2018年9月,正值Chrome瀏覽器發佈十週年之際,谷歌Chrome安全團隊成員提出了一項激進的提議:從根本上重新思考互聯網URL的顯示方式。這些研究人員實際上並不主張改變網絡的底層基礎設施,但是,他們確實希望能夠重新設計瀏覽器顯示 URL的方式,實現一個人人都能理解的網絡地址,以便更有效地對抗在線欺詐行為。
近日,在灣區Enigma安全會議的一次演講中,Chrome可用性安全主管Emily Stark便再次提及了這項富有爭議的想法,並詳細介紹了Google為實現這一目標正在進行的一系列重大變革。
所謂“統一資源定位器”(Uniform Resource Locator,簡稱URL)實際上就是人們日常使用的網址。它們被列在網站的DNS地址簿中,並引導瀏覽器訪問正確的 Internet 協議地址,以識別和區分 web 服務器。
Stark強調,Google並不是試圖通過消除網址來引發混亂。相反地,它希望能夠尋找傳遞身份的正確方式,增加惡意行為者利用用戶身份的難度,從而大幅減少在線欺詐行為。
隨著時間的推移和web功能的拓展,URL已經成為越來越難以理解的字符串,這些字符串混淆了來自第三方的組件,或者被鏈接縮短器和重定向方案所屏蔽,甚至在移動設備上,根本就沒有足夠的空間顯示 URL。由此產生的不透明性縱容了那些構建惡意網站並進行網絡罪犯的不法分子。他們會冒充合法機構,進行網絡釣魚,或是設計具有類似於真實網址的惡意網頁(例如G00gle & Google),兜售惡意下載甚至運行虛假的網絡服務,所有這些都是因為人們很難理解 URL,也很難知道哪一部分是值得信任的網絡用戶所致的網絡詐騙時有發生。
鑑於這種不透明性所引發的諸多安全隱患,Chrome團隊已經開展了兩個項目,旨在為用戶提供更多的透明度。
“
我們真正談論的是改變網站身份的呈現方式,而不是網絡的底層基礎設施。現行的URL太難理解,我們希望實現一個人人都能理解的網絡地址,不需要掌握高級的互聯網知識,也能在使用網站時清楚地知道自己在和誰對話,以及考慮能否信任對方。
Chrome團隊當前的工作重心是在防釣魚攻擊上,其基礎是一款名為“TrickURI”的開源工具,該工具已在Enigma安全會議上同步發佈,它可以幫助開發人員檢查URL是否準確和一致,以及在URL異常的情況下向用戶發出警報。只是目前這些警報仍在進行內部測試,其中比較複雜的部分是需要開發一套“啟發式”程序,可以在無需明確合法網站的情況下,正確地標記惡意網站。
對於谷歌用戶來說,防範網絡釣魚和其他在線詐騙的第一道防線仍然是該公司的安全瀏覽平臺。但Chrome團隊正在探索和完善安全瀏覽平臺,特別是針對容易導致用戶上當受騙的URL。
“
我們的目標是開發出一套‘啟發式’方法,來檢測誤導性URL,而一個關鍵的挑戰就是避免將合法域名標記為可疑域名。這也是我們遲遲沒有正式對外發布警報的原因所在。
谷歌方面表示,他們尚未向普通用戶群發佈警報,而Chrome團隊也正在進一步改進這些檢測功能。除此之外,關於如何讓用戶意識到URL變革的重要性,以及Chrome團隊優化和呈現網址的方式等方面都還有許多工作需要做,其中最大的挑戰是要向人們展示與其安全性和在線決策相關的URL部分,以及以某種方式過濾掉所有使URL難以理解的額外組件。
這整個創舉可謂挑戰性十足,因為URL現在對於某些用戶和用例來說仍然十分有效,很多人都鍾愛它們。所以,無論是對於新型開源URL顯示工具TrickURI的研發,還是對誤導性URL的探索性新警報,谷歌研究人員都表現出了前所未有的興奮之情。
事實上,谷歌從未放棄過營造安全上網環境,很早以前,它就已經開始大力推廣HTTPS(也稱之為HTTP Secure,或者可以認為是HTTP的加密版本),但當時響應支持的並不是很多。主要原因在於遷移至HTTPS比較困難存在一定的技術門檻,且成本也比較高昂;其次就是當時沒有任何行業在推動這項變革,且很多人也覺得當時Google的做法太過激進。
但是,經過了數年的推廣,Google通過在Chrome瀏覽器中標記這些網站為不安全鏈接,從而引起用戶和站長的注意。在Google的努力下,目前Chrome上68%的流量都是得到保護的,目前Top 100的主流網站中已經有81家網站默認使用HTTPS。
如今,面對谷歌又一項激進的提議——幹掉URL,許多反對者同樣表達了自己對Chrome功能和普遍存在的缺點的擔心。他們認為,如果谷歌方面開發出了可以替代URL的方法,那麼Chrome團隊就可以完全掌控網站身份顯示策略,這些策略對Chrome自身有利,但實際上並沒有對網絡的其他部分產生明顯好處。但是要知道,即便是看似微小的Chrome隱私和安全狀況方面的變化,也會對網絡社區產生巨大震動。
現在運行的URL往往無法為用戶傳達可以快速識別風險的等級,而Chrome團隊的此次創新之舉將能夠有效地改善一些現狀。除此之外,對於谷歌而言,最重要的是不僅需要承擔保護用戶安全的重大責任,還要儘量減少功能、可用性和向後兼容(Backward Compatibility,指在一個程序或者類庫更新到較新的版本後,用舊的版本程序創建的文檔或系統仍能被正常操作或使用,或在舊版本的類庫的基礎上開發的程序仍能正常編譯運行的情況)方面的流失。
如果你覺得這聽起來是一項令人困惑且充滿挑戰性的工作,那就對了!接下來的主要問題將是Chrome團隊如何將自己的新想法成功應用在實踐中,以及它們是否真的最終能夠讓您在網絡上變得更加安全。
相關閱讀
Web十大可疑頂級域名
小心這個被忽視的攻擊面:棄用域名
APT29網絡間諜使用“域名幌子”技術規避檢測
閱讀更多 安全牛 的文章
