Các nhà nghiên cứu thực ra không ủng hộ một thay đổi đối với cơ sở hạ tầng nền tảng của web như vậy. Tuy nhiên, họ lại muốn định nghĩa lại cách mà các trình duyệt tìm ra trang web bạn muốn đến, nhờ đó bạn không phải tốn công sức với các địa chỉ URL ngày một dài và khó hiểu, cùng với những mánh khóe lừa đảo lợi dụng sự bất cập này. Tại hội thảo bảo mật Bay Area Enigma hôm thứ Ba vừa rồi, trưởng nhóm bảo mật Chrome, Emily Stark, đã gây xôn xao khán phòng khi đề cập chi tiết đến những bước đi đầu tiên mà Google đang thực hiện để hướng đến mục tiêu nhận dạng trang web tốt hơn.
Stark nhấn mạnh rằng Google không muốn gây ra những hỗn loạn không đáng có sau khi xóa sổ URL. Thay vào đó, họ muốn khiến các hacker gặp khó khăn hơn trong việc lợi dụng sự bối rối của người dùng về danh tính jsaủa một trang web. Hiện nay, những URL dài dòng với nội dung khó hiểu đang vô tình tạo nên vỏ bọc cho những thủ đoạn lừa đảo tinh vi của những kẻ tấn công. Chúng có thể tạo ra một đường link độc hại, mới xem qua tưởng chừng dẫn đến một trang web “chính chủ”, nhưng thực ra lại tự động tái điều hướng nạn nhân đáng một trang lừa đảo k hác. Hoặc chúng có thể thiết kế những trang web nguy hiểm với địa chỉ URL trông tương tự những trang web thật, chờ đợi nạn nhân sơ suất không chú ý (ví dụ, họ đang truy cập G00gle thay vì Google) để ra tay. Vì phải đối mặt với quá nhiều vấn đề liên quan URL, nhóm phát triển Chrome đã quyết định chia đôi, làm việc trong 2 dự án song song nhau nhằm mục tiêu mang đến cho người dùng sự minh bạch khi lướt web.
Cho đến nay, các nỗ lực của nhóm phát triển Chrome chủ yếu tập trung vào việc tìm hiểu cách phát hiện các URL khác biệt theo một số cách nào đó so với tiêu chuẩn chung. Họ tận dụng một công cụ mã nguồn mở gọi là TrickURI, có chức năng giúp các nhà phát triển kiểm tra xem phần mềm của họ có đang hiển thị các URL chính xác và nhất quán hay không. Mục tiêu của Google là mang đến cho các nhà phát triển một thứ gì đó để kiểm tra, từ đó biết được các URL sẽ trông như thế nào đối với nhiều người dùng trong nhiều tình huống khác nhau. Bên cạnh TrickURI, Stark và nhóm của cơ còn tìm cách để tạo các cảnh báo cho người dùng Chrome khi họ truy cập vào một URL trông có vẻ ẩn chứa nguy cơ lừa đảo. Những thông báo này hiện vẫn đang được thử nghiệm trong nội bộ, bởi phần phức tạp ở đây là phát triển các phương pháp phỏng đoán có thể gắn cờ chính xác lên các trang web độc hại mà không “vạ lây” cho các trang web chính thống.
Với người dùng Google, phòng tuyến đầu tiên chống lại nạn lừa đảo và các loại hình trực tuyến vẫn là nền tảng Safe Browsing . Nhưng nhóm phát triển Chrome đang khám phá những thành phần bổ sung cho Safe Browsing vốn tập trung vào gắn cờ các địa chỉ URL.
Theo Stark, phương pháp nhóm phát triển Google sử dụng để phát hiện các URL lừa đảo bao gồm so sánh các ký tự trông tương tự nhau, và các tên miền có những sự khác biệt rất nhỏ về số lượng các ký tự. Nhóm đặt ra mục tiêu phát triển một bộ các phương pháp nhằm ngăn chặn những kẻ tấn công lợi dụng các địa chỉ URL lừa đảo, và một thách thức lớn ở đây là phải tránh làm liên lụy đến các tên miền chính thống. Chính vì vậy, họ phải tung ra các cảnh báo như đã nói trên một cách chậm rãi, dưới dạng thử nghiệm.
Google cho biết họ vẫn chưa tung ra các cảnh báo này đến đại đa số người dùng, bởi nhóm Chrome đang tiến hành hoàn thiện khả năng phát hiện URL lừa đảo. Và dù URL có lẽ sẽ vẫn còn tồn tại trong tương lai trước mắt, Stark nhấn mạnh rằng còn rất nhiều việc phải làm để tìm ra cách hướng người dùng tập trung vào những phần quan trọng của URL và để tái thiết kế cách Chrome hiển thị các URL đó. Thách thức lớn ở đây là cho mọi người thấy những phần URL liên quan đến bảo mật và quá trình đưa ra các quyết định trực tuyến của họ, trong khi vẫn lọc bỏ được mọi phần “râu ria” khiến URL trở nên khó hiểu. Các trình duyệt đôi lúc cũng cần phải giúp người dùng trong các vấn đề trong những vấn đề ngược lại, bằng cách mở rộng các URL đã bị thu ngắn hoặc cắt bớt.
Nhóm bảo mật Chrome đã từng đối phó với nhiều vấn đề bảo mật có quy mô rộng rãi trên toàn Internet trước đây, và phát triển các bản vá dành cho Chrome và khuyến khích mọi người ủng hộ. Chiến lược này đã đặc biệt thành công trong 5 năm trở lại đây, khi thúc giục mọi người sử dụng chuẩn mã hóa web HTTPS. Nhưng nhiều chuyên gia lo sợ việc Chrome có sức mạnh quá lớn và mức độ phổ biến quá cao. Tầm ảnh hưởng mà Google sử dụng để thực thi những thay đổi tích cực có thể bị lợi dụng hoặc làm chệch hướng. Và với một thứ mang tính nền tảng như URL, giới phân tích lo sợ nhóm Chrome có thể can thiệp vào các chiến thuật hiển thị danh tính trang web – một điều có thể mang lại lợi ích cho Chrome, nhưng thực ra lại không mang lại lợi ích thực sự cho cả web. Ngay cả những thay đổi nhỏ trong chính sách và phương thức bảo mật cũng có thể dẫn đến những tác động lớn lên cộng đồng web.
Một vấn đề khác là Chrome có khả năng bị giữ chân bởi những khách hàng doanh nghiệp: “URL hiện nay thường không thể hiện được mức độ rủi ro mà người dùng có thể nhanh chóng nhận diện” – Katie Moussouris, nhà sáng lập của công ty Luta Security nói – “Nhưng khi Chrome được các doanh nghiệp sử dụng rộng rãi, họ sẽ chịu áp lực từ các khách hàng và khó có thể thực hiện những thay đổi đáng kể về mặt giao diện và kiến trúc bảo mật nền tảng.”
Câu hỏi tiếp theo là những ý tưởng mới của nhóm phát triển Chrome sẽ hoạt động ra sao trong thực tế, và liệu chúng có thực sự khiến bạn an toàn hơn khi lướt web hay không?
Theo Genk/Wired