«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена
Рассказываем о причинах этого решения разработчиков Chrome и реакции сообщества.
Фото — Pawel Loj — CC BY / Фото изменено
Не первый раз
В сентябре прошлого года вышел Chrome 69. Вместе с новой версией из адресной строки браузера исчезло наименование поддоменов www и m. При переходе на сайт отображался только домен, например example.com.
ИБ-специалисты отмечали, что нововведение приведет к путанице с похожими друг на друга адресами. Это решение вызвало негативную реакцию. Под давлением общественности разработчики браузера вернули отображение поддоменов.
Но как выяснилось, ненадолго, — в Chrome 76, который вышел в конце июля, www вновь пропал.
В Google считают, что эта информация не нужна большей части интернет-пользователей при серфинге. Поддомен www назвали тривиальным. Полностью их по-прежнему можно просмотреть целиком — нужно просто начать редактировать ссылку. В интервью Wired представитель ИТ-компании рассказал, что теперь людям станет проще читать и понимать URL-адреса. По мнению разработчиков браузера, этого вполне достаточно для комфортной работы.
Мнение сообщества
Новость породила бурное обсуждение на Hacker News, в социальных сетях и на тематических форумах. Как и в прошлый раз, подавляющее большинство комментариев — негативные. Одна из главных претензий — потенциальная путаница с адресами. Условно, если пользователь введет URL www[.]pool.ntp.org, то в адресной строке отобразится хост pool.ntp.org, на котором нет сайта — он отвечает за выдачу случайного адреса NTP-сервера.
Хотя разработчики браузера говорят, что нововведение должно сократить риск фишинга, специалисты по ИБ с ними не согласны. Есть и более серьезные проблемы, связанные с информационной безопасностью. Исключение поддоменов, наоборот, увеличивает риск фишинговых атак, так как URL различных ресурсов начинают выглядеть одинаково.
Он также скрывает URL сайта и вместо него отображает имя компании из EV-сертификата (для расширенного подтверждения организации и домена). Ситуацию наглядно продемонстрировал специалист по защите информации Иен Кэррол (Ian Carroll) на примере браузера Safari. Хакеры могут получить новый сертификат для подставной фирмы, название которой совпадает с названием «жертвы», а рядовой пользователь не заметит подмены в адресе.
Сотрудник одного из западных операторов отметил, что ему довольно часто приходится объяснять клиентам, что www[.]domain.com и domain.com — это два разных домена, которые могут вести на разные ресурсы. Проблему признают и представители интернет-провайдеров. Он убежден, что с нововведением Chrome ситуация только усугубится.
Фото — Pablo García Saldaña — Unsplash
Один из резидентов Hacker News высказал предположение, что разработчики браузера не просто заботятся об удобстве пользователей, но преследуют и иные цели.
Её задача — увеличить скорость загрузки веб-страниц. Упрощение URL может быть первым шагом компании по продвижению технологии AMP (Accelerated Mobile Pages). Однако позже компания сможет скрыть поддомен amp, чтобы не вызывать замешательство у пользователей. Однако страницы эти загружаются с серверов Google, что приводит к отображению в адресной строке другого домена (с приставкой amp).
Что дальше
Некоторые участники обсуждения считают, что прошлогодняя история повторится, и под давлением общественности разработчики Chrome вновь отменят изменения. Но есть основания полагать, что на этот раз все будет по-другому.
Инженеры учли замечание — недавно они представили новый стандарт, в котором описали правила упрощения URL. Год назад компанию упрекнули в том, что сперва ей следовало позаботиться о стандартизации, а уже затем реализовывать изменения на практике. Более того, в Google призвали пользоваться этим стандартом разработчиков других браузеров — возможно, в будущем их примеру последует больше организаций.
О чем мы пишем в наших блогах и социальных сетях:
Как настроить HTTPS — поможет SSL Configuration Generator
Есть мнение: технология DANE для браузеров провалиласьКак защитить виртуальный сервер в интернете
Получение OV и EV сертификата: что нужно знать?
Персональные данные: особенности публичного облакаПодборка книг для тех, кто уже занимается системным администрированием или планирует начать
Как работает техподдержка 1cloud
Мы в 1cloud.ru используем железо Cisco, Dell, NetApp. Оно располагается сразу в нескольких ЦОД: DataSpace (Москва), SDN (Санкт-Петербург), Ahost (Алма-Ата).