Als Gehilfe hat sie tausende unwissende User um ihr Erspartes gebracht, Passwörter erschlichen und Packstation-Diebstahl ermöglicht. Als Meister der Täuschung setzt sie uns nicht immer dort ab, wo wir hin wollen. Als Zeichenmonster ist sie selten transparent. Hierfür droht ihr jetzt die Todesstrafe; zumindest testweise in Googles Chrome-Browser.
Gemeint ist die URL, ein Akronym für Uniform Resource Locator. Sie ist eine Kombination aus Protokoll (http/ftp), Domain, Unterverzeichnis und Tracking-Informationen. Neben sinnvollen und erklärenden Bestandteilen enthält die URL immer mehr Ballast – und dieser soll soweit zurechtgestutzt werden, dass am Ende nur die Domain angezeigt wird.
Gut gemeint, schlecht gemacht
Googles Leitgedanke ist folgender: Viele URL-Bestandteile sind überflüssig und verwirrend. Diese Schwachstelle wird vor allem beim Phishing ausgenutzt. Die klare Sicht auf Sicherheitsmerkmale wird in einer unendlich langen Zeichenkette vernebelt. Google-Chrome-Developer Jake Archibald bringt es auf den Punkt: “To the average user, the URL is noise.” Die folgenden Beispiele verdeutlichen das Problem. Die Domain, unter der die Inhalte liegen, sind jeweils fett markiert.
Die echte URL:
https://banking.postbank.de/rai/login
Eine gefälschte URL:
http://banking.postbank.de.secure-ssl-shield.com/rai/login
Archibalds Idee, nur die Domain anzuzeigen, würde die Phishing-Seite tatsächlich schnell entlarven. Googles Kahlschlag fallen aber auch wesentliche Informationen zum Opfer, die die Orientierung fördern:
- Pfad: Dieser befindet sich mit einen / getrennt nach der Top-Level-Domain (united-domains.de/blog). Diese Information ist durchaus hilfreich bei der Vorstellung, wo man sich auf der Seite befindet.
Erweitere Informationen sind nur für bestimmte, eng begrenzte Gruppen interessant:
- Protokoll: https oder http: Das s zeigt an, ob die Verbindung gesichert ist. Auch ein Phisher kann eine gesicherte Verbindung anbieten. Das s besagt nur, dass die Verbindung gesichert ist, aber nicht, ob auch der Verbindungspartner vertrauenswürdig ist.
- Tracking-Informationen und zusätzlicher Code: Diese Informationen sind für wenige Nutzer interessant und häufig nicht verständlich.
- Subdomain: Diese wird weiterhin angezeigt.
Ein bisschen tot
Die URL-Verstümmelung rief bereits vielfach Kritik hervor, auf die Jake Archibald in seinem Blog eingeht. Danach sei die Verstümmelung nicht der Tod der URL:
No, this isn’t URL death. The URL is the share button of the web, and it does that better than any other platform. […] We should focus on the security of the URL, without harming shareability.
Archibald beteuert, nur an der Sicherheit der User interessiert zu sein – die Darstellung wird damit nicht zwangsläufig glaubhaft. Googles Geschäftsmodell basiert darauf, Ausgangspunkt für jede Suche zu sein. Das Unternehmen sieht sich als Adressat für alle Fragen und verbessert die Beantwortungs-Fähigkeiten fortlaufend. Jede Frage und jede Antwort ermöglicht Google, mehr über den Nutzer zu lernen und in den Ergebnissen Werbung zu platzieren. Gibt der User die URL direkt ein, umgeht er Google und verhindert das Sammeln von Informationen. Google interessiert folglich, dass der User keine URL eingibt und direkt navigiert.
Die vollständige Abschaffung der URL – sogar der Domain – käme Google zugute. Und der erste Schritt zu diesem Ziel ist es, die URL zu beschneiden. Allerdings widerspricht es Googles Selbstverpflichtung offene Systeme zu fördern, wenn wesentliche Informationen der URL unterdrückt werden. Diese Verpflichtung nimmt Google ernst: Jonathan Rosenberg, Senior Vice President bei Google erklärt seinen Mitarbeitern in einer E-Mail[1], dass offene Systeme am Ende siegen werden und der Nutzer die Kontrolle behalten muss. Das DNS ist ein offenes System, dessen Funktionalität grundsätzlich erhalten bleiben muss.
Google ist nicht allein
Googles Idee ist nicht neu. Bereits jetzt wird im mobilen Betriebssystem iOS nicht die vollständige URL angezeigt. Für die Desktop-Variante, Apples Safari, ist in der neusten Developer-Version von OSX Yosemite die URL ebenfalls auf die Domain reduziert. Microsoft hat bereits früh mit der Hervorhebung der Domain in der URL experimentiert. Aber auch diese Variation der URL-Bescheidung war keine Lösung, glaubt man einer Studie[2] des Department of Computer Science an der University of Calgary. Die Wissenschaftler kommen zu dem Ergebnis:
We conclude that domain highlighting, while
providing some benefit, cannot be relied upon as the sole
method to prevent phishing attacks.
Die Domain gewinnt an Bedeutung
Einen Sachverhalt zu vereinfachen ist eine Tugend. Antoine de Saint-Exupéry fasst es treffend zusammen: “Vollkommenheit entsteht nicht dann, wenn man nichts mehr hinzuzufügen hat, sondern wenn man nichts mehr wegnehmen kann.“ Wird die vorliegende Chrome-Version (Canary) umgesetzt, geht die Domain gestärkt aus der Veränderung hervor: sie wird deutlich prominenter dargestellt. Für versierte User schießen Google und Apple jedoch über das Ziel hinaus.

[1] http://googleblog.blogspot.de/2009/12/meaning-of-open.html
[2] Lin, E., Greenberg, S., Trotter, E., Ma, D., and Aycock, J.
Does Domain Highlighting Help People Identify Phishing Sites?
Report 2010-978-27, Department of Computer Science, University of
Calgary, Calgary, AB, Canada T2N 1N4