谷歌迈出了消除 URL 的第一步

2019-02-17 04:28:20 / 打印

去年九月,谷歌 Chrome 安全团队成员提出了一项 激进的提议:取消我们目前所知的网址。研究人员实际上并不主张改变网络的底层基础设施,然而,他们确实希望重新设计浏览器展示您正在查看的网站的方式,这样您就不必面对越来越长且难以理解的网址,以及由于它们而不断涌现的欺诈行为。周二在湾区的 Enigma 安全会议上的一次演讲中,Chrome 用户安全团队主管 Emily Stark 谈及了这一充满争论的提议,详细介绍了 Google 迈向更健壮的网站标识的第一步。

Stark 强调,谷歌并没有试图通过消除网址来引发混乱。相反,它希望使黑客更难以利用用户对网站标识的困惑。目前,复杂 URL 的无尽阴霾让攻击者可以实施有效的诈骗。他们可以创建看似指向合法网站的恶意链接,但实际上会自动将受害者重定向到网络钓鱼页面。或者他们可以设计具有和真实网址看起来一模一样的恶意网页,只要受害者没有注意到他们是在 G00gle 下而不是 Google 就会上当受骗。为了应对如此多的恶意网址欺骗,Chrome 团队已经开展了两个项目,旨在为用户提供一些辨识清晰度。

“我们真正讨论的是改变网站标识的呈现方式,”Stark 告诉 WIRED,“人们应该很容易知道他们所在的网站,并且他们不应该被误导认为他们在另一个网站上,用户不需要有特别专业的互联网工作原理知识就能解决这个问题。”

到目前为止,Chrome 团队的工作重点是找出如何检测出在某种程度上偏离标准做法的网址,其基础是一个名为 TrickURI 的开源工具,与 Stark 的会议论坛同步发布,可帮助开发人员检查他们的软件是否始终准确地显示 URL。该工具的目标是为开发人员提供一些测试方法,以便他们知道在不同情况下 URL 将如何呈现给用户。在 TrickURI 工具之外,Stark 和她的同事也在致力于当用户访问的 URL 具有钓鱼页面的潜在可能时为用户创建警告。这些功能仍在进行内部测试,因为复杂的部分是开发启发式方法,可以正确地标记恶意网站而不会标记合法的网站。

对于谷歌用户来说,防范网络钓鱼和其他在线诈骗的第一道防线仍然是该公司的 安全浏览平台。但 Chrome 团队正在探索安全浏览的补充,专门针对标记粗略网址。

“我们用于检测误导性 URL 的启发式方法包括比较看起来彼此相似的字符以及仅由少量字符相互变化的域名,”Stark 说,“我们的目标是开发一套启发式方法使攻击者不能使用极具误导性的 URL,其中最大的挑战便是避免将合法域名标记为可疑。这就是我们将其作为一个实验性的功能慢慢发布的原因。”

谷歌表示,在 Chrome 团队改进了这些检测功能之前尚未开始向普通用户群开放警告功能。虽然网址近期可能不会有很大改变,但 Stark 强调,关于如何让用户关注网址的重要部分以及改进 Chrome 呈现网页标识的形式还有很多需要做的工作。最大的挑战是向人们展示与其安全性和在线决策相关的 URL 部分,同时以某种方式过滤掉使 URL 难以阅读的所有额外组成部分。浏览器有时也需要通过扩展被缩短或截断的 URL 来帮助用户解决问题。

“整个项目非常具有挑战性,因为 URL 现在对某些人和使用场景还能够得到很好的使用,很多人都喜欢它们,”Stark 说,“我们对使用新的开源 URL-display TrickURI 工具以及我们对可能被混淆的 URL 的还在探索的警告功能所取得的进展感到兴奋。”

Chrome 安全团队之前已经解决了很多互联网范围内的安全问题,并在 Chrome 中为他们开发了修复程序,然后抛出了 Google 的重要性以激励每个人采用这种做法。在过去的五年中,该策略在促进普遍采用  HTTPS 网络加密的过程中取得了特别的成功。但是这种方法的批判者担心 Chrome 的功能和普遍存在的缺点在用于积极的改变的同时也可能被误用或滥用。对于像 URL 这种基础的东西,批判者们担心 Chrome 团队会利用修改网站标识的显示策略的机会,让这些策略对 Chrome 有利,而做一些实际上并没有使网页的其余部分受益的行为。即使是看似微不足道的 Chrome 变化也对 Web 社区的产生了重大影响。

此外,这种无处不在的权衡取决于对风险厌恶的企业客户。专注于披露漏洞的公司 Luta Security 的创始人 Katie Moussouris 说:“线上的网址通常无法传达给用户可以快速识别的风险等级,但随着 Chrome 被越来越多的企业采用,而不只是普通用户,他们能够彻底改变可见界面和底层安全架构的能力而将因客户的压力而降低。大受欢迎的不仅仅是保护人们安全的重大责任,还有最大限度地减少原本特色的流失、提升可用性和向后兼容性。”

如果这听起来像特别令人困惑和令人沮丧的工作,那就说明它一定是重点。接下来的问题将是 Chrome 团队的新想法如何在实践中发挥作用,以及它们是否真的最终让您在互联网上更安全。

更正于1月29日晚上10:30:这篇文章最早写的是 TrickURI 使用机器学习来解析 URL 样本并测试可疑 URL 的警告。它已经过更新,以反映该工具是评估软件是否能够一直准确地显示URL。

干货分享