(jīng)成為越來越難以理解的字符串,這些字符串混淆了來自第三方的組件,或者被鏈接縮短器和重定向方案所屏蔽,甚至在移動設(shè)備上,根本就沒有足夠的空間顯示 URL。由此產(chǎn)生的不透明性縱容了那些構(gòu)建惡意網(wǎng)站并進(jìn)行網(wǎng)絡(luò)罪犯的不法分子。他們會冒充合法機(jī)構(gòu),進(jìn)行網(wǎng)絡(luò)釣魚,或是設(shè)計(jì)具有類似于真實(shí)網(wǎng)址的惡意網(wǎng)頁(例如G00gle & Google),兜售惡意下載甚至運(yùn)行虛假的網(wǎng)絡(luò)服務(wù),所有這些都是因?yàn)槿藗兒茈y理解 URL,也很難知道哪一部分是值得信任的網(wǎng)絡(luò)用戶所致的網(wǎng)絡(luò)詐騙時有發(fā)生。

鑒于這種不透明性所引發(fā)的諸多安全隱患,Chrome團(tuán)隊(duì)已經(jīng)開展了兩個項(xiàng)目,旨在為用戶提供更多的透明度。

“我們真正談?wù)摰氖歉淖兙W(wǎng)站身份的呈現(xiàn)方式,而不是網(wǎng)絡(luò)的底層基礎(chǔ)設(shè)施?,F(xiàn)行的URL太難理解,我們希望實(shí)現(xiàn)一個人人都能理解的網(wǎng)絡(luò)地址,不需要掌握高級的互聯(lián)網(wǎng)知識,也能在使用網(wǎng)站時清楚地知道自己在和誰對話,以及考慮能否信任對方?!?/strong>

Chrome團(tuán)隊(duì)當(dāng)前的工作重心是在防釣魚攻擊上,其基礎(chǔ)是一款名為“TrickURI”的開源工具,該工具已在Enigma安全會議上同步發(fā)布,它可以幫助開發(fā)人員檢查URL是否準(zhǔn)確和一致,以及在URL異常的情況下向用戶發(fā)出警報(bào)。只是目前這些警報(bào)仍在進(jìn)行內(nèi)部測試,其中比較復(fù)雜的部分是需要開發(fā)一套“啟發(fā)式”程序,可以在無需明確合法網(wǎng)站的情況下,正確地標(biāo)記惡意網(wǎng)站。

對于谷歌用戶來說,防范網(wǎng)絡(luò)釣魚和其他在線詐騙的第一道防線仍然是該公司的安全瀏覽平臺。但Chrome團(tuán)隊(duì)正在探索和完善安全瀏覽平臺,特別是針對容易導(dǎo)致用戶上當(dāng)受騙的URL。

“我們的目標(biāo)是開發(fā)出一套‘啟發(fā)式’方法,來檢測誤導(dǎo)性URL,而一個關(guān)鍵的挑戰(zhàn)就是避免將合法域名標(biāo)記為可疑域名。這也是我們遲遲沒有正式對外發(fā)布警報(bào)的原因所在?!?/strong>

谷歌方面表示,他們尚未向普通用戶群發(fā)布警報(bào),而Chrome團(tuán)隊(duì)也正在進(jìn)一步改進(jìn)這些檢測功能。除此之外,關(guān)于如何讓用戶意識到URL變革的重要性,以及Chrome團(tuán)隊(duì)優(yōu)化和呈現(xiàn)網(wǎng)址的方式等方面都還有許多工作需要做,其中最大的挑戰(zhàn)是要向人們展示與其安全性和在線決策相關(guān)的URL部分,以及以某種方式過濾掉所有使URL難以理解的額外組件。

這整個創(chuàng)舉可謂挑戰(zhàn)性十足,因?yàn)閁RL現(xiàn)在對于某些用戶和用例來說仍然十分有效,很多人都鐘愛它們。所以,無論是對于新型開源URL顯示工具TrickURI的研發(fā),還是對誤導(dǎo)性URL的探索性新警報(bào),谷歌研究人員都表現(xiàn)出了前所未有的興奮之情。

事實(shí)上,谷歌從未放棄過營造安全上網(wǎng)環(huán)境,很早以前,它就已經(jīng)開始大力推廣HTTPS(也稱之為HTTP Secure,或者可以認(rèn)為是HTTP的加密版本),但當(dāng)時響應(yīng)支持的并不是很多。主要原因在于遷移至HTTPS比較困難存在一定的技術(shù)門檻,且成本也比較高昂;其次就是當(dāng)時沒有任何行業(yè)在推動這項(xiàng)變革,且很多人也覺得當(dāng)時Google的做法太過激進(jìn)。

但是,經(jīng)過了數(shù)年的推廣,Google通過在Chrome瀏覽器中標(biāo)記這些網(wǎng)站為不安全鏈接,從而引起用戶和站長的注意。在Google的努力下,目前Chrome上68%的流量都是得到保護(hù)的,目前Top 100的主流網(wǎng)站中已經(jīng)有81家網(wǎng)站默認(rèn)使用HTTPS。

如今,面對谷歌又一項(xiàng)激進(jìn)的提議——干掉URL,許多反對者同樣表達(dá)了自己對Chrome功能和普遍存在的缺點(diǎn)的擔(dān)心。他們認(rèn)為,如果谷歌方面開發(fā)出了可以替代URL的方法,那么Chrome團(tuán)隊(duì)就可以完全掌控網(wǎng)站身份顯示策略,這些策略對Chrome自身有利,但實(shí)際上并沒有對網(wǎng)絡(luò)的其他部分產(chǎn)生明顯好處。但是要知道,即便是看似微小的Chrome隱私和安全狀況方面的變化,也會對網(wǎng)絡(luò)社區(qū)產(chǎn)生巨大震動。

現(xiàn)在運(yùn)行的URL往往無法為用戶傳達(dá)可以快速識別風(fēng)險(xiǎn)的等級,而Chrome團(tuán)隊(duì)的此次創(chuàng)新之舉將能夠有效地改善一些現(xiàn)狀。除此之外,對于谷歌而言,最重要的是不僅需要承擔(dān)保護(hù)用戶安全的重大責(zé)任,還要盡量減少功能、可用性和向后兼容(Backward Compatibility,指在一個程序或者類庫更新到較新的版本后,用舊的版本程序創(chuàng)建的文檔或系統(tǒng)仍能被正常操作或使用,或在舊版本的類庫的基礎(chǔ)上開發(fā)的程序仍能正常編譯運(yùn)行的情況)方面的流失。

如果你覺得這聽起來是一項(xiàng)令人困惑且充滿挑戰(zhàn)性的工作,那就對了!接下來的主要問題將是Chrome團(tuán)隊(duì)如何將自己的新想法成功應(yīng)用在實(shí)踐中,以及它們是否真的最終能夠讓您在網(wǎng)絡(luò)上變得更加安全。

發(fā)表
26906人 簽到看排名