Хабрахабр

«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена

Рассказываем о причинах этого решения разработчиков Chrome и реакции сообщества.


Фото — Pawel Loj — CC BY / Фото изменено

Не первый раз

В сентябре прошлого года вышел Chrome 69. Вместе с новой версией из адресной строки браузера исчезло наименование поддоменов www и m. При переходе на сайт отображался только домен, например example.com.

ИБ-специалисты отмечали, что нововведение приведет к путанице с похожими друг на друга адресами. Это решение вызвало негативную реакцию. Под давлением общественности разработчики браузера вернули отображение поддоменов.

Но как выяснилось, ненадолго, — в Chrome 76, который вышел в конце июля, www вновь пропал.

В Google считают, что эта информация не нужна большей части интернет-пользователей при серфинге. Поддомен www назвали тривиальным. Полностью их по-прежнему можно просмотреть целиком — нужно просто начать редактировать ссылку. В интервью Wired представитель ИТ-компании рассказал, что теперь людям станет проще читать и понимать URL-адреса. По мнению разработчиков браузера, этого вполне достаточно для комфортной работы.

Мнение сообщества

Новость породила бурное обсуждение на Hacker News, в социальных сетях и на тематических форумах. Как и в прошлый раз, подавляющее большинство комментариев — негативные. Одна из главных претензий — потенциальная путаница с адресами. Условно, если пользователь введет URL www[.]pool.ntp.org, то в адресной строке отобразится хост pool.ntp.org, на котором нет сайта — он отвечает за выдачу случайного адреса NTP-сервера.

Хотя разработчики браузера говорят, что нововведение должно сократить риск фишинга, специалисты по ИБ с ними не согласны. Есть и более серьезные проблемы, связанные с информационной безопасностью. Исключение поддоменов, наоборот, увеличивает риск фишинговых атак, так как URL различных ресурсов начинают выглядеть одинаково.

Он также скрывает URL сайта и вместо него отображает имя компании из EV-сертификата (для расширенного подтверждения организации и домена). Ситуацию наглядно продемонстрировал специалист по защите информации Иен Кэррол (Ian Carroll) на примере браузера Safari. Хакеры могут получить новый сертификат для подставной фирмы, название которой совпадает с названием «жертвы», а рядовой пользователь не заметит подмены в адресе.

Сотрудник одного из западных операторов отметил, что ему довольно часто приходится объяснять клиентам, что www[.]domain.com и domain.com — это два разных домена, которые могут вести на разные ресурсы. Проблему признают и представители интернет-провайдеров. Он убежден, что с нововведением Chrome ситуация только усугубится.


Фото — Pablo García Saldaña — Unsplash

Один из резидентов Hacker News высказал предположение, что разработчики браузера не просто заботятся об удобстве пользователей, но преследуют и иные цели.

Её задача — увеличить скорость загрузки веб-страниц. Упрощение URL может быть первым шагом компании по продвижению технологии AMP (Accelerated Mobile Pages). Однако позже компания сможет скрыть поддомен amp, чтобы не вызывать замешательство у пользователей. Однако страницы эти загружаются с серверов Google, что приводит к отображению в адресной строке другого домена (с приставкой amp).

Что дальше

Некоторые участники обсуждения считают, что прошлогодняя история повторится, и под давлением общественности разработчики Chrome вновь отменят изменения. Но есть основания полагать, что на этот раз все будет по-другому.

Инженеры учли замечание — недавно они представили новый стандарт, в котором описали правила упрощения URL. Год назад компанию упрекнули в том, что сперва ей следовало позаботиться о стандартизации, а уже затем реализовывать изменения на практике. Более того, в Google призвали пользоваться этим стандартом разработчиков других браузеров — возможно, в будущем их примеру последует больше организаций.

О чем мы пишем в наших блогах и социальных сетях:

Как настроить HTTPS — поможет SSL Configuration Generator
Есть мнение: технология DANE для браузеров провалилась

Как защитить виртуальный сервер в интернете
Получение OV и EV сертификата: что нужно знать?
Персональные данные: особенности публичного облака

Подборка книг для тех, кто уже занимается системным администрированием или планирует начать
Как работает техподдержка 1cloud

Мы в 1cloud.ru используем железо Cisco, Dell, NetApp. Оно располагается сразу в нескольких ЦОД: DataSpace (Москва), SDN (Санкт-Петербург), Ahost (Алма-Ата).

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть