فناوری اطلاعات

گوگل: کاربران هشدارهای امنیتی را درک نمی‌کنند

منبع: فارس
محققان راه‌هایی یافته‌اند که به واسطهٔ آن‌ها پیروی کاربران اینترنت از توصیه‌ها بهبود می‌یابد، اما کاربران همچنان نشان داده‌اند که نمی‌دانند چه چیزی در معرض خطر است.
بنا بر تحقیقی که گوگل با همکاری محققان دانشگاه پنسیلوانیا انجام داده است، تعداد اندکی از کاربرانی که با هشدار مرورگر خود مواجه می‌شوند توصیه‌های ارائه‌شده را به واقع می‌خوانند و درک می‌کنند، اما به هر حال می‌توانند از راهنمایی برای انجام اقدام درست بهره بگیرند. این گروه امیدوار است راه‌هایی برای حل این مشکلات بیابد.
در تحقیقی که در ماه آوریل عرضه خواهد شد، گروهی مرکب از 9 محقق دریافت که استفاده از گرافیک برای ترویج ایمن‌ترین اقدامات، به شدت باعث افزایش تعداد کاربرانی می‌شود که از اقدامات پیشنهادی پیروی می‌کنند، اما به رغم این موفقیت، کاربران نسبتاً اندکی متن هشدارها را درک می‌کنند. این متون خطرات را تشریح می‌کنند و می‌گویند کدام‌یک از داده‌ها ممکن است در معرض خطر باشند.
 
این گروه از محققان می‌گویند: «میزان درک متن در مورد تمام متون هشدار SSL که آزموده شدند کم‌تر از حد مطلوب بود. این وضعیت ناامیدکننده است، زیرا از نظر ما درک متن مهم‌تر از تبعیت است.»
 
SSL (لایهٔ‌ سوکت‌های امن) اساس بخش اعظم ایمنی در وب و اینترنت است. SSL متداول‌ترین روش برای کدگذاری ارتباطات شبکه محسوب می‌شود و برای ایمن‌سازی ترافیک رفت‌وبرگشتی میان سرورهای وب و مابین سرورهای ئی‌میل و مشتریان به کار می‌رود. استاندارد در حال تحول است و نسخهٔ امروزی‌تری به نام پروتکل TLS (امنیت لایهٔ انتقال) هم اکنون مورد استفاده قرار دارد.
 
گوگل در بخشی از روند توسعهٔ مداوم مرورگر کروم خود، بر ایمن‌سازی SSL متمرکز شده است. برای مثال، در ماه سپتامبر، این شرکت تصمیم گرفت که بر اساس پروتکل رمزنگاری معروف به SHA-1، به تدریج از پذیرش مجوزهای SSL خودداری کند.
 
از آن‌جا که بسیاری از کاربران هشدارهای SSL‌ را هشدارهایی اشتباه تلقی می‌کنند، محققان گوگل در این مورد به مطالعه پرداختند که چه چیزی باعث بروز خطاهای SSL می‌شود. آن‌ها دریافتند که این خطاها صرفاً ناشی از حملات افراد و کدگذاری بد در وب نیست بلکه عوامل مختلفی در این زمینه دخیل‌اند.
 
بعضی از این عوامل خطاهایی ساده همچون مجوزهای نادرست یا تنظیم نبودن ساعت سیستم‌های مشتریان است. موارد دیگری نیز وجود دارند که خطا نیستند اما شامل زیرساخت‌هایی‌اند که بر اساس قواعد SSL عمل نمی‌کنند- مانند پورتال‌های تسخیری (captive portals) یا شبکه‌هایی که از درخواست‌های SSL ممانعت می‌کنند، یا طراحی‌های شبکه‌‌ای خاص در مدارس راهنمایی و دبیرستان.
 
بنا بر مطلبی که آدرین پورتر فلت، عضو گروه امنیت کروم، در تاریخ 30 ژانویه ارائه کرد، هشدار SSL ایده‌آل باید به کاربران این اجازه را بدهد که منبع تهدید را درک کنند، بفهمند که کدام داده در معرض خطر است، و آیا هشدار ناشی از پیکربندی اشتباه است یا پارادوکس مثبت کاذب.
 
محققان از نشانه‌های بصری‌ای همچون قفل قرمز و پس‌زمینهٔ زرد استفاده کردند تا سهم مداخلهٔ کاربرانی را که از توصیه‌های مرورگر پیروی می‌کنند افزایش دهند. این تکنیک، در مرحلهٔ آزمون، میزان مداخله‌ٔ کاربران مذکور را تا 61 درصد افزایش داد. این در حالی‌ست که در مورد هشدارهای نسخهٔ قبلی این نرم‌افزار این میزان 37 درصد بود.
 
اما کاهش پیچیدگی زبان مورد استفاده در هشدارها نتوانست بر افزایش چشمگیری در درک متن تهدیدات بینجامد. محققان برای توصیف خطرات خاص از زبان ساده‌تر رده ششم –به جای زبان رده یازدهمی هشدارهای پیشین- استفاده کردند و تصویر قفلی قرمز را نیز به آن افزودند.
 
نتایج حاصل برای محققان مذکور ناامیدکننده بود.
 
نویسندگان مقاله چنین نوشتند: «چرا تمام هشدارها –از جمله هشدارهای خود ما- با شکست مواجه می‌شوند؟ با این‌که سعی کردیم بهترین روش‌ها را در پیش بگیریم، شاهد بودیم که توصیه‌های کاملاً متفاوت با هم عوضی گرفته می‌شوند. شاید انتخاب‌های ما بهترین نبوده باشند. این نشان می‌دهد که باید در مورد اهمیت نسبی اختصار، وضوح، و زبان غیرفنی در هشدارهای امنیتی تحقیق بیش‌تری صورت گیرد.»

​​