Raport: komunikaty ostrzegawcze dotyczące certyfikatów SSL są bezużyteczne

Strona głównaRaport: komunikaty ostrzegawcze dotyczące certyfikatów SSL są bezużyteczne
31.07.2009 14:40
Raport: komunikaty ostrzegawcze dotyczące certyfikatów SSL są bezużyteczne

Komunikaty wyświetlane w przypadku nieprawidłowych certyfikatów SSL na serwerach WWW praktycznie nie odstraszają użytkowników przed odwiedzeniem danej strony, ustalili naukowcy z Carnegie Mellon University. Podczas przeprowadzonej obserwacji, ponad 55% biorących udział w teście osób po prostu ignorowało pokazywane na ekranie ostrzeżenia i przechodziło dalej do widoku strony. Wniosek ten nie jest z pewnością niczym nowym, jednak tym razem badacze przeanalizowali problem również pod względem ilościowym.

Okazało się, że zrozumienie idei certyfikatów jest u większości użytkowników całkowicie błędne. W przypadku stron uznanych przez nich za zaufane, a na których pojawił się komunikat błędu certyfikatu, byli oni mniej nieufni niż w przypadku witryn uznanych z góry za niegodne zaufania. Oznacza to, że próba przeprowadzenia ataku typu Man in the Middle wymierzonego w serwis bankowości elektronicznej wzbudziłaby mniejsze podejrzenia niż w przypadku witryny nieznanego sklepu internetowego. Według danych badaczy wielu użytkowników błędnie pojmuje zasadę działania certyfikatu, który ma jedynie gwarantować, że znajdujemy się na właściwej stronie. Certyfikat nie określa natomiast, czy jej operator jest godny zaufania.

Problemem jest to, że użytkownicy nie potrafią właściwie zinterpretować komunikatu błędu przeglądarki w przypadku nieprawidłowego certyfikatu, np. w sytuacji, gdy upłynął czas jego ważności bądź wywołana domena nie zgadza się z nazwą serwera widniejącą w certyfikacie. Tego rodzaju problemy występują regularnie z powodu błędów technicznych, w związku z czym użytkownicy są przyzwyczajeni do ich ignorowania.

Trzeba zaznaczyć, że opisywany raport nie jest zbyt reprezentatywny. Zbadano zachowanie jedynie 100 użytkowników posługujących się różnymi przeglądarkami. Według rezultatów eksperymentu, użytkownicy Firefoksa zignorowali najmniej ostrzeżeń, ponieważ prezentuje on komunikaty bardziej zrozumiałe i za pomocą czytelniejszych okien dialogowych. Wobec tego naukowcy przeprowadzili następnie eksperyment z własnoręcznie sformułowanymi komunikatami ostrzeżeń. Jego wyniki będą opublikowane podczas nadchodzącego Usenix Security Symposium.

wydanie internetowe www.heise-online.pl

Udostępnij:
Wybrane dla Ciebie
Komentarze (2)