谷歌:干掉URL

發(fā)表于 討論求助 2021-06-19 20:34:35

【編者按】近日,在灣區(qū)Enigma安全會(huì)議的一次演講中,Chrome可用性安全主管Emily Stark便再次提及了干掉URL這項(xiàng)富有爭(zhēng)議的想法,并詳細(xì)介紹了Google為實(shí)現(xiàn)這一目標(biāo)正在進(jìn)行的一系列重大變革。

本文首發(fā)于安全牛,作者jasmine;由編輯,供行業(yè)人士參考。

2018年9月,正值Chrome瀏覽器發(fā)布十周年之際,谷歌Chrome安全團(tuán)隊(duì)成員提出了一項(xiàng)激進(jìn)的提議:從根本上重新思考互聯(lián)網(wǎng)URL的顯示方式。這些研究人員實(shí)際上并不主張改變網(wǎng)絡(luò)的底層基礎(chǔ)設(shè)施,但是,他們確實(shí)希望能夠重新設(shè)計(jì)瀏覽器顯示 URL的方式,實(shí)現(xiàn)一個(gè)人人都能理解的網(wǎng)絡(luò)地址,以便更有效地對(duì)抗在線欺詐行為。

近日,在灣區(qū)Enigma安全會(huì)議的一次演講中,Chrome可用性安全主管Emily Stark便再次提及了這項(xiàng)富有爭(zhēng)議的想法,并詳細(xì)介紹了Google為實(shí)現(xiàn)這一目標(biāo)正在進(jìn)行的一系列重大變革。

所謂“統(tǒng)一資源定位器”(Uniform Resource Locator,簡(jiǎn)稱URL)實(shí)際上就是人們?nèi)粘J褂玫木W(wǎng)址。它們被列在網(wǎng)站的DNS地址簿中,并引導(dǎo)瀏覽器訪問(wèn)正確的 Internet 協(xié)議地址,以識(shí)別和區(qū)分 web 服務(wù)器。

Stark強(qiáng)調(diào),Google并不是試圖通過(guò)消除網(wǎng)址來(lái)引發(fā)混亂。相反地,它希望能夠?qū)ふ覀鬟f身份的正確方式,增加惡意行為者利用用戶身份的難度,從而大幅減少在線欺詐行為。

隨著時(shí)間的推移和web功能的拓展,URL已經(jīng)成為越來(lái)越難以理解的字符串,這些字符串混淆了來(lái)自第三方的組件,或者被鏈接縮短器和重定向方案所屏蔽,甚至在移動(dòng)設(shè)備上,根本就沒(méi)有足夠的空間顯示 URL。由此產(chǎn)生的不透明性縱容了那些構(gòu)建惡意網(wǎng)站并進(jìn)行網(wǎng)絡(luò)罪犯的不法分子。他們會(huì)冒充合法機(jī)構(gòu),進(jìn)行網(wǎng)絡(luò)釣魚(yú),或是設(shè)計(jì)具有類(lèi)似于真實(shí)網(wǎng)址的惡意網(wǎng)頁(yè)(例如G00gle & Google),兜售惡意下載甚至運(yùn)行虛假的網(wǎng)絡(luò)服務(wù),所有這些都是因?yàn)槿藗兒茈y理解 URL,也很難知道哪一部分是值得信任的網(wǎng)絡(luò)用戶所致的網(wǎng)絡(luò)詐騙時(shí)有發(fā)生。

鑒于這種不透明性所引發(fā)的諸多安全隱患,Chrome團(tuán)隊(duì)已經(jīng)開(kāi)展了兩個(gè)項(xiàng)目,旨在為用戶提供更多的透明度。

“我們真正談?wù)摰氖歉淖兙W(wǎng)站身份的呈現(xiàn)方式,而不是網(wǎng)絡(luò)的底層基礎(chǔ)設(shè)施?,F(xiàn)行的URL太難理解,我們希望實(shí)現(xiàn)一個(gè)人人都能理解的網(wǎng)絡(luò)地址,不需要掌握高級(jí)的互聯(lián)網(wǎng)知識(shí),也能在使用網(wǎng)站時(shí)清楚地知道自己在和誰(shuí)對(duì)話,以及考慮能否信任對(duì)方。”

Chrome團(tuán)隊(duì)當(dāng)前的工作重心是在防釣魚(yú)攻擊上,其基礎(chǔ)是一款名為“TrickURI”的開(kāi)源工具,該工具已在Enigma安全會(huì)議上同步發(fā)布,它可以幫助開(kāi)發(fā)人員檢查URL是否準(zhǔn)確和一致,以及在URL異常的情況下向用戶發(fā)出警報(bào)。只是目前這些警報(bào)仍在進(jìn)行內(nèi)部測(cè)試,其中比較復(fù)雜的部分是需要開(kāi)發(fā)一套“啟發(fā)式”程序,可以在無(wú)需明確合法網(wǎng)站的情況下,正確地標(biāo)記惡意網(wǎng)站。

對(duì)于谷歌用戶來(lái)說(shuō),防范網(wǎng)絡(luò)釣魚(yú)和其他在線詐騙的第一道防線仍然是該公司的安全瀏覽平臺(tái)。但Chrome團(tuán)隊(duì)正在探索和完善安全瀏覽平臺(tái),特別是針對(duì)容易導(dǎo)致用戶上當(dāng)受騙的URL。

“我們的目標(biāo)是開(kāi)發(fā)出一套‘啟發(fā)式’方法,來(lái)檢測(cè)誤導(dǎo)性URL,而一個(gè)關(guān)鍵的挑戰(zhàn)就是避免將合法域名標(biāo)記為可疑域名。這也是我們遲遲沒(méi)有正式對(duì)外發(fā)布警報(bào)的原因所在?!?/strong>

谷歌方面表示,他們尚未向普通用戶群發(fā)布警報(bào),而Chrome團(tuán)隊(duì)也正在進(jìn)一步改進(jìn)這些檢測(cè)功能。除此之外,關(guān)于如何讓用戶意識(shí)到URL變革的重要性,以及Chrome團(tuán)隊(duì)優(yōu)化和呈現(xiàn)網(wǎng)址的方式等方面都還有許多工作需要做,其中最大的挑戰(zhàn)是要向人們展示與其安全性和在線決策相關(guān)的URL部分,以及以某種方式過(guò)濾掉所有使URL難以理解的額外組件。

這整個(gè)創(chuàng)舉可謂挑戰(zhàn)性十足,因?yàn)閁RL現(xiàn)在對(duì)于某些用戶和用例來(lái)說(shuō)仍然十分有效,很多人都鐘愛(ài)它們。所以,無(wú)論是對(duì)于新型開(kāi)源URL顯示工具TrickURI的研發(fā),還是對(duì)誤導(dǎo)性URL的探索性新警報(bào),谷歌研究人員都表現(xiàn)出了前所未有的興奮之情。

事實(shí)上,谷歌從未放棄過(guò)營(yíng)造安全上網(wǎng)環(huán)境,很早以前,它就已經(jīng)開(kāi)始大力推廣HTTPS(也稱之為HTTP Secure,或者可以認(rèn)為是HTTP的加密版本),但當(dāng)時(shí)響應(yīng)支持的并不是很多。主要原因在于遷移至HTTPS比較困難存在一定的技術(shù)門(mén)檻,且成本也比較高昂;其次就是當(dāng)時(shí)沒(méi)有任何行業(yè)在推動(dòng)這項(xiàng)變革,且很多人也覺(jué)得當(dāng)時(shí)Google的做法太過(guò)激進(jìn)。

但是,經(jīng)過(guò)了數(shù)年的推廣,Google通過(guò)在Chrome瀏覽器中標(biāo)記這些網(wǎng)站為不安全鏈接,從而引起用戶和站長(zhǎng)的注意。在Google的努力下,目前Chrome上68%的流量都是得到保護(hù)的,目前Top 100的主流網(wǎng)站中已經(jīng)有81家網(wǎng)站默認(rèn)使用HTTPS。

如今,面對(duì)谷歌又一項(xiàng)激進(jìn)的提議——干掉URL,許多反對(duì)者同樣表達(dá)了自己對(duì)Chrome功能和普遍存在的缺點(diǎn)的擔(dān)心。他們認(rèn)為,如果谷歌方面開(kāi)發(fā)出了可以替代URL的方法,那么Chrome團(tuán)隊(duì)就可以完全掌控網(wǎng)站身份顯示策略,這些策略對(duì)Chrome自身有利,但實(shí)際上并沒(méi)有對(duì)網(wǎng)絡(luò)的其他部分產(chǎn)生明顯好處。但是要知道,即便是看似微小的Chrome隱私和安全狀況方面的變化,也會(huì)對(duì)網(wǎng)絡(luò)社區(qū)產(chǎn)生巨大震動(dòng)。

現(xiàn)在運(yùn)行的URL往往無(wú)法為用戶傳達(dá)可以快速識(shí)別風(fēng)險(xiǎn)的等級(jí),而Chrome團(tuán)隊(duì)的此次創(chuàng)新之舉將能夠有效地改善一些現(xiàn)狀。除此之外,對(duì)于谷歌而言,最重要的是不僅需要承擔(dān)保護(hù)用戶安全的重大責(zé)任,還要盡量減少功能、可用性和向后兼容(Backward Compatibility,指在一個(gè)程序或者類(lèi)庫(kù)更新到較新的版本后,用舊的版本程序創(chuàng)建的文檔或系統(tǒng)仍能被正常操作或使用,或在舊版本的類(lèi)庫(kù)的基礎(chǔ)上開(kāi)發(fā)的程序仍能正常編譯運(yùn)行的情況)方面的流失。

如果你覺(jué)得這聽(tīng)起來(lái)是一項(xiàng)令人困惑且充滿挑戰(zhàn)性的工作,那就對(duì)了!接下來(lái)的主要問(wèn)題將是Chrome團(tuán)隊(duì)如何將自己的新想法成功應(yīng)用在實(shí)踐中,以及它們是否真的最終能夠讓您在網(wǎng)絡(luò)上變得更加安全。

發(fā)表
26906人 簽到看排名