Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 22
ストーリー by headless
実験 部門より
実験 部門より
Googleは12日、デスクトップ版Chrome 86(Dev/Canary)で一部のユーザーを対象に、Omnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを実施していることを発表した(Chromium Blogの記事、
Ghacksの記事、
Neowinの記事、
SlashGearの記事)。
URLに細工してユーザーを混乱させる攻撃手法は無数にあり、Googleとイリノイ大学アーバナシャンペーン校の共同研究によると、ブランド名を含むURLパスを見たユーザーの60%以上がだまされるという結果が出ている。ドメイン部分のみの表示はこういった攻撃への対策の一つで、現実の使用でユーザーを悪意あるWebサイトへのアクセスに気付かせ、保護できるかどうかを確認するのが目的だという。
テスト対象になったユーザーの環境ではデフォルトでURL表示がドメイン部分のみになり、OmniboxをポイントしたときにのみフルURLが表示されるようになる。常にフルURLを表示するには、Omniboxのコンテキストメニューで「URL全体を常に表示」を選べばいい。
テスト対象になっていないユーザーは「chrome://flags」で「#omnibox-ui-sometimes-elide-to-registrable-domain」および「#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover」の両方をEnabledにすれば試すことができる。また、「#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction」をEnabledにすると、ページ内で何らかの操作をするまではフルURLが表示されるようになる。これらのフラグはChromium 86ベースのMicrosoft Edge Dev/Canaryにも用意されている。
ドメイン名のみの表示にするフラグは6月にChrome 85 Dev/Canaryで見つかり、話題となっていた。ただし、当時は上述の最初のフラグがなく、代わりに「chrome://flags/#omnibox-ui-hide-steady-state-url-path-query-and-ref」というフラグが用意されていた。なお、現在BetaチャンネルではChrome 85が提供されているが、対応するフラグは後の2つのみとなっている。
URLに細工してユーザーを混乱させる攻撃手法は無数にあり、Googleとイリノイ大学アーバナシャンペーン校の共同研究によると、ブランド名を含むURLパスを見たユーザーの60%以上がだまされるという結果が出ている。ドメイン部分のみの表示はこういった攻撃への対策の一つで、現実の使用でユーザーを悪意あるWebサイトへのアクセスに気付かせ、保護できるかどうかを確認するのが目的だという。
テスト対象になったユーザーの環境ではデフォルトでURL表示がドメイン部分のみになり、OmniboxをポイントしたときにのみフルURLが表示されるようになる。常にフルURLを表示するには、Omniboxのコンテキストメニューで「URL全体を常に表示」を選べばいい。
テスト対象になっていないユーザーは「chrome://flags」で「#omnibox-ui-sometimes-elide-to-registrable-domain」および「#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover」の両方をEnabledにすれば試すことができる。また、「#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction」をEnabledにすると、ページ内で何らかの操作をするまではフルURLが表示されるようになる。これらのフラグはChromium 86ベースのMicrosoft Edge Dev/Canaryにも用意されている。
ドメイン名のみの表示にするフラグは6月にChrome 85 Dev/Canaryで見つかり、話題となっていた。ただし、当時は上述の最初のフラグがなく、代わりに「chrome://flags/#omnibox-ui-hide-steady-state-url-path-query-and-ref」というフラグが用意されていた。なお、現在BetaチャンネルではChrome 85が提供されているが、対応するフラグは後の2つのみとなっている。
オフに出来るからーって触れ込みで始めて (スコア:1)
どっかの段階でオフにする機能だけ削除するとか
競合するアプリの機能ごっそり実装して「あっちで出来ることはうちでも出来るよ!」って触れ込みでユーザー集めてからどっかの段階でバッサリそれらの機能削除したり
この手の大手の常套手段やね
Re: (スコア:0)
過去の全ての機能保守し続けるとかどう考えても無駄だから、
ぶっちゃけ煩いユーザーだまくらかして事を進めるのが現実的な解になる。
それでも継続的に多数の反発があればそれはそれで真摯に受け止めるし、自然消滅するなら所詮その程度の気分の問題ってこと。
Re: (スコア:0)
将来的に削除したい機能は「改善」の名のもとにどんどん使い勝手が悪くなります。
も追加で。
Re: (スコア:0)
この機能に関しては、拡張でなんとかなりそうだけどね。
わかりにくい.... (スコア:1)
ドメイン名は左から表示されるから、省略してもあまり意味が無い。
簡略化しても srad.jp と aa_srad.jp の違いがわからない人には同じこと。
シンプルにしたからといって、わからない人にはわからない。
スマホの狭い画面で、URLの1行が邪魔で隠したいというのはわかるけど、
Google に隠されると、将来的に変なことに使われそうで嫌だな。
URL表示させたきゃショバ代払えとか。
Re: (スコア:0)
attack.example.com/mokemoke.amazon.co.jp/
みたいなURLには多少の効果があるかもしれない。
# ↑みたいなのに引っ掛るようなタイプの人はそもそもURLなんか見てない気はする。
ゼロトラストじゃないけど (スコア:0)
サブドメイン単位での安全性なんてもう判断つかんし、スマホじゃまともに表示されない。
URLから安全性を判断するって仕組みそのものが限界に近づいてるんじゃ?
Re:ゼロトラストじゃないけど (スコア:2)
別にそういうわけじゃなくて、AMPと合わせてインターネットの”公式サイト”化を進めてるGoogleとしては、勝手サイト撲滅の一歩としてURLをなくしていきたい方向なんではないかと。
Re:ゼロトラストじゃないけど (スコア:1)
今回の主な理由は利用者側の知識不足でしょう。
プログラミングを学ばせるよりも、こういうユーザーとして重要・必要な知識を学ばせる方がだと思います。
Re:ゼロトラストじゃないけど (スコア:1)
>URLから安全性を判断するって仕組みそのものが限界に近づいてるんじゃ?
URLから安全性を判断するのは「仕組み」じゃないです
安全性のために誰かが仕組んだものではないですから
Re: (スコア:0)
2年ぐらい前からGoogleも同じ事言ってますね
URLで安全性の確認は難しいと
なのでURL廃止したいとも言ってる
Re: (スコア:0)
短縮URLが流行った時点で詰んでる
Re: (スコア:0)
最近まで、Google自身が短縮URLサービス(goo.gl)を提供していたというね。
あんな邪悪なサービスを提供しながらセキュリティとかちゃんらおかしいとずっと思っていた。
短縮URLの危険性を指摘できないセキュリティ専門家もだらしない。
Re: (スコア:0)
短縮URLとか転送サービスは、この件と関係なくない?
別にURL見て移動する/しないとかじゃなくて、アクセスした「後」に、そこが信頼できるサイトかを判断するんだから
あと5年もすれば、URLとか人間が見て判断するのもなくなってくるとは思うけどね
短縮URLの復活さ
今はreturn key並みにlocation barが通じないんだろうか? (スコア:0)
IEはシェルと統合したからアドレスで合ってたけど。
Re: (スコア:0)
アドレスバー・ロケーションバーにURLを入力できないように先祖返りしたりして.
Googole (スコア:0)
著名なドメインに類似した文字列を感知したら、もしかしてこっち?みたいな提示をする機能のほうがよろしいのではないでしょうか。
miclosoftとかsladとかamazoneみたいな。
Re: (スコア:0)
実装済みでは?
もしかして: [サイト名] またはこのサイトは正しいですか?: アクセスしようとしているサイトは、意図したサイトと異なる紛らわしいサイトの可能性があります。 [google.com]
えーでも (スコア:0)
引っかかるような人って多分htmlメールとかにあるhttp〜リンクの文字を自由に書き換えれる事すら知らなさそう(href=bingでもgoogle.co.jpって書いてたらgoogleへのリンクだと信じて疑わないみたいな)だし、開いた後もろくに見えないと余計悪化しそうな
類似アドレスチェックするアドオンくらい、すぐ作れそうなものに (スコア:0)
ホワイトリスト方式で、よく使う大手のルートドメインのみ(手動)登録させて、
類似一致率と誤視認率も鑑みた判定方式を採用し、類似すればサイトジャンプするまえに一度、警告させればいい(完全一致は除く)
もちろん、リストが増えれば遅くなるが、めんどくさい人には需要があるんじゃない?
どのくらいの一致率かの割合も調整できれば、なお良しである。
#ルートドメインのレベル分け判定?そこは才能と腕かな〜