سالهاست که دسترسی به اینترنت از طریق مرورگرها با آدرسی به نام URL یا (Uniform Resource Locator) انجام میشود. اما گوگل در اندیشه حذف آدرس URL از اینترنت بوده و حالا گامهای اولیه را نیز برداشته است. شهریورماه تیم امنیتی کروم گوگل یک پیشنهاد رادیکال مطرح کرد: حذف آدرس URL به شکلی که میشناسیم. با وجود اینکه این محققان قصد ندارند زیرساخت کنونی اینترنت را متحول کنند؛ اما چنین تغییری نحوه کارکرد مورگرها را تغییر خواهد داد و دیگر خبری از آدرسهای طولانی که گاهاً زمینه حملات فیشینگ را فراهم میکند، نخواهد بود. روز سهشنبه در کنفرانس امنیتی Bay Area Enigmt مدیر گروه امنیتی کروم گوگل، امیلی استارک از اولین قدمهای گوگل برای حذف آدرس URL گفت.
آدرس URL چیست؟
آدرس URL همان آدرس متنی است که در نوار آدرس بالای صفحه میبینید. این آدرس پروتکلهای مختلفی مثل http و ftp را دربرمیگیرد و در واقع همان آدرسی است که مرورگر با آن صفحات را بارگذاری میکند. وقتی آدرسی مثل www.farnet.io را تایپ کرده و اینتر میکنید مرورگر ابتدا به سرور DNS متصل شده تا DNS این آدرس را به شکل آدرس آیپی ترجمه کند. سپس انتقال اطلاعات و بارگذاری وبسایت آغاز خواهد شد.
مگر آدرس URL چه مشکلی دارد؟!
آدرس URL صرفاً یک متن تشکیل شده از حروف بوده که دستمایه سواستفاده بسیاری قرار گرفته است. بهطور مثال ممکن است افرادی سودجو وبسایتی شبیه درگاه یک بانک را ایجاد کرده و بهجای آدرس اصلی shaparak آدرسی مثل shaaparak برای آن در نظر بگیرند تا قربانی فریب خورده و اطلاعات حساب بانکی خود را در این درگاه جعلی وارد کند. گوگل میخواهد چنین مشکلاتی را به حداقل برساند.
گوگل میخواهد چهکاری انجام دهد؟
استارک تأکید میکند که گوگل بهکلی به دنبال از بین بردن URL نیست. در عوض این شرکت میخواهد امکان سواستفاده هکرها را از این آسیبپذیریها به حداقل برساند. در حال حاضر شاید قربانی متوجه نشود که بهجای وبسایت google در حال بازدید از g00gle است. گوگل به همین دلیل در حال کار روی دو پروژه برای رفع این مشکل است.
ما میخواهیم نحوه نمایش هویت سایتها را تغییر دهیم. کاربران باید بتوانند بهآسانی تشخیص بدهند در چه وبسایتی حضور دارند و آن را با سایت دیگری اشتباه نگیرند. نباید برای تشخیص این موضوع به دانش پیشرفته از اینترنت نیاز باشد.
اساس تلاشهای تیم کروم را ابزاری به نام TrickURI تشکیل میدهد. این ابزار به توسعهدهندگان کمک میکند تا بررسی کنند که نرمافزارشان آدرس URL را دقیق و درست نشان میدهد. در کنار TrickURI استارک و همکارانش همچنین روی ایجاد هشدارهایی کار میکنند تا کاربران کروم بدانند چه وقتی یک آدرس URL مشکوک بوده و یا قصد فریبشان را دارد. این هشدارها هنوز در مرحله آزمایش داخلی هستند چرا که باید الگوریتمهایی ایجاد شود تا وبسایتهای اصلی به اشتباه جعلی تشخیص داده نشوند.
برای کاربران گوگلی، اولین خط دفاعی در برابر فیشینگ و سایر کلاهبرداریهای آنلاین پلتفرم مرور امن این شرکت (Safe Browsing) است. اما تیم گوگل در حال بررسی راهکارهای کمکی بیشتری برای مقابله با آدرسهای URL مشکوک است.
هیوریستیک (الگوریتم جستجوی کاشف) ما برای کشف آدرسهای URL فریبدهنده کاراکترهایی را که مشابه یکدیگر هستند را با هم و آدرس را با آدرسهای مشابه از نظر ظاهری با تنها چند کاراکتر اختلاف مقایسه میکند. هدف ما این است که مجموعهای از هیوریستیکها را توسعه دهیم که مهاجمان را از استفاده از آدرسهای URL فریبدهنده دور کنیم. چالش اصلی عدم تشخیص دامنههای قانونی به عنوان آدرس مشکوک است. به همین دلیل است که ما این هشدار را بهمرور و به شکل یک قابلیت ازمایشی اضافه میکنم.
به گفته گوگل این ویژگی هشدار هنوز برای کاربران عمومی عرضه نشده و این شرکت درحال بهبود آن است. با وجود اینکه حذف آدرس URL قرار نیست به این زودیها اتفاق بیفتد استارک میگوید این تیم درحال کار روی چیزهای بیشتری است برای اینکه از فریب کاربران توسط URL جلوگیری شود. چالش بزرگ نمایش بخشی از URL است که به امنیت و تصمیمگیری کاربر ارتباط دارد و البته حذف بخشهایی که آدرس را طولانی و برای خواندن دشوار میکند. مرورگرها هم باید گاهی اوقات برعکس عمل کرده و آدرسهای کوتاه شده را کامل نمایش دهند.
نگرانیهای منتقدان
تیم امنیتی کروم گوگل پیش از این نیز به لطف داشتن یک پشتوانه قدرتمند توانستهاند عادات خوبی مثل استفاده جهانی از پروتکل امن HTTPS را جابیندازند. با اینوجود برخی منتقدان نگران نفوذ روزافزون کروم در دنیای اینترنت هستند. به اعتقاد آنها همانطور که کروم میتواند تأثیر مثبتی روی دنیای وب بگذارد امکان تأثیرگذاری منفی و یکطرفه نیز وجود دارد. معتقدان میگوید درزمینه مسألهای حیاتی مانند آدرس URL گوگل ممکن است تاکتیکی اتخاذ کند که تنها برای کروم نقطه قوت محسوب شود تا این مرورگر فاصله خود را از رقبا حتی بیشتر کند.
علاوه بر این از آنجا که مرورگر گوگل کروم نهتنها در میان کاربران عادی بلکه در کسبوکارها نیز محبوبیت فراوانی پیدا کرده گوگل قادر خواهد بود زیرساختهای امنیتی آن ها را نیز تغییر دهد. به این ترتیب هرچه افراد و کسبوکارهای بیشتری به کروم تکیه کنند مسئولیت گوگل و نگرانی منتقدین نیز بیشتر خواهد شد.
به این ترتیب با اینکه قرار نیست حذف آدرس URL به این زودیها صورت بگیرد و جایگزین خوبی هم هنوز برای آن پیدا نشده اما حداقل تیم امنیتی کروم در تلاش است تا آسیبپذیریها و حملات مربوط به آن را به حداقل برساند.
url سنگ کجنهادی است که ما را از اینترنت واقعی دور کرد؛ ملّتِ دوسر تحریم حتا از دانلود/آپدیت نرمافزار رایگان هم محروم شده، امنیت دادهاش اسفبار است. بزودی اینترنت واقعی رمزپایه، url را به سطل تاریخ میاندازد!