@ 2018.09.09 , 10:00

谷歌要杀了URL,他们说这是为了用户的安全着想

谷歌的 Chrome 刚刚过了10岁生日,10年虽然不长,但Chrome确实为互联网带来了许多重要的变化。从自动升级到推广HTTPS网页加密,Chrome的安全团队总能解决问题。而现在,当Chrome 展望下一个10年时,该团队正在酝酿有史以来最有争议的一项决定:从根本上改变网页的URL(网址)。

统一资源定位器(Uniform Resource Locators ,也就是 URL),就是你每天在浏览器里看见的网址。他们在网页的DSN地址簿里,能够将浏览器引导到正确的网络接口地址,并识别和区分网络服务器。简言之,当你输入WIRED.com你就能进入WIRED,不用搞明白那些复杂的协议和一堆字符串。但时过境迁,URL已经变得越来越难理解了。随着网页功能的扩展,越来越多的URL变成了一堆难以理解的乱码,这些东西有的集成了第三方组件,有的被生成的短链接和重定向链接给隐藏起来了。在移动设备上也没有足够的空间显示完整的链接。

难以辨认的链接为数字犯罪提供了条件。他们可以假扮正规机构,设置一个钓鱼的链接,然后放一个假下载按钮,然后启动一个假网页服务——这一切都因为用户很难摸清楚他到底在和谁打交道。现在,Chrome 团队要做出一些改变了。

Chrome 工程部经理 Adrienne Porter Felt 说,「大家都不认识URL了,这玩意现在又难读,又难懂,总而言之我觉得URL现在已经不适合用于识别网站身份了。所以我们决定向前一步,让每个人都能看懂网页的身份——让用户在浏览网页时知道对方是谁,并以此推断自己该不该相信它。但这也意味着Chrome会大改URL的显示方式。」

如果你一直冥思苦想有什么可以取代url,你不是一个人。已经有很多学者想了好多年了,只不过一直没有答案。Porter Felt 和 Chrome 首席工程师Justin Schuh说,在Chrome团队内部也对此有很大分歧。现阶段团队也不会给出他们正在思考的原型。

他们说,现在的重点是识别出用户使用URL的方式并找到一种能在网页上强化安全和身份完整性的替代方案,并在用户日常工作中(如分享链接)提供便利。

「我还不清楚这个方案长什么样,因为现在还处在讨论阶段,」Chrome 工程部负责人Parisa Tabriz说,「但我知道,不管我们的方案怎么样,都会引起巨大争议。改变这样一个使用广泛的开方平台本身就是一个挑战,但URL确实过时了。重要的是我们一定要做点什么,因为每个人都对URL不满。」

2014年的时候,Chrome 就在思考URL的安全性问题了。当时他们实验了一个名叫 origin chip的特性,只显示网站的主要域名,以帮助用户确认他们到底在浏览哪个网站。如果你要看完整的URL,你可以点击chip,而旁边的URL栏则是一个Google搜索框。这个小实验收获了许多想直观获取网站身份的人的赞美,但也受到了许多批评。在实验了几周后,Google暂停了这个特性。

谷歌要杀了URL,他们说这是为了用户的安全着想
credit:extremetech 那个灰色的小卡片就是 origin chip

「origin chip 是谷歌在这个领域的一次试水,」Porter Felt 说,「我们观察了很多用户是如何思考与使用URL的,但坦白讲,这里面的问题超过了我们的预期。其实我们现在的工作都是根据2014年我们收获的用户反馈进行的。」

同样的,Tabriz 提到,在力推HTTPS 网站加密时,团队也遭遇了许多阻力,Chrome起初将加密网页设置为默认并提醒用户当前网页未加密不安全的做法看起来很激进。但Chrome和其他浏览器及科技公司合作推广,很快所有网页都加密了,最终用户的隐私得到了保护。「HTTPS这样基础的东西,安全社区里的每个人都觉得它很棒,」Tabriz 说,「但你做出改变时,总会有人害怕,所以,我知道,不管我们做什么都会有争议,这一切只是需要时间消化。」

Porter Felt 说,今年秋天或者来年春天,该团队就会公布他们的想法,并强调不会随意颠覆URL,因为实体识别是网页安全模型的基础。但作为一个来自Google这样有影响力并且有利益相关的公司,对其提出的建议进行仔细的审查是十分重要的。

正如 Chrome 的技术负责人 Emily Stark 所说的,URL现在就是房间里的大象。

本文译自 WIRED,由 Dkphhh 编辑发布。

赞一个 (13)