去年 9 月,谷歌 Chrome 安全團隊的成員提出了一個激進的建議:消滅我們所知道的 URL(統一資源定位符,通俗來講,就是網址)。實際上研究人員並不是在提倡改變 web 的底層基礎設施。不過,他們確實想要重新設計瀏覽器以更好地傳達我們所瀏覽的網站,這樣我們就不必面對越來越長的、難以理解的 URL,以及隨之而來的欺詐行為。在近日舉行的灣區英格瑪安全會議上,Chrome 可用性安全主管 Emily Stark 發表講話,詳細介紹了谷歌邁向更強大的網站標識(website identify)的第一步。
Stark 強調,谷歌並不是真的要刪掉 URL 從而引發混亂。相反,它想讓黑客更難鑽普通用戶的空子。目前,複雜的 URL 讓網絡攻擊者的欺詐行為變得容易。他們可以創建一個看起來指向合法網站的惡意鏈接,但實際上自動將受害者重定向到一個釣魚網站。或者,他們可以將惡意網站的 URL 設計得與真實 URL 相差無幾,希望受害者不會注意到他們使用的是 G00gle 而不是 Google。針對上述種種 URL 詭計,Chrome 團隊正在開發的兩個項目旨在為用戶的網絡安全提供保障。
Stark 說道:“我們真正在討論的是改變網站標識的呈現方式。人們應該很容易地知道他們在哪個網站,而不是誤認為他們在另一個網站。這並不需要對互聯網的工作原理有深入的瞭解。”
到目前為止,Chrome 團隊的工作重點是找出如何檢測偏離標準實踐的 URL。其基礎是一個名為 TrickURI 的開源工具,它與 Stark 的會議發言同步發佈,可以幫助開發人員檢查他們的軟件是否準確和一致地顯示 URL。該團隊的目標是為開發人員提供一些可測試的東西,這樣他們就可以知道在不同情況下 URL 看起來應該是什麼樣。除了 TrickURI 之外,Stark 和她的同事們還在努力為 Chrome 用戶創建警告功能,當一個 URL 看起來像詐騙 URL 時對用戶提出警告。警告功能仍在內測階段,因為開發啟發式算法是一個很複雜的過程,需要正確標記出惡意站點而不錯判合法站點。
對於谷歌的用戶來說,防禦釣魚等網絡詐騙的第一道防線仍然是公司的安全瀏覽平臺(safe browsing platform)。但 Chrome 團隊正在探索對安全瀏覽的補充,即特別關注標記的具有潛在威脅的 URL。
“我們檢測誤導性 URL 的啟發式算法涉及比較兩個域名中是否有少數字符不同,或者是否存在看起來相似的字符。”Stark 說,“我們的目標是開發一套啟發式算法,讓攻擊者遠離極具誤導性的 URL,一個關鍵挑戰是避免將合法域名誤判為可疑域名。這也是我們的警告功能遲遲沒有發佈的原因。”
谷歌表示,在 Chrome 團隊改進這些檢測功能的同時,它還沒有開始向普通用戶發佈警告功能。URL 警告功能可能不會在短期內得到大規模普及,Stark 強調還有更多的工作要做,比如如何讓用戶關注 URL 的重要部分,以及如何改進 Chrome 呈現它們的方式。最大的挑戰是向人們展示與他們的安全和在線決策相關的 URL 部分,同時以某種方式過濾掉所有使 URL 難以讀取的額外信息。瀏覽器有時還需要面對一種相反的問題,即對縮短的或截斷的 URL 進行擴展以幫助用戶進行理解。
“整個問題十分具有挑戰性,因為 URL 對某些人或者在某些情況下真的很重要,很多人喜歡它們”,Stark 說:“我們對開源 URL 顯示工具 TrickURI 所取得的進展以及探索警告易混淆 URL 的工作感到興奮。”
Chrome 安全團隊以前也處理過互聯網安全問題,他們在 Chrome 中開發修復程序,然後利用谷歌的影響力來鼓勵每個人都採用這種做法。在過去的五年裡,該策略在促進 HTTPS 網絡加密的普及方面取得了巨大的成功。但是批評這種方法的人擔心 Chrome 的強大和無處不在的缺點,使得這種積極創新的力量也可能具有誤導性或者被濫用。有了像 URL 這樣基礎的東西,批評人士擔心 Chrome 團隊可能會採用對 Chrome 有好處的網站身份顯示策略,實際上卻對網絡的其他部分沒有好處。在這種情況下,即使 Chrome 的隱私和安全狀況有了看似微小的改變,也會對網絡社區產生重大影響。
此外,這種無處不在的權衡還得感謝風險厭惡型的企業客戶。Luta Security 創始人 Katie Moussouris 表示:“目前的 URL 通常無法達到用戶能夠快速識別其中風險的水平。”但隨著 Chrome 在企業 (而非消費者))應用領域的發展,迫於客戶的壓力它將不會那麼輕易地去對可視化界面和底層安全架構作出重大改變。Chrome 大受歡迎不僅帶來了保證用戶安全的重大責任,無形中也要求其在新特性、可用性和向後兼容性方面不能隨意變動。
這的確聽起來像是一個不太容易實現的工作。下一個問題將是 Chrome 團隊的新想法在實踐中表現如何,以及是否真的能讓我們上網更加安全。
閱讀更多 AI先鋒號 的文章
