Chrome 69 oculta tanto www como otros subdominios "m." y podría ser un problema para el Phishing

Chrome 69 oculta tanto www como otros subdominios "m." y podría ser un problema para el Phishing

Con el lanzamiento de Chrome 69 esta semana, Google incluyó nuevas funciones y un nuevo aspecto. También le dio a los usuarios unos meses para prepararse para que Chrome elimine la palabra "Seguro" de los sitios HTTPS y agregue la palabra "No seguro" en rojo a los sitios web que usan HTTP con la llegada de Chrome 70.

Pero por alguna razón, Google no digo que a partir de Chrome 69, el navegador más popular del mundo ya no mostrará "www." o "m." de los sitios web en la barra de direcciones porque son solo un "subdominio trivial".

¿Cómo hacer que Chrome muerte la dirección completa?

Por ahora, los usuarios pueden obligar a Chrome a mostrar la dirección completa desactivando la flat Omnibox UI Hide Steady-State URL Scheme and Trivial Subdomains usando la seguiente url: chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains.

Chrome por su parte considera que www es un "subdominio trivial" y que la barra de direcciones se vería mejor sin él.

Todavía puedes mostrar la URL completa en Chrome 69 haciendo doble clic en la dirección en la barra de direcciones, y si copia la dirección simplificada y la pega en otro lugar, se mostrará la dirección completa.

Chrome trata las urls con www igual que Safari

El tratamiento de www de Chrome 69 en la barra de direcciones es similar al que tiene el navegador Safari de Apple, pero el cambio en Chrome ha causado una gran preocupación sobre las motivaciones de Google.

Después de todo, hizo todo lo posible para advertir a los usuarios sobre las nuevas formas en que comunicaría HTTP y HTTPS en la barra de direcciones, pero guardó silencio sobre la posibilidad de omitir un indicador igualmente importante que los usuarios esperan ver.

Esto podría permitir el Phishing

Various expertos en seguridad han señalado que en varios casos dos sitios diferentes ahora se verán iguales, exponiendo potencialmente a los usuarios a ataques de phishing.

Por ejemplo, m.tumblr.com, que no es el sitio de Tumblr, se muestra como tumblr.com, y no está inmediatamente claro que http://www.pool.ntp.org y http: //www.www.pool.ntp.org son dos sitios diferentes. Además, en el caso de un dominio como www.www.2ld.tld, el www está oculto dos veces.

Posible plan de Google para ocultar su subdominio AMP

El problema ha provocado un debate donde algunas personas argumentan que el cambio es parte del plan a largo plazo de Google para ocultar su subdominio AMP y hacerlo indistinguible del dominio real.

"Y de repente, todo el mundo se canaliza a través de AMP", señaló el comentarista.

Justo cuando se lanzó Chrome 69, Google le dijo que las URL no transmiten la identidad de un sitio, por lo que están buscando algo más que ofrezca más comodidad y mayor seguridad.

La impresión que se da es que Google está tratando de eliminar la URL y afirmar su dominio sobre la web.

El experto en seguridad Scott Helme reconoce que el cambio es bueno, al menos desde el punto de vista del phishing, ya que la mayoría de los usuarios entenderán un candado mejor que https: // mientras que eliminar el www significa que hay menos información para interpretar.

Read more