- PVSM.RU - https://www.pvsm.ru -

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена

Рассказываем о причинах этого решения разработчиков Chrome и реакции сообщества.

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 1 [1]
Фото — Pawel Loj [2] — CC BY / Фото изменено

Не первый раз

В сентябре прошлого года вышел Chrome 69. Вместе с новой версией из адресной строки браузера исчезло [3] наименование поддоменов www и m. При переходе на сайт отображался только домен, например example.com.

Это решение вызвало негативную реакцию. ИБ-специалисты отмечали, что нововведение приведет к путанице с похожими друг на друга адресами. Под давлением общественности разработчики браузера вернули [4] отображение поддоменов.

Но как выяснилось, ненадолго, — в Chrome 76, который вышел в конце июля, www вновь пропал [5].

Поддомен www назвали тривиальным. В Google считают, что эта информация не нужна большей части интернет-пользователей при серфинге. В интервью Wired представитель ИТ-компании рассказал [6], что теперь людям станет проще читать и понимать URL-адреса. Полностью их по-прежнему можно просмотреть целиком — нужно просто начать редактировать ссылку. По мнению разработчиков браузера, этого вполне достаточно для комфортной работы.

Мнение сообщества

Новость породила бурное обсуждение на Hacker News, в социальных сетях и на тематических форумах. Как и в прошлый раз, подавляющее большинство комментариев — негативные. Одна из главных претензий — потенциальная путаница с адресами. Условно, если пользователь введет URL www[.]pool.ntp.org, то в адресной строке отобразится хост pool.ntp.org, на котором нет сайта — он отвечает за выдачу случайного адреса NTP-сервера.

Есть и более серьезные проблемы, связанные с информационной безопасностью. Хотя разработчики браузера говорят, что нововведение должно сократить риск фишинга, специалисты по ИБ с ними не согласны. Исключение поддоменов, наоборот, увеличивает риск фишинговых атак, так как URL различных ресурсов начинают выглядеть одинаково.

Ситуацию наглядно продемонстрировал [7] специалист по защите информации Иен Кэррол (Ian Carroll) на примере браузера Safari. Он также скрывает URL сайта и вместо него отображает имя компании из EV-сертификата [8] (для расширенного подтверждения организации и домена). Хакеры могут получить новый сертификат для подставной фирмы, название которой совпадает с названием «жертвы», а рядовой пользователь не заметит подмены в адресе.

Проблему признают и представители интернет-провайдеров. Сотрудник одного из западных операторов отметил [9], что ему довольно часто приходится объяснять клиентам, что www[.]domain.com и domain.com — это два разных домена, которые могут вести на разные ресурсы. Он убежден, что с нововведением Chrome ситуация только усугубится.

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 2
Фото — Pablo García Saldaña [10] — Unsplash

Один из резидентов Hacker News высказал предположение, что разработчики браузера не просто заботятся об удобстве пользователей, но преследуют и иные цели.

Упрощение URL может быть [11] первым шагом компании по продвижению технологии AMP [12] (Accelerated Mobile Pages). Её задача — увеличить скорость загрузки веб-страниц. Однако страницы эти загружаются с серверов Google, что приводит к отображению в адресной строке другого домена (с приставкой amp). Однако позже компания сможет скрыть поддомен amp, чтобы не вызывать замешательство у пользователей.

Что дальше

Некоторые участники обсуждения считают, что прошлогодняя история повторится, и под давлением общественности разработчики Chrome вновь отменят изменения. Но есть основания полагать, что на этот раз все будет по-другому.

Год назад компанию упрекнули в том, что сперва ей следовало позаботиться о стандартизации, а уже затем реализовывать изменения на практике. Инженеры учли замечание — недавно они представили новый стандарт [13], в котором описали правила упрощения URL. Более того, в Google призвали пользоваться этим стандартом разработчиков других браузеров — возможно, в будущем их примеру последует больше организаций.

О чем мы пишем в наших блогах и социальных сетях:

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 3 Как настроить HTTPS — поможет SSL Configuration Generator [14]
«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 4 Есть мнение: технология DANE для браузеров провалилась [15]

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 5 Как защитить виртуальный сервер в интернете [16]
«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 6 Получение OV и EV сертификата: что нужно знать? [17]
«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 7 Персональные данные: особенности публичного облака [18]

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 8 Подборка книг для тех, кто уже занимается системным администрированием или планирует начать [19]
«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 9 Как работает техподдержка 1cloud [20]

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена - 10 Мы в 1cloud.ru используем железо [21] Cisco, Dell, NetApp. Оно располагается сразу в нескольких ЦОД: DataSpace (Москва), SDN (Санкт-Петербург), Ahost (Алма-Ата).

Автор: 1cloud

Источник [22]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/ux/328040

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/1cloud/blog/464803/

[2] Pawel Loj: https://www.flickr.com/photos/limaoscarjuliet/147960188/

[3] исчезло: https://www.bleepingcomputer.com/news/google/chrome-69-removing-www-and-m-subdomains-from-the-browsers-address-bar/

[4] вернули: https://tech.slashdot.org/story/18/09/15/0110210/google-temporarily-brings-back-the-www-in-chrome-urls----but-should-they

[5] вновь пропал: https://www.bleepingcomputer.com/news/google/google-chrome-hides-www-and-https-in-the-address-bar-again/

[6] рассказал: https://www.wired.com/story/google-wants-to-kill-the-url/

[7] продемонстрировал: https://stripe.ian.sh/

[8] EV-сертификата: https://1cloud.ru/blog/vidy-sertifikatov-ssl?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog

[9] отметил: https://bugs.chromium.org/p/chromium/issues/detail?id=881410#c2

[10] Pablo García Saldaña: https://unsplash.com/photos/lPQIndZz8Mo

[11] может быть: https://news.ycombinator.com/item?id=17932676

[12] AMP: https://ru.wikipedia.org/wiki/Accelerated_mobile_pages

[13] новый стандарт: https://url.spec.whatwg.org/#url-rendering-simplification

[14] Как настроить HTTPS — поможет SSL Configuration Generator: https://habr.com/ru/company/1cloud/blog/459002/

[15] Есть мнение: технология DANE для браузеров провалилась: https://habr.com/ru/company/1cloud/blog/454322/

[16] Как защитить виртуальный сервер в интернете: https://1cloud.ru/blog/kak-zaschitit-server-v-internete?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog

[17] Получение OV и EV сертификата: что нужно знать?: https://1cloud.ru/blog/poluchenie-ssl-sertifikatov-ov-ev?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog

[18] Персональные данные: особенности публичного облака: https://1cloud.ru/blog/personalnye-dannye-chast-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog

[19] Подборка книг для тех, кто уже занимается системным администрированием или планирует начать: https://www.facebook.com/1cloudru/photos/a.1526614574327724/2382871935368646/

[20] Как работает техподдержка 1cloud: https://www.facebook.com/1cloudru/posts/2334655376856969

[21] железо: https://1cloud.ru/infrastructure/hardware?utm_source=habrahabr&utm_medium=cpm&utm_campaign=chrome&utm_content=blog

[22] Источник: https://habr.com/ru/post/464803/?utm_source=habrahabr&utm_medium=rss&utm_campaign=464803