گوگل: کاربران هشدارهای امنیتی را درک نمیکنند
محققان راههایی یافتهاند که به واسطهٔ آنها پیروی کاربران اینترنت از توصیهها بهبود مییابد، اما کاربران همچنان نشان دادهاند که نمیدانند چه چیزی در معرض خطر است.
بنا بر تحقیقی که گوگل با همکاری محققان دانشگاه پنسیلوانیا انجام داده است، تعداد اندکی از کاربرانی که با هشدار مرورگر خود مواجه میشوند توصیههای ارائهشده را به واقع میخوانند و درک میکنند، اما به هر حال میتوانند از راهنمایی برای انجام اقدام درست بهره بگیرند. این گروه امیدوار است راههایی برای حل این مشکلات بیابد.
در تحقیقی که در ماه آوریل عرضه خواهد شد، گروهی مرکب از 9 محقق دریافت که استفاده از گرافیک برای ترویج ایمنترین اقدامات، به شدت باعث افزایش تعداد کاربرانی میشود که از اقدامات پیشنهادی پیروی میکنند، اما به رغم این موفقیت، کاربران نسبتاً اندکی متن هشدارها را درک میکنند. این متون خطرات را تشریح میکنند و میگویند کدامیک از دادهها ممکن است در معرض خطر باشند.
این گروه از محققان میگویند: «میزان درک متن در مورد تمام متون هشدار SSL که آزموده شدند کمتر از حد مطلوب بود. این وضعیت ناامیدکننده است، زیرا از نظر ما درک متن مهمتر از تبعیت است.»
SSL (لایهٔ سوکتهای امن) اساس بخش اعظم ایمنی در وب و اینترنت است. SSL متداولترین روش برای کدگذاری ارتباطات شبکه محسوب میشود و برای ایمنسازی ترافیک رفتوبرگشتی میان سرورهای وب و مابین سرورهای ئیمیل و مشتریان به کار میرود. استاندارد در حال تحول است و نسخهٔ امروزیتری به نام پروتکل TLS (امنیت لایهٔ انتقال) هم اکنون مورد استفاده قرار دارد.
گوگل در بخشی از روند توسعهٔ مداوم مرورگر کروم خود، بر ایمنسازی SSL متمرکز شده است. برای مثال، در ماه سپتامبر، این شرکت تصمیم گرفت که بر اساس پروتکل رمزنگاری معروف به SHA-1، به تدریج از پذیرش مجوزهای SSL خودداری کند.
از آنجا که بسیاری از کاربران هشدارهای SSL را هشدارهایی اشتباه تلقی میکنند، محققان گوگل در این مورد به مطالعه پرداختند که چه چیزی باعث بروز خطاهای SSL میشود. آنها دریافتند که این خطاها صرفاً ناشی از حملات افراد و کدگذاری بد در وب نیست بلکه عوامل مختلفی در این زمینه دخیلاند.
بعضی از این عوامل خطاهایی ساده همچون مجوزهای نادرست یا تنظیم نبودن ساعت سیستمهای مشتریان است. موارد دیگری نیز وجود دارند که خطا نیستند اما شامل زیرساختهاییاند که بر اساس قواعد SSL عمل نمیکنند- مانند پورتالهای تسخیری (captive portals) یا شبکههایی که از درخواستهای SSL ممانعت میکنند، یا طراحیهای شبکهای خاص در مدارس راهنمایی و دبیرستان.
بنا بر مطلبی که آدرین پورتر فلت، عضو گروه امنیت کروم، در تاریخ 30 ژانویه ارائه کرد، هشدار SSL ایدهآل باید به کاربران این اجازه را بدهد که منبع تهدید را درک کنند، بفهمند که کدام داده در معرض خطر است، و آیا هشدار ناشی از پیکربندی اشتباه است یا پارادوکس مثبت کاذب.
محققان از نشانههای بصریای همچون قفل قرمز و پسزمینهٔ زرد استفاده کردند تا سهم مداخلهٔ کاربرانی را که از توصیههای مرورگر پیروی میکنند افزایش دهند. این تکنیک، در مرحلهٔ آزمون، میزان مداخلهٔ کاربران مذکور را تا 61 درصد افزایش داد. این در حالیست که در مورد هشدارهای نسخهٔ قبلی این نرمافزار این میزان 37 درصد بود.
اما کاهش پیچیدگی زبان مورد استفاده در هشدارها نتوانست بر افزایش چشمگیری در درک متن تهدیدات بینجامد. محققان برای توصیف خطرات خاص از زبان سادهتر رده ششم –به جای زبان رده یازدهمی هشدارهای پیشین- استفاده کردند و تصویر قفلی قرمز را نیز به آن افزودند.
نتایج حاصل برای محققان مذکور ناامیدکننده بود.
نویسندگان مقاله چنین نوشتند: «چرا تمام هشدارها –از جمله هشدارهای خود ما- با شکست مواجه میشوند؟ با اینکه سعی کردیم بهترین روشها را در پیش بگیریم، شاهد بودیم که توصیههای کاملاً متفاوت با هم عوضی گرفته میشوند. شاید انتخابهای ما بهترین نبوده باشند. این نشان میدهد که باید در مورد اهمیت نسبی اختصار، وضوح، و زبان غیرفنی در هشدارهای امنیتی تحقیق بیشتری صورت گیرد.»