谷歌欲改变SSL警告:用简洁换技术

  "异议分子、毒贩子和外交官们有一个共同点:他们都依靠SSL帮助保证他们的网上通信是保密的。SSL保护他们的电子邮件、推特和银行对账单在传输过程中免遭窃听或篡改。"–《宾夕法尼亚大学和谷歌的联合研究报告》

  有意思的是,依据新的研究,SSL警告的有效性几乎与安全无关。事实上,SSL警告需要简单易读倒是愈加确认了–无论是从理解方面,还是从选项设计方面,另外还要提供清晰的操作指南。

  换句话说,SSL警告需要简单化。这份研究报告的作者们表示,报刊文章要以六年级的阅读水平写就,这样才能使任何人都能看懂那些新闻。SSL警告也应该遵循同样的准则。

  谷歌这份最新SSL警告研究报告综合了之前试图以三个认知分类的结合打造完美SSL警告的研究结果。这三个认知分类分别是用户对威胁源、受威胁的数据和误报概率的认知。这项新研究表明:即使采用前项研究确立的最佳方案,用户遵循警告的情况也无甚改变。

  然而,研究的某些部分还是带来了一线曙光。尽管这项研究对SSL警告的受众理解度给出了否定假设,谷歌还是已经注意到一份行之有效的SSL警告的某些关键组成部分,并将其集成到了最新版本的Chrome浏览器中。

  至今为止,大多数SSL警告看起来像是安全专家做给安全专家看的一样。对外行用户而言,Chrome36和IE11的SSL警告几乎全无意义:

  ·"……服务器提供的证书是由不被您的操作系统信任的实体颁发的。"

  ·"此网站提供的安全证书不是由受信任的认证机构颁发的。"

  火狐浏览器的警告比谷歌或微软的表现稍好。谷歌认为这是因为Mozilla一直在逐版本移除其SSL警告中的技术术语。

  理想状况下,谷歌称,一份行之有效的SSL浏览器警告应该使用户能够做出明智的决定,至少,要能引导用户避开有潜在危险的网站,回到安全状态。数据满天飞,不过谷歌表示有大约66%的Chrome用户无视SSL警告。最终,谷歌决定开发用户易于理解且愿意遵守的警告。用谷歌自己的话讲,它要增加警告理解度和遵循度。

  谷歌相信,"固执设计"概念,或者说用视觉图案提示推动建议行为的被选中率,是最好的改进警告理解率和遵循度的办法。因此,最新版本Chrome浏览器里的警告将会简单地在灰色背景上用红色字体显示"您的连接不是私有的",旁边还会有把刻了个大'X'的红色锁头图案;而不是继续像以前一样用一堆复杂难懂的安全术语搅晕用户的脑袋。当然,在主要警告之下,谷歌还会附上简要解释,形如:"攻击者可能正尝试从【某些网站】偷取您的信息(如:密码、消息,或信用卡)。"

  除了警告,用户还被鼓励点击那个大大的蓝色按钮,它将使用户"重回安全"。只要用户愿意,也可以点击那个不太醒目的"高级"链接去看看更具技术细节的问题描述,然后跟随另一个链接无视警告而继续访问站点。这自选的第二步及其带来的麻烦,谷歌称,又吓退了2%~15%的用户。

  谷歌称,"对警告的遵从度因此而从37%上升到62%,意味着每月新增数百万用户由于我们的警告设计改变而选择进行安全的操作。"

  谷歌在去年针对基于浏览器的恶意软件警告采取了类似措施。先进行了一项用心理学构建更好的浏览器警告的研究,然后以研究结果为依据在其Chrome浏览器里实现新型恶意软件警告。

 

上一篇:安卓防火墙 PS DroidWall

下一篇:rsync安全配置与配置不当引发的血案