刚过 20 岁生日的 Google 迎接新的里程碑同时,旗下 Chrome 浏览器也 10 岁了。虽然诞生时间不算长,但这款早已拿下全球市占率第一的浏览器还是为网络带来了巨变。从自动升级流行到 HTTPS 网页加密普及,Chrome 浏览器一直是业界先锋,安全团队更酷爱拿概念性大难题开刀。
虽然 Chrome 团队的激进做法有时褒贬不一,但依旧我行我素。成军十年的节骨眼上,Chrome 团队又准备玩一票大的,要重新思考 URL 的地位,这个与网络相伴而生的经典元素恐怕不变不行了。
URL 是 Uniform Resource Locators(统一资源定位符),与我们每天都在使用的网址密切相关。URL 会在网络 DNS 位址簿出现,随后启动浏览器跳转到正确 IP 位址(用来辨识和区分不同的网络服务器)。简而言之,有了它你就能轻松登陆网站阅读和浏览,省去复杂的路线协定和一连串数字。不过,随着时间推移,现在 URL 变得越来越难读懂了,不但包含一连串难以理解的混乱资讯,还结合了第三方或各种连线缩短器及重新导向的特征。此外行动装置上,这样长串混乱的程式码也难以显示完全。
复杂且含混不清的 URL 给了网络罪犯可乘之机,纷纷利用这漏洞打造恶意网站从事不法勾当。举例来说,网络罪犯会假冒合法机构,在网上“钓鱼”,搞虚假网络服务或盗窃他人敏感资料。除了网友警惕性差,URL 也有责任,因为用户很难透过这连串数字知道到底和谁打交道。因此,Chrome 团队认为 URL 该“换一种活法”了,需要来一次变革。
“对大家来说,理解 URL 真是困难。”Chrome 工程主管 Adrienne Porter Felt 说。“它们读起来费劲极了,你也不知道 URL 中哪部分可信。因此我认为 URL 已不是网站身份的最佳搬运工。所以我们想找一个新地方,在这里谁都能看懂网络身份,用户使用网络时知道自己和谁交流,了解谁值得信任。不过,这意味着 Chrome 展示 URL 的方式和时间会产生巨变。”
如果你也在思考到底什么可以代替 URL,告诉你,你不是一个人。过去几年,学术界一直在思考解决方案,但这道难题可没那么容易解答。Porter Felt 和同事 Chrome 首席工程师 Justin Schuh 都承认,虽然有意推动改革,但 Chrome 团队对选择哪种解决方案依然有分歧。在这个问题,他们甚至不愿透露到底有什么计划。
在他们看来,现在的重点不但要找到增强安全和辨识完整性的解决方案,还不能影响人们日常使用时的便利性,比如在行动装置分享连结。
“我也不知道最终成品是什么样,因为团队还在讨论。”Chrome 工程总监 Parisa Tabriz 说。“不过可肯定的是,无论拿出什么方案,肯定会引起巨大争议,毕竟现在网络初建时毫无章法,时间一长,各种后遗症就跑出来了。即使这样,我们也必须做点什么,因为大家都看 URL 不顺眼,它实在太过时了。”
Chrome 团队花了大量时间思考 URL 的安全问题。2014 年时,尝试了名为“origin chip”的格式化功能,浏览器只显示网站主域名,以帮助用户了解他们到底在浏览什么网站。如果用户想看到完整 URL,只需点击“chip”就行。这次试验得到了许多使用者的称赞,他们希望网络身份变得更直接,不过也遭受不少批评。几周之后,Chrome 就停掉了这功能。
“Origin chip 是 Chrome 第一次在该领域吃鳖。”Porter Felt 说。“我们研究用户对 URL 的看法和使用方式,显然,解决这个问题比我们想像要难多了。不过,这次试验得到的回馈也成了后续工作的重要参考。”
无独有偶,Chrome 团队推动 HTTPS 网页加密普及过程也遇到不少阻力。最初,Chrome 将未加密网站标记为不安全也遭到许多人反对,但后来干脆联合其他浏览器和科技公司共同推动改革,加上大力宣传这可保护用户隐私,才算是办成了。“其实大家都知道 HTTPS 是好东西,但你改变就会让一些人恐慌。所以无论我们做什么,恐怕都会引来争议,因此恐怕得多花点时间。”Tabriz 说。
Porter Felt 表示,今年秋天或明年春天,Chrome 会用更开放的姿态向大众说明关于 URL 的新想法。Chrome 团队也指出,目标不是颠覆 URL,而是要达成早已存在的愿景,毕竟实体辨识是网络安全模型的基础。
由于这提议来自影响力巨大的 Google 且涉及人们浏览和使用网络,因此大家都必须认真对待。就像 Chrome 技术主管 Emily Stark 说的,这议题就是“房间里的大象”,大家都看到了,只是没人说出来罢了。
- GOOGLE WANTS TO KILL THE URL
(本文由 雷锋网 授权转载;首图来源:Flickr/Descrier CC BY 2.0)
延伸阅读:
- Chrome 69 正式版浏览器发布!界面全新设计、强化密码管理
- Google 发布 Chrome 68,HTTP 网站全面标记为不安全
- Google 分两阶段,将不信任 Symantec 签发 SSL 安全认证
