很多用戶看不懂基于瀏覽器的SSL警告,更別說(shuō)按警告操作了。谷歌想改變這一現(xiàn)狀。它花費(fèi)數(shù)年時(shí)間針對(duì)人類對(duì)警告信號(hào)的反應(yīng)進(jìn)行跨學(xué)科研究,并基于此研發(fā)了其最新型瀏覽器警告。
“異議分子、毒販子和外交官們有一個(gè)共同點(diǎn):他們都依靠SSL幫助保證他們的網(wǎng)上通信是保密的。SSL保護(hù)他們的電子郵件、推特和銀行對(duì)賬單在傳輸過(guò)程中免遭竊聽(tīng)或篡改。”--《賓夕法尼亞大學(xué)和谷歌的聯(lián)合研究報(bào)告》
有意思的是,依據(jù)新的研究,SSL警告的有效性幾乎與安全無(wú)關(guān)。事實(shí)上,SSL警告需要簡(jiǎn)單易讀倒是愈加確認(rèn)了——無(wú)論是從理解方面,還是從選項(xiàng)設(shè)計(jì)方面,另外還要提供清晰的操作指南。
換句話說(shuō),SSL警告需要簡(jiǎn)單化。這份研究報(bào)告的作者們表示,報(bào)刊文章要以六年級(jí)的閱讀水平寫就,這樣才能使任何人都能看懂那些新聞。SSL警告也應(yīng)該遵循同樣的準(zhǔn)則。
谷歌這份最新SSL警告研究報(bào)告綜合了之前試圖以三個(gè)認(rèn)知分類的結(jié)合打造完美SSL警告的研究結(jié)果。這三個(gè)認(rèn)知分類分別是用戶對(duì)威脅源、受威脅的數(shù)據(jù)和誤報(bào)概率的認(rèn)知。這項(xiàng)新研究表明:即使采用前項(xiàng)研究確立的最佳方案,用戶遵循警告的情況也無(wú)甚改變。
然而,研究的某些部分還是帶來(lái)了一線曙光。盡管這項(xiàng)研究對(duì)SSL警告的受眾理解度給出了否定假設(shè),谷歌還是已經(jīng)注意到一份行之有效的SSL警告的某些關(guān)鍵組成部分,并將其集成到了最新版本的Chrome瀏覽器中。
至今為止,大多數(shù)SSL警告看起來(lái)像是安全專家做給安全專家看的一樣。對(duì)外行用戶而言,Chrome36和IE11的SSL警告幾乎全無(wú)意義:
·“……服務(wù)器提供的證書是由不被您的操作系統(tǒng)信任的實(shí)體頒發(fā)的。”
·“此網(wǎng)站提供的安全證書不是由受信任的認(rèn)證機(jī)構(gòu)頒發(fā)的。”
火狐瀏覽器的警告比谷歌或微軟的表現(xiàn)稍好。谷歌認(rèn)為這是因?yàn)镸ozilla一直在逐版本移除其SSL警告中的技術(shù)術(shù)語(yǔ)。
理想狀況下,谷歌稱,一份行之有效的SSL瀏覽器警告應(yīng)該使用戶能夠做出明智的決定,至少,要能引導(dǎo)用戶避開(kāi)有潛在危險(xiǎn)的網(wǎng)站,回到安全狀態(tài)。數(shù)據(jù)滿天飛,不過(guò)谷歌表示有大約66%的Chrome用戶無(wú)視SSL警告。最終,谷歌決定開(kāi)發(fā)用戶易于理解且愿意遵守的警告。用谷歌自己的話講,它要增加警告理解度和遵循度。
谷歌相信,“固執(zhí)設(shè)計(jì)”概念,或者說(shuō)用視覺(jué)圖案提示推動(dòng)建議行為的被選中率,是最好的改進(jìn)警告理解率和遵循度的辦法。因此,最新版本Chrome瀏覽器里的警告將會(huì)簡(jiǎn)單地在灰色背景上用紅色字體顯示“您的連接不是私有的”,旁邊還會(huì)有把刻了個(gè)大‘X’的紅色鎖頭圖案;而不是繼續(xù)像以前一樣用一堆復(fù)雜難懂的安全術(shù)語(yǔ)攪暈用戶的腦袋。當(dāng)然,在主要警告之下,谷歌還會(huì)附上簡(jiǎn)要解釋,形如:“攻擊者可能正嘗試從【某些網(wǎng)站】偷取您的信息(如:密碼、消息,或信用卡)。”
除了警告,用戶還被鼓勵(lì)點(diǎn)擊那個(gè)大大的藍(lán)色按鈕,它將使用戶“重回安全”。只要用戶愿意,也可以點(diǎn)擊那個(gè)不太醒目的“高級(jí)”鏈接去看看更具技術(shù)細(xì)節(jié)的問(wèn)題描述,然后跟隨另一個(gè)鏈接無(wú)視警告而繼續(xù)訪問(wèn)站點(diǎn)。這自選的第二步及其帶來(lái)的麻煩,谷歌稱,又嚇退了2%~15%的用戶。
谷歌稱,“對(duì)警告的遵從度因此而從37%上升到62%,意味著每月新增數(shù)百萬(wàn)用戶由于我們的警告設(shè)計(jì)改變而選擇進(jìn)行安全的操作。”
谷歌在去年針對(duì)基于瀏覽器的惡意軟件警告采取了類似措施。先進(jìn)行了一項(xiàng)用心理學(xué)構(gòu)建更好的瀏覽器警告的研究,然后以研究結(jié)果為依據(jù)在其Chrome瀏覽器里實(shí)現(xiàn)新型惡意軟件警告。
原文地址:http://www.aqniu.com/neotech/6579.html