تحذيرات الشهادات الأمنية لا تعمل ، يقول الباحثون

كل راكب أمواج على شبكة الإنترنت قد شهدت لهم. هذه التحذيرات "شهادة غير صالحة" التي تحصل عليها أحيانًا عندما تحاول زيارة موقع ويب آمن.

يقولون أشياء مثل "هناك مشكلة في شهادة أمان موقع ويب هذا." إذا كنت مثل معظم الناس ، فقد تشعر بعدم الارتياح بشكل مبهم ، وطبقاً لورقة جديدة من الباحثين في جامعة كارنيجي ميلون ، هناك فرصة جيدة لتجاهل التحذير والنقر من خلال أي حال.

في وجد الباحثون أن ما بين 55٪ و 100٪ من المشاركين تجاهلوا التحذيرات الأمنية للشهادات ، اعتمادًا على المتصفح الذي كانوا يستخدمونه (تستخدم المتصفحات المختلفة لغة مختلفة لتحذير مستخدميها).

[المزيد من القراءة: كيفية إزالة البرامج الضارة من وقال جوشوا صن شاين ، وهو طالب دراسات عليا في جامعة كارنيجي ميلون وأحد المؤلفين المشاركين في الدراسة: "الجميع يعلم أن هناك مشكلة في هذه التحذيرات". "أظهرت دراستنا بشكل كبير مدى حجم المشكلة."

هذا ليس خبرا رائعا. غالبًا ما تنبثق التحذيرات بسبب مشكلة فنية على موقع الويب ، ولكنها قد تعني أيضًا أنه تتم إعادة توجيه Web Surfer بطريقة أو بأخرى إلى موقع ويب مزيف. تبدأ عناوين URL الخاصة بمواقع الويب الآمنة بـ "https".

أجرى الباحثون أولاً استطلاعًا عبر الإنترنت لأكثر من 400 متصفح ويب ، لمعرفة ما يفكرون به حول تحذيرات الشهادات. ثم أحضروا 100 شخص إلى المختبر ودرسوا كيف يتصفحون الويب.

وجدوا أن الناس لديهم في الغالب فهم مختلط لتحذيرات الشهادة. على سبيل المثال ، اعتقد الكثيرون أنهم يستطيعون تجاهل الرسائل عند زيارة موقع يثقون به ، لكنهم يجب أن يكونوا أكثر حذراً في المواقع الأقل موثوقية.

"هذا نوع من فهم إلى الوراء لما تعنيه هذه الرسائل" ، قالت صن شاين. "الرسالة هي التحقق من أنك تقوم بزيارة الموقع الذي تعتقد أنك تقوم بزيارته ، وليس أن الموقع جدير بالثقة."

إذا أظهر موقع ويب مصرفية رسالة مفادها أن شهادة أمانه غير صالحة ، فهذه علامة سيئة جدًا يقول خبراء الأمن. قد يعني ذلك أن راكب الأمواج على الإنترنت يتعرض لما يسمى بهجوم الرجل في الوسط. في هذا النوع من الهجوم ، يدرج المجرم نفسه بين راكب الأمواج على الإنترنت والموقع الذي يزوره ، على أمل سرقة المعلومات.

يعرف خبراء الأمن منذ زمن طويل أن هذه التحذيرات الأمنية غير فعالة ، حسبما قال جيريما جروسمان ، رئيس قسم التكنولوجيا في الشركة. استشارات أمنية على شبكة الإنترنت White Hat Security. هذا لأن المستخدمين "لا يعرفون حقاً ما الذي تعنيه المخاطر الأمنية" ، كما قال عبر رسالة فورية. "لذا أخذوا المقامرة."

في متصفح فايرفوكس 3 ، حاول موزيلا استخدام لغة أبسط وتحذيرات أفضل لشهادات سيئة. ويجعل المستعرض من الصعب تجاهل تحذير شهادة سيئة. في مختبر كارنيجي ميلون ، كان مستخدمو فايرفوكس 3 أقل احتمالاً للنقر بعد عرض تحذير.

جرب الباحثون العديد من التحذيرات الأمنية التي تم إعادة تصميمها ، والتي كتبوها بأنفسهم ، والتي يبدو أنها أكثر فعالية. يخططون للإبلاغ عن النتائج التي توصلوا إليها في الرابع عشر من أغسطس في ندوة Usenix الأمنية في مونتريال.

مع ذلك ، تعتقد صن شاين أن التحذيرات الأفضل لن تساعد إلا كثيرًا. بدلاً من التحذيرات ، يجب أن تستخدم المتصفحات أنظمة يمكنها تحليل رسائل الخطأ. وقال: "إذا قررت هذه الأنظمة أن هذا من المرجح أن يكون هجومًا ، فعليهم فقط منع المستخدم تمامًا."

حتى عندما يزور مواقع مهمة مثل البنوك ، "لا يزال الناس يتجاهلون التحذيرات بشكل كبير".