[譯] 谷歌邁出了消除 URL 的第一步

jerryOnlyZRJ發表於2019-03-03
谷歌

[譯] 谷歌邁出了消除 URL 的第一步

去年九月,谷歌 Chrome 安全團隊成員提出了一項 激進的提議:取消我們目前所知的網址。研究人員實際上並不主張改變網路的底層基礎設施,然而,他們確實希望重新設計瀏覽器展示您正在檢視的網站的方式,這樣您就不必面對越來越長且難以理解的網址,以及由於它們而不斷湧現的欺詐行為。週二在灣區的 Enigma 安全會議上的一次演講中,Chrome 使用者安全團隊主管 Emily Stark 談及了這一充滿爭論的提議,詳細介紹了 Google 邁向更健壯的網站標識的第一步。

Stark 強調,谷歌並沒有試圖通過消除網址來引發混亂。相反,它希望使黑客更難以利用使用者對網站標識的困惑。目前,複雜 URL 的無盡陰霾讓攻擊者可以實施有效的詐騙。他們可以建立看似指向合法網站的惡意連結,但實際上會自動將受害者重定向到網路釣魚頁面。或者他們可以設計具有和真實網址看起來一模一樣的惡意網頁,只要受害者沒有注意到他們是在 G00gle 下而不是 Google 就會上當受騙。為了應對如此多的惡意網址欺騙,Chrome 團隊已經開展了兩個專案,旨在為使用者提供一些辨識清晰度。

“我們真正討論的是改變網站標識的呈現方式,”Stark 告訴 WIRED,“人們應該很容易知道他們所在的網站,並且他們不應該被誤導認為他們在另一個網站上,使用者不需要有特別專業的網際網路工作原理知識就能解決這個問題。”

到目前為止,Chrome 團隊的工作重點是找出如何檢測出在某種程度上偏離標準做法的網址,其基礎是一個名為 TrickURI 的開源工具,與 Stark 的會議論壇同步釋出,可幫助開發人員檢查他們的軟體是否始終準確地顯示 URL。該工具的目標是為開發人員提供一些測試方法,以便他們知道在不同情況下 URL 將如何呈現給使用者。在 TrickURI 工具之外,Stark 和她的同事也在致力於當使用者訪問的 URL 具有釣魚頁面的潛在可能時為使用者建立警告。這些功能仍在進行內部測試,因為複雜的部分是開發啟發式方法,可以正確地標記惡意網站而不會標記合法的網站。

對於谷歌使用者來說,防範網路釣魚和其他線上詐騙的第一道防線仍然是該公司的 安全瀏覽平臺。但 Chrome 團隊正在探索安全瀏覽的補充,專門針對標記粗略網址。

谷歌

“我們用於檢測誤導性 URL 的啟發式方法包括比較看起來彼此相似的字元以及僅由少量字元相互變化的域名,”Stark 說,“我們的目標是開發一套啟發式方法使攻擊者不能使用極具誤導性的 URL,其中最大的挑戰便是避免將合法域名標記為可疑。這就是我們將其作為一個實驗性的功能慢慢釋出的原因。”

谷歌表示,在 Chrome 團隊改進了這些檢測功能之前尚未開始向普通使用者群開放警告功能。雖然網址近期可能不會有很大改變,但 Stark 強調,關於如何讓使用者關注網址的重要部分以及改進 Chrome 呈現網頁標識的形式還有很多需要做的工作。最大的挑戰是向人們展示與其安全性和線上決策相關的 URL 部分,同時以某種方式過濾掉使 URL 難以閱讀的所有額外組成部分。瀏覽器有時也需要通過擴充套件被縮短或截斷的 URL 來幫助使用者解決問題。

“整個專案非常具有挑戰性,因為 URL 現在對某些人和使用場景還能夠得到很好的使用,很多人都喜歡它們,”Stark 說,“我們對使用新的開源 URL-display TrickURI 工具以及我們對可能被混淆的 URL 的還在探索的警告功能所取得的進展感到興奮。”

Chrome 安全團隊之前已經解決了很多網際網路範圍內的安全問題,並在 Chrome 中為他們開發了修復程式,然後丟擲了 Google 的重要性以激勵每個人採用這種做法。在過去的五年中,該策略在促進普遍採用 HTTPS 網路加密的過程中取得了特別的成功。但是這種方法的批判者擔心 Chrome 的功能和普遍存在的缺點在用於積極的改變的同時也可能被誤用或濫用。對於像 URL 這種基礎的東西,批判者們擔心 Chrome 團隊會利用修改網站標識的顯示策略的機會,讓這些策略對 Chrome 有利,而做一些實際上並沒有使網頁的其餘部分受益的行為。即使是看似微不足道的 Chrome 變化也對 Web 社群的產生了重大影響

此外,這種無處不在的權衡取決於對風險厭惡的企業客戶。專注於披露漏洞的公司 Luta Security 的創始人 Katie Moussouris 說:“線上的網址通常無法傳達給使用者可以快速識別的風險等級,但隨著 Chrome 被越來越多的企業採用,而不只是普通使用者,他們能夠徹底改變可見介面和底層安全架構的能力而將因客戶的壓力而降低。大受歡迎的不僅僅是保護人們安全的重大責任,還有最大限度地減少原本特色的流失、提升可用性和向後相容性。”

如果這聽起來像特別令人困惑和令人沮喪的工作,那就說明它一定是重點。接下來的問題將是 Chrome 團隊的新想法如何在實踐中發揮作用,以及它們是否真的最終讓您在網際網路上更安全。

更正於1月29日晚上10:30:這篇文章最早寫的是 TrickURI 使用機器學習來解析 URL 樣本並測試可疑 URL 的警告。它已經過更新,以反映該工具是評估軟體是否能夠一直準確地顯示URL。

如果發現譯文存在錯誤或其他需要改進的地方,歡迎到 掘金翻譯計劃 對譯文進行修改並 PR,也可獲得相應獎勵積分。文章開頭的 本文永久連結 即為本文在 GitHub 上的 MarkDown 連結。

掘金翻譯計劃 是一個翻譯優質網際網路技術文章的社群,文章來源為 掘金 上的英文分享文章。內容覆蓋 AndroidiOS前端後端區塊鏈產品設計人工智慧等領域,想要檢視更多優質譯文請持續關注 掘金翻譯計劃官方微博知乎專欄

相關文章