Portada
Hace 5 años | Por --507437-- a computerhoy.com
Publicado hace 5 años por --507437-- a computerhoy.com
Google se carga las “www” en la dirección del navegador en Chrome 69

Google se carga las “www” en la dirección del navegador en Chrome 69

 computerhoy.com

Dejaremos de ver las direcciones web completas en Chrome 69 tras una decisión bastante polémica de Google que no había anunciado previamente. Muchos consideran que este extraño cambio es el plan a largo plazo de Google para ocultar su dominio AMP y hacerlo de esta manera indistinguible del dominio real. Distintos expertos señalan que ahora mismo dos sitios completamente diferentes se pueden ver en la barra de direcciones iguales, y esto podría favorecer el tema del phishing y el robo de credenciales.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2.5k 164

Comentarios

D

Usar Chrome es como votar al PP

V 0
K 6
Sofa_Knight

Hay que estar chalado para ocultar parte de la dirección con la cantidad de suplantaciones que hay...

V 69
K 515
Peachembela

Google se cree el dueño de internet.

V 12
K 113
ur_quan_master
editado

#2 Como lo de ocultar las extensiones de los archivos en Windows ¿En que piensan los que meten estas funcionalidades? En los usuarios seguro que no.

V 59
K 444
D

#2 como se podría explotar esto por parte de un malo ?

V 0
K 6
s

#1 Yo voto al PP

V 0
K 6
D

#4 No se parece en nada.

V 0
K 6
D

Lo que no entiendo es que a día de hoy se siga manteniendo la idiotez del subdominio www.

V 20
K -35
pip

#5 si siempre oculta el nombre del host una vulnerabilidad en el DNS podría hacerte ir en vez de a www.yoursite.com a fuck.yoursite.com

V 6
K 46
pip

#8 no es ninguna idiotez, es el nombre del host. Cada host.dominio puede apuntar a una IP distinta

V 13
K 84
D

#8 Pues, entre otras cosas, porque internet no es solamente la web.

V 12
K 129
c

el subdomino www es dificil que suplante al dominio. No se me ocurre un caso en el que el dueño de un dominio permita que se le suplante en un subdominio.

V 1
K 13
ur_quan_master
editado

#7 pues anda que no se han ejecutado virus en Windows con el truco de la extensión oculta o la doble extensión camuflandolos de imágenes, documentos etc.

V 27
K 210
Kantinero

Google, que miedo...

V 5
K 56
c

#9 ambos son subdominios de yoursite.

V 8
K 74
D

#9 y? La seguridad de un sitio se realiza con certificados.

V 0
K 6
D

#2 Porque las víctimas del pissing siempre están atentas a que no les falte el www. Si no miran ni el puto candadito, por el amor del señor.

V 11
K 111
D

#13 Me parece muy bien, pero no tiene nada que ver con lo que va a hacer Chrome 69

V 0
K 6
ur_quan_master
editado

#18 ocultar parte del nombre de un fichero no se parece a ocultar parte de una URL?

Ale, arrea por ahí con tu escatergoris.

V 13
K 114
x

#13 hombre es más fácil distinguir 2 URL
papito.com
papilo.com
www.papito.com
www.papilo.com

V 1
K 18
n

#18 Sí que tiene que ver. Y mucho. En los dos casos se oculta parte de un nombre y se corre el riesgo de ser engañado.

V 4
K 45
c

#16 El sitio falso puede tener un certificado perfectamente válido. Imaginate www.hosting.com y hack. hosting. com

Si solo ves hosting. com.....

V 0
K 8
c

Entre esto y lo del amp...

V 2
K 25
frankiegth
editado

#8. Que no lo entiendas no significa que no tenga sentido. https://en.wikipedia.org/wiki/File_Transfer_Protocol and Goto #11.

V 3
K 41
gonas

#4 hay usuarios inexpertos que al cambiarle el nombre a un fichero le cambian la es tensión. Lo ideal sería identificar el tipo de fichero por algo que no sea su nombre.

V 1
K 25
gonas

#3 Google es el dueño de internet.

V 10
K 94
pip

#15 son hosts distintos que pueden tener IP distinta.

V 3
K 36
pip
editado

#12 si no tienes nada que permitir, puede ser un ataque local que te cambie fuck.dominio.com a otra IP, simplemente.

Solo hace falta un virusillo que te cambie el resolvedor de nombres.

V 1
K 18
ur_quan_master

#25 de siempre los ficheros binarios identifican su tipo por los primeros bytes. De hecho la extensión no es sino una ayuda al usuario.

V 6
K 69
D
editado

#13 vacaciones.jpg.exe

V 14
K 120
Artok

#3 Ni que el tráfico mundial de internet dependiera de ellos

V 3
K 30
chulonsky
editado

#9 Una supuesta vulneración del DNS como dices tú, podría hacer cualquier cosa, así que en realidad ese extremadamente difícil e improbable ataque no tiene relación con esta noticia.

Que chrome oculte los dominios típicos de "m" o "www" por ser triviales es igual de irrelevante que un servidor web redirija a "index.html" o "index.php" cuando tú no lo indicas. Por ejemplo nadie pone https://meneame.net/index.php , y no hay problema alguno. Vaya ganas de buscar problemas donde no los hay. Por otro lado, muchos servidores web ya asumen que si no indicas subdominio, él usará "www".

V 4
K 31
D

#5 las dns de www y no www pueden apuntar a diferentes dominios

paco.com no tiene por que enviar al cliente la misma información que www.paco.com

V 5
K 44
Ferran

#23 AMP mola.

V 0
K 10
gonas

#29 No siempre se puede hacer eso.

V 0
K 13
D

#2 También hay que estar chalado para enviar mensajes de correo que te obligan a hacer click en un enlace que te redirígeme a una web con su contenido y ya ves...

V 0
K 12
D

#22 según he entendido el artículo sólo se ocultan nombres genéricos como www o m , hack.hosting.com seguiría viéndose hack.hosting.com

V 5
K 63
pip

#11 ni TCP/IP y el DNS es solo para Internet.
Por ejemplo en mi empresa private.miempresa.com te lleva a la intranet corporativa.

V 0
K 9
c

#37 Ya, supongo que en Google no serán tan brutos....

V 1
K 19
D

#29 de hecho eso que comentas tampoco es indicativo de nada, cualquier programa puede alterar ese magic number. El sistema operativo o cualquier otro programa pueden intentar interpretar ese comienzo del fichero para mostrar metainformación sobre el mismo (igual que la extensión vaya)

V 0
K 7
OviOne

Evolución natural a causa de la ignorancia del usuario medio. Ya "nadie" sabe lo que es una dirección web. Solamente se hacen búsquedas. Buscar Facebook o instagram en Google en lugar de escribir la dirección, de forma que todas las páginas que visitamos se las "pedimos" a Google aunque no haga ninguna falta.

V 8
K 66
D

#2 Vamos a ver, el www es un SUBDOMINIO que no aporta nada a la URL, ahora es más fácil distinguir url originales

www.google.com y tutia.google.com mail.google.com todo son subdominios del dominio google.com

V 11
K 87
pip

#32 no es extremadamente difícil porque puede ser un ataque local.
Te cambio el hosts para que hack.website.com apunte a mi proxy y luego te mando un email con el link a hack.

No es un grandísimo riesgo de seguridad pero facilita el pishing.

V 1
K 18
OviOne

#3 Eso creen los usuarios: Google = Internet.

V 2
K 33
snowdenknows

#37 aún así a www y sin www puede redirigir a dos webs distintas

V 3
K 34
EauDeMeLancomes

#25 ya existe, https://en.m.wikipedia.org/wiki/List_of_file_signatures

Es algo así como los Tipos MIME.

Lo que no entiendo es como un sistema operativo es tan inepto de preferir la extensión del fichero, que solo es una parte del nombre básicamente, a esto.

V 1
K 20
n
editado

#4 O lo de traducir los nombres de las carpetas (que se llame "Archivos de programa" pero realmente se llame "Program files") o las funciones de Excel según el idioma del Office...

V 11
K 101
chulonsky
editado

#43 Si alguien escribe tu host local, puede hacer que meneame.net apunte a cualquier cosa, y la url de tu navegador no cambiará porque no es una redirección, así que otra vez, esta noticia es irrelevante para ese tipo de ataque.

V 3
K 27
ur_quan_master

#40 pero no se ejecutará,

V 1
K 16
snowdenknows

#12 no es que se le suplante si no que hay webs que redirigen a sitios diferentes de por si con y sin www, aparte de que un intruso en tu servidor podria poner una redireccion al www y quiza no te das cuenta xq vigilas solo la otra

V 1
K 21
OviOne

#25 ¿Te refieres a los que los sistemas tipo Unix llevan haciendo 40 años?

V 16
K 133
Candidatas
20
meneos
cultura La revolución rusa como problema histórico
18
meneos
cultura De la Biblia Malévola
16
meneos
cultura Cómo era ser un paciente negro en un manicomio de Jim Crow (ENG)
20
meneos
cultura Joseph Ducreux, el pintor que se hacía los más extravagantes autorretratos de la historia
14
meneos
cultura King Kong (King Kong) (1976)
12
meneos
cultura ¿Cómo consiguió un compositor ruso 22 nominaciones a los Óscar?
15
meneos
cultura 1970 - The Who y la búsqueda de la nota mística
14
meneos
cultura Descubren en el sur de Italia túmulos de la Edad del Hierro, anteriores a la llegada de Samnitas y Romanos
17
meneos
cultura Fallece Steve Albini (el gran productor de música underground)
22
meneos
cultura El joyero Bryan D. Drummond crea gemas talladas con intrincados dibujos [ENG]
70
meneos
cultura El chiringuito de la UE que adjudica a EEUU la liberación de un campo liberado por los republicanos españoles, pero el 27 de enero se olvida de quien liberó Auschwitz
21
meneos
cultura Especies de mamíferos recién descubiertas vivieron 610.000 años después de la extinción de los dinosaurios (eng)
20
meneos
cultura Sigue el escándalo de las pruebas de diagnóstico en Andalucía: filtradas también las de Secundaria
21
meneos
cultura La ropa de levantar masculina de los siglos XVI y XVII
17
meneos
cultura Pepe Carroll - Programa Tenía que ser de aquí, Aragón TV
12
meneos
cultura Otto Dix. Locura en la guerra y la sociedad
10
meneos
cultura El megalitismo en Europa y en la península ibérica
13
meneos
cultura Epistemofobia, o tener miedo al conocimiento
38
meneos
cultura Marjane Satrapi, autora de ‘Persépolis’, Premio Princesa de Asturias de Comunicación y Humanidades 2024
34
meneos
cultura La mayor colección de higueras del mundo está en Mallorca, propiedad de un farmacéutico
EauDeMeLancomes

#8 Qué sin entender algo, como acertadamente afirmas, te permitas el lujo de llamarlo idiotez va a traerte merecidos negativos.

V 4
K 33
gonas

#46 pues por motivos históricos. Hay veces que la inercia es tan grande que es muy difícil cambiar las cosas.

V 3
K 46
neo22s

#42 alguien con sentido común... gracias

V 4
K 34
r

Prefiero la solución de firefox: Mostrar toda la URL, pero resaltando solo las partes relevantes (meneame.net) dejando el resto (https://www.) en gris en vez de negro

V 7
K 55
Jakeukalane

#17 muchas paginas dejaron de usar www hace tiempo. no te llevó la contraria en el resto del comentario.

V 0
K 13
gonas

#51 unix también utiliza las extensiones en ocasiones. Y no está definido en el sistema de archivos, si no en el propio fichero.Y eso para el usuario medio puede estar confuso. También está el problema de los tipos de fichero que se crean nuevo y no están en el estándar.

V 2
K 32
K

Madre mía cuantos hoygans y hespertos en sejuridad hinformatica hay aquí en menéame. Pocos han entendido esta noticia y la mayoría no entiende de problemas de seguridad ni las implicaciones de este cambio (prácticamente ninguno).

V 4
K 29
pip

Entre esto y los nombres de dominio Unicode van a arder todos en el infierno

V 0
K 9
K
editado

#50, #28 Qué estupidez es esa? Si eso pasa el problema es otro. Ver o no ver el subdominio "www" no aporta seguridad alguna.

V 2
K 17
K
editado

#52 Muchos van de entendidos, pero realmente no entienden eso que creen tener entre manos. El subdomio www en la web de hoy en día es irrelevante.

V 2
K 21
K

#33 Y?

V 0
K 7
c

#27 y? El dueño de un dominio es responsable de su seguridad.

V 3
K 34
musg0

#25 hace tiempo en gnome para Linux intentaron usar el tipo de archivo en vez de la extensión e iba tan lento que al final tuvieron que hacer un apaño para descartar mediante la extensión el tipo de archivo y luego en caso de duda ya mirar dentro del archivo.
Tambien el "registro" de configuración de gnome iba con ficheros en modo texto y el árbol de directorios con la intención de que un administrador pudiera echarle un vistazo y detectar problemas directamente y al final tuvieron que hacer una cache binaria porque eso iba más lento que el caballo del malo.
Casi siempre hay un tira y afloja entre la mejor solución teórica y una implementación rápida y eficiente

V 5
K 62
c

#28 ya te ha contestado #60

V 0
K 6
K

#34 AMP es una mierda. O mejor dicho... las implementaciónes de AMP son una soberana mierda. Webmasters y desarrolladores que no entienden de las limitaciones intencionadas ni de la filosofía de AMP han acabado por destrozar y dar mal nombre (y merecido que lo tiene).

V 5
K 22
c

#50 entnces el problema no es de phising, es de seguridad en el servidor. Y por no hablar de certificados y tal.

EL SUBDOMINIO www no tiene sentido.

V 1
K 13
D

#25 para eso hicieron que al cambiar el nombre a un archivo quedara seleccionado solo el nombre y al escribir dejara intacta la extensión, además que si aún así la cambias te sale un aviso de que lo has hecho y te pide confirmación

V 2
K 26
GanaderiaCuantica
editado

#19 pero es que no lo ves? Un fichero es un fichero, y una URL es una URL. Es como mezclar peras con manzanas
Tranquilo #yoteentiendo

V 4
K 41
SalsaDeTomate

#66 Es que si la mayoría de webmasters y desarrolladores entendieran um poquito de webs en general, amp no sería necesario.
AMP es un parche a la basura de web que se construye en general.

V 3
K 19
K

#70 Pues también es verdad.

V 1
K 14
D

#38 pero eso se puede controlar con un DNS para LAN y VPN, incluso puede que el propio dominio de la empresa sea gestionado por uno u otro servidor segun se acceda desde WAN o no.
Vamos, lo hago yo en casa con una RPi como cutreDNS para probar ciertas cosas desde tablet/movil

V 0
K 7
D

#42 entonces a los que usamos subdominios gratis de no-ip seremos vistos como que somos lo mismo?

V 0
K 8
D

#44 parece que fue ayer cuando creían que Internet Explorer = Internet

V 4
K 38
D

#63 y si das subdominios gratis como hace No-IP ¿cómo va a garantizar la seguridad?

V 1
K 14
D
editado

Para deshabilitarlo y mostrar el la URL completa: chrome://flags/#omnibox-ui-hide-steady-state-url-scheme-and-subdomains (seleccionar "Disabled"). Un poco escondida, pero la opción ahí está.

V 1
K 9
D

#6 pshhhh.... mira que usar chome!

V 2
K 23
D

#4 La verdad es que no entiendo vuestra crítica.

No todas las url llevan "www."? Entonces en qué cambiaría ocultar esa parte?

Respecto a los ficheros (partiendo claro de lo anterior), sería distinto, porque la extensión sí varía. No?

V 1
K 21
D

#73 Se oculta solo el dominio www porque suele ser el que apunta al dominio principal. El resto de subdominios siguen mostrándolo.

Haz la prueba, si tienes cuenta gmail verás que sigue apareciendo mail.goolgle.com

V 0
K 11
d

Os recomiendo volver a Firefox, yo ya lo he hecho en todos mis dispositivos. Estaba claro que la hegemonía de Google con el navegador iba a acabar siendo más peligrosa que la de Microsoft.

V 3
K 27
EauDeMeLancomes
editado

#61 la relevancia del sub dominio www en lo que quiera que sea que tú llames 'la web de hoy dia' es lo irrelevante. Sé que no lo entiendes pero esto tiene que ver con resoluciones DNS y ataques de redirección y mitm. Además esa función de ocultar información esencial en la barra de direcciones es otro POF en la validación visual y un nuevo y absolutamente innecesario coladero de trampas y xploits.

V 1
K 19
cocainomano

Otro pasito mas hacia la dictadura total de internet.

V 0
K 6
mmm_

#78 En que www.algo.com no tiene por qué ser necesariamente igual a algo.com.

V 3
K 31
Shotokax

#9 si hay una vulnerabilidad en el servidor DNS basta con que cambien la dirección a donde apunta www. No hace falta redireccionar a otro nombre.

V 0
K 11
Varlak

y si son www.main.hosting.com y main.hosting.com? Se verian igual, no?

V 1
K 16
Shotokax
editado

#64 yo creo que eso puede ser así para grandes cantidades de ficheros, quizá. Por ejemplo, para comprobar si son fotos todos los ficheros de un directorio y mostrar una previsualización en GNOME. Sin embargo, si haces doble click en un solo fichero, comprobar si es un documento de LibreOffice o un MP3 antes de abrirlo debería ser instantáneo, ¿no?

Por curiosidad, ¿tienes algún enlace que explique lo dices?

V 0
K 11
Sofa_Knight

#42 #54 Que el uso de www no es más que convencional y parte de un subdominio ya lo sé. Pero no hay ninguna seguridad que www.dominio.com sea la misma página que dominio.com. El uso de subdominios es muy habitual en phising.

Es más, me parece increible a estas alturas que los navegadores se empeñen en no dejarte ver a qué página te va a dirigir un vínculo, como era habitual antes. No te deja ver si vas a acceder al vínculo que la página te está presentado o es otro completamente diferente.

V 2
K 28
D

#52 #10 #11 #24 muy seguramente sé más del tema que todos vosotros juntos, pero no perdáis la oportunidad para ir de listos.

Venga, por qué tengo que mantener un subdominio www. en lugar de tener el dominio principal apuntando a mi servidor web o load balancer con los puertos 80 y 443 expuestos. Decidme un solo caso de uso donde tenga sentido guardarse el dominio para, ehm, otras cosas, en lugar de precisamente tener el más limpio expuesto al usuario y tener subdominios para otros servicios menos usados como FTP (estamos en 1995 supongo) y email (que da igual el dominio porque para eso están los récords MX en DNS.

V 5
K 45
D

#87 ??? Vamos a ver la cuestión es si te fías o no del dominio principal o no, que más da si el dominio www redirige o no al subdominio principal? Qué seguridad te aporta? Lo importante es que reconozcas el dominio principal para luego fiarte de los subdominios.

Si te quieren hacer pishing nadie puede comprar el subdominio de otra empresa para hacerlo, los subdominios pertenecen al dueño del dominio original.

V 3
K 31
kucho

www es redundante y muchas veces, mal configurado. hay mucho site que no resuelve el dominio sin www.

la parte del phishing no la termino de ver. tanto el dominio con www como el dominio sin www pertenecen a la misma gente, no veo el engaño.

V 1
K 14
D

#83 Me imagino que lo decís por eso, pero sigo sin entender porqué no puede ser igual.

V 0
K 10
EauDeMeLancomes

#88 para aprender te recomiendo mejor ir a la escuela. Preguntar a gente que consideras que sabemos juntos menos que tú... Es de ser poco... ¿Coherente?

Hasta la vista meta-crack-hyper-jaker.

Jajajajjajajajajjajajajajaj

V 4
K -18
K

#81 El subdominio www no aporta seguridad alguna, no verlo tampoco. Si hay un fallo de seguridad, éste no será causa de ver dicho subdominio. Sé que no lo entiendes, pero yo también sé de lo que hablo.

Sobre el resto de lo que comentas, mejor no comento... Hay otros comentarios que te responden y resuelven tus dudas sobre el dominio www.

V 2
K 25
Sofa_Knight

#5 Normalmente es otro dominio diferente, raramente verás un phishing que no sea evidente. Vamos que te llegará un e-mail de paypal con una dirección para cambiar tus datos y el vínculo sera cumbaya.com. Los más sotisficados utilizarán programas suplantadores de correo, con lo que llegará un correo falso con remite de una cuenta verdadera y algún dominio con nombre muy parecido. Hay casos tan bestias como el de utilizar carácteres unicode: https://blog.segu-info.com.ar/2018/02/dominios-con-puntos-debajo-de-las.html
En el caso de que sea www.dominio.com a dominio.com, creo que ya tendría que haber acceso al servidor web. Que ya sería un caso extremo.

V 2
K 25
K
editado

#92 Te sobra educación cuando lo que deberías hacer es callar, escuchar y aprender. Se ve que te molesta que te digan que estas equivocado. Si te pica, Pues te rascas.

El dominio www no aporta nada, tampoco aporta seguridad.

Hasta la vista, meta-crack-hyper-jaker.

V 2
K 21
Shotokax

#78 no, todas las URL no llevan "www". Aquí un ejemplo:

https://packages.debian.org/search?keywords=system-config-lvm

Para empezar, si quitas "www" no vas a saber si estás en www.packages.debian.org o en packages.debian.org. Después, ¿si quitas "www", por qué no también "packages"? Me parece incongruente eliminar el subdominio, pero solamente si es "www". No es que esto tenga implicaciones prácticas graves, aparentemente, pero me parece una cutrada.

V 1
K 20
Sofa_Knight
editado

#89 Vamos a ver, se me ocurren dos casos: Acceso al propio servidor por parte de un suplantador. Que vale, no es lo normal pero podría pasar. Casi descartable.
El otro caso sería, que la web fuera www.m.www.dominio.com, por ejemplo. Chrome te lo acorta a dominio.com.

V 0
K 7
D

#97 NO, Chrome no hace eso, solo oculta el subdominio www, haz la prueba.

Además www.m.www.dominio.com pertenece al doueño de dominio.com es de este del que te tienes que fiar.

V 0
K 11
cosmonauta
editado

#61 Aunque sea irrelevante, no veo por qué Chrome debe esconderlo ni en qué beneficia al usuario.
Como dice el artículo, puede tener que ver con lo dominios amp que son gestionados directamente por Google tomando el contenido original de la URL original y suplantando esta en los buscadores.

V 3
K 30
Sofa_Knight

#98 No lo digo yo, lo he estado mirando y según parece, sí lo hace. Se come cualquier subdominio www. No puedo comprobarlo porque no tengo Chrome instalado, pero esta es la línea de codigo, está en github:
https://github.com/chromium/chromium/blob/master/components/url_formatter/url_formatter.cc#L71

static bool IsTrivialSubdomain(base::StringPiece subdomain) {
if (subdomain == "www")
return true;

Por cierto, y ya fuera de temas de seguridad, ¿qué pasa si alguien tiene dos servicios diferentes, uno www.dominio.com que és la página y otro dominio.com que es algo completamente diferente?

https://www.reddit.com/r/programming/comments/9ds1qx/chrome_69_www_subdomain_missing_from_url/

V 3
K 29
1 2