パスワードを忘れた? アカウント作成
14267578 story
Chrome

Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 22

ストーリー by headless
実験 部門より
Googleは12日、デスクトップ版Chrome 86(Dev/Canary)で一部のユーザーを対象に、Omnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを実施していることを発表した(Chromium Blogの記事Ghacksの記事Neowinの記事SlashGearの記事)。

URLに細工してユーザーを混乱させる攻撃手法は無数にあり、Googleとイリノイ大学アーバナシャンペーン校の共同研究によると、ブランド名を含むURLパスを見たユーザーの60%以上がだまされるという結果が出ている。ドメイン部分のみの表示はこういった攻撃への対策の一つで、現実の使用でユーザーを悪意あるWebサイトへのアクセスに気付かせ、保護できるかどうかを確認するのが目的だという。

テスト対象になったユーザーの環境ではデフォルトでURL表示がドメイン部分のみになり、OmniboxをポイントしたときにのみフルURLが表示されるようになる。常にフルURLを表示するには、Omniboxのコンテキストメニューで「URL全体を常に表示」を選べばいい。

テスト対象になっていないユーザーは「chrome://flags」で「#omnibox-ui-sometimes-elide-to-registrable-domain」および「#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover」の両方をEnabledにすれば試すことができる。また、「#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction」をEnabledにすると、ページ内で何らかの操作をするまではフルURLが表示されるようになる。これらのフラグはChromium 86ベースのMicrosoft Edge Dev/Canaryにも用意されている。

ドメイン名のみの表示にするフラグは6月にChrome 85 Dev/Canaryで見つかり、話題となっていた。ただし、当時は上述の最初のフラグがなく、代わりに「chrome://flags/#omnibox-ui-hide-steady-state-url-path-query-and-ref」というフラグが用意されていた。なお、現在BetaチャンネルではChrome 85が提供されているが、対応するフラグは後の2つのみとなっている。
  • by Anonymous Coward on 2020年08月15日 12時30分 (#3870758)

    どっかの段階でオフにする機能だけ削除するとか
    競合するアプリの機能ごっそり実装して「あっちで出来ることはうちでも出来るよ!」って触れ込みでユーザー集めてからどっかの段階でバッサリそれらの機能削除したり

    この手の大手の常套手段やね

    ここに返信
    • by Anonymous Coward

      過去の全ての機能保守し続けるとかどう考えても無駄だから、
      ぶっちゃけ煩いユーザーだまくらかして事を進めるのが現実的な解になる。
      それでも継続的に多数の反発があればそれはそれで真摯に受け止めるし、自然消滅するなら所詮その程度の気分の問題ってこと。

    • by Anonymous Coward

      将来的に削除したい機能は「改善」の名のもとにどんどん使い勝手が悪くなります。

      も追加で。

    • by Anonymous Coward

      この機能に関しては、拡張でなんとかなりそうだけどね。

  • by jizou (5538) on 2020年08月16日 9時11分 (#3871023) 日記

    ドメイン名は左から表示されるから、省略してもあまり意味が無い。
    簡略化しても srad.jp と aa_srad.jp の違いがわからない人には同じこと。
    シンプルにしたからといって、わからない人にはわからない。

    スマホの狭い画面で、URLの1行が邪魔で隠したいというのはわかるけど、
    Google に隠されると、将来的に変なことに使われそうで嫌だな。
    URL表示させたきゃショバ代払えとか。

    ここに返信
    • by Anonymous Coward

      attack.example.com/mokemoke.amazon.co.jp/

      みたいなURLには多少の効果があるかもしれない。

      # ↑みたいなのに引っ掛るようなタイプの人はそもそもURLなんか見てない気はする。

  • by Anonymous Coward on 2020年08月15日 13時28分 (#3870780)

    サブドメイン単位での安全性なんてもう判断つかんし、スマホじゃまともに表示されない。
    URLから安全性を判断するって仕組みそのものが限界に近づいてるんじゃ?

    ここに返信
    • 別にそういうわけじゃなくて、AMPと合わせてインターネットの”公式サイト”化を進めてるGoogleとしては、勝手サイト撲滅の一歩としてURLをなくしていきたい方向なんではないかと。

    • by Anonymous Coward on 2020年08月15日 14時08分 (#3870790)

      今回の主な理由は利用者側の知識不足でしょう。
      プログラミングを学ばせるよりも、こういうユーザーとして重要・必要な知識を学ばせる方がだと思います。

    • >URLから安全性を判断するって仕組みそのものが限界に近づいてるんじゃ?

      URLから安全性を判断するのは「仕組み」じゃないです
      安全性のために誰かが仕組んだものではないですから

    • by Anonymous Coward

      2年ぐらい前からGoogleも同じ事言ってますね
      URLで安全性の確認は難しいと
      なのでURL廃止したいとも言ってる

    • by Anonymous Coward

      短縮URLが流行った時点で詰んでる

      • by Anonymous Coward

        最近まで、Google自身が短縮URLサービス(goo.gl)を提供していたというね。
        あんな邪悪なサービスを提供しながらセキュリティとかちゃんらおかしいとずっと思っていた。
        短縮URLの危険性を指摘できないセキュリティ専門家もだらしない。

        • by Anonymous Coward

          短縮URLとか転送サービスは、この件と関係なくない?
          別にURL見て移動する/しないとかじゃなくて、アクセスした「後」に、そこが信頼できるサイトかを判断するんだから

          あと5年もすれば、URLとか人間が見て判断するのもなくなってくるとは思うけどね
          短縮URLの復活さ

  • by Anonymous Coward on 2020年08月15日 22時23分 (#3870955)

    IEはシェルと統合したからアドレスで合ってたけど。

    ここに返信
    • by Anonymous Coward

      アドレスバー・ロケーションバーにURLを入力できないように先祖返りしたりして.

  • by Anonymous Coward on 2020年08月16日 9時21分 (#3871025)

    著名なドメインに類似した文字列を感知したら、もしかしてこっち?みたいな提示をする機能のほうがよろしいのではないでしょうか。
    miclosoftとかsladとかamazoneみたいな。

    ここに返信
  • by Anonymous Coward on 2020年08月16日 11時30分 (#3871047)

    引っかかるような人って多分htmlメールとかにあるhttp〜リンクの文字を自由に書き換えれる事すら知らなさそう(href=bingでもgoogle.co.jpって書いてたらgoogleへのリンクだと信じて疑わないみたいな)だし、開いた後もろくに見えないと余計悪化しそうな

    ここに返信
  • ホワイトリスト方式で、よく使う大手のルートドメインのみ(手動)登録させて、
    類似一致率と誤視認率も鑑みた判定方式を採用し、類似すればサイトジャンプするまえに一度、警告させればいい(完全一致は除く)
    もちろん、リストが増えれば遅くなるが、めんどくさい人には需要があるんじゃない?
    どのくらいの一致率かの割合も調整できれば、なお良しである。

    #ルートドメインのレベル分け判定?そこは才能と腕かな〜

    ここに返信
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...