کمیته رکن چهارم – محققان تاکنون راههایی یافتهاند که به واسطه آنها پیروی کاربران اینترنت از توصیهها بهبود مییابد اما کاربران همچنان نشان دادهاند که نمیدانند چه چیزی در معرض خطر است.
به گزازرش رکن چهارم،بنابر تحقیقی که گوگل با همکاری محققان دانشگاه پنسیلوانیا انجام داده است، تعداد اندکی از کاربرانی که با هشدار مرورگر خود مواجه میشوند توصیههای ارائهشده را به واقع میخوانند و درک میکنند اما به هر حال میتوانند از راهنمایی برای انجام اقدام درست بهره بگیرند. این گروه امیدوار است راههایی برای حل این مشکلات بیابد.
در تحقیقی که در ماه آوریل عرضه خواهد شد ۹ گروه از محققان دریافتند که استفاده از گرافیک برای ترویج ایمنترین اقدامات، به شدت باعث افزایش تعداد کاربرانی میشود که از اقدامات پیشنهادی پیروی میکنند اما به رغم این موفقیت، کاربران نسبتاً اندکی متن هشدارها را درک کرده و این متون خطرات را تشریح میکنند و میگویند کدامیک از دادهها ممکن است در معرض خطر باشند.
این گروه از محققان میگویند که میزان درک متن در مورد تمام متون هشدار SSL که آزموده شدند کمتر از حد مطلوب بود. این وضعیت ناامیدکننده است زیرا از نظر ما درک متن مهمتر از تبعیت است.
SSL، لایه سوکتهای امن، اساس بخش اعظم ایمنی در وب و اینترنت است. SSL متداولترین روش برای کدگذاری ارتباطات شبکه محسوب میشود و برای ایمنسازی ترافیک رفتوبرگشتی میان سرورهای وب و مابین سرورهای ایمیل و مشتریان به کار میرود. استاندارد در حال تحول است و هم اکنون نسخه امروزیتری به نام پروتکل TLS، امنیت لایه انتقال، مورد استفاده قرار میگیرد.
گوگل در بخشی از روند توسعه مداوم مرورگر کروم خود بر ایمنسازی SSL متمرکز شده است. برای مثال این شرکت در ماه سپتامبر تصمیم گرفت که بر اساس پروتکل رمزنگاری معروف به SHA-۱ به تدریج از پذیرش مجوزهای SSL خودداری کند.
از آنجا که بسیاری از کاربران هشدارهای SSL را هشدارهایی اشتباه تلقی میکنند، محققان گوگل در این مورد به مطالعه پرداختند که چه چیزی باعث بروز خطاهای SSL میشود. آنها دریافتند که این خطاها صرفاً ناشی از حملات افراد و کدگذاری بد در وب نیست بلکه عوامل مختلفی در این زمینه دخیلاند.
بعضی از این عوامل خطاهایی ساده همچون مجوزهای نادرست یا تنظیم نبودن ساعت سیستمهای مشتریان است. موارد دیگری نیز وجود دارند که خطا نیستند اما شامل زیرساختهاییاند که بر اساس قواعد SSL عمل نمیکنند؛ مانند پورتالهای تسخیری (captive portals) یا شبکههایی که از درخواستهای SSL ممانعت میکنند یا طراحیهای شبکهای خاص در مدارس راهنمایی و دبیرستان.
بنابر مطلبی که آدرین پورتر فلت، عضو گروه امنیت کروم، در تاریخ ۳۰ ژانویه ارائه کرده هشدار SSL ایدهآل باید به کاربران این اجازه را بدهد که منبع تهدید را درک کنند و بفهمند که کدام داده در معرض خطر است و آیا هشدار ناشی از پیکربندی اشتباه است یا پارادوکس مثبت کاذب.
محققان از نشانههای بصری همچون قفل قرمز و پسزمینه زرد استفاده کردند تا سهم مداخله کاربرانی را که از توصیههای مرورگر پیروی میکنند، افزایش دهند. این تکنیک در مرحله آزمون، میزان مداخلٔ کاربران مذکور را تا ۶۱ درصد افزایش داد. این در حالیست که در مورد هشدارهای نسخه قبلی این نرمافزار این میزان ۳۷ درصد بود.
کاهش پیچیدگی زبان مورد استفاده در هشدارها نتوانست بر افزایش چشمگیری در درک متن تهدیدات بینجامد. محققان برای توصیف خطرات خاص از زبان سادهتر رده ششم، به جای زبان رده یازدهمی هشدارهای پیشین، استفاده کردند و تصویر قفلی قرمز را نیز به آن افزودند. نتایج حاصل برای محققان مذکور ناامیدکننده بود.
آن ها میگویند که چرا تمام هشدارها، از جمله هشدارهای خود ما، با شکست مواجه میشوند. با اینکه سعی کردیم بهترین روشها را در پیش بگیریم، شاهد بودیم که توصیههای کاملاً متفاوت با هم عوضی گرفته میشوند. شاید انتخابهای ما بهترین نبوده باشند. این نشان میدهد که باید در مورد اهمیت نسبی اختصار، وضوح، و زبان غیرفنی در هشدارهای امنیتی تحقیق بیشتری صورت گیرد.
منبع : خبر گزاری فارس
