«Gobreadygook ilegible» es una forma de describir las URL hoy como las conocemos, y Google ha intentado rehacer su aspecto durante años. En su último movimiento para mejorar la forma en que Chrome, y por supuesto, cómo la compañía espera que otros navegadores sigan su ejemplo, muestra la URL en su omnibox (la barra de direcciones), el equipo de Google Chrome ha hecho públicos dos proyectos que los llevan en esta dirección.
Primero, lanzaron Trickuri (pronunciado como «truco») a tiempo para una charla que tenían previsto presentar en la Conferencia Enigma 2019 . En segundo lugar, están trabajando en la creación de advertencias de direcciones URL potencialmente falsas para los usuarios de Chrome.
¡Cuidado! Algunos engaños y phishing por delante.
Trickuri es una herramienta de código abierto donde los desarrolladores pueden probar si sus aplicaciones muestran las URL de forma precisa y coherente en diferentes escenarios. Las nuevas advertencias de Chrome, por otro lado, todavía están en pruebas internas. Emily Stark, líder de seguridad de usabilidad de Google Chrome, confiesa que el desafío radica en crear reglas heurísticas que marquen adecuadamente las URL maliciosas y eviten falsos positivos.
«Nuestra heurística para detectar URLs engañosas consiste en comparar caracteres que se parecen entre sí y dominios que varían entre sí solo por una pequeña cantidad de caracteres», dijo Stark en una entrevista con WIRED . «Nuestro objetivo es desarrollar un conjunto de heurísticas que alejen a los atacantes de las URL extremadamente confusas, y un desafío clave es evitar marcar dominios legítimos como sospechosos. Es por eso que lanzamos esta advertencia lentamente, como un experimento ”.
Estos esfuerzos son parte del enfoque actual del equipo, que es la detección y el marcado de URL aparentemente dudosas.
El objetivo más grande de Google Chrome
La URL se utiliza para identificar entidades en línea. Es el primer lugar donde los usuarios buscan evaluar si están en un buen lugar o no. Pero no todos conocen los componentes que componen una URL, y mucho menos lo que significan en la sintaxis. El impulso de Google para que los propietarios de sitios web utilicen HTTPS ha afectado a los desarrolladores de navegadores y, en consecuencia, ha cambiado las preferencias de los usuarios para favorecer dichos sitios. En efecto, al presionar HTTPS, Google cambió el juego para brindar al usuario una experiencia en línea generalmente más segura.
Sin embargo, Google quiere ir más allá de esto y está preparado para aumentar el conocimiento de los usuarios sobre partes relevantes de la URL (para que puedan tomar decisiones rápidas de seguridad). Como resultado, están refinando Chrome para presentar estas partes y, al mismo tiempo, mantienen la vista de los usuarios lejos de las incoherencias irrelevantes.
En una entrevista aparte con WIRED, Adrienne Porter Felt, Gerente de Ingeniería de Google Chrome, dice esto acerca de cómo los usuarios perciben la URL : “A las personas les cuesta mucho entender las URL. Son difíciles de leer, es difícil saber en qué parte de ellos se debe confiar, y en general no creo que las URL funcionen como una buena manera de transmitir la identidad del sitio. Así que queremos avanzar hacia un lugar donde todos puedan entender la identidad web: saben con quién están hablando cuando están utilizando un sitio web y pueden razonar si pueden confiar en ellos. Pero esto significará grandes cambios en cómo y cuándo Chrome muestra las URL. Queremos cuestionar cómo se deben mostrar las URL y cuestionarlas, ya que estamos descubriendo la forma correcta de transmitir la identidad «.
Si bien todo esto puede sonar bien, nadie, ni siquiera Google, sabe cómo será la nueva URL final en este momento.
Una breve cronología de los esfuerzos de Google para cambiar la URL
A continuación se muestra una breve línea de tiempo de los intentos que Google ha realizado para que Chrome muestre la URL en el omnibox:
- Abril de 2010: Google elimina «HTTP » de la barra de direcciones.
- Mayo de 2014: Google comenzó a probar una función que se conoce internamente como el «chip de origen» , su primer intento de evolucionar (o «matar» la URL como la conocemos) la visualización de la URL. Sin embargo, esto fue puesto en espera .
- Enero de 2017: Google comienza a marcar algunos sitios web HTTP como «no seguro».
- Octubre de 2017: Google comienza a marcar los sitios web HTTP con un cuadro de búsqueda como «no seguro».
- Julio de 2018: Google comienza a marcar todos los sitios web HTTP como «no seguro».
- Septiembre de 2018: Google elimina el indicador ‘Seguro’ de las páginas HTTPS.
- Septiembre de 2018: Google elimina ‘www’ en las URL y la ‘m’ (lo que indica que es una dirección de sitio web diseñada para usuarios móviles).
- Septiembre de 2018: Google elimina el esquema ‘file: //’ .
- Septiembre de 2018: Google comienza a mostrar una advertencia roja «No seguro» a los usuarios cuando comienzan a ingresar datos en las páginas HTTP.
- Enero de 2019: Google presenta Trickuri para desarrolladores.
- [fecha aún desconocida]: Google presentará nuevas advertencias de phishing a los usuarios de Chrome.
«… solo plantea demasiadas preguntas».
Con el nuevo esfuerzo de Google, ¿cómo afectará a los esquemas de redirección? SEO? URLs acortadas?
¿Afectará esto, con el tiempo, el comportamiento de los nuevos usuarios de Internet que ingresan URL en la barra de direcciones? Por ejemplo, ¿qué sucede si no saben que ciertos elementos de la URL están borrados (de manera predeterminada) pero ahora deben escribirse (como ingresar ‘www’) para ir a su destino deseado? ¿Comprenderán el significado de .com o .org si estos elementos se borran de la vista?
¿Cómo pueden los desarrolladores web, propietarios de negocios y consumidores prepararse para estos cambios de URL?
En este momento, hay más incertidumbre que respuestas, ya que Google admite que todavía hay mucho trabajo por hacer. Y basándose en el tono de varios portavoces en las entrevistas, la compañía también espera cierto rechazo y un cierto grado de controversia que pueda surgir de sus esfuerzos. El cambio nunca es fácil.
Vamos a vigilar este URL en la sala , ¿ vale ? Y también sigamos dando comentarios y planteando preguntas. Después de todo, esta es la forma que tiene Google de mantener a los usuarios de Chrome alejados de las amenazas basadas en URL. Si los cambios no se implementan con una precisión cuidadosa, entonces los actores de amenazas pueden encontrar una manera de evitarlos, o al menos confiar en la confusión que resulta de un despliegue deficiente de nuevos procesos.
Si bien el futuro de las URL aún es turbio, una cosa es cierta: los malos saben cómo explotar las debilidades. Por lo tanto, esperamos que, para Google y para todos los usuarios, los cambios en la visualización de URL solo sirvan para fortalecer la postura de seguridad en línea de todos.
Sobre el autor