Nem érdeklik a felhasználókat az SSL-figyelmezetések
Nem sokat érnek a nem hiteles SSL-aláírásokkal kapcsolatos figyelmeztetések, állítja egy egyetemi kutatás. Nagy különbség van abban, hogy egyes böngészők mennyire hatásosan tudják meggyőzni felhasználóikat a veszélyről, és hogy a figyelmeztetések szövegezésével javítani lehet eredményességükön.
A Carnegie Mellon University kutatói által készített kutatás arra a következtetésre jutott, hogy a böngészők által jelzett biztonsági tanúsítványok körüli problémák nagy részét átlépik a felhasználók, egyszerűen figyelmen kívül hagyva a kockázatokat. \"Mindenki tudta, hogy probléma van ezekkel a figyelmeztetésekkel. A kutatásunk drámaian rávilágított, milyen nagy is ez a probléma\" -- fogalmazott az IDG News Service-nek adott interjújában a publikáció egyik szerzője, Joshua Sunchine. Az eredményeket várhatóan az augusztusi Usenix Security Symposiumon prezentálják a kutatók.
A kutatás során 100 felhasználó viselkedését elemezték laboratóriumi körülmények közepette. Az alanyok többsége átlépett a figyelmeztetésen, és folytatták böngészésüket a weboldalon. A használt böngészőtől függően 55 és 100 százalék között szórt azok aránya, akik így tettek. Legjobban a Firefox 3 szerepelt, melyről a kutatók úgy találták, hogy egyszerű nyelvezettel igyekszik elmagyarázni a helyzetet, és nehezebbé is teszi, hogy figyelmen kívül hagyja a figyelmeztetést a felhasználó, hiszen külön biztonsági kivételt kell hozzáadni, így jobban tudatosítja a kérdés komolyságát.
A kutatók kísérleteztek saját figyelmeztetésekkel is, melyekkel még jobb eredményeket értek el, ugyanakkor az eszköznek megvannak a korlátai. Bármilyen jól is magyarázza el egy figyelmeztetés a problémát, és tudatosítja ésszerű keretek közepette, milyen kockázatokkal jár a továbblépés, a felhasználók egy jelentős részére nem fog hatni -- ebben kétségtelenül hibásak azok a legitim weboldalak is, melyek megfelelő hitelesítés nélküli SSL-aláírásokat alkalmaznak. Sunchine úgy véli, a böngészőknek kellene olyan mechanizmust bevetniük, melyek blokkolják a felhasználót a továbblépéstől, ha magas kockázatot érzékelnek, például egy banki oldalon nem találnak hiteles SSL-tanúsítványt, vagy például nem a teljes oldal titkosított egy érzékeny felületen.
A másik probléma, hogy a felhasználók nem is helyesen értelmezik az SSL-tanúsítványokat és az azokkal kapcsolatos gondokat. Adottnak veszik, hogy a domain, melyet látogatnak, megbízható, így a hiteles tanúsítvány hiányát sem tartják problémának -- pedig ezeknek pont az a céljuk, hogy azonosítsák a weblapot, így a felhasználók tudhatják, hogy valóban azzal az oldallal állnak szemben, amit meg akartak látogatni és nem pedig egy támadó térítette el a böngészőt. Sunchine szerint aggasztó, hogy még olyan érzékeny környezetben is, mint az online bankolás, az emberek nagy része figyelmen kívül hagyja a biztonsági figyelmeztetéseket.