image

Google gaat experimenteren met url-weergave in adresbalk Chrome

donderdag 13 augustus 2020, 09:53 door Redactie, 15 reacties

Google zal binnenkort gaan experimenteren met de weergave van url's in de adresbalk van Chrome. Gebruikers zullen dan niet meer de volledige url te zien krijgen. Op deze manier wil het techbedrijf onderzoeken of gebruikers eerder in staat zijn om malafide websites te herkennen.

Volgens Emily Stark van het Chrome Security Team zijn url's op dit moment de primaire manier voor internetgebruikers om de identiteit en authenticiteit van een website te bepalen. Er zijn echter tal van manieren voor een aanvaller om de url te manipuleren, waardoor gebruikers ten onrechte denken dat het om een legitieme website gaat, wat leidt tot phishing en scams, merkt Stark op.

Ze wijst naar een recent onderzoek waarbij meer dan zestig procent van de gebruikers werd misleid wanneer een misleidende merknaam in het url-pad stond vermeld. In Chrome 86 gaat Google daarom experimenteren met de weergave van url's. De testgroep zal niet meer de volledige url te zien krijgen. In plaats daarvan wordt alleen het domein weergegeven. Gebruikers hebben nog wel de optie om de volledige url te bekijken.

"Op deze manier willen we begrijpen, door middel van gebruik in de echte wereld, of het laten zien van url's op deze manier gebruikers helpt om te beseffen dat ze een malafide website bezoeken, en ze tegen phishing en social engineering-aanvallen te beschermen", aldus Stark. Het experiment zal niet worden uitgevoerd onder gebruikers van "enterprise-enrolled" computers. Chrome 86 staat gepland voor oktober.

Image

Reacties (15)
13-08-2020, 10:31 door Anoniem
Waarom zet men niet in op betere website beveiliging?
Wat moeten we met een website met de volgende security alert hints?
Even een random voorbeeldje...

disown-opener 21 aanbevelingen om te komen tot een verbeterde security;
no-disallowed-headers 24 idem dito
sri 21 idem
strict-transport-security 70 idem dito
validate.set-cookie-header 2 idem dito
x-content-type options 52 idem dito
vulnerable javascript ;libraries idem 1 bibliotheek om af te voeren
ssllabs 2 aanbevelingen om te komen tot betere beveiliging.

Dit wordt dan gesteund via een scan op Mozilla Observatory. met F-graad en I-graad beveiligingsniveau.
Dus onder de maat die webstek en openstaand voor misbruik door malcreanten en ander cyber-gespuis.

Maar ja daar vul je via een core-business je zakken niet mee.
Dat wordt niet afgedwongen door de autoriteiten en is meestendeels sluitstuk op de begroting.
Zo ettert alles lekker door. Huilen met de pet op. Dweilen met alle kranen volop open.

En het gaat zo maar door en het gaat zo maar verder. Om echt simpel van te worden.

Als dit bovenstaande beter geregeld was,
zou men niet naar zulke kunstgrepen voor "onwetenden" hoeven te grijpen.

luntrus
13-08-2020, 10:49 door Anoniem
Het verbergen vind ik geen goede zaak.
Dan zou ik eerder plijten voor beide: eentje met het domein en eentje met het uri.
Of -met een klein beetje AI- een addressbar die 3x hoger wordt als het url verdacht is.
13-08-2020, 10:49 door Anoniem
Door Anoniem: Waarom zet men niet in op betere website beveiliging?
Wat moeten we met een website met de volgende security alert hints?
Even een random voorbeeldje...

[...]

Maar ja daar vul je via een core-business je zakken niet mee.
Dat wordt niet afgedwongen door de autoriteiten en is meestendeels sluitstuk op de begroting.
Zo ettert alles lekker door. Huilen met de pet op. Dweilen met alle kranen volop open.

En het gaat zo maar door en het gaat zo maar verder. Om echt simpel van te worden.

Als dit bovenstaande beter geregeld was,
zou men niet naar zulke kunstgrepen voor "onwetenden" hoeven te grijpen.

luntrus
Dat is compleet ongerelateerd aan wat er in het artikel wordt beschreven? Website security voorkomt nog steeds niet dat mensen op een andere site terecht komen d.m.v. de URL trucs die in het artikel worden aangehaald. https://www.security.nl kan nog zo veilig zijn, maar als het mij lukt om iemand naar https://www.securlty.nl te krijgen (kleine letter Leo, ipv de Isaac), dan heb je daar niets aan.
13-08-2020, 10:53 door Reinder
Als ik die pulicatie zo eens doorblader lijkt me dit op zich een hele nuttige functie voor de meerderheid van de normale gebruikers. Ben benieuwd of het ook zal helpen in de praktijk of dat het alleen het probleem zal verschuiven.
13-08-2020, 11:23 door Anoniem
Als (web)servers en websites zodanig beveiligd zijn,
dat de cybercrimineel er "zijn code niet langer achterlangs kan krijgen".

Dan is het probleem ook opgelost. Waarom de oplossingen neerleggen bij de eindgebruiker,
die er niet voor gestudeerd heeft?
Het op het groene slotje letten als oplossing gaf al zulkke problemen, toch?

Willen we doorgaan met fraude, ransomeware, niet legitieme tracking, allerlei soorten malware, bloatware,
scam, censuur, info manipulatie, ongevraagde reclame etc?
Ja, kennelijk, daar valt aan te verdienen met de gebruiker in de rol van eindproduct.

Aan het veiliger maken van verbindingen tussen webserver en veilige(r) websites kennelijk niet.
Als het probleem er niet meer is, hoef je er de eindgebruiker/consument niet meer mee lastig te vallen.

Daarom is het oproepen tot betere beveiliging toch wel gerelateerd naar mijn zeer bescheiden opinie.

luntrus
13-08-2020, 13:13 door Anoniem
Wat een slap gelul weer! Het artikel gaat over een browser, maar iedereen zit weer te lullen over websites! Hebben jullie dan werkelijk geen begrijpend lezen geleerd?
13-08-2020, 14:05 door Anoniem
Door Anoniem: Als (web)servers en websites zodanig beveiligd zijn,
dat de cybercrimineel er "zijn code niet langer achterlangs kan krijgen".
Dan zet hij een website op met een domeinnaam die lijkt op die van een andere website en lokt hij mensen daarheen. Op zijn eigen uitstekend beveiligde website kan hij dan mensen om de tuin leiden.

Dan is het probleem ook opgelost. Waarom de oplossingen neerleggen bij de eindgebruiker,
die er niet voor gestudeerd heeft?
Het op het groene slotje letten als oplossing gaf al zulkke problemen, toch?
Dat is inderdaad een probleem, maar dat los je niet op als die gebruiker op de website van de crimineel terechtkomt in plaats van op de legitieme website.

Daarom is het oproepen tot betere beveiliging toch wel gerelateerd naar mijn zeer bescheiden opinie.

luntrus
Nee, want je hebt duidelijk niet begrepen op welk punt het hier misgaat. Dit kan nog gierend misgaan als de legitieme website perfect beveiligd is, want het slachtoffer wordt naar een andere website gelokt en heeft dat niet door. Die wordt bijvoorbeeld naar iuntrus.nl geleid en niet naar luntrus.nl. Maak jij op luntrus.nl maar eens een website die beïnvloedt wat er op iuntrus.nl gebeurt.
13-08-2020, 14:23 door Anoniem
De websiteboeren moeten url’s weigeren die lijken op bijvoorbeeld die van banken.
13-08-2020, 14:50 door Anoniem
Door Reinder: Als ik die pulicatie zo eens doorblader lijkt me dit op zich een hele nuttige functie voor de meerderheid van de normale gebruikers. Ben benieuwd of het ook zal helpen in de praktijk of dat het alleen het probleem zal verschuiven.

We zijn niet allemaal 'normale' gebruikers.
Ze maken er maar een setting van bij chrome://settings, zodat degenen die wel de volledige URL willen zien, dit zelf kunnen inschakelen. Dan hoor je mij niet klagen.
13-08-2020, 14:56 door Anoniem
De zoveelste marketingtruc. Veiligheid gaat hiermee niet vooruit. Chrome heeft bijv. niet eens een fatsoenlijke ad- en trackblocker. Wat is de meerwaarde van knoeien met URL's? Ik dacht dat die miskleun tot de verleden tijd behoorde..
Google geeft hiermee ruimte aan malafide websitebeheerders.
Niet voor niets raad ik iedere leek/beginner het gebruik van Chrome af. Dit is dus weer een goede reden erbij.
13-08-2020, 16:28 door Anoniem
Ja als je www niet kan onderscheiden van ww2 en niet reageert op domeinnaam punt su (Sovjet Unie) ben je volgens mij al niet meer url-wijs te krijgen.
13-08-2020, 19:18 door Anoniem
Klinkt prima, mits ze niet stiekem de url compleet willen uitfaseren.
13-08-2020, 21:29 door [Account Verwijderd]
Door Anoniem: Klinkt prima, mits ze niet stiekem de url compleet willen uitfaseren.
Hé, eindelijk iemand die het doorheeft.Complimenten.
13-08-2020, 23:30 door Anoniem
URL uitfaseren? Wie is dan de uiteindelijke autoriteit? Big Tech uit Silicon Valley & Forest of de legitieme protocol opstellers. Of zitten die ook aan de leiband van Digital Big Commercie that be? Deze discussie is nog niet gevoerd. Te bang om het te exposen? Of te veel omgekochte collaborateurs om graantjes mee te kunnen pikken. Geen purist meer te vinden of wordt weggejorist.
luntrus
20-08-2020, 08:19 door Anoniem
Door Anoniem: De websiteboeren moeten url’s weigeren die lijken op bijvoorbeeld die van banken.

Mee eens.. Direct bij de ingang aanpakken. Cyberbureau(overheid) opzetten die er met de stofkam doorheen gaat.
Als ik een frisdranken-bedrijfje wil opzetten met de naam KokaCola is er ook een commissie die zegt dat dat niet mag. Want lijkt wel erg veel op..........
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.