傳統網址難搞又不安全，Google 仍在尋找方法取代 URL

剛過 20 歲生日的 Google 迎接新的里程碑同時，旗下 Chrome 瀏覽器也 10 歲了。雖然誕生時間不算長，但這款早已拿下全球市占率第一的瀏覽器還是為網路帶來了巨變。從自動升級流行到 HTTPS 網頁加密普及，Chrome 瀏覽器一直是業界先鋒，安全團隊更酷愛拿概念性大難題開刀。

雖然 Chrome 團隊的激進做法有時褒貶不一，但依舊我行我素。成軍十年的節骨眼上，Chrome 團隊又準備玩一票大的，要重新思考 URL 的地位，這個與網路相伴而生的經典元素恐怕不變不行了。

URL 是 Uniform Resource Locators（統一資源定位符），與我們每天都在使用的網址密切相關。URL 會在網路 DNS 位址簿出現，隨後啟動瀏覽器跳轉到正確 IP 位址（用來辨識和區分不同的網路伺服器）。簡而言之，有了它你就能輕鬆登陸網站閱讀和瀏覽，省去複雜的路線協定和一連串數字。不過，隨著時間推移，現在 URL 變得越來越難讀懂了，不但包含一連串難以理解的混亂資訊，還結合了第三方或各種連線縮短器及重新導向的特徵。此外行動裝置上，這樣長串混亂的程式碼也難以顯示完全。

複雜且含混不清的 URL 給了網路罪犯可乘之機，紛紛利用這漏洞打造惡意網站從事不法勾當。舉例來說，網路罪犯會假冒合法機構，在網上「釣魚」，搞虛假網路服務或盜竊他人敏感資料。除了網友警惕性差，URL 也有責任，因為用戶很難透過這連串數字知道到底和誰打交道。因此，Chrome 團隊認為 URL 該「換一種活法」了，需要來一次變革。

「對大家來說，理解 URL 真是困難。」Chrome 工程主管 Adrienne Porter Felt 說。「它們讀起來費勁極了，你也不知道 URL 中哪部分可信。因此我認為 URL 已不是網站身分的最佳搬運工。所以我們想找一個新地方，在這裡誰都能看懂網路身分，用戶使用網路時知道自己和誰交流，了解誰值得信任。不過，這意味著 Chrome 展示 URL 的方式和時間會產生巨變。」

如果你也在思考到底什麼可以代替 URL，告訴你，你不是一個人。過去幾年，學術界一直在思考解決方案，但這道難題可沒那麼容易解答。Porter Felt 和同事 Chrome 首席工程師 Justin Schuh 都承認，雖然有意推動改革，但 Chrome 團隊對選擇哪種解決方案依然有分歧。在這個問題，他們甚至不願透露到底有什麼計畫。

在他們看來，現在的重點不但要找到增強安全和辨識完整性的解決方案，還不能影響人們日常使用時的便利性，比如在行動裝置分享連結。

「我也不知道最終成品是什麼樣，因為團隊還在討論。」Chrome 工程總監 Parisa Tabriz 說。「不過可肯定的是，無論拿出什麼方案，肯定會引起巨大爭議，畢竟現在網路初建時毫無章法，時間一長，各種後遺症就跑出來了。即使這樣，我們也必須做點什麼，因為大家都看 URL 不順眼，它實在太過時了。」

Chrome 團隊花了大量時間思考 URL 的安全問題。2014 年時，嘗試了名為「origin chip」的格式化功能，瀏覽器只顯示網站主域名，以幫助用戶了解他們到底在瀏覽什麼網站。如果用戶想看到完整 URL，只需點擊「chip」就行。這次試驗得到了許多使用者的稱讚，他們希望網路身分變得更直接，不過也遭受不少批評。幾週之後，Chrome 就停掉了這功能。

「Origin chip 是 Chrome 第一次在該領域吃鱉。」Porter Felt 說。「我們研究用戶對 URL 的看法和使用方式，顯然，解決這個問題比我們想像要難多了。不過，這次試驗得到的回饋也成了後續工作的重要參考。」

無獨有偶，Chrome 團隊推動 HTTPS 網頁加密普及過程也遇到不少阻力。最初，Chrome 將未加密網站標記為不安全也遭到許多人反對，但後來乾脆聯合其他瀏覽器和科技公司共同推動改革，加上大力宣傳這可保護用戶隱私，才算是辦成了。「其實大家都知道 HTTPS 是好東西，但你改變就會讓一些人恐慌。所以無論我們做什麼，恐怕都會引來爭議，因此恐怕得多花點時間。」Tabriz 說。

Porter Felt 表示，今年秋天或明年春天，Chrome 會用更開放的姿態向大眾說明關於 URL 的新想法。Chrome 團隊也指出，目標不是顛覆 URL，而是要達成早已存在的願景，畢竟實體辨識是網路安全模型的基礎。

由於這提議來自影響力巨大的 Google 且涉及人們瀏覽和使用網路，因此大家都必須認真對待。就像 Chrome 技術主管 Emily Stark 說的，這議題就是「房間裡的大象」，大家都看到了，只是沒人說出來罷了。