Google рассказал о первых шагах в создании новой концепции URL

В сентябре инженеры Google Chrome заявили, что работают над новым способом идентификации сайтов, который призван заменить традиционные URL-адреса. При этом они отметили, что не намерены менять базовую инфраструктуру интернета, а хотят изменить способ отображения URL в браузерах, чтобы сделать их более понятными для пользователей и искоренить мошенничество в этой области. Вчера, на конференции Bay Area Enigma, руководитель команды Chrome Usable Security Эмили Старк (Emily Stark) рассказала о первых шагах, предпринятых в этом направлении.

Во время своего выступления Старк подчеркнула, что Google не намерен вносить хаос путём полного отказа от URL. Первоочерёдная задача, которую ставят перед собой исследователи, – это борьба с мошенничеством. С помощью длинных и запутанных URL злоумышленники могут вводить пользователей в заблуждение, зарабатывая на них.

Так, хакеры могут создавать вредоносные ссылки, которые как будто бы ведут на реальный сайт компании, а на самом деле автоматически перенаправляют пользователей на фишинговые страницы.

Злоумышленники также могут создавать вредоносные страницы с URL, похожими на URL-адреса реальных сайтов, в расчёте на то, что пользователи не заметят отличий. Например, используя слово G00gle вместо Google.

В связи с широко распространённым мошенничеством в этой области команда Chrome работает над двумя проектами, призванными обеспечить более чёткую и ясную веб-идентичность и защитить пользователей.

«Мы говорим о том, чтобы изменить способ представления идентичности сайта. Люди должны легко понимать, на каком сайте они находятся и не путаться, думая, что они находятся на одном ресурсе, тогда как на самом деле совсем на другом… Основная проблема для нас – это избежать блокировки легитимных доменов как подозрительных», — заявила Старк.

На данный момент сотрудники команды Chrome работают над тем, чтобы определить те URL, которые отличаются тем или иным образом от стандартных. Для этого используется инструмент под названием TrickURI, с помощью которого разработчики проверяют, правильно ли их ПО отображает URL.

Помимо этого, Старк и её коллеги также работают над созданием новых предупреждений для пользователей Chrome, которые будут оповещать их о потенциально фишинговых страницах. На данный момент эти предупреждения пока находятся на стадии внутреннего тестирования, поскольку разработчикам пока не удалось добиться 100%-но верного разграничения легитимных и вредоносных URL.

Для пользователей Google первой линией защиты против фишинга и другого онлайн-мошенничества по-прежнему остаётся платформа «Безопасный просмотр» (Safe Browsing). Однако сейчас инженеры Chrome также работают над дополнениями к этой функциональности, ориентированными на обманные URL.

Поскольку в ближайшее время традиционные URL-адреса никуда не денутся, команда Старк будет искать способы обратить внимание пользователей на важные части URL и изменить отображение URL в Сhrome.

Одна из самых трудных задач, которые стоят перед разработчиками, – это выделить те части URL, которые являются важными с точки зрения безопасности и принятия решений, и отфильтровать дополнительные компоненты, которые затрудняют чтение URL.

«Задача, которая стоит перед нами, действительно сложная. URL-адреса работают очень хорошо для определенных людей и широко используются, и многим людям они нравятся. Мы рады тому прогрессу, которого достигли с нашим новым open-source инструментом отображения URL TrickURI и новыми предупреждениями по обманным URL», — заключила Старк.