许多用户并不理解基于浏览器的SSL警告是什么,更不用说去遵循。为此,谷歌进行了一项关于人类应对警示牌的跨学科研究,希望在最新版的浏览器警告中改变这一现状。 “持不同政见者、毒贩子以及外交官有一个共同点,”美国宾夕法尼亚州及谷歌在一项名为《改善SSL警告:理解性和遵守性》的联合研究中写道,“他们都依靠SSL来保证自己在线通讯的私密性。SSL保护他们的电子邮件、推文以及银行对账单不会遭到窃听或者被篡改。” 有趣的是,新研究显示,SSL警告的效果几乎与安全性没有关系。实际上,越来越确定的是,SSL警告应该简短、易读——不管是从理解还是设计方面来说都是如此——并且应该具有明确的指导。 换句话说,SSL警告需要简化。这些研究的作者指出,报纸上的文章是以六年级的阅读水平来写作的,所以任何人都可以阅读并且理解这些新闻。SSL警告因此也应该遵循相同的原则。 谷歌最新版的SSL警告研究集合了之前试图通过以下三方面的理解类别来构建完美SSL警告的研究:用户对威胁来源的理解、风险数据、以及看到一条判断错误警告的可能性。这项研究表明,即便遵循先前研究建立的最佳实践,对用户按照警告行事几乎没有什么影响。 然而,研究的某些部分带来了一线曙光。尽管对于这项研究的假设失败了,谷歌已经注意到坚固SSL警告中的某些关键部分并且将它们融合到了最新版的Chrome中。 在这一点上,多数SSL警告似乎都是由安全专家为安全专家工作的。对于新用户来讲,Chrome 36以及IE 11中的SSL警告几乎没有任何意义: “……服务器显示了由某一实体颁发的证书,但不被您的电脑操作系统所信任。” “这个网站所显示的安全证书不是由受信任证书机构颁发的。” 火狐的警告要优于谷歌或者微软的警告,谷歌认为原因是Mozilla每次发布浏览器都会把术语从SSL警告中删除。 在理想情况下,谷歌认为一个坚固的SSL浏览器警告应该能够推动用户做出明智的决策,或者,最少应该能够指导用户远离一个具有潜在危险性的站点并且安全返回。虽然有各种各样的数据,但谷歌认为约有66%的Chrome用户忽视了SSL警告。最终,谷歌想要创建一种易于理解并且用户愿意遵循的警告。用它自己的话说,就是想要增强警告的理解性和遵守性。 谷歌认为一种名为“固执的设计”或者通过可视化设计线索推进行动的做法是最好的前进方式。因此,Chrome最新版的SSL警告不会包含复杂的安全术语,而是会简单地在灰色背景上用红色字体说明,“你的连接不安全,” 并配上红色挂锁“X”。同时会在警告下面解释,“攻击者可能尝试从【某个网站名】窃取你的信息(例如密码、信息或者信用卡)”。 除了警告外,用户可点击蓝色大按钮以“安全返回”。如果用户选择的话,还可以点击不太明显的“高级”链接来查看关于问题的详细技术描述并且点击另外一个连接继续前进,尽管存在一个警告。谷歌表示,第二个步骤以及后续障碍将会延迟用户2%至15%的时间。 “遵守性从37%上升到了62%”,谷歌指出“新版SSL警告的设计更改,意味着每个月多了数百万选择安全行动的用户。” 去年,谷歌针对浏览器恶意软件警告采取了类似的措施。起初实施了一项通过心理学构建更好浏览器警告的研究,随后按照这项研究实现了Chrome浏览器的新版恶意软件警告。 原文链接:http://threatpost.com/google-trades-technicality-for-brevity-with-new-ssl-warning/110842 |