Согласно последнему отчету Университета Карнеги-Меллона,
интернет-пользователи вырабатывают иммунитет к предупреждениям о несоответствии
SSL-сертификатов сайтов требованиям безопасности и продолжают работу с ними.
Исследователи выяснили, что пользователи не колеблясь демонстрируют столь
рискованное поведение во многом из-за того, что предупреждения носят мягкий
характер (как, например, при уведомлении об истечении срока действия
сертификата). Такая практика делает людей уязвимыми к атакам "man-in-the-middle",
поэтому ученые призывают изменить характер уведомлений об опасных и безопасных
ситуациях.
В ходе работы специалисты изучили реакцию 409 пользователей Интернета на
появление различных предупреждений SSL, в результате чего пришли к выводу, что
"слишком много подопытных демонстрируют опасное поведение при любых условиях
появления предупреждений". И это несмотря на то, что многие понимали смысл
предупреждений – так, 50% пользователей Firefox 2 отдавали себе отчет в том, что
означает уведомление о просроченном сертификате, при этом 71% из них сознательно
игнорировал подобного рода уведомления (для пользователей Firefox 3 эти цифры
составили 47 и 64 процента соответственно).
По данным отчета, те люди, которые не понимали смысла предупреждений,
проявляли к ним больше внимания. Это может представлять собой проблему,
поскольку проведенное в январе исследование показало, что 44% из 382 860 сайтов
с SSL-сертификатами могут вызывать появление тех или иных предупреждений.
Впрочем, поведение пользователей немного менялось при появлении уведомления о
несоответствии отображенной страницы той, что была запрошена. Пользователи,
которые понимали смысл предупреждения, были менее склонны игнорировать его, в то
время как у тех, кто не понимал смысла предупреждения, уровень пренебрежения
оставался неизменным.
В том случае, если предупреждения были выражены более понятным языком,
поведение пользователей менялось в лучшую (более безопасную) сторону, однако все
равно оставалось весьма далеким от идеального. По мнению исследователей, это
происходит из-за того, что люди уверены в отсутствии серьезных последствий при
пренебрежении уведомлениями SSL, поскольку они видят их на законопослушных
сайтах. В итоге, ученые советуют либо вообще отказаться от предупреждений для
удобства пользователей, либо сделать их более агрессивными.
