Avertismentele privind certificatele de siguranță nu funcționează, spun cercetătorii

Fiecare surfer Web le-a văzut. Aceste avertismente privind "certificatul nevalid" pe care îl primiți uneori atunci când încercați să vizitați un site Web securizat.

Ele spun lucruri precum "Există o problemă cu certificatul de securitate al acestui site Web". Dacă sunteți ca majoritatea oamenilor, s-ar putea să vă simțiți vagi neliniștiți și - conform unui nou material al cercetătorilor de la Universitatea Carnegie Mellon - există șanse mari să ignorați avertismentul și să faceți clic pe oricum.

Într-o experimentul de laborator, cercetătorii au descoperit că între 55% și 100% dintre participanți au ignorat avertismentele de securitate ale certificatelor, în funcție de browserul pe care îl utilizează (diferite browsere folosesc limbi diferite pentru a-și avertiza utilizatorii). PC-ul Windows

"Toată lumea știa că a existat o problemă cu aceste avertismente", a declarat Joshua Sunshine, student Carnegie Mellon și unul dintre co-autori ai lucrării. "Studiul nostru a arătat dramatic cât de mare a fost problema."

Nu este o veste bună. Adesea avertismentele apar din cauza unei probleme tehnice de pe site-ul Web, dar pot însemna și că surferul Web este redirecționat într-un fel la un site Web fals. Adresele URL pentru site-urile web securizate încep cu "https".

Cercetătorii au realizat mai întâi un sondaj online de peste 400 de surferi de web, pentru a afla ce credeau despre avertismentele privind certificatele. Apoi au adus 100 de oameni într-un laborator și au studiat modul în care navighează pe Web. Au descoperit că oamenii au avut adesea o înțelegere clară a avertismentelor privind certificatele. De exemplu, mulți s-au gândit că ar putea ignora mesajele când vizitează un site în care au încredere, dar că ar trebui să fie mai precaut la site-urile care nu au încredere.

"Aceasta este o înțelegere înapoi a ceea ce înseamnă aceste mesaje", a spus Sunshine. "Mesajul confirmă faptul că vizitați site-ul pe care îl considerați vizitat, nu că site-ul este demn de încredere".

Dacă un site web bancar afișează un mesaj care indică faptul că certificatul său de securitate este nevalid, acesta este un semn foarte rău, spun experții în securitate. Ar putea însemna că surferul Web este supus unui atac așa-numit om-în-mijloc. În acest tip de atac, criminalul se inserează între surferul Web și site-ul pe care îl vizitează, în speranța de a fura informații.

Experții în securitate au știut mult timp că aceste avertismente de securitate sunt ineficiente, a declarat Jeremiah Grossman, Consultanță în domeniul securității web White Hat Security. Asta pentru ca utilizatorii "nu stiu cu adevarat ce inseamna riscurile de securitate", a spus el prin mesaj instant. "Deci, ei iau jocul."

În browser-ul Firefox 3, Mozilla a încercat să folosească un limbaj mai simplu și avertizări mai bune pentru certificate necorespunzătoare. Și browserul face mai greu să ignorați un avertisment de avertizare incorect. În laboratorul din Carnegie Mellon, utilizatorii de Firefox 3 au fost cel mai puțin probabil să facă clic după ce au prezentat un avertisment.

Cercetătorii au experimentat câteva avertismente de securitate redesenate pe care le-au scris, care păreau chiar mai eficiente. Ei intenționează să raporteze rezultatele pe 14 august la Simpozionul de securitate Usenix din Montreal. Totuși, Sunshine consideră că avertismentele mai bune vor ajuta doar atât. În loc de avertismente, browserele ar trebui să utilizeze sisteme care să poată analiza mesajele de eroare. "Dacă acele sisteme decid acest lucru ar putea fi un atac, ar trebui doar să blocheze utilizatorul cu totul", a spus el.

Chiar și atunci când vizitează site-uri Web importante precum băncile, "oamenii ignoră dramatic avertismentele", a spus el.