A interface de aviso SSL revista introduzida no Chrome 37, projetado para ensinar os usuários comportamentos mais seguros, era apenas um sucesso parcial - de acordo com a própria análise da equipe de segurança do Chrome.
Avisos de segurança confusas servem apenas para tornar os usuários mais inseguros e normalizar comportamentos de risco, de acordo com o Google. Para tentar bater esse, o Google tentou fazer a sua interface mais fácil de entender, e tentar limitar-se a avisos quando existia um risco real.
Este Association for Computing Machinery (ACM) de papel e apresentação explicar que a tentativa foi um sucesso apenas parcial.
Mesmo com recursos do Google por trás deles, o grupo que o autor do papel diz que é difícil criar um aviso de segurança que pode ser lido para baixo para-grade de seis níveis, e dará aos usuários ou a informação de que necessitam para se manter seguro, ou para orientá-los no sentido de uma decisão segura.
"Nós acabou por fracassar em nossa meta de um aviso bem-compreendido. No entanto, quase 30% a mais do total de usuários escolheram permanecer seguro depois de ver o nosso aviso ", diz o documento.
Com um diálogo SSL redesenhado projetado para retirar jargão e informar aos usuários que possam estar em perigo, a melhor equipe de design conseguiu foi cerca de 58 por cento de conformidade.
Melhor de muito mau: este aviso SSL quase dobrou o cumprimento do usuário, mas muitos usuários ainda não obtê-lo
A equipe de segurança Chromium, liderada por Adrienne Porter Felt, avalia existem tantos graus entre um verdadeiro ataque contra e usuário final e um navegador gerar um aviso quando nenhum é necessário.
Se um relógio do cliente está errado, ou se o empregador tem uma caixa de DPI ou filtro de conteúdo entre um usuário e da Internet, ou um cliente está faltando um certificado raiz, o usuário receberá um aviso SSL que lhes diz nada, e serve apenas para ensiná-los a clicar em "OK" em um diálogo.
Conforme informa o estudo, "Um aviso ideal SSL seria capacitar os usuários a tomar decisões informadas e, na sua falta, orientar os usuários confusos com a segurança".
"Atribuímos as taxas baixas de compreensão para a dificuldade de criar um aviso SSL que é ao mesmo tempo breve, não técnica, simples e específica", o documento conclui. ®
Nenhum comentário:
Postar um comentário