Google 谈论杀死 URL 的第一步

局长
 局长
发布于 2019年02月02日
收藏 14

“一个关键的挑战是避免将合法域名标记为可疑域名。” —— Chrome 可用性安全团队负责人 Emily Stark

去年 9 月,Google Chrome 团队透露了受争议的“杀死” URL 的计划。URL 是 Uniform Resource Locator(统一资源定位符)的缩写,用户无需记住复杂的 IP 地址而只需要记住域名就能访问一个网站。但随着 Web 功能的扩展,组成网址的字符串日益复杂和难以理解。

78396f15585b0125349ed9057293a09d3db.jpg

Google Chrome 团队设想在增强 Web 安全和确保网站身份完整性的同时为用户分享链接提供方便。Chrome 可用性安全团队负责人 Emily Stark 在湾区 Enigma 安全会议上谈论了搜索巨人杀死网址的第一步

Stark 强调,Google 没有试图在消除 URL 的同时引发混乱,相反它想要让黑客更难利用用户对网站身份的混淆。目前复杂的 URL 让黑客可以进行钓鱼或其它欺骗性攻击,例如攻击者可以设计出与真实网站相似的恶意网页,使得受害者不会注意到他们访问的是 G00gle 而不是 Google。Chrome 团队当前的重心正是在防钓鱼攻击上,其基础是名叫 TrickURI 的开源工具,它可以检查 URL 是否准确和一致,对潜在的钓鱼 URL 向用户发出警告。


对于 Google 用户来说,防范网络钓鱼和其他在线诈骗的第一道防线仍然是该 Google 的安全浏览平台。而 Chrome 团队目前也正在探索和完善安全浏览平台,特别是针对容易导致用户上当受骗的 URL。

其实 Chrome 团队一直在考虑网址安全问题,2014 年,Chrome 尝试了一种称为 origin chip 的格式化功能,该功能仅显示网站的主域名,以帮助用户明确他们实际浏览的是哪个域。该实验获得了一些人的支持,因为它使得网络身份更加直观,但也遭到了另外一些人的批评,后来项目夭折。Chrome 工程总监 Parisa Tabriz 指出,这就是当你要变革一个老古董的时候将面临的 —— 人们不允许你去变革。

同样的,Chrome 在 HTTPS 的推广计划中也遭到了不少阻力,人们觉得 Google 太激进了。“所以无论我们在这里做什么,我都知道它会引起争议,我们的 URL 改造计划还有很长的路要走”,Chrome 的工程经理 Adrienne Porter Felt 表示。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Google 谈论杀死 URL 的第一步
加载中

精彩评论

俊勇就是JunYomg
俊勇就是JunYomg
其实国内的安全软件一直都在做这样的事,只不过我觉得这个可能会被巨头垄断,详见腾讯爸爸一贯的操作手段
zhuliu
zhuliu
和国外全靠手输网址比,国内基本上都用导航页。被钩鱼的概率小得多

最新评论(11

帖子列表
帖子列表
凭什么非要用https,尼玛不是每个初学做网站的都要整这些乱七八糟的, 安全性我都不在乎要你在乎
DullCat-c
DullCat-c
比对url和只显示url的主域名.. 这样也算是变革吗? 随随便便弄个插件不就可以实现了吗? 而且国内的安全软件不早就实现了吗? 比如 360的防钓鱼
久永
久永

引用来自“zhuliu”的评论

和国外全靠手输网址比,国内基本上都用导航页。被钩鱼的概率小得多
那样不是跟容易钓鱼吗?
飘啊飘的瓶子
飘啊飘的瓶子
为什么不设计一套字体
电子掩饰吗
对网站进行官方认证
啦啦啦拉拉
啦啦啦拉拉
微信小程序ok
m
mybreeze
被人家批评激进是因为你强制只能用https,连旧的都没有,根本是霸道
晒太阳的小猪
晒太阳的小猪
自由演进呗。无所谓杀不杀死!!!TCP_BBR不是已经慢慢的稳定的进入了用户的内心了吗??
zhuliu
zhuliu
和国外全靠手输网址比,国内基本上都用导航页。被钩鱼的概率小得多
俊勇就是JunYomg
俊勇就是JunYomg
其实国内的安全软件一直都在做这样的事,只不过我觉得这个可能会被巨头垄断,详见腾讯爸爸一贯的操作手段
返回顶部
顶部