В сентябре инженеры Google Chrome заявили, что работают над новым способом идентификации сайтов, который призван заменить традиционные URL-адреса. При этом они отметили, что не намерены менять базовую инфраструктуру интернета, а хотят изменить способ отображения URL в браузерах, чтобы сделать их более понятными для пользователей и искоренить мошенничество в этой области. Вчера, на конференции Bay Area Enigma, руководитель команды Chrome Usable Security Эмили Старк (Emily Stark) рассказала о первых шагах, предпринятых в этом направлении.
Во время своего выступления Старк подчеркнула, что Google не намерен вносить хаос путём полного отказа от URL. Первоочерёдная задача, которую ставят перед собой исследователи, – это борьба с мошенничеством. С помощью длинных и запутанных URL злоумышленники могут вводить пользователей в заблуждение, зарабатывая на них.
Так, хакеры могут создавать вредоносные ссылки, которые как будто бы ведут на реальный сайт компании, а на самом деле автоматически перенаправляют пользователей на фишинговые страницы.
Злоумышленники также могут создавать вредоносные страницы с URL, похожими на URL-адреса реальных сайтов, в расчёте на то, что пользователи не заметят отличий. Например, используя слово G00gle вместо Google.
В связи с широко распространённым мошенничеством в этой
области команда Chrome
работает над двумя проектами, призванными обеспечить более чёткую и ясную
веб-идентичность и защитить пользователей.
«Мы говорим о том, чтобы изменить способ представления идентичности сайта. Люди должны легко понимать, на каком сайте они находятся и не путаться, думая, что они находятся на одном ресурсе, тогда как на самом деле совсем на другом… Основная проблема для нас – это избежать блокировки легитимных доменов как подозрительных», — заявила Старк.
На данный момент сотрудники команды Chrome работают над тем, чтобы определить те URL, которые отличаются тем или иным образом от стандартных. Для этого используется инструмент под названием TrickURI, с помощью которого разработчики проверяют, правильно ли их ПО отображает URL.
Помимо этого, Старк и её коллеги также работают над созданием новых предупреждений для пользователей Chrome, которые будут оповещать их о потенциально фишинговых страницах. На данный момент эти предупреждения пока находятся на стадии внутреннего тестирования, поскольку разработчикам пока не удалось добиться 100%-но верного разграничения легитимных и вредоносных URL.
Для пользователей Google первой линией защиты против фишинга и другого
онлайн-мошенничества по-прежнему остаётся платформа «Безопасный просмотр» (Safe Browsing). Однако сейчас инженеры
Chrome
также работают над дополнениями к этой функциональности,
ориентированными на обманные URL.
Поскольку в ближайшее время традиционные URL-адреса никуда не денутся, команда Старк будет искать способы обратить внимание пользователей на важные части URL и изменить отображение URL в Сhrome.
Одна из самых трудных задач, которые стоят перед
разработчиками, – это выделить те части URL, которые являются важными с точки зрения безопасности и
принятия решений, и отфильтровать дополнительные компоненты, которые затрудняют
чтение URL.
«Задача, которая стоит перед нами, действительно сложная. URL-адреса работают очень хорошо для определенных людей и широко используются, и многим людям они нравятся. Мы рады тому прогрессу, которого достигли с нашим новым open-source инструментом отображения URL TrickURI и новыми предупреждениями по обманным URL», — заключила Старк.