Google gaat weer volledige url's tonen in Chrome-browser

Google stopt met 'versimpelde' url's in de adresbalken van zijn Chrome- en Chromium-browsers. Dat laat het bedrijf weten in de Chromium-bugtracker. Volgens het bedrijf heeft dat experiment niet geleid tot aantoonbaar betere beveiliging.

Google begon in juni 2020 met een experiment voor versimpelde url's. De adresbalk in de Chrome-browser zou daarmee alleen nog maar de basisdomeinnaam tonen. Alles dat na een tld als '.com' of '.nl' komt, werd niet getoond in de adresbalk. Een url als https://tweakers.net/nieuws/182982/google-gaat-weer-volledige-urls-tonen-in-chrome-browser.html zou daarmee in de url-balk van Chrome getoond worden als tweakers.net.

Het bedrijf hoopte hiermee het browsen veiliger te maken. Met alleen een hoofddomein in de adresbalk zou het gemakkelijker zijn om bijvoorbeeld phishingwebsites op te merken, maar volgens Google bleek dit niet het geval. "Dit experiment leidde niet tot aantoonbaar betere beveiliging, dus we gaan het niet uitbrengen", schrijft een Google-medewerker in de Chromium-bugtracker. Daarmee worden 'simplified domains' uit de codebase van Chrome verwijderd.

De wijziging heeft volgens Ghacks geen effect op het verwijderen van enkele voorvoegsels, zoals 'https://' of 'www'. Dergelijke zaken zullen verborgen blijven in de url-balk van Chrome.

Google url

Door Daan van Monsjou

Nieuwsredacteur

12-06-2021 • 10:02

114

Submitter: TheVivaldi

Reacties (114)

114
111
66
2
0
28
Wijzig sortering
Overigens is dit (gelukkig) alsnog aan te zetten via een flag:
  1. Ga naar chrome://flags
  2. Zoek naar full URL
Ja, of je klikt met rechts op de adresbalk en je kiest voor "Always show full URLs"

Ik had het iig na een dag uitgezet.
Dat is inderdaad nóg makkelijker. Zo had ik het zelf blijkbaar ook gedaan. 8)7
Voor nu, maar de flag gaat eruit.
De functie gaat er in z’n geheel uit, dus lijkt het me logisch dat de flag er dan ook uit gaat.
Dat het in ieder geval te veranderen is (als je nu al de volledige URL wilt) in plaats van dat het wordt geforceerd.
Open chrome ga naar www.getfirefox.com en zorg dat Google niet te groot wordt.

Plus Firefox deed dit al niet
Ik modereer je net een -1, niet omdat ik het persé met je oneens ben, maar ik wordt gewoon verdrietig van dit soort flamebait op elk nieuwsbericht van de ene of de andere browser, of product van de ene of andere grote multinational. Niet persoonlijk aan jou gericht @Kevinp, maar: Grow up.

Nog even als toevoeging: Dit nieuwsbericht gaat over een feature die hetzelfde wordt als in ff, het is niets privacy-related. Het heeft niets te maken met een marktaandeel. Dat Chrome een experiment deed en weer terugdraait maakt de browser niet persé slechter. Het is bewonderenswaardig dat Chrome developers het probleem zien van een URL balk waar voor gebruikers te moeilijke dingen in staan die eigenlijk voor diezelfde gebruiker heel belangrijk zijn om een inschatting te kunnen maken over de veiligheid. Dat is een moeilijk probleem met veel facetten. Iedereen die hier comments schrijft en doet alsof het logisch en makkelijk is heeft er te weinig verstand van.

[Reactie gewijzigd door casberrypi op 23 juli 2024 16:55]

sorry je hebt eigenlijk wel gelijk hoor. Maar ik wordt treurig elke keer als ik het Chrome/Chromium gebruik zie. Niet perse omdat het een slechte browser is. Maar wel omdat ik nu al weer sites tegen kom die wel op chrome(ium) werken en niet op firefox. En dit is iets wat niemand moet willen.
Zelf niet tegengekomen maar als het een issue is dan komt dat door slechte web ontwikkelaars, niet door welke browser je gebruikt. Ik gebruik ze allemaal tijdens het testen en tenzij ik dubbelzinnige CSS code gebruik of vergeet losse-pols-javascript degelijk uit te werken overkomt mij dat iig niet. *afkloppen*
Helemaal mee eens, maar wanneer deze ontwikkelaar bv onder druk staat zou ik ook alleen chrome testen.

En dan heb je 80% van de gebruikers alvast te pakken.
Web developers moeten websites beter ontwikkelen zodat die ook op niet chromium browsers goed werken.. kuch Reddit kuch.
Doordat developers geen tijd aan (kunnen) besteden, wordt de website alleen goed getest op Google Chrome, wat de meerderheid gebruikt. Uiteindelijk ligt het bij de eindgebruiker. Of je kiest ervoor om niet meer gebruik te maken van de onderontwikkelde website, of je stapt over op een van de tig chromium gebaseerde browsers.
Zelf ben ik overgestapt van Chrome naar Edge, aangezien Edge hetzelfde bied, echter is de Android variant toch echt een stuk slechter (naast dat kan Chrome niet verwijderd worden van de meeste Android apparaten, dus of je nou volledig Chrome of Edge wilt gebruiken, je zult op Windows of Android apparaten altijd nog de andere browser hebben en dus opslag verspillen)
Wat is ironisch? Je vind mijn reactie off-topic? Ik heb een en ander toegevoegd, wellicht was jouw reactie van net daarvoor. Ik grijp in mijn toevoeging juist terug op de inhoud van het artikel en leg daarmee juist het verband tussen het artikel en de reactie van kevinp
Lijkt me ook vrij logisch, ik vond het altijd al een slecht plan om dat juist verkorting leidt tot afname van beveiliging. Er zit ook een verschil tussen domain.com of www.domain.com of hostnaam.domain.com, als je dan ook nog niet mag zien naar welke sub pagina je gaat.

[Reactie gewijzigd door Terrestrial op 23 juli 2024 16:55]

Is dit niet juist een argument voor het punt om alleen domeinnamen te laten zien? Iemand die minder ervaring heeft met browsen kent het verschil niet tussen 'hostnaam.bekendenaam.com' en iets als 'dienst.bekendenaam.com'. Terwijl als je alleen het domein ziet, zien ze alleen 'bekendenaam.com' met een slotje en weten ze dat het fout zit als ze 'blabla.bekendenaam.com' zien.

De vraag is of het deze mensen aan te leren is dat het zo zit. Kennelijk is de uitkomst van het probeersel dat dit niet zo is.

Persoonlijk vind ik het een aardsirritante eigenschap dat verschillende browsers hiermee begonnen, en het nodig was om de instellingen of zelfs flags in te duiken om gewoon weer een normale weergave in een adresbalk te zien.
blabla.bekendenaam.com is niet persé fout. blabla.bekendenaam.com.tw bijv wel. bekendenaam.malwarewebsitemetgarelettercombi.com ook.

Overigens zegt een groen slotje helemaal niets over de betrouwbaarheid. Het zegt dat de certificaat hoort bij het domein dat je bezoekt. Als de malware producent een certificaat heeft gegenereerd met Let's Encrypt, zie je ook een groen slotje.

[Reactie gewijzigd door pizzafried op 23 juli 2024 16:55]

quote]blabla.bekendenaam.com is niet persé fout. blabla.bekendenaam.com.tw bijv wel. bekendenaam.malwarewebsitemetgarelettercombi.com ook.[/quote] Klopt, maar het punt is, leer eens aan een onervaren browser-gebruiker wat het verschil is. Daarom snap ik het idee achter het weergeven van alleen een domeinnaam wel, icm met dat slotje. Ik noemde het meer als onderdeel van de dingen waar je als onervaren gebruiker op kan letten, ondanks dat dergelijke indicaties inderdaad niet waterdicht zijn.
Ik noemde het meer als onderdeel van de dingen waar je als onervaren gebruiker op kan letten, ondanks dat dergelijke indicaties inderdaad niet waterdicht zijn.
Die indicaties zijn niet alleen 'niet waterdicht' maar zijn dankzij het bestaan van Unicode look-alike glyphs en de mogelijkheid om Unicode te gebruiken in domeinnamen, zo lek als een vergiet.

"Url ziet er betrouwbaar uit" zegt je letterlijk geen biet.

Neem bijv. google.com
De 'o' in dat domein heeft de waarde U+006F.
Een lookalike voor datzelfde karakter is de phonetische 'ᴏ' onder waarde U+1D0F.

[Reactie gewijzigd door R4gnax op 23 juli 2024 16:55]

Anoniem: 1576590 @R4gnax12 juni 2021 14:52
"Url ziet er betrouwbaar uit" zegt je letterlijk geen biet.
Inderdaad.

Erg fraai vind ik:
https://www.xn--80ak6aa92e.com/

Kopieer en plak die maar eens in de URL-balk van je browser, in Firefox voor Android hoef ik niet eens op Enter te drukken.

Er wat langer op drukken om te zien waar je naartoe gaat, werkt trouwens ook zie ik net.

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 16:55]

Wat moeten we zien bij die url? Ik zie in jouw post een url met xn-80ak6aa92e.com staan.
open die in firefox dan laat de adressbar apple.com zien (met gekke unicode characters), lees de info gelinked op die url.
open die in firefox dan laat de adressbar apple.com zien (met gekke unicode characters), lees de info gelinked op die url.
Je hoeft hem niet eens te openen. De preview in de linker-onderhoek laat ook al 'apple.com' zien.
Dit is schandalig makkelijk te misbruiken voor een phish.

[Reactie gewijzigd door R4gnax op 23 juli 2024 16:55]

Helaas is er op de telefoon geen manier om zoiets te zien. Tenminste niet zover ik weet.
Bij Chrome krijg ik een "Deze website probeert u te misleiden, wilt u naar www.apple.com"?

En vervolgens kom ik op de echte website van Apple.

Maar bij Firefox, wordt in doorverwezen naar een website welke apple.com in de adresbalk heeft, maar dat duidelijk niet is.
Anoniem: 1576590 @Accretion13 juni 2021 21:23
Dat zie ik ook in Chrome onder Android, maar https://gastronomiaespaña.com/ wordt met kringeltje op de n getoond (en niet als https://xn--gastronomiaespaa-lub.com/).

Kennelijk werkt Chrome met een blacklist waarschuwingslijst van verdachte domeinnamen, of met een of ander algoritme.

Probleem: net zoals malwaremakers hun verse malware net zo lang tweaken tot de meestgebruikte virusscanners er niet meer op aanslaan, kunnen phishers zoeken naar unicode domeinnamen die niet op waarschuwingslijsten staan en niet door "unicode klinkt als" algoritmes worden herkend.

Hoewel ik in Nederland (en zelfs Duitsland) nog nooit een unicode domeinnaam ben tegengekomen, kunnen browsermakers het zich voor het grootste deel van de wereldbevolking simpelweg niet permitteren om unicode domeinnamen te negeren.
Ik zie met Android alleen de vage wtf link en niks met (blijkbaar) apple.

Lekker veilig dat Firefox, als die apple.com laat zien. :P
uit het artikel in die link:
"Firefox users can limit their exposure by going to about:config and setting network.IDN_show_punycode to true. This will force Firefox to always display IDN domains in its Punycode form, making it possible to identify malicious domains"
Anoniem: 1576590 @punthoofd12 juni 2021 19:32
Klopt, maar helaas niet op de standaard Firefox op Android: daar is about:config (helaas) ontoegankelijk.

In Firefox nightly voor Android heb je wel toegang tot de gegevens in about:config.

In de meeste andere browsers lijkt deze specifieke domeinnaam niet als unicode (maar als punycode, beginnend met xn--) te worden getoond. Echter veel browsers ondersteunen standaard wel degelijk unicode domeinnamen.

Een wat ouder overzicht (2017) van allerlei soorten phishing trucs vind je hier.

Aanvulling: er zijn natuurlijk ook Europese landen die unicode domeinnamen gebruiken. Als je https://gastronomiaespaña.com/ opent (denkbaar in deze tijd van het jaar ;-) en een kringeltje boven de n ziet, ondersteunt jouw browser unicode (zo niet dan zie je https://xn--gastronomiaespaa-lub.com/).

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 16:55]

Ja maar dat weten alleen mensen die sowieso al niet zo snel in een fake url zullen trappen.

Ga dat Jan met de Pet vertellen die geld overmaakt naar zijn dochter die ongemerkt op vakantie is in quatamala, haar telefoon en bankpasje gejat zijn en direct geld nodig heeft omdat ze anders ontvoerd wordt door quatalamese vrijheidsstrijders, uit China, gesponsord door de Russen, met Donald trump als leider!! :P
Ik zie exact dezelfde url die je post in Safari op ipados.
Verreweg de meeste phishingmails die ik de laatste tijd voorbij zie komen verwijzen naar gehackte websites waar diep in de structuur allerlei rare pagina’s aangemaakt zijn.
Het hoofddomein klopt dan wel en is vaak ook legitiem. Google verstopt dat soort foute pagina’s met een verkorte url weergave, wat dus een serieus risico is. Iedereen die even wat langer nadenkt over het verkorten van url’s ziet al snel wat de risico’s zijn. Niet alleen bij de weergave, zoals Google hier doet, maar ook bij QR-codes of url-verkortende webservices. Nooit begrepen dat Google die risico’s niet wilde onderkennen.
Maak dit eens concreet? Betekent dit dat een dergelijke verkorte weergave dus 'google.com' of 'mercedes.com' zal weergeven?
Google toonde het deel achter het hoofddomein niet, dus je zag bv niets achter https://Tweakers.net. QR-codes verstoppen een url achter een plaatje met blokjes. Als je blind de QR-code volgt weet je dus niet waar je uitkomt. Veel devices tonen tegenwoordig gelukkig wel eerst de url voor je er naartoe gaat. Url-verkortende webservices maken van een korte, nietszeggende code een lange url waarbij je ook niet weet waar je uit komt. En voor je het weet is dat dus foute boel.

Dit is overigens maar een hele kleine greep uit manieren om misbruik te maken van het vertrouwen van mensen.
De oplossing is het weergaven van de domeinnaam in een eruit springende kleur, of die tegen een opvallende achtergrond zetten. Dan kun je makkelijk zien wat de domeinnaam is. Hier in Firefox is de domeinnaam zwart en de rest van de URL donkergrijs, maar omdat het dunnen letters zijn valt het weinig op.
die werden dan ook gewoon getoond. Het gaat/ging om wat er achter de hostnaam kwam. Zie voorbeeld in artikel
.oisyn Moderator Devschuur® @idef1x12 juni 2021 10:23
Inderdaad, zie het artikel ;)
De wijziging heeft volgens geen effect op het verwijderen van enkele voorvoegsels, zoals 'https://' of 'www'. Dergelijke zaken zullen verborgen blijven in de url-balk van Chrome.
www als subdomein wordt dus wel weggehaald. Maar dat geldt geloof ik niet voor andere subdomeinen.
Dat klopt. www.tweakers wordt afgekort tot tweakers.net, terwijl bij het forum de volledige hostname zichtbaar is (gathering.tweakers.net)..

Social Media bedrijven hebben verified accounts. Misschien is het een idee om ook een verified domains systeem in te voeren. Voor maildomeinen hebben we al blacklist denylist DNS lookups (dnsbl) en diverse adblockers werken ook met allow/deny domein lijsten. Verschillende partijen zouden dan een lijst van gecontroleerde domeinen kunnen bijhouden en de browser zou een waarschuwing kunnen geven als je een domein bezoekt welke niet op de lijst staat.. De browser kan dan diverse opties aanbieden zoals website blokkeren, bezoeken in incognito modus (geen acceptatie van 3rd party cookies) en natuurlijk website opnemen als uitzondering. twaekers.net ('ea' omgedraaid) zou dan niet op zo'n lijst staan en dus krijg je een melding in je browser..

Uiteraard heeft niet iedereen een dergelijk hulpmiddel nodig, maar ik denk wel dat er grote groepen baad bij een dergelijke feature kunnen hebben. Mijn moeder weet weinig van internet en durft door alle verhalen van scammers in het nieuws ook niet te bankieren via internet. Echter ouderwets bankieren met overschrijvingskaarten en acceptgiro's wordt steeds lastiger gemaakt. Grote groepen ouderen worden daarmee bijna 'gedwongen' om te bankieren via internet. En als het dan fout gaat, zegt de bank dat de klant niet goed heeft opgelet en Kifid geeft vervolgens de bank gelijk waardoor je je geld kwijt bent..
.oisyn Moderator Devschuur® @Niemand_Anders12 juni 2021 11:38
www.tweakers.net wordt afgekort tot tweakers.net,
Nou heeft dat specifieke voorbeeld weer een andere oorzaak: www.tweakers.net redirect naar tweakers.net ;). Dat zie je als je de url gaat editen (en https:// ervoor komt te staan)

[Reactie gewijzigd door .oisyn op 23 juli 2024 16:55]

Misschien is het een idee om ook een verified domains systeem in te voeren.
Is dat niet gewoon een EV SSL?
Eigenlijk wil ik Tweakers.net niet zien maar een vinkje, en dan Tweakers B.V. of misschien wel tweakers.bv? Maar dat je echt weet dat het niet tweakers.io (en je op een fake site zit)

Maar ik deel je visie,dat er meer aan vertificatie en bescherming van gebruikers moet komen.
Anoniem: 1576590 @walkstyle12 juni 2021 23:07
Is dat niet gewoon een EV SSL?
Ja en nee, bovendien hebben OV (Organization Validated) https servercertificaten ook gegevens van de organisatie aan boord (de echtheid-checks bij EV zijn wel strenger).

Probleem: terwijl een domeinnaam (normaal gesproken) wereldwijd uniek is, geldt dat niet altijd voor namen van organisaties, vooral niet als je daar maar een klein deel van wilt tonen (op kleine schermpjes). In de -op sommige punten minder- Verenigde Staten kun je in een andere staat een bedrijf met dezelfde naam beginnen en daar een EV-certificaat voor verkrijgen, en dat leidde tot phishing (omdat in de destijds groene balk die browsers toonden, dezelfde organisatienaam werd getoond als van de bedoelde organisatie - in een andere staat; mensen gaan dan daar op letten i.p.v. op de domeinnaam).
Eigenlijk wil ik Tweakers.net niet zien maar een vinkje, en dan Tweakers B.V. ...
Wat als je in een ander land ook een bedrijf kunt beginnen dat "Tweakers B.V." heet?

Bij sites als tweakers.net, nu.nl en bol.com is phishing lastig omdat we die sites herkennen aan hun domeinnaam. Het wordt een stuk lastiger als je (bijv. n.a.v. een phishing mail) een link ziet waarbij je geen idee hebt of de domeinnaam daarin van de kennelijke organisatie is.

Van bijv. het CAK moet je maar net weten dat hun website te vinden is onder "hetcak.nl" - omdat "cak.nl" al van iemand anders was (je kunt alleen maar hopen dat die laatste domeinnaam nooit in handen van criminelen valt).

Terzijde, wat voor een creatiefloze mensen bedenken organisatienamen als CAK? (Ik vermoed dat die letters staan voor de nietszeggende woorden "centraal administratie kantoor" maar zelfs dat kan ik niet vinden op hun site).

En i.p.v. "werkenbij.example.com" zie je vaak
"werkenbijexample.com". Mensen die dat laatste type domeinnamen aanvragen, hebben echt de ballen verstand van security (in de zin van hoe je voorkomt dat bezoekers van jouw sites in een val trappen).
Maar ik deel je visie,dat er meer aan vertificatie en bescherming van gebruikers moet komen.
Ik ook, maar simpel is dat helaas niet.
Terzijde, wat voor een creatiefloze mensen bedenken organisatienamen als CAK? (Ik vermoed dat die letters staan voor de nietszeggende woorden "centraal administratie kantoor" maar zelfs dat kan ik niet vinden op hun site).
Het komt wel meer voor dat de naam niet meer bij de activiteiten past maar de afkorting is zo bekend dat ze die maar gewoon als naam gaan voeren. Voorbeeld: bol.com. Weet jij nog waar BOL voor staat?
En i.p.v. "werkenbij.example.com" zie je vaak
"werkenbijexample.com". Mensen die dat laatste type domeinnamen aanvragen, hebben echt de ballen verstand van security (in de zin van hoe je voorkomt dat bezoekers van jouw sites in een val trappen).
Qua security maakt werkenbij.example.com of werkenbijexample.com helemaal niets uit. Dat jouw bedrijf consequent alles onder één domein hangt gaat naïeve bezoekers niet weerhouden om toch in een vervalste site te tuinen. Hoe kunnen die nou weten dat jij een policy hebt om alles onder één domein te hangen en dat werkenbijexample.com dus verdacht is?
Anoniem: 1576590 @downtime13 juni 2021 18:09
Voorbeeld: bol.com. Weet jij nog waar BOL voor staat?
Geen idee. Ik weet ook niet waarom het tweakers.net is en niet tweakers.nl of tweakers.wtf. De meeste mensen weten dat bol.com de sitenaam is en dat dit tevens de bedrijfsnaam is (zelfs zullen veel mensen weten dat het een dochter is van AH).

Ik begrijp niet hoe jij domeinnamen als hetcak.nl (kennelijk) normaal vindt.
Qua security maakt werkenbij.example.com of werkenbijexample.com helemaal niets uit.
Wel voor mensen die snappen dat domeinnamen hiërarchisch zijn opgebouwd.

En het is niet alleen zo dat ik dat snap, elke internetter zou dat moeten weten als onderdeel van diens basiskennis. Anders heb je geluk als je niet belazerd wordt op internet.
Dat jouw bedrijf consequent alles onder één domein hangt gaat naïeve bezoekers niet weerhouden om toch in een vervalste site te tuinen. Hoe kunnen die nou weten dat jij een policy hebt om alles onder één domein te hangen en dat werkenbijexample.com dus verdacht is?
Omdat elk zichzelf respecterend bedrijf dit ook tot haar basiskennis zou moeten rekenen. Precies om wat ik al schreef: "in de zin van hoe je voorkomt dat bezoekers van jouw sites in een val trappen".

Bovendien is het een security-risico als je van meer domeinnamen de registraties bijtijds moet verlengen vooral als jouw organisatie van naam verandert (1 hoofddomein is nog goedkoper ook).

Zie bijv. in deze security.nl pagina dat dit een stom idee is.

Edit: laatste zin liep niet

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 16:55]

Dat gaat tegen het idee van een open internet in. Zou zoiets geld kosten? Moet je weken of maanden wachten voordat je (nieuwe) site is "goedgekeurd"? Wordt je site weer van de lijst gehaald als de inhoud niet politiek correct is?
Nee, houd het internet maar open en leg ook wat verantwoordelijkheid bij de gebruiker neer.
Het internet blijft ook open. Alleen kun je bij je browser een optionele filter lijst opgeven. Zo kun je een lijst instellen welke 'veilig' is voor kinderen of de Ouderen Bond zou bijvoorbeeld ook een lijst kunnen aanbieden..

Als ik kijk naar mijn moeder dan bezoekt zij ongeveer 10 websites. That's it. Maar als zij dan een email ontvangt welke haar naar https://lngbank.nl/ (ik gebruikte hier 'l' ipv 'i') dan wordt deze geblokkeerd door de browser zodat je een paar weken laten niet ineens leest dat weer een bejaarde al haar spaargeld kwijt is door phishing of andere vormen van oplichting..

Als jij zo'n filter niet nodig hebt, dan gebruik je hem niet. Men bedenkt allerlei moeilijke oplossingen. Maar net zoals een adblocker al ruim 90% van de advertenties kan tegenhouden, zou zou een dergelijke allow/deny list ook heel veel phishing aanvallen kunnen tegenhouden. Want de 3x kloppen campagne heeft gezien het aantal mensen dat nog steeds opgelicht wordt niet geholpen. Ook Google's oplossing door alleen het domein te tonen helpt niet..

Omdat je zelf bepaald van welke lijst je gebruikt maakt, bepaal je ook zelf wie voor jouw bepaald of een website veilig is of niet..

Was het maar dat er 'wat' verantwoordelijkheid bij de gebruiker wordt neergelegd. Momenteel is het zo dat ALLE verantwoordelijkheid bij de gebruiker ligt en vrijwel geen enkele bij de bank..
Ik vind dat sowieso iets slechts. Al die tiny URL's die je overal krijgt.

Pas was er een nieuwsbericht op de NOS site over phishing smsjes met dhl oplichting. en wat stond er in een tiny URL totaal niet traceerbaar om te zien waar het vandaan komt.

gewoon weer volledige URLs gebruiken zoals www.tweakers.nl ipv bit.ty/1234

Ook het kopieren van andere dingen dan je ziet standaard vind ik slecht en heel irritant.

Want wie garandeerd mij nog dat als ik een URL kopieer en plak ik dezelfde krijg?
helemaal mee eens, zelfde geldt voor QR codes. Enorm fraude gevoelig.
Anoniem: 1576590 @Terrestrial13 juni 2021 23:46
Vooral als je, zoals drinkwaterbedrijf Vitens, facturen met QR-code verstuurt zonder in https://www.vitens.nl/service/qr-code te vertellen op welke site (domeinnaam) je terecht hoort te komen (waar je jouw bank moet kiezen om te betalen) als je die QR-code scant.

De domeinnaam in de QR-code in door Vitens verzonden facturen blijkt te zijn:
http://trx.ae/<reeks tekens>
dus een http i.p.v. https link naar een domein geregistreerd in de Arabische Emiraten.

Alle smeuïge details lees je hier en de follow-up (met de in de praktijk gebruikte domeinnamen) vind je hier.

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 16:55]

Het idee is niet slecht. Voor de minder ervaren gebruikers is het al gauw een informatieoverload als er een hele lange URL in de balk staat.

Bijvoorbeeld

www.snsbank is heel duidelijk.
https://www.snsbank.nl/online/web/mijnsns/inloggen/#/ is al een stuk onduidelijker als je geen idee van URL's hebt.

En https://www.snsbank.onlineweb.nl/mijnsns/inloggen/#/ zal voor velen in eerste instantie een valide URL zijn, en dus wordt er op geklikt. Door het korter te maken zal het eerder herkent worden als een foute URL.
klinkt logisch, en zal daarom wel uitgeprobeerd zijn om te testen, maar

> "Dit experiment leidde niet tot aantoonbaar betere beveiliging"

het ligt blijkbaar genuanceerder.
Ik dacht dat ze http/https weer standaard gingen tonen. Maar ze zijn nog een stuk verder gegaan met het weghalen van nuttige technische informatie (gebruik Chrome alleen af en toe.)
Ze zouden alsnog het domein een andere kleur kunnen geven.
en/of semibold ofzo idd
Dit is nu al het geval met Chrome, het domein is zwart, en wat erachter komt grijs.
Verrek, je hebt gelijk, alleen is er te weinig contrast wat mij betreft. Plus de ontbrekende protocol etc. Edge en Firefox, en wie weet nog meer browserbouwers, doen het imho beter.
Daar zal vast een extensie voor zijn, Brave doet dit al standaard. Ik vraag mij ook af wat deze toevoeging precies het veiliger maakt? Het zegt niets, genoeg phishing die bijvoorbeeld gebruik maakt van een afgeleide domeinnaam.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 16:55]

Vivaldi doet dit ook al standard. En er is ook een optie om de volledige url te zien of niet.
Had deze wijziging ook nadelen? Ik snap dat de voordelen waar ze op hoopten blijkbaar uitbleven, maar ik zie persoonlijk ook geen nadelen hieraan. Wat heb je als gebruiker (non-developer) aan het zien van de volledige URL?
Handiger bij het overschrijven/screenshot maken en om te zien welke pagina je zat als je van een andere tab terug komt. Kan je ook een idee geven van de opbouw vd site zodat je bepaalde aannames kan doen bv over andere pginas die mogelijk bestaan en verder kan je zien of je de url aan kan passen.

Laten we het eens omdraaien. Waarom denk je dat Google beter kan filteren op de url informatie die ik wil dan ik het zelf kan?

[Reactie gewijzigd door Durandal op 23 juli 2024 16:55]

Wat je hier beschrijft zijn inderdaad voordelen die een developer / tweaker ermee kan doen. Alleen de vraag was specifiek: Wat heb je als gebruiker / leek aan het zien van de volledige URL?
Wat heb je als leek uberhaubt aan het zien van een url? Waarom niet alles weglaten?
Hoe is een halve url beter dan een hele en beter dan geen, en wie zijn de leken in deze?

Effin, het is uiteindelijk een voorkeur. Google heeft ingezien dat het voor hun gebruikers toch niet zo'n goed idee was.
Het idee is op zich goed. Het heeft alleen niet het gewenste effect gehad. Het kan ook zijn dat mensen ook bij overduidelijke foute, korte URLs niet herkennen. Omdat ze domweg niet doorhebben waar ze naar moeten kijken.

www.tweakers.net of www.tweakers.tech.nl is voor leken wellicht allebei correct.
Omdat er nogaal vaak "gevist" word via nep-urls!!! Je kunt snel de rotte vislucht ruiken als je sommige URLs leest.
Handiger bij het overschrijven/screenshot maken en om te zien welke pagina je zat als je van een andere tab terug komt
In welk tijdprek leef jij? Pagina's kan je gewoon opslaan onder favorieten/bookmarks en ook direct delen met contactpersonen of andere apparaten. Hiervoor hoef je niet één keer op de URL te klikken.

Ik zelf vind het rustgevender om alleen het domein te zien, en het is inderdaad handig om de complete URL zichtbaar te maken als je met je muis over het URL vak gaat.
1920. Fijn te weten dat je al mijn use cases al voor me uitgezocht hebt.
Ik zelf vind het rustgevender om alleen het domein te zien
Ignorance is bliss, zeg ik dan maar.
Helaas is Google ten halve gekeerd. Misschien komt er een mod die de boel weer voor je verbergt.
Er waren ook meerdere nadelen. Jij doet het af als niet nodig, maar er zijn ook gewone gebruikers die al jaren en jaren gewend zijn om wel met volledige urls te werken en direct te kunnen controleren. Het is ook niet ontworpen met de bedoeling een url te gebruiken en ondertussen te verbergen omdat het diverse informatie en controle aan de gebruiker geeft. Ook zaten er nadelen aan de implementatie, zoals last hebben van niet snel genoeg de volledige url kunnen zien en het verspringen van tekst bij selecteren.
Er kan zelfs wel geconcludeerd worden dat het niet heel doordacht leek en het meer ging om iets willen experimenteren, wat niet zomaar redelijk of goed is.
Een van de nadelen was dat web-developers, die vaak grafisch maar niet technisch gericht waren, hoofddomein.com ipv www.hoofddomein.com gingen gebruiken net omdat www toch werd verborgen, ook als er subsites door andere developers werden gemaakt. In plaats van dat vroeger een site cookies had gezet voor www, worden cookies ineens voor alle subsites gezet. Een subdomein is dus zelfs geen slecht idee naar de toekomst toe.
Exact wat ik al riep toen de simplified URL uit werd gegeven.

een simplified URL is extreem onveilig
Wat maakt het extreem onveilig dan?
Dat je de volledige URL niet kan zien, en dus niet weet of het een malefiede URL is of niet.

Gezien ik geen crome gebruik weet ik niet hoe de URL's eruit zien op phishing sites.
maar als het alleen de URL header name is dan is het extreem onveilig

zelfs alleen de site name is al onveilig.
Wat voor iets dat achter het domein staat zou malafide kunnen zijn? En hoe herken je dat dan?
affiliate links als voorbeeld. waarbij er affiliate data in de URL zit.

een malefiede domein zou kunnen zijn virus,Ťweakers,net/[gibberish]-page name-gibberish-exploitname-gibberish

Waarbij als het simplified is je snel over het eerste character van Ťweakers,net zou kijken, en niet in de gaten hebt dat het een nep domein is
Dus het gaat toch om het domein. Je zei dat je bij alleen tonen van het domein niet kanzien of de url malafide is.

Bovendien, waarom zou een crimineel dan niet gewoon Ťweakers.net/pricewatch gebruiken als url? Het is toch nergens voor nodig om die gibberish tekens toe te voegen?
waarom niet de hostnaam een andere kleur of dikker maken, zodat het wat opvalt. :?
Heb je firefox? Moet je eens in je url balk kijken ;)
Positieve ontwikkeling, het is erg handig om bij een screenshot ook de volledige url te zien. Als iemand een probleem ervaart weet je in elk geval naar welke pagina je moet navigeren om de issue te proberen te reproduceren.
Kun je daar niet beter je testers of servicedesk voor opvoeden? Datzelfde argument zou ervoor kunnen pleiten alle POST-data ook als query string mee te geven. :/
Als je iemand naar een webpagina wilt laten gaan gebruik je een (klikbare) URL, en niet een screenshot van een website (plus adresbalk) waar de gebruiker dan mag proberen de URL te lezen en te kopieren.
Goed dat ze dit besluit hebben genomen, en alleen de effectiviteit als veiligheidsmaatregel beoordelen. Het wekte eerder de indruk dat er mogelijk sprake was van een dubbele agenda: het uitfaseren van zichtbare URLs en daarmee de voorkeur geven aan bijvoorbeeld Google AMP. Dat lijkt nu iig weer een stap verder weg.
Goh ze zijn er eindelijk achter... Dat ik precies wat ik zei toen dit aangekondigd werd. Dit is minder veilig...

Als ze nou gewoon eens naar de gebruiker luisteren. Het grootste deel van wat ze doorvoeren is slechter ipv beter.
Op dag 1 had ik deze feature al uitgeschakeld. Ik wil weten wat er in de url staat.

Op dit item kan niet meer gereageerd worden.