عدم درک کاربران از هشدارهای امنیتی نگران‌کننده است

۱کمیته رکن چهارم – محققان تاکنون راه‌هایی یافته‌اند که به واسطه آن‌ها پیروی کاربران اینترنت از توصیه‌ها بهبود می‌یابد اما کاربران همچنان نشان داده‌اند که نمی‌دانند چه چیزی در معرض خطر است.

به گزازرش رکن چهارم،بنابر تحقیقی که گوگل با همکاری محققان دانشگاه پنسیلوانیا انجام داده است، تعداد اندکی از کاربرانی که با هشدار مرورگر خود مواجه می‌شوند توصیه‌های ارائه‌شده را به واقع می‌خوانند و درک می‌کنند اما به هر حال می‌توانند از راهنمایی برای انجام اقدام درست بهره بگیرند. این گروه امیدوار است راه‌هایی برای حل این مشکلات بیابد.

در تحقیقی که در ماه آوریل عرضه خواهد شد ۹ گروه از محققان دریافتند که استفاده از گرافیک برای ترویج ایمن‌ترین اقدامات، به شدت باعث افزایش تعداد کاربرانی می‌شود که از اقدامات پیشنهادی پیروی می‌کنند اما به رغم این موفقیت، کاربران نسبتاً اندکی متن هشدارها را درک کرده و این متون خطرات را تشریح می‌کنند و می‌گویند کدام‌یک از داده‌ها ممکن است در معرض خطر باشند.

این گروه از محققان می‌گویند که میزان درک متن در مورد تمام متون هشدار SSL که آزموده شدند کم‌تر از حد مطلوب بود. این وضعیت ناامیدکننده است زیرا از نظر ما درک متن مهم‌تر از تبعیت است.

SSL، لایه سوکت‌های امن، اساس بخش اعظم ایمنی در وب و اینترنت است. SSL متداول‌ترین روش برای کدگذاری ارتباطات شبکه محسوب می‌شود و برای ایمن‌سازی ترافیک رفت‌وبرگشتی میان سرورهای وب و مابین سرورهای ایمیل و مشتریان به کار می‌رود. استاندارد در حال تحول است و هم اکنون نسخه امروزی‌تری به نام پروتکل TLS، امنیت لایه انتقال، مورد استفاده قرار می‌گیرد.

گوگل در بخشی از روند توسعه مداوم مرورگر کروم خود بر ایمن‌سازی SSL متمرکز شده است. برای مثال این شرکت در ماه سپتامبر تصمیم گرفت که بر اساس پروتکل رمزنگاری معروف به SHA-۱ به تدریج از پذیرش مجوزهای SSL خودداری کند.

از آن‌جا که بسیاری از کاربران هشدارهای SSL‌ را هشدارهایی اشتباه تلقی می‌کنند، محققان گوگل در این مورد به مطالعه پرداختند که چه چیزی باعث بروز خطاهای SSL می‌شود. آن‌ها دریافتند که این خطاها صرفاً ناشی از حملات افراد و کدگذاری بد در وب نیست بلکه عوامل مختلفی در این زمینه دخیل‌اند.

بعضی از این عوامل خطاهایی ساده همچون مجوزهای نادرست یا تنظیم نبودن ساعت سیستم‌های مشتریان است. موارد دیگری نیز وجود دارند که خطا نیستند اما شامل زیرساخت‌هایی‌اند که بر اساس قواعد SSL عمل نمی‌کنند؛ مانند پورتال‌های تسخیری (captive portals) یا شبکه‌هایی که از درخواست‌های SSL ممانعت می‌کنند یا طراحی‌های شبکه‌‌ای خاص در مدارس راهنمایی و دبیرستان.

بنابر مطلبی که آدرین پورتر فلت، عضو گروه امنیت کروم، در تاریخ ۳۰ ژانویه ارائه کرده هشدار SSL ایده‌آل باید به کاربران این اجازه را بدهد که منبع تهدید را درک کنند و بفهمند که کدام داده در معرض خطر است و آیا هشدار ناشی از پیکربندی اشتباه است یا پارادوکس مثبت کاذب.

محققان از نشانه‌های بصری‌ همچون قفل قرمز و پس‌زمینه زرد استفاده کردند تا سهم مداخله کاربرانی را که از توصیه‌های مرورگر پیروی می‌کنند، افزایش دهند. این تکنیک در مرحله آزمون، میزان مداخل‌ٔ کاربران مذکور را تا ۶۱ درصد افزایش داد. این در حالی‌ست که در مورد هشدارهای نسخه قبلی این نرم‌افزار این میزان ۳۷ درصد بود.

کاهش پیچیدگی زبان مورد استفاده در هشدارها نتوانست بر افزایش چشم‌گیری در درک متن تهدیدات بینجامد. محققان برای توصیف خطرات خاص از زبان ساده‌تر رده ششم، به جای زبان رده یازدهمی هشدارهای پیشین، استفاده کردند و تصویر قفلی قرمز را نیز به آن افزودند. نتایج حاصل برای محققان مذکور ناامیدکننده بود.

آن ها می‌گویند که چرا تمام هشدارها، از جمله هشدارهای خود ما، با شکست مواجه می‌شوند. با این‌که سعی کردیم بهترین روش‌ها را در پیش بگیریم، شاهد بودیم که توصیه‌های کاملاً متفاوت با هم عوضی گرفته می‌شوند. شاید انتخاب‌های ما بهترین نبوده باشند. این نشان می‌دهد که باید در مورد اهمیت نسبی اختصار، وضوح، و زبان غیرفنی در هشدارهای امنیتی تحقیق بیش‌تری صورت گیرد.

منبع : خبر گزاری فارس

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.