Комментарии 44
Обычные пользователи не всегда быстро увидят разницу между доменами с похожим написанием
Ну да, поэтому урл и надо скрывать? Ну чтоб уже никто не увидел разницу
Пользователь переходит не на определённый URL и не на определённый домен, он переходит на некое конкретное место, а адрес — это лишь технический путь к нему, который сам по себе не имеет ценности для пользователя.
Например, мы сейчас находимся на Хабре, и нам не важно какой у него домен — habr.com, habrahabr.ru или habrahabr.com (последний как раз ненастоящий). Важно лишь то, что это всё — Хабр, и идентифицироваться он должен именно как Хабр, а не по доменному имени. И именно на этом должна строиться защита от фишинга, а не на внимании пользователя к буквам в адресе.
Аналогичная история произошла с номерами телефонов, когда появились телефоны со встроенными записными книжками — фактический номер телефона стал скрываться за понятным именем, как при входящих, так и при исходящих звонках.
Аналогичная история произошла с номерами телефонов, когда появились телефоны со встроенными записными книжками — фактический номер телефона стал скрываться за понятным именем, как при входящих, так и при исходящих звонках.
Занимательно, ведь когда-то, доменные имена были придуманы как раз для этого :)
Но человек свои имена меняет намного реже, чем доменоносители меняют свои домены :)
Тем более часто появляются семейства родственных доменов вида wtf-cdn.tld, static-wtf.tld, wtfimg.tld, сокращатели ссылок да и много чего ещё. Откуда обычный пользователь может знать, что эти домены принадлежат действительно тому, от имени кого пришло, например, письмо.
Взять хотя бы упомянутый выше домен habrahabr.com, как я узнал что он ненастоящий? Зашёл на него и попал не на хабр.
А что было бы, если бы этот домен редиректил на настоящий хабр? Через какое-то время я бы стал воспринимать этот домен, как настоящий альяс и перестал бы бояться на него переходить.
После этого злоумышленник мог бы убрать альяс, а вместо него поставить фейковый сайт и я бы уже ничего не заметил (даже если бы в URL начал отображаться habrahabr.com, вместо habr.com).
Как мне понять, что это ненастоящий домен? Можно посмотреть whois, но это ненадёжно, да и как это будет делать обычный пользователь?
Как мне кажется, эту задачу отчасти должны были решить SSL-сертификаты, но это не полетело. Но в то же время, сертификат — это на данный момент единственный возможный вариант сделать сквозную идентификацию владельца семейств доменов. Может стоит добавить в сертификат дополнительное поле владельца и завести единый реестр или что-то подобное.
С ресурсами гугла можно загнать в это будущее всех очень быстро, благо, перевыпуск сертификатов происходит часто и через пару лет все сертификаты волей-неволей будут поддерживать новый стандарт. А удостоверяющие центры, не поддерживающие выпуск таких сертификатов, будут забанены.
Как мне кажется, эту задачу отчасти должны были решить SSL-сертификаты
Согласен. Они эту задачу и решают. Например:
… и завести единый реестр...Централизация к никчему хорошему не приведет.
Название организации тоже меняется и, насколько я знаю, оно не гарантировано является уникальным между всеми удостоверяющими центрами (могу ошибаться). Должен быть какой-то другой условно-рандомный идентификатор, не привязанный ни к чему в реальном мире, и, благодаря этому, не изменяющийся никогда. И к этому идентификатору уже должно быть привязано название компании, контакты и всё прочее, что сейчас можно добавить в сам сертификат.
Централизация к никчему хорошему не приведет.
Согласен, но можно придумать и нецентрализованные варианты. Главная задача — обеспечить глобальную уникальность идентификатора. Используя существующие УЦ с этим нет особых проблем
С ресурсами гугла можно загнать в это будущее всех очень быстро
И загнать несопоставимую цену
Аналогичная история произошла с номерами телефонов, когда появились телефоны со встроенными записными книжками — фактический номер телефона стал скрываться за понятным именем, как при входящих, так и при исходящих звонках.
Если проводить аналогию с записной книжкой телефона, то почти в любом браузере есть такая штука, как закладки, которые сопоставляют адресу понятное пользователю имя.
При этом стартует появление новой записи как в книге телефона, так и в закладках браузера с появления "непонятного кода" (номера телефона, URL), которому не какой-то абстрактный гугл сопоставляет имя, а сам пользовптель.
И если у пользователя куча действующих номеров, то нет простого способа сопоставить все эти номера с именем, особенно если учесть, что понятное имя у каждого пользователя будет свое.
Более того, любая попытка создать систему "понятных" адресов упрется в ту же проблему, что и доменные имена, т.е. похожие названия, разные названия у одного владельца.
Закладки в браузере и так решают проблему фишинга, но сначала закладку нужно добавить, а для этого нужно как быть уверенным в том, что добавляешь в закладки "хороши" домен. И потом нужно быть уверенным в том, что домен не изменится и не будет угнан / перерегистрирован кем-то ещё с оформлением валидного ssl-сертификата.
Всё тут упирается именно в домен, потому что сейчас мы идентифицируем домен, а не то, куда ведёт домен (владельца, если хотите. Не могу придумать слово, которое бы описало сущность, которую вы ожидаете видеть при переходе по URL).
Нужна над-доменная идентификация, которая бы несмотря на домен, давала бы понять что этот сервер — именно то, что нам нужно. Если хотите, пусть это будет сертификат, которым подписываются сертификаты всего набора доменов этого "владельца". И этот сертификат связан с человеко-понятной информацией о "владельце", будь то название компании или имя человека или что-либо ещё
Логичнее выглядело бы предложение навести порядок в системе сертификации и выделения доменных имен.
А так. Ну будут угонять не домен, а Главную Учетную Запись (или что там будет использоваться для контроля за суперсертификатом. Будут регистрировать в ксчестве владельца что-то с очень похожими данными (в мире полно не то что однофамильцев, а вообще полных тезок, контор с похожими и даже одинаковыми назваеиями), будут искать пути подписать суперсертификатом свой сертификат.
а для этого нужно как быть уверенным в том, что добавляешь в закладки «хороши» домен. И потом нужно быть уверенным в том, что домен не изменится и не будет угнан / перерегистрирован кем-то ещё с оформлением валидного ssl-сертификата.А такая увереность в принципе возможна? Даже с доверенным центром это выглядит совершенно нереально. Хотя бы потому что проверить все возможные варианты технически нереально, а значит фишинговые сайты там все равно будут в каком-то виде. Их может быть меньше, но они будут.
Я удивлён почему нельзя подсвечивать домен и поддомен с адресом разными оттенками.
К примеру:
Домен 2 уровня чёрный,
поддомен заметно светлее,
и немного отличающийся от поддомена адрес.
Этого вполне хватит пользователю который хоть как-то обращает внимание на url отличить его.
В общем, на мой взгляд, URL неправильно передаёт идентичность сайта.
Что интересно, не одного ясного предложения «как должно быть» у гугла нет — зато у этой девушки есть мнение. Если гугл такое учудит — много пользователей откажуться от официальной ветки хромиума, однако прибыли у компании точно вырастет, ведь заменят то на какой то костыль работающий через базу гугла.
Если они хотят защищать пользователя от фишинга, то боролись бы с фишингом на уровне организаций, выдающих домены и поддерживающих сервисов (dns, например).
А описанное имеет только один смысл — заменить одним собой (централизованным инструментом) распределённые источники информации (собственнно Основа Интернета). Борьба с бесконтрольностью = свободой.
Может быть, переиначат уже все url в более логичную форму прямой иерархии?
Чтобы вместо blabla.habr.com было com.habr.blabla ?
За четверть поколения к этому привыкнут все.
Можно считать, что Java программисты уже привыкли к этому.
Как проводить переходный период?
Каждый браузер делает как хочет? Все будут путаться, если в одном месте версия новая, а в другом — устаревшая? И какой простор для фишинга!
А что делать с триллионами существующих ссылок по всему интернету, сохраненных текстом, зашитых в приложениях? Автоматически пробовать подобрать, в каком формате ссылка — в новом или старом? Во-первых, проблема ссылок com.hello.habr.com — кто тут главный, habr или hello? Даже если удастся как-то решить, то что будут делать миллионы старых приложений, в которые попадет ссылка в новом формате?
Объявить за 5 лет день Х, когда все должны перейти?
Остаются устаревшие системы, не получающие более обновлений. Многие системы не меняются десятки лет.
Ну после перехода ссылки-то везде останутся старые.
Наверное, еще лет 20 назад (и уж наверняка 30) можно было бы плюнуть на старых пользователей, т.к. через пару лет число пользователей новых версий превысит число «старичков», а еще через несколько лет «старички» будут пренебрежимо малой группой, и это будут их проблемы, как подстроиться под большинство.
Но заменить распространенный, даже не самый лучший стандарт на что-то новое без обратной совместимости — почти невозможно. Поэтому у нас QWERTY клавиатуры, устаревшие протоколы обмена информацией с кучей заплаток (протоколы бронирования авиабилетов, SMTP, даже в TCP/IP стеке куча проблем by design).
Но сейчас, увы, даже имея самые благие намерения, изменить стандарт написания URL не представляется возможным.
Наверное, для этой цели в своё время адресную строку совместили с поисковой строкой.На самом деле, это просто удобнее. Зачем мне держать отдельную строку, если я прекрасно могу искать из адресной? Не знаю, как в Chrome, но в Firefox в адресной строке есть удобные пиктограммы для выбора поисковой системы, поэтому поиск из адресной строки осуществляется даже быстрее, чем из классической поисковой строки (где надо было ещё и движок выбрать из выпадающего списка, что занимало больше времени, чем просто клик по нужной пиктограмме).
Зачем мне держать отдельную строку, если я прекрасно могу искать из адресной?
Затем, что я не хочу попадать на страницу поисковика, если опечатаюсь при вводе URL.
Поиск в адресной строке существовал в IE спокон века, и все его отключали именно по этой причине.
Сегодня заметил, что сайт https://telegra.ph снова доступен на территори РФ, благодаря Гугловскому DNS 8.8.8.8 (Финляндия)!
С другими DNS, например cloudflare 1.1.1.1 не доступен.
Учитывая злоупотребления Гугл с точки зрения модерации приложений и то как работает их техническая поддержка… Если что-то из этого получится, нас ждут «чудесные времена».
Я все-таки предпочитаю сам контролировать URL в адресной строке: если я знаю доменное имя нужного мне сайта, то мне лучше самому набрать это доменное имя сайта (что убережет меня и от фишинга), а не переходить на этот сайт из Яндекса или Гугла. И при этом уже часто наблюдаю, как сотрудники и студенты вуза, где я работаю, заходят на сайт вуза через поисковики, что я считаю извращением (а Гугл считает это нормальным делом).
Люди на самом деле с трудом разбираются в URL, — сказала Адриэн Портер Фелт, технический руководитель команды Chrome. — Эти адреса тяжело читать и непонятно, какой части адреса нужно доверять.
Вот это меня изрядно повеселило! Ну что может быть в урле сложного?! Вот домен, вот поддомен, вот внутренние директории сайта, дальше всякие обращения к внутренним методам, базе и т.д. — все просто. Да, есть риск фишинга, но если гугл скроет урлы вообще, то фишить будет еще удобнее, т.к. обмануть поисковую систему можно, пусть и ненадолго!
Особенно порадовало, что при попытке пройти тест на фишинг по ссылке — нашёл в нём ошибку. Похоже гугл знает о фишинге меньше чем я. А я — далеко не специалист.
Google говорит, что синтаксис URL слишком труден для массовой аудитории.При этом никаких конкретный предложение нет. Зато их есть у меня:
(шутка)
Что-то зачастили они объяснять спорные предложения безопасностью пользователей.
Почему Google меняет стандартный интерфейс URL в браузере
Европейцы, сэр
Почему Google меняет стандартный интерфейс URL в браузере