URL-адреса можно подделать, чтобы обмануть пользователей и заставить их думать, что они посещают легитимный сайт. Google давно стремится решить эту проблему, и в Chrome версии 86 будет протестирован показ только домена в адресной строке.
Проблема Google заключается в том, что «URL-адреса остаются основным способом, которым пользователи определяют личность и подлинность сайта». Это происходит, несмотря на то, что восприятие URL-адресов пользователями может быть легко искажено путем включения легитимного домена в очень длинный адрес, который просто бегло просматривается.
Например, существует множество способов, с помощью которых злоумышленники могут подделать URL-адреса, чтобы запутать пользователей относительно идентификации веб-сайта, что приводит к повсеместному фишингу, социальной инженерии и мошенничеству. По данным одного исследования, более 60% пользователей были введены в заблуждение, когда в пути URL-адреса появлялось вводящее в заблуждение название бренда.
Chrome 86, который выходит в бета-версию в сентябре, а в стабильной версии — через месяц, «протестирует, как URL-адреса отображаются в адресной строке на настольных платформах». Мобильные платформы исключены, хотя Safari уже имеет аналогичную реализацию.
Наша цель — понять на основе реального использования, помогает ли такой показ URL-адресов пользователям осознать, что они посещают вредоносный веб-сайт, и защищает ли их от фишинга и атак социальной инженерии.
Браузер Google будет отображать только доменное имя в адресной строке. Например, при посещении:
Пользователи увидят только:
en.wikipedia.org
При наведении курсора на адресную строку будет отображаться полный URL-адрес. Те, кто будет случайно выбран для участия в эксперименте, смогут отключить эту функцию, щелкнув правой кнопкой мыши в Omnibox и выбрав «Всегда показывать полные URL-адреса».
Корпоративные пользователи не будут включены в этот эксперимент. Любой желающий может протестировать эту адресную строку с отображением только домена в Chrome Canary или Dev (86) уже сегодня, включив следующие флаги:
- #omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover
- #omnibox-ui-sometimes-elide-to-registrable-domain
- При желании #omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction, чтобы показывать полный URL-адрес при загрузке страницы до взаимодействия с ней.