Raport: komunikaty ostrzegawcze dotyczące certyfikatów SSL są bezużyteczne

Komunikaty wyświetlane w przypadku nieprawidłowych certyfikatów SSL na serwerach WWW praktycznie nie odstraszają użytkowników przed odwiedzeniem danej strony, ustalili naukowcy z Carnegie Mellon University. Podczas przeprowadzonej obserwacji, ponad 55% biorących udział w teście osób po prostu ignorowało pokazywane na ekranie ostrzeżenia i przechodziło dalej do widoku strony. Wniosek ten nie jest z pewnością niczym nowym, jednak tym razem badacze przeanalizowali problem również pod względem ilościowym.

Obraz

Okazało się, że zrozumienie idei certyfikatów jest u większości użytkowników całkowicie błędne. W przypadku stron uznanych przez nich za zaufane, a na których pojawił się komunikat błędu certyfikatu, byli oni mniej nieufni niż w przypadku witryn uznanych z góry za niegodne zaufania. Oznacza to, że próba przeprowadzenia ataku typu Man in the Middle wymierzonego w serwis bankowości elektronicznej wzbudziłaby mniejsze podejrzenia niż w przypadku witryny nieznanego sklepu internetowego. Według danych badaczy wielu użytkowników błędnie pojmuje zasadę działania certyfikatu, który ma jedynie gwarantować, że znajdujemy się na właściwej stronie. Certyfikat nie określa natomiast, czy jej operator jest godny zaufania.

Problemem jest to, że użytkownicy nie potrafią właściwie zinterpretować komunikatu błędu przeglądarki w przypadku nieprawidłowego certyfikatu, np. w sytuacji, gdy upłynął czas jego ważności bądź wywołana domena nie zgadza się z nazwą serwera widniejącą w certyfikacie. Tego rodzaju problemy występują regularnie z powodu błędów technicznych, w związku z czym użytkownicy są przyzwyczajeni do ich ignorowania.

Trzeba zaznaczyć, że opisywany raport nie jest zbyt reprezentatywny. Zbadano zachowanie jedynie 100 użytkowników posługujących się różnymi przeglądarkami. Według rezultatów eksperymentu, użytkownicy Firefoksa zignorowali najmniej ostrzeżeń, ponieważ prezentuje on komunikaty bardziej zrozumiałe i za pomocą czytelniejszych okien dialogowych. Wobec tego naukowcy przeprowadzili następnie eksperyment z własnoręcznie sformułowanymi komunikatami ostrzeżeń. Jego wyniki będą opublikowane podczas nadchodzącego Usenix Security Symposium.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Problemy rosyjskiej floty podwodnej. Od "kulejącego okrętu" do "pływającej Hiroszimy"
Problemy rosyjskiej floty podwodnej. Od "kulejącego okrętu" do "pływającej Hiroszimy"
Tajemnica posągów z Wyspy Wielkanocnej rozwiązana. Są nowe badania
Tajemnica posągów z Wyspy Wielkanocnej rozwiązana. Są nowe badania
Błędnie zdiagnozowała raka. AI myli się w 7 na 10 przypadków
Błędnie zdiagnozowała raka. AI myli się w 7 na 10 przypadków
Widowiskowy pokaz świateł z dalekiej północy. Zorza polarna znów nad Polską
Widowiskowy pokaz świateł z dalekiej północy. Zorza polarna znów nad Polską
Odkryli egipską twierdzę sprzed 3,5 tys. lat. W środku piece i ciasto
Odkryli egipską twierdzę sprzed 3,5 tys. lat. W środku piece i ciasto
Muzyka generowana przez AI zastępuje artystów. Sklepy w Belgii unikają opłat
Muzyka generowana przez AI zastępuje artystów. Sklepy w Belgii unikają opłat
Muchomory modne na Instagramie? Toksykolog: eksperymenty mogą zabić
Muchomory modne na Instagramie? Toksykolog: eksperymenty mogą zabić
Sekret rosyjskiego Su-57 poznany. Oto co pomieści w swoim wnętrzu
Sekret rosyjskiego Su-57 poznany. Oto co pomieści w swoim wnętrzu
Fascynujące odkrycie na Tytanie. To prawdziwe wyzwanie dla chemików
Fascynujące odkrycie na Tytanie. To prawdziwe wyzwanie dla chemików
Pocisk manewrujący Ragnarök pokazany. To długie ramię dla "Walkirii"
Pocisk manewrujący Ragnarök pokazany. To długie ramię dla "Walkirii"
Już kupowali z Zachodu. Nagle zwrot akcji. Wybrali myśliwiec z Chin
Już kupowali z Zachodu. Nagle zwrot akcji. Wybrali myśliwiec z Chin
Są starsze niż piramidy w Gizie. Natura stworzyła je w Alpach
Są starsze niż piramidy w Gizie. Natura stworzyła je w Alpach