A Google arra készül, hogy kinyírja az URL-t
Szeptemberben tűzte ki célként a Google Chrome biztonsági csapata, hogy ma ismert formájában meg kell szüntetni az URL-t, magyarul a webcímet, amit a böngészőbe szokás írni, ha valaki el akar jutni az egyes weboldalakra.
A cég nem az internet mögötti infrastruktúrát szeretné megváltoztatni, hanem azt a módot, ahogy a böngészők behozzák az adott webszájtot. Ez ugyanis nemcsak egyre hosszabb és értelmezhetetlenebb URL-eket eredményez, hanem visszaélésekre is alkalmat ad. Ez például állítólag minden idők leghosszabb URL-je, nyilván reklámcélból készült, és nyilván már nem is működik (eredetileg is csak a Hotels.com-ra irányított volna át):
Emily Stark, a Chrome biztonsági csoportjának egyik vezetője egy keddi San Franciscó-i biztonsági konferencián részletezte, hogy milyen lépésekben kezdi meg a Google az URL-lel való leszámolást.
Mint mondta, a cég nem akar káoszt előidézni a webcímek eltüntetésével, sokkal inkább a hackerek dolgát szeretné megnehezíteni. Jelen pillanatban ugyanis az összetett webcímek özöne lehetővé teszi, hogy hatékonyan visszaéljenek a weboldalak között tévelygő felhasználók bizonytalanságával. Létrehozhatnak olyan linket, amely látszólag bevált, gyakran látogatott oldalra vezet, de valójában adathalász szájtra irányítja a látogatót. Vagy készíthetnek valódi webcímeket utánzó URL-eket, és a felhasználó nem is sejti, hogy amit pl. Qubitnek hitt, valójában Qub1t. A Google fejlesztői egyszerre két projekttel is igyekszik gátat szabni a visszaéléseknek.
„Azt szeretnénk, hogy megváltozzon, ahogy egy weboldal identitása megjelenik a felhasználó előtt” – mondta Stark a Wirednek. A felhasználóknak nem kellene emelt szintű tudással rendelkezniük az internet működéséről ahhoz, hogy eligazodjanak, egyszerűen tudniuk kellene, hogy milyen szájtot használnak éppen, és nem szabadna, hogy eközben rászedjék őket – tette hozzá.
Itt a TrickURI
A fejlesztők első körben azért dolgoznak, hogy hatékonyan le tudják fülelni azokat az URL-eket, amelyek rossz irányba térítik el az internetezőket. Ennek az alapját egy kedden bevezetett nyílt forráskódú eszköz, a TrickURI szolgáltatja, amely a fejlesztőket segíti annak ellenőrzésében, hogy az általuk használt szoftver pontosan és stabilan a megfelelő URL-eket jeleníti-e meg. Ha már van mihez viszonyítaniuk, akkor azt is kideríthetik, hogy melyik URL hogyan jelenik meg a felhasználók előtt különböző helyzetekben.
A TrickURI-tól függetlenül Stark csapata egy, a Chrome-ba illesztett figyelmeztetési mechanizmuson is dolgozik, amely riaszt, ha a felhasználó adathalászgyanús oldalra vezető URL-re készül kattintani. Ezt a rendszert még tesztelik, nehéz ugyanis elérni, hogy anélkül címkézze fel a rosszindulatú URL-eket, hogy jóhiszemű webcímeket is besározzon. Stark szerint emiatt vezetik be lassan, kísérletszerűen az újítást.
A Google felhasználói számára még mindig elérhető elős védvonal a cég Safe Browsing platformja, a Chrome biztonsági csapata most ehhez is olyan kiegészítő lehetőségeket vizsgál, amelyek képesek lehetnek a bizonytalan URL-ek felcímkézésére. Starkék heurisztikus (leggyszerűsítve: próbálgatáson alapuló) megközelítésekkel dolgoznak, az egyik irány például az egymáshoz igen hasonló karakterek, illetve domainek összehasonlítása.
A Google a nagyközönségnél még nem vezette be a figyelmeztetéseket, megvárja, hogy a biztonsági csapat atombiztossá tegye a rossz-URL-jelző rendszert. És bár az URL-ek nem fognak egyhamar eltűnni, Stark szerint még sok munkájuk van abban, hogy felhasználók előtt a webcímeknek a saját biztonságuk és online döntéshozataluk szempontjából fontos részeit jelenítsék meg, valahogy kiszűrve az URL-ekből azokat az elemeket, amelyek befogadhatatlanná teszik őket. Máskor pedig éppen ellenkezőleg, arra lenne szükség, hogy a böngészők megjelenítsék a rövidített vagy csonkolt URL-ek eredeti formáját.
Szeretik az URL-t
A munkát az is megnehezíti, hogy a webcímek jelenlegi formájukban sokaknak nagyon is beváltak, és az emberek megszokták az URL-eket.
A Chrome biztonsági csapatára már csak azért is érdemes odafigyelni, mert megtörtént már, hogy az egész internetet érintő biztonsági kérdésekben elfoglalt álláspontjuk, alkalmazott technikáik az egész világon elterjedtek, köszönhetően a Google amúgy sok szempontból aggasztó súlyának, lobbierejének. Például nekik köszönhető a biztonságos http kapcsolatot jelölő https séma elterjedése az elmúlt 5 évben.
Kritikusaik azonban éppen a Chrome szinte egyeduralkodó volta miatt aggódnak, hiszen vissza is lehet élni azzal a befolyással, amit a Google böngészőfejlesztői már több esetben pozitív változások érdekében vetettek latba. Jelen esetben van, aki attól tart, hogy a weboldal-identitás megjelenítésének új formái csak a Chrome-nak tesznek jót, az internet többi részének nem. Elég egy látszólag aprócska biztonsági módosítás a belépésnél Chrome-ban, és máris úgy érezhetjük, hogy még több adatunkat akarják kifürkészni, mint történt szeptemberben.
Kapcsolódó cikkek a Qubiten: