Предупреждения сертификатов безопасности не работают, говорят исследователи

Каждый веб-серфер видел их. Эти предупреждения о недопустимом сертификате вы иногда получаете, когда пытаетесь посетить безопасный веб-сайт.

Они говорят такие вещи, как «Существует проблема с сертификатом безопасности этого веб-сайта». Если вы похожи на большинство людей, вы можете чувствовать себя смутно неловко, и, согласно новой статье исследователей из Университета Карнеги-Меллона, есть хорошие шансы, что вы проигнорируете предупреждение и все равно пропустите.

В лабораторные эксперименты, исследователи обнаружили, что между 55 и 100 процентами участников игнорируются предупреждения безопасности сертификатов, в зависимости от того, какой браузер они используют (разные браузеры используют разные языки для предупреждения своих пользователей).

[Дополнительная информация: Как удалить вредоносное ПО из ваш ПК с Windows]

«Все знали, что существует проблема с этими предупреждениями», - сказал Джошуа Саншайн, аспирант Карнеги Меллон и один из соавторов газеты. «Наше исследование показало, насколько велика проблема».

Это не отличная новость. Часто предупреждения появляются из-за технической проблемы на веб-сайте, но они также могут означать, что веб-серфер перенаправляется каким-то образом на поддельный веб-сайт. URL-адреса для защищенных веб-сайтов начинаются с «https.»

Сначала исследователи провели онлайн-опрос более 400 веб-серферов, чтобы узнать, что они думают о предупреждениях о сертификатах. Затем они привели 100 человек в лабораторию и изучили, как они занимаются поиском в Интернете.

Они обнаружили, что люди часто имели смешанное понимание предупреждений о сертификатах. Например, многие думали, что они могут игнорировать сообщения при посещении сайта, которому они доверяют, но что они должны быть более осторожными на менее надежных сайтах.

«Это своего рода обратное понимание того, что означают эти сообщения, - сказал Саншайн. «Сообщение подтверждает, что вы посещаете сайт, который, по вашему мнению, вы посещаете, а не сайт заслуживает доверия».

Если на банковском веб-сайте отображается сообщение о том, что его сертификат безопасности недействителен, это очень плохой знак, говорят эксперты по безопасности. Это может означать, что веб-серфер подвергается так называемой атаке «человек в середине». В этом типе атаки критик вставляет себя между веб-серфером и сайтом, который он посещает, в надежде на кражу информации.

Эксперты по безопасности уже давно знают, что эти предупреждения о безопасности неэффективны, сказал Джереми Гроссман, главный технический директор Консультация по безопасности Web White Hat Security. Это потому, что пользователи «действительно не знают, что означают риски безопасности», - сказал он через мгновенное сообщение. «Итак, они берут азартные игры».

В браузере Firefox 3 Mozilla попыталась использовать более простой язык и лучше предупреждать о плохих сертификатах. И браузеру сложнее игнорировать предупреждение о плохом сертификате. В лаборатории Carnegie Mellon пользователи Firefox 3 с наименьшей вероятностью щелкнули после показа предупреждения.

Исследователи экспериментировали с несколькими переработанными предупреждениями о безопасности, которые они сами написали, что оказалось еще более эффективным. Они планируют сообщить о своих выводах 14 августа на Симпозиуме по безопасности Usenix в Монреале.

Тем не менее, Саншайн считает, что лучшие предупреждения помогут только так. Вместо предупреждений браузеры должны использовать системы, которые могут анализировать сообщения об ошибках. «Если эти системы решают, что это может быть атакой, они должны просто полностью заблокировать пользователя», - сказал он.

Даже при посещении важных веб-сайтов, таких как банки, «люди по-прежнему игнорируют предупреждения», - сказал он.