Google stopt experiment met vereenvoudigde url-weergave in Chrome
Google is gestopt met het experiment om url's in adresbalk van Chrome eenvoudiger weer te geven. Door het niet meer tonen van de volledige url wilde Google onderzoeken of gebruikers eerder in staat zouden zijn om malafide websites te herkennen. Nu blijkt dat het experiment niet voor betere veiligheidscijfers zorgde. Daarop besloot Google om de feature niet door te voeren.
Volgens Google zijn url's op dit moment de primaire manier voor internetgebruikers om de identiteit en authenticiteit van een website te bepalen. Er zijn echter tal van manieren voor een aanvaller om de url te manipuleren, waardoor gebruikers ten onrechte denken dat het om een legitieme website gaat, wat leidt tot phishing en scams.
Uit een eerder onderzoek bleek dat meer dan zestig procent van de gebruikers werd misleid wanneer een misleidende merknaam in het url-pad stond vermeld. Daarom besloot Google in Chrome 86 te experimenteren met de weergave van url's. De testgroep kreeg niet meer de volledige url te zien, maar alleen het domein. Gebruikers kregen nog wel de optie om de volledige url te bekijken.
"Op deze manier willen we begrijpen, door middel van gebruik in de echte wereld, of het laten zien van url's op deze manier gebruikers helpt om te beseffen dat ze een malafide website bezoeken, en ze tegen phishing en social engineering-aanvallen te beschermen", aldus Emily Stark van het Chrome Security Team destijds. "Mensen moeten eenvoudig kunnen zien op welke website ze zitten en niet worden misleid waardoor ze denken op een andere site te zijn. Er zou geen uitgebreide kennis over hoe het internet werkt nodig moeten zijn omdat te ontdekken", liet ze tegenover Wired weten.
Nu meldt Stark in de Chromium-bugtracker dat de vereenvoudigde url-weergave niet voor een verbetering van de veiligheidscijfers heeft gezorgd. Daarop is het experiment beëindigd en de betreffende code uit Chrome verwijderd.
Iets minder ingrijpend en sluit wellicht meer aan bij de beleving van gebruikers en slachtoffers van phishing campagnes.
"Waarschuwing: de website waar u naar toe gaat doet zich voor als "website naam", maar is van "(phishing) domein" ".
Dat gebeurt al. Via SNI kan een lijst domeinen voor het certificaat worden opgevraagd. Browsers controleren of die overeenkomt. Als dat niet zo is, toont de browser een foutmelding.
Er verschijnt geen foutmelding als de site http gebruikt of als de aanvaller zelf een certificaat heeft voor zijn eigen domein.
Voor phishing worden vaak gehackte sites gebruikt. Soms met gehackte DNS (ingbank.gehacktdomein.nl). Vaak staat een banknaam of iets wat daarop lijkt in de URL: gehacktdomein.nl/ingbank/login.php .
Iets minder ingrijpend en sluit wellicht meer aan bij de beleving van gebruikers en slachtoffers van phishing campagnes.
"Waarschuwing: de website waar u naar toe gaat doet zich voor als "website naam", maar is van "(phishing) domein" ".
Er is een reden waarom dit niet gebeurt. Phising domeinen zijn als per definitie niet hetzelfde als de legitieme domeinen. Maar de inhoud kan volledig worden gekopieerd of juist aangepast.
Je zou kunnen proberen een loginpagina te herkennen, maar daarvoor heb je een whitelist nodig van domeinen van echte sites van banken (etc.) en hun inhoud en je moet voortdurend rekening houden met content veranderingen. Moderne sites zijn helemaal niet statisch. Dat onderhouden is een enorm karwei.
Huidige situatie
[ Nu is er 1 URL BALK ]
[ www.mozilla.com/tweedesite.com/ ] <- Mogelijke verwarring voor gebruiker op welk domein hij zit
[ www.mozilla.com.tweedesite.com ] <- Veel gebruikers zien verschil niet met bovenstaande op dit moment.
Maak daar, zolang je niet in edit modus zit, 2 balken van ]
[ Slotje www.mozilla.com ] echt blokje hier [ /tweedesite.com ]
[ Slotje www.mozilla.com.tweedesite.com ] echt blokje hier [ / ]
Voor elke gebruiker is het nu sneller om te zien op welk domein je zit.
Het lost niet alles op, maar het maakt wel veel makkelijker te zien op welk domein je nou zit.
Huidige situatie
[ Nu is er 1 URL BALK ]
[ www.mozilla.com/tweedesite.com/ ] <- Mogelijke verwarring voor gebruiker op welk domein hij zit
[ www.mozilla.com.tweedesite.com ] <- Veel gebruikers zien verschil niet met bovenstaande op dit moment.
Maak daar, zolang je niet in edit modus zit, 2 balken van ]
[ Slotje www.mozilla.com ] echt blokje hier [ /tweedesite.com ]
[ Slotje www.mozilla.com.tweedesite.com ] echt blokje hier [ / ]
Voor elke gebruiker is het nu sneller om te zien op welk domein je zit.
Het lost niet alles op, maar het maakt wel veel makkelijker te zien op welk domein je nou zit.
Grappig, best een goed idee. Kan zo snel geen nadelen bedenken.....
Huidige situatie
[ Nu is er 1 URL BALK ]
[ www.mozilla.com/tweedesite.com/ ] <- Mogelijke verwarring voor gebruiker op welk domein hij zit
[ www.mozilla.com.tweedesite.com ] <- Veel gebruikers zien verschil niet met bovenstaande op dit moment.
Maak daar, zolang je niet in edit modus zit, 2 balken van ]
[ Slotje www.mozilla.com ] echt blokje hier [ /tweedesite.com ]
[ Slotje www.mozilla.com.tweedesite.com ] echt blokje hier [ / ]
Voor elke gebruiker is het nu sneller om te zien op welk domein je zit.
Het lost niet alles op, maar het maakt wel veel makkelijker te zien op welk domein je nou zit.
Grappig, best een goed idee. Kan zo snel geen nadelen bedenken.....
Dat is toch ook al gedaan? De domeinnaam in zwart weergeven en de rest van de URL in grijs.
Het probleem blijft toch altijd dat dit alleen werkt als de gebruiker de structuur van een URL begrijpt en weet waar
die op moet letten. Als dat het geval is dan kan hij het ook zonder die maatregelen al zien. En veel mensen snappen
niks van een URL dus die worden ook niet geholpen als je die splitst of anders weergeeft, wat Google nu dus ook snapt.
Plus dat daar bij komt dat phishers en andere criminelen vaak al beginnen met een of andere vorm van uitzondering
of urgentie te suggereren aan het slachtoffer, waardoor die al rekening houdt met dingen die "niet normaal" zijn.
Je ziet dan ook wel dat informatiecampagnes daar op wijzen en het advies geven je daar niet door te laten meeslepen
maar het blijft lastig om daar effect mee te bereiken. En dan nog, als je het aantal slachtoffers zou kunnen halveren
dan is dat leuk, maar het probleem blijft. De meeste mensen trappen er nu ook al niet in, dus als je van 1% naar 0.5%
gaat dan heb je wel wat gewonnen maar zit je nog steeds met de ellende (en de mensen die er over jammeren dat
ze gecompenseerd moeten worden voor hun eigen fouten).
Huidige situatie
[ Nu is er 1 URL BALK ]
[ www.mozilla.com/tweedesite.com/ ] <- Mogelijke verwarring voor gebruiker op welk domein hij zit
[ www.mozilla.com.tweedesite.com ] <- Veel gebruikers zien verschil niet met bovenstaande op dit moment.
[ www.mozilla.com/tweedesite.com/ ]
[ www.mozilla.com.tweedesite.com ]
Met dit verschil dat niet normaal en vet maar grijs en zwart wordt gebruikt.
De enige aanmerking die ik heb op hoe Firefox het weergeeft is dat ik het verschil tussen grijs en zwart net niet opvallend genoeg vind. Nou zijn er ook mensen die juist klagen dat de grijsgemaakte tekst nauwelijks meer leesbaar is, die vinden het dus juist te zwaar aangezet. Het is duidelijk afhankelijk van hoe je beeldschermcontrast is ingesteld. In plaats van met grijs en zwart te werken zou normaal en vet in mijn ogen duidelijker zijn.
Maar hoe dan ook, het onderscheid zit erin.
Mensen kijken niet naar borden (zwart bord met rood kruis), dus we gaan die mensen met blauwe borden op 50m afstand in berm waarschuwen dat ze naar die borden die 4m boven de weg hangen moeten kijken.
Huidige situatie
[ Nu is er 1 URL BALK ]
[ www.mozilla.com/tweedesite.com/ ] <- Mogelijke verwarring voor gebruiker op welk domein hij zit
[ www.mozilla.com.tweedesite.com ] <- Veel gebruikers zien verschil niet met bovenstaande op dit moment.
[ www.mozilla.com/tweedesite.com/ ]
[ www.mozilla.com.tweedesite.com ]
Met dit verschil dat niet normaal en vet maar grijs en zwart wordt gebruikt.
De enige aanmerking die ik heb op hoe Firefox het weergeeft is dat ik het verschil tussen grijs en zwart net niet opvallend genoeg vind. Nou zijn er ook mensen die juist klagen dat de grijsgemaakte tekst nauwelijks meer leesbaar is, die vinden het dus juist te zwaar aangezet. Het is duidelijk afhankelijk van hoe je beeldschermcontrast is ingesteld. In plaats van met grijs en zwart te werken zou normaal en vet in mijn ogen duidelijker zijn.
Maar hoe dan ook, het onderscheid zit erin.
Het is, zelfs in Firefox, niet goed genoeg.
Kijk maar eens naar www.mozilla.com.echtbestwelheelerglangverzonnenmaarjadanhebjehetnietdoor.example.com
Zou je echt werken met een los balkje, los je dat probleem op. Dan valt het een gebruiker al heel snel op waar die wel zit.
Er is op zich geen gebruiker in Windows Verkenner die twijfelt op hij op C: zit, terwijl hij op D: zit.
Apple heeft dat overigens in Safari gedaan, maar daar zie je de rest van de URL nu niet meer (en dat heeft wel nadelen).
Overigens zouden wel alle browser dit tegelijk moeten doorvoeren.
De hele reden dat mensen het niet snappen is omdat websites het ook niet meer goed kunnen uitleggen omdat het in elke browser weer anders werkt. Heel EV-certs om die reden mijn inziens ook mislukt, terwijl het wel wat toevoegde.
Voeren we het nog verder door, dan zouden we URLs anders moeten gaan opschrijven (daar is het eigenlijk gewoon ooit fout gegaan zou je kunnen zeggen):
nl.example.echtbestwelheelerglangverzonnenmaarjadanhebjehetnietdoor.mozilla valt aardig op dat je niet op mozilla zit. :)
nl.example.echtbestwelheelerglangverzonnenmaarjadanhebjehetnietdoor.mozilla valt aardig op dat je niet op mozilla zit. :)
Ha, ja; en de T in TLD i.c.m. de "root" is ook niet helemaal correct.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
