Ненав’язливі попередження про безпеку привчають користувачів ігнорувати їх
22:44 24.08.2009Відповідно до останнього звіту Університету Карнегі-Меллона, інтернет-користувачі виробляють імунітет до попереджень про невідповідність SSL-сертифікатів сайтів вимогам безпеки і продовжують роботу з ними. Дослідники з’ясували, що користувачі не коливаючись демонструють настільки ризиковане поводження багато в чому через те, що попередження носять м’який характер (як, наприклад, при повідомленні про закінчення терміну дії сертифіката). Така практика робить людей уразливими до атак “man-in-the-middle”, тому вчені призивають змінити характер повідомлень про небезпечні і безпечні ситуації.
У ході роботи фахівці вивчили реакцію 409 користувачів Інтернету на появу різних попереджень SSL, у результаті чого прийшли до висновку, що “занадто багато піддослідних демонструють небезпечне поводження при будь-яких умовах появи попереджень”. І це незважаючи на те, що багато хто розумів зміст попереджень.
За даними звіту, ті люди, що не розуміли змісту попереджень, виявляли до них більше уваги. Це може являти собою проблему, оскільки проведене в січні дослідження показало, що 44% з 382860 сайтів з SSL-сертифікатами можуть викликати появу тих чи інших попереджень. Утім, поводження користувачів трохи змінювалося з появою повідомлення про невідповідність відображеної сторінки тієї, що була запитана. Користувачі, що розуміли зміст попередження, були менш схильні ігнорувати його, у той час як у тих, хто не розумів його змісту, рівень зневаги залишався незмінним.
У тому випадку, якщо попередження були виражені більш зрозумілою мовою, поводження користувачів змінювалося в кращу (більш безпечну) сторону, однак усе рівно залишалося дуже далеким від ідеального. На думку дослідників, це відбувається через те, що люди упевнені у відсутності серйозних наслідків при зневазі повідомленнями SSL, оскільки вони бачать їх на законослухняних сайтах. У підсумку, учені радять або взагалі відмовитися від попереджень для зручності користувачів, або зробити їх більш агресивними.
По матеріалам http://www.xakep.ru.