«Прячь www»: почему разработчики мейнстрим-браузера снова отказались от отображения поддомена +33


Рассказываем о причинах этого решения разработчиков Chrome и реакции сообщества.


Фото — Pawel Loj — CC BY / Фото изменено

Не первый раз


В сентябре прошлого года вышел Chrome 69. Вместе с новой версией из адресной строки браузера исчезло наименование поддоменов www и m. При переходе на сайт отображался только домен, например example.com.

Это решение вызвало негативную реакцию. ИБ-специалисты отмечали, что нововведение приведет к путанице с похожими друг на друга адресами. Под давлением общественности разработчики браузера вернули отображение поддоменов.

Но как выяснилось, ненадолго, — в Chrome 76, который вышел в конце июля, www вновь пропал.

Поддомен www назвали тривиальным. В Google считают, что эта информация не нужна большей части интернет-пользователей при серфинге. В интервью Wired представитель ИТ-компании рассказал, что теперь людям станет проще читать и понимать URL-адреса. Полностью их по-прежнему можно просмотреть целиком — нужно просто начать редактировать ссылку. По мнению разработчиков браузера, этого вполне достаточно для комфортной работы.

Мнение сообщества


Новость породила бурное обсуждение на Hacker News, в социальных сетях и на тематических форумах. Как и в прошлый раз, подавляющее большинство комментариев — негативные. Одна из главных претензий — потенциальная путаница с адресами. Условно, если пользователь введет URL www[.]pool.ntp.org, то в адресной строке отобразится хост pool.ntp.org, на котором нет сайта — он отвечает за выдачу случайного адреса NTP-сервера.

Есть и более серьезные проблемы, связанные с информационной безопасностью. Хотя разработчики браузера говорят, что нововведение должно сократить риск фишинга, специалисты по ИБ с ними не согласны. Исключение поддоменов, наоборот, увеличивает риск фишинговых атак, так как URL различных ресурсов начинают выглядеть одинаково.

Ситуацию наглядно продемонстрировал специалист по защите информации Иен Кэррол (Ian Carroll) на примере браузера Safari. Он также скрывает URL сайта и вместо него отображает имя компании из EV-сертификата (для расширенного подтверждения организации и домена). Хакеры могут получить новый сертификат для подставной фирмы, название которой совпадает с названием «жертвы», а рядовой пользователь не заметит подмены в адресе.

Проблему признают и представители интернет-провайдеров. Сотрудник одного из западных операторов отметил, что ему довольно часто приходится объяснять клиентам, что www[.]domain.com и domain.com — это два разных домена, которые могут вести на разные ресурсы. Он убежден, что с нововведением Chrome ситуация только усугубится.


Фото — Pablo Garcia Saldana — Unsplash

Один из резидентов Hacker News высказал предположение, что разработчики браузера не просто заботятся об удобстве пользователей, но преследуют и иные цели.

Упрощение URL может быть первым шагом компании по продвижению технологии AMP (Accelerated Mobile Pages). Её задача — увеличить скорость загрузки веб-страниц. Однако страницы эти загружаются с серверов Google, что приводит к отображению в адресной строке другого домена (с приставкой amp). Однако позже компания сможет скрыть поддомен amp, чтобы не вызывать замешательство у пользователей.

Что дальше


Некоторые участники обсуждения считают, что прошлогодняя история повторится, и под давлением общественности разработчики Chrome вновь отменят изменения. Но есть основания полагать, что на этот раз все будет по-другому.

Год назад компанию упрекнули в том, что сперва ей следовало позаботиться о стандартизации, а уже затем реализовывать изменения на практике. Инженеры учли замечание — недавно они представили новый стандарт, в котором описали правила упрощения URL. Более того, в Google призвали пользоваться этим стандартом разработчиков других браузеров — возможно, в будущем их примеру последует больше организаций.

О чем мы пишем в наших блогах и социальных сетях:

Как настроить HTTPS — поможет SSL Configuration Generator
Есть мнение: технология DANE для браузеров провалилась

Как защитить виртуальный сервер в интернете
Получение OV и EV сертификата: что нужно знать?
Персональные данные: особенности публичного облака

Подборка книг для тех, кто уже занимается системным администрированием или планирует начать
Как работает техподдержка 1cloud



Мы в 1cloud.ru используем железо Cisco, Dell, NetApp. Оно располагается сразу в нескольких ЦОД: DataSpace (Москва), SDN (Санкт-Петербург), Ahost (Алма-Ата).





К сожалению, не доступен сервер mySQL