Arriva Chrome 69: Scompare il WWW ed Appare il Bug

    Google Chrome 69 promette perverse contorsioni già dal numero di versione. A parole sembra sempre tutto bello, ma in pratica si tratta di annusare deretani. Infatti non sono mancati i problemi e pochi giorni dopo il rilascio gli utenti hanno aperto una segnalazione di bug piuttosto allarmata: Google Chrome favorisce il Phishing.

    Google Chrome 69 considera Triviali i prefissi WWW e M. Quindi li elide aprendo le porte a Bug e Attacchi di Phishing

    Chrome 69 nasconde le parti Triviali degli URL

    La nuova funzione di Google Chrome versione 69 circoncide gli URL nella barra degli indirizzi. I prefissi “www”(da computer) ed “m” (per il mobile) vengono sommariamente eliminati nel tentativo di darci informazioni più facili da capire. Gli URL (Uniform Resource Locator) sono comunemente chiamati indirizzi web e identificano in modo univoco un sito su internet. Allo stesso tempo forniscono importanti informazioni sui protocolli tecnici utilizzati durante la connessione. Praticamente un URL equivale all’unione di numero telefonico, carta d’identità e codice fiscale. A Google questo sistema non è mai piaciuto. Già Chrome versione 36 sperimentava con il sistema Origin Chip che riduceva l’intero URL per mostrare all’utente il solo dominio principale. Dopo gli inevitabili casini ed un tentativo di plagio da parte di Safari il progetto era stato sospeso. Ma il brutto vizio di andare a manipolare gli URL non è mai passato di moda in casa Google e ci sono stati tentativi anche con il sistema AMP (Accelerated Mobile Pages) che velocizza il caricamento delle pagine, ma rende difficile risalire alla fonte originale e condividerla dato che altera l’Indirizzo di riferimento. Ora arriva la versione 69 di Chrome che taglia via i prefissi “www” ed “m” perchè li considera triviali. Adrienne Porter Felt si è fatta portavoce di Google presso Wired per farci sapere che google non crede negli URL come mezzo per l’identificazione certa dei siti. Strano a dirsi, gli utenti hanno accusato Chrome proprio di celare informazioni importanti per la sicurezza online.

    Darci un Taglio Netto

    Guardando il codice di Chromium notiamo subito che i prefissi vengono eliminati sommariamente. La funzione si chiama IsTrivialSubdomain() e controlla l’URL suddiviso in sottodomini. Quindi omette tutte le parti che corrispondano a “www” o “m”. Ovviamente l’estrema semplificazione apre ampie possibilità per errori grossolani. Il primo tra i rischi riguarda il phishing. Un malintenzionato deve solo registrare un dominio con qualche “www” di troppo per copiare un qualunque sito bancario o di social network. Quando verrà il momento di presentare il sito all’utente, sarà lo stesso Chrome a nascondere le lettere in più rendendo indistinguibile il falso dall’originale. Gli utenti hanno già segnalato che un indirizzo come http://www.www.2ld.tld viene ridotto a 2ld.tld con un taglio decisamente troppo corto. Togliere i prefissi rende difficile la lettura non solo agli utenti umani ma anche alle macchine. Infatti i prefissi di dominio saranno pure “triviali” ma restano essenziali per la corretta esecuzione dei protocolli di comunicazione. Sempre sul forum possiamo leggere di come si rischi di attivare protocolli indesiderati quando dagli indirizzi venga rimosso il prefisso “www”.

    private: static bool IsTrivialSubdomain(base::StringPiece subdomain) {
     if (subdomain == "www") return true;
    
     #if defined(OS_ANDROID) || defined(OS_IOS)
      // Eliding the "m" subdomain on Desktop can be confusing, since users would
      // generally want to know if they are unintentionally on the mobile site.
      if (subdomain == "m") return true;
     #endif
    
     return false;
    }
    

    Eppure la soluzione già c’era

    E’ vero che davanti ad URL molto complessi potremmo avere difficoltà a capire esattamente quale sito stiamo consultando. Ma la soluzione non è omettere informazioni come tenta di fare Google Chrome. Infatti Mozilla FIrefox ha adottato da tempo un sistema di evidenziazione che funziona benissimo. Ogni parte triviale dell’URL viene mostrata in colore leggermente più chiaro rispetto al dominio principale in modo da evidenziare le informazioni più importanti senza sacrificare quelle di contorno. Per fortuna possiamo disattivare la nuova funzione di Chrome 69 semplicemente visitando la pagina delle impostazioni avanzate chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains.