- PVSM.RU - https://www.pvsm.ru -
Рассказываем о причинах этого решения разработчиков Chrome и реакции сообщества.
[1]
Фото — Pawel Loj [2] — CC BY / Фото изменено
В сентябре прошлого года вышел Chrome 69. Вместе с новой версией из адресной строки браузера исчезло [3] наименование поддоменов www и m. При переходе на сайт отображался только домен, например example.com.
Это решение вызвало негативную реакцию. ИБ-специалисты отмечали, что нововведение приведет к путанице с похожими друг на друга адресами. Под давлением общественности разработчики браузера вернули [4] отображение поддоменов.
Но как выяснилось, ненадолго, — в Chrome 76, который вышел в конце июля, www вновь пропал [5].
Поддомен www назвали тривиальным. В Google считают, что эта информация не нужна большей части интернет-пользователей при серфинге. В интервью Wired представитель ИТ-компании рассказал [6], что теперь людям станет проще читать и понимать URL-адреса. Полностью их по-прежнему можно просмотреть целиком — нужно просто начать редактировать ссылку. По мнению разработчиков браузера, этого вполне достаточно для комфортной работы.
Новость породила бурное обсуждение на Hacker News, в социальных сетях и на тематических форумах. Как и в прошлый раз, подавляющее большинство комментариев — негативные. Одна из главных претензий — потенциальная путаница с адресами. Условно, если пользователь введет URL www[.]pool.ntp.org, то в адресной строке отобразится хост pool.ntp.org, на котором нет сайта — он отвечает за выдачу случайного адреса NTP-сервера.
Есть и более серьезные проблемы, связанные с информационной безопасностью. Хотя разработчики браузера говорят, что нововведение должно сократить риск фишинга, специалисты по ИБ с ними не согласны. Исключение поддоменов, наоборот, увеличивает риск фишинговых атак, так как URL различных ресурсов начинают выглядеть одинаково.
Ситуацию наглядно продемонстрировал [7] специалист по защите информации Иен Кэррол (Ian Carroll) на примере браузера Safari. Он также скрывает URL сайта и вместо него отображает имя компании из EV-сертификата [8] (для расширенного подтверждения организации и домена). Хакеры могут получить новый сертификат для подставной фирмы, название которой совпадает с названием «жертвы», а рядовой пользователь не заметит подмены в адресе.
Проблему признают и представители интернет-провайдеров. Сотрудник одного из западных операторов отметил [9], что ему довольно часто приходится объяснять клиентам, что www[.]domain.com и domain.com — это два разных домена, которые могут вести на разные ресурсы. Он убежден, что с нововведением Chrome ситуация только усугубится.
Фото — Pablo García Saldaña [10] — Unsplash
Один из резидентов Hacker News высказал предположение, что разработчики браузера не просто заботятся об удобстве пользователей, но преследуют и иные цели.
Упрощение URL может быть [11] первым шагом компании по продвижению технологии AMP [12] (Accelerated Mobile Pages). Её задача — увеличить скорость загрузки веб-страниц. Однако страницы эти загружаются с серверов Google, что приводит к отображению в адресной строке другого домена (с приставкой amp). Однако позже компания сможет скрыть поддомен amp, чтобы не вызывать замешательство у пользователей.
Некоторые участники обсуждения считают, что прошлогодняя история повторится, и под давлением общественности разработчики Chrome вновь отменят изменения. Но есть основания полагать, что на этот раз все будет по-другому.
Год назад компанию упрекнули в том, что сперва ей следовало позаботиться о стандартизации, а уже затем реализовывать изменения на практике. Инженеры учли замечание — недавно они представили новый стандарт [13], в котором описали правила упрощения URL. Более того, в Google призвали пользоваться этим стандартом разработчиков других браузеров — возможно, в будущем их примеру последует больше организаций.
О чем мы пишем в наших блогах и социальных сетях:
Как настроить HTTPS — поможет SSL Configuration Generator [14]
Есть мнение: технология DANE для браузеров провалилась [15]Как защитить виртуальный сервер в интернете [16]
Получение OV и EV сертификата: что нужно знать? [17]
Персональные данные: особенности публичного облака [18]Подборка книг для тех, кто уже занимается системным администрированием или планирует начать [19]
Как работает техподдержка 1cloud [20]
Автор: 1cloud
Источник [22]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/ux/328040
Ссылки в тексте:
[1] Image: https://habr.com/ru/company/1cloud/blog/464803/
[2] Pawel Loj: https://www.flickr.com/photos/limaoscarjuliet/147960188/
[3] исчезло: https://www.bleepingcomputer.com/news/google/chrome-69-removing-www-and-m-subdomains-from-the-browsers-address-bar/
[4] вернули: https://tech.slashdot.org/story/18/09/15/0110210/google-temporarily-brings-back-the-www-in-chrome-urls----but-should-they
[5] вновь пропал: https://www.bleepingcomputer.com/news/google/google-chrome-hides-www-and-https-in-the-address-bar-again/
[6] рассказал: https://www.wired.com/story/google-wants-to-kill-the-url/
[7] продемонстрировал: https://stripe.ian.sh/
[8] EV-сертификата: https://1cloud.ru/blog/vidy-sertifikatov-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog
[9] отметил: https://bugs.chromium.org/p/chromium/issues/detail?id=881410#c2
[10] Pablo García Saldaña: https://unsplash.com/photos/lPQIndZz8Mo
[11] может быть: https://news.ycombinator.com/item?id=17932676
[12] AMP: https://ru.wikipedia.org/wiki/Accelerated_mobile_pages
[13] новый стандарт: https://url.spec.whatwg.org/#url-rendering-simplification
[14] Как настроить HTTPS — поможет SSL Configuration Generator: https://habr.com/ru/company/1cloud/blog/459002/
[15] Есть мнение: технология DANE для браузеров провалилась: https://habr.com/ru/company/1cloud/blog/454322/
[16] Как защитить виртуальный сервер в интернете: https://1cloud.ru/blog/kak-zaschitit-server-v-internete?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog
[17] Получение OV и EV сертификата: что нужно знать?: https://1cloud.ru/blog/poluchenie-ssl-sertifikatov-ov-ev?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog
[18] Персональные данные: особенности публичного облака: https://1cloud.ru/blog/personalnye-dannye-chast-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog
[19] Подборка книг для тех, кто уже занимается системным администрированием или планирует начать: https://www.facebook.com/1cloudru/photos/a.1526614574327724/2382871935368646/
[20] Как работает техподдержка 1cloud: https://www.facebook.com/1cloudru/posts/2334655376856969
[21] железо: https://1cloud.ru/infrastructure/hardware?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog
[22] Источник: https://habr.com/ru/post/464803/?utm_source=habrahabr&utm_medium=rss&utm_campaign=464803
Нажмите здесь для печати.