Android

Upozornění na bezpečnostní certifikáty nefungují, výzkumníci říkají

Dies academicus 2019 spojené s předáváním Cen rektora MU

Dies academicus 2019 spojené s předáváním Cen rektora MU
Anonim

Každý webový surfař je viděl. Upozornění na neplatné certifikáty, které někdy získáte, když se pokoušíte navštívit bezpečný web.

Říká se například, že se jedná o problém s bezpečnostním certifikátem tohoto webu. Pokud jste jako většina lidí, můžete se cítit trochu neklidně a - podle nového článku od výzkumníků na univerzitě Carnegie Mellon - je tu velká šance, že varování ignorujete a kliknete na ni.

laboratorní experiment, zjistili, že mezi 55% a 100% účastníků ignorovali upozornění na bezpečnostní certifikáty, v závislosti na tom, který prohlížeč používají (různé prohlížeče používají jiný jazyk, aby varovali uživatele)

[Další informace: Vaše Windows PC]

"Každý věděl, že je problém s těmito varováními," řekl Joshua Sunshine, postgraduální student Carnegie Mellon a jeden z autorů. "Naše studie dramaticky ukázala, jak velký je problém."

To není skvělá zpráva. Varování se často objevují kvůli technickému problému na webu, ale mohou také znamenat, že webový surfer je nějakým způsobem přesměrován na falešný web. Adresy URL pro zabezpečené weby začínají na adrese

Výzkumníci poprvé provedli online průzkum více než 400 webových surfařů, aby zjistili, co si mysleli o upozorněních na certifikáty. Poté přivezli do laboratoře 100 lidí a studovali, jak surfují na webu. Zjistili, že lidé často měli smíšené chápání upozornění na certifikáty. Například mnozí si mysleli, že mohou ignorovat zprávy při návštěvě stránek, kterým důvěřují, ale že by měli být více opatrní na méně důvěryhodných místech. "" To je něco zpětného chápání toho, co tyto zprávy znamenají, "řekl Sunshine. "Zpráva potvrzuje, že jste navštívili stránky, o kterých si myslíte, že navštěvujete, ne že jsou stránky důvěryhodné."

Pokud se na bankovním webu zobrazí zpráva, že jeho bezpečnostní certifikát je neplatný, je to velmi špatný znak, říkají bezpečnostní experti. Mohlo by to znamenat, že webový surfař je vystaven takzvanému útoku mezi lidmi. V tomto typu útoku se zločinec vloží mezi webový surfař a místo, které navštěvuje, v naději, že krádež informací.

Odborníci na bezpečnost již dlouho vědí, že tato bezpečnostní varování jsou neúčinná, řekl Jeremiáš Grossman, vedoucí technický pracovník společnosti Poradenství pro webovou bezpečnost White Hat Security. To proto, že uživatelé "opravdu nevědí, co znamenají bezpečnostní rizika," řekl prostřednictvím okamžité zprávy. "A tak si vezmou hazard."

V prohlížeči Firefox 3 se Mozilla snažil používat zjednodušený jazyk a lepší upozornění na špatné certifikáty. A prohlížeč ztěžuje ignorování varování o špatném certifikátu. V laboratoři Carnegie Mellon byli uživatelé aplikace Firefox 3 nejméně pravděpodobné, že se po zobrazení varování objeví.

Vědci experimentovali s několika přepracovanými bezpečnostními varováními, které napsali, což se zdálo být ještě efektivnější. Plánují hlásit své závěry 14. srpna na Usenix Security Symposium v ​​Montrealu.

Stále Sunshine věří, že lepší varování pomohou jen tolik. Namísto varování by prohlížeče měly používat systémy, které mohou analyzovat chybové zprávy. "Pokud se tyto systémy rozhodnou, že to bude pravděpodobně útok, měli by to uživatela úplně zablokovat," uvedl.

I při návštěvě důležitých webových stránek, jako jsou banky, "lidé stále dramaticky ignorují varování," řekl.