اینترنت و شبکه

فناوری اطلاعات

February 10, 2015
9:20 سه شنبه، 21ام بهمنماه 1393
کد خبر: 67349

گوگل: کاربران هشدارهای امنیتی را درک نمی‌کنند

محققان راه‌هایی یافته‌اند که به واسطهٔ آن‌ها پیروی کاربران اینترنت از توصیه‌ها بهبود می‌یابد، اما کاربران همچنان نشان داده‌اند که نمی‌دانند چه چیزی در معرض خطر است.
بنا بر تحقیقی که گوگل با همکاری محققان دانشگاه پنسیلوانیا انجام داده است، تعداد اندکی از کاربرانی که با هشدار مرورگر خود مواجه می‌شوند توصیه‌های ارائه‌شده را به واقع می‌خوانند و درک می‌کنند، اما به هر حال می‌توانند از راهنمایی برای انجام اقدام درست بهره بگیرند. این گروه امیدوار است راه‌هایی برای حل این مشکلات بیابد.
در تحقیقی که در ماه آوریل عرضه خواهد شد، گروهی مرکب از 9 محقق دریافت که استفاده از گرافیک برای ترویج ایمن‌ترین اقدامات، به شدت باعث افزایش تعداد کاربرانی می‌شود که از اقدامات پیشنهادی پیروی می‌کنند، اما به رغم این موفقیت، کاربران نسبتاً اندکی متن هشدارها را درک می‌کنند. این متون خطرات را تشریح می‌کنند و می‌گویند کدام‌یک از داده‌ها ممکن است در معرض خطر باشند.
 
این گروه از محققان می‌گویند: «میزان درک متن در مورد تمام متون هشدار SSL که آزموده شدند کم‌تر از حد مطلوب بود. این وضعیت ناامیدکننده است، زیرا از نظر ما درک متن مهم‌تر از تبعیت است.»
 
SSL (لایهٔ‌ سوکت‌های امن) اساس بخش اعظم ایمنی در وب و اینترنت است. SSL متداول‌ترین روش برای کدگذاری ارتباطات شبکه محسوب می‌شود و برای ایمن‌سازی ترافیک رفت‌وبرگشتی میان سرورهای وب و مابین سرورهای ئی‌میل و مشتریان به کار می‌رود. استاندارد در حال تحول است و نسخهٔ امروزی‌تری به نام پروتکل TLS (امنیت لایهٔ انتقال) هم اکنون مورد استفاده قرار دارد.
 
گوگل در بخشی از روند توسعهٔ مداوم مرورگر کروم خود، بر ایمن‌سازی SSL متمرکز شده است. برای مثال، در ماه سپتامبر، این شرکت تصمیم گرفت که بر اساس پروتکل رمزنگاری معروف به SHA-1، به تدریج از پذیرش مجوزهای SSL خودداری کند.
 
از آن‌جا که بسیاری از کاربران هشدارهای SSL‌ را هشدارهایی اشتباه تلقی می‌کنند، محققان گوگل در این مورد به مطالعه پرداختند که چه چیزی باعث بروز خطاهای SSL می‌شود. آن‌ها دریافتند که این خطاها صرفاً ناشی از حملات افراد و کدگذاری بد در وب نیست بلکه عوامل مختلفی در این زمینه دخیل‌اند.
 
بعضی از این عوامل خطاهایی ساده همچون مجوزهای نادرست یا تنظیم نبودن ساعت سیستم‌های مشتریان است. موارد دیگری نیز وجود دارند که خطا نیستند اما شامل زیرساخت‌هایی‌اند که بر اساس قواعد SSL عمل نمی‌کنند- مانند پورتال‌های تسخیری (captive portals) یا شبکه‌هایی که از درخواست‌های SSL ممانعت می‌کنند، یا طراحی‌های شبکه‌‌ای خاص در مدارس راهنمایی و دبیرستان.
 
بنا بر مطلبی که آدرین پورتر فلت، عضو گروه امنیت کروم، در تاریخ 30 ژانویه ارائه کرد، هشدار SSL ایده‌آل باید به کاربران این اجازه را بدهد که منبع تهدید را درک کنند، بفهمند که کدام داده در معرض خطر است، و آیا هشدار ناشی از پیکربندی اشتباه است یا پارادوکس مثبت کاذب.
 
محققان از نشانه‌های بصری‌ای همچون قفل قرمز و پس‌زمینهٔ زرد استفاده کردند تا سهم مداخلهٔ کاربرانی را که از توصیه‌های مرورگر پیروی می‌کنند افزایش دهند. این تکنیک، در مرحلهٔ آزمون، میزان مداخله‌ٔ کاربران مذکور را تا 61 درصد افزایش داد. این در حالی‌ست که در مورد هشدارهای نسخهٔ قبلی این نرم‌افزار این میزان 37 درصد بود.
 
اما کاهش پیچیدگی زبان مورد استفاده در هشدارها نتوانست بر افزایش چشمگیری در درک متن تهدیدات بینجامد. محققان برای توصیف خطرات خاص از زبان ساده‌تر رده ششم –به جای زبان رده یازدهمی هشدارهای پیشین- استفاده کردند و تصویر قفلی قرمز را نیز به آن افزودند.
 
نتایج حاصل برای محققان مذکور ناامیدکننده بود.
 
نویسندگان مقاله چنین نوشتند: «چرا تمام هشدارها –از جمله هشدارهای خود ما- با شکست مواجه می‌شوند؟ با این‌که سعی کردیم بهترین روش‌ها را در پیش بگیریم، شاهد بودیم که توصیه‌های کاملاً متفاوت با هم عوضی گرفته می‌شوند. شاید انتخاب‌های ما بهترین نبوده باشند. این نشان می‌دهد که باید در مورد اهمیت نسبی اختصار، وضوح، و زبان غیرفنی در هشدارهای امنیتی تحقیق بیش‌تری صورت گیرد.»
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.