谷歌的 Chrome 剛剛過了10歲生日,10年雖然不長,但Chrome確實為互聯網帶來了許多重要的變化。從自動升級到推廣HTTPS網頁加密,Chrome的安全團隊總能解決問題。而現在,當Chrome 展望下一個10年時,該團隊正在醞釀有史以來最有爭議的一項決定:從根本上改變網頁的URL(網址)。
統一資源定位器(Uniform Resource Locators ,也就是 URL),就是你每天在瀏覽器裡看見的網址。他們在網頁的DSN地址簿裡,能夠將瀏覽器引導到正確的網絡接口地址,並識別和區分網絡服務器。簡言之,當你輸入WIRED.com你就能進入WIRED,不用搞明白那些複雜的協議和一堆字符串。但時過境遷,URL已經變得越來越難理解了。隨著網頁功能的擴展,越來越多的URL變成了一堆難以理解的亂碼,這些東西有的集成了第三方組件,有的被生成的短鏈接和重定向鏈接給隱藏起來了。在移動設備上也沒有足夠的空間顯示完整的鏈接。
難以辨認的鏈接為數字犯罪提供了條件。他們可以假扮正規機構,設置一個釣魚的鏈接,然後放一個假下載按鈕,然後啟動一個假網頁服務——這一切都因為用戶很難摸清楚他到底在和誰打交道。現在,Chrome 團隊要做出一些改變了。
Chrome 工程部經理 Adrienne Porter Felt 說,「大家都不認識URL了,這玩意現在又難讀,又難懂,總而言之我覺得URL現在已經不適合用於識別網站身份了。所以我們決定向前一步,讓每個人都能看懂網頁的身份——讓用戶在瀏覽網頁時知道對方是誰,並以此推斷自己該不該相信它。但這也意味著Chrome會大改URL的顯示方式。」
如果你一直冥思苦想有什麼可以取代url,你不是一個人。已經有很多學者想了好多年了,只不過一直沒有答案。Porter Felt 和 Chrome 首席工程師Justin Schuh說,在Chrome團隊內部也對此有很大分歧。現階段團隊也不會給出他們正在思考的原型。
他們說,現在的重點是識別出用戶使用URL的方式並找到一種能在網頁上強化安全和身份完整性的替代方案,並在用戶日常工作中(如分享鏈接)提供便利。
「我還不清楚這個方案長什麼樣,因為現在還處在討論階段,」Chrome 工程部負責人Parisa Tabriz說,「但我知道,不管我們的方案怎麼樣,都會引起巨大爭議。改變這樣一個使用廣泛的開方平臺本身就是一個挑戰,但URL確實過時了。重要的是我們一定要做點什麼,因為每個人都對URL不滿。」
2014年的時候,Chrome 就在思考URL的安全性問題了。當時他們實驗了一個名叫 origin chip的特性,只顯示網站的主要域名,以幫助用戶確認他們到底在瀏覽哪個網站。如果你要看完整的URL,你可以點擊chip,而旁邊的URL欄則是一個Google搜索框。這個小實驗收穫了許多想直觀獲取網站身份的人的讚美,但也受到了許多批評。在實驗了幾周後,Google暫停了這個特性。
credit:extremetech 那個灰色的小卡片就是 origin chip
「origin chip 是谷歌在這個領域的一次試水,」Porter Felt 說,「我們觀察了很多用戶是如何思考與使用URL的,但坦白講,這裡面的問題超過了我們的預期。其實我們現在的工作都是根據2014年我們收穫的用戶反饋進行的。」
同樣的,Tabriz 提到,在力推HTTPS 網站加密時,團隊也遭遇了許多阻力,Chrome起初將加密網頁設置為默認並提醒用戶當前網頁未加密不安全的做法看起來很激進。但Chrome和其他瀏覽器及科技公司合作推廣,很快所有網頁都加密了,最終用戶的隱私得到了保護。「HTTPS這樣基礎的東西,安全社區裡的每個人都覺得它很棒,」Tabriz 說,「但你做出改變時,總會有人害怕,所以,我知道,不管我們做什麼都會有爭議,這一切只是需要時間消化。」
Porter Felt 說,今年秋天或者來年春天,該團隊就會公佈他們的想法,並強調不會隨意顛覆URL,因為實體識別是網頁安全模型的基礎。但作為一個來自Google這樣有影響力並且有利益相關的公司,對其提出的建議進行仔細的審查是十分重要的。
正如 Chrome 的技術負責人 Emily Stark 所說的,URL現在就是房間裡的大象。
本文譯自 WIRED,由譯者 Dkphhh 基於創作共用協議(BY-NC)發佈。
閱讀更多 煎蛋 的文章
