Amaran Sijil Keselamatan Tidak Bekerja, Penyelidik Katakan

Setiap pelawat Web telah melihatnya. Mereka yang "perakuan tidak sah" amaran kadang-kadang anda apabila anda cuba untuk melawat laman web yang selamat.

Mereka mengatakan perkara-perkara seperti "Terdapat masalah dengan sijil keselamatan laman web ini." Sekiranya anda seperti kebanyakan orang, anda mungkin berasa agak tidak selesa, dan - menurut satu kertas baru daripada para penyelidik di Universiti Carnegie Mellon - ada kemungkinan yang baik anda akan mengabaikan amaran dan klik lagi.

Dalam percubaan makmal, para penyelidik mendapati bahawa antara 55 peratus dan 100 peratus peserta mengabaikan peringatan keselamatan sijil, bergantung pada pelayar yang mereka gunakan (pelayar yang berbeza menggunakan bahasa yang berbeza untuk memberi amaran kepada pengguna mereka).

[Bacaan lanjut: Bagaimana untuk menghapus malware dari PC Windows anda]

"Semua orang tahu bahawa terdapat masalah dengan amaran ini," kata Joshua Sunshine, seorang pelajar siswazah Carnegie Mellon dan salah seorang pengarang bersama. "Kajian kami menunjukkan secara mendadak betapa besarnya masalah itu."

Itu bukan berita hebat. Selalunya amaran muncul kerana masalah teknikal di laman web, tetapi mereka juga boleh bermakna bahawa web surfer sedang diarahkan ke laman web palsu. URL untuk laman web selamat bermula dengan "https."

Para penyelidik mula-mula menjalankan kaji selidik dalam talian lebih daripada 400 pelayar web, untuk mengetahui apa yang mereka fikirkan tentang amaran sijil. Mereka kemudian membawa 100 orang ke makmal dan belajar bagaimana mereka melayari Web.

Mereka mendapati bahawa orang sering mempunyai pemahaman yang bercampur-campur mengenai amaran sijil. Sebagai contoh, ramai yang berpendapat bahawa mereka boleh mengabaikan mesej ketika melawat laman web yang mereka percayai, tetapi mereka harus lebih berhati-hati di laman web yang kurang percaya.

"Itu semacam pemahaman yang mendalam tentang apa yang dimaksudkan dengan mesej-mesej ini," kata Sunshine. "Mesej itu mengesahkan bahawa anda melawat laman web yang anda fikir anda melawat, bukannya laman web itu boleh dipercayai."

Jika laman web perbankan menunjukkan mesej bahawa sijil keselamatan tidak sah, itu tanda yang sangat buruk, kata pakar keselamatan. Ia mungkin bermakna peluncur Web sedang tertakluk kepada serangan lelaki yang menimpa di tengah-tengah. Dalam serangan jenis ini, jenayah itu memasukkan dirinya di antara penjelajah Web dan laman web yang dikunjunginya, dengan harapan mencuri maklumat.

Pakar keselamatan telah lama mengetahui bahawa amaran keselamatan ini tidak berkesan, kata ketua pegawai teknologi Jeremiah Grossman Perundingan keselamatan web White Hat Security. Itu kerana pengguna "benar-benar tidak tahu apa maksud risiko keselamatan," katanya menerusi mesej segera. "Jadi mereka mengambil judi."

Dalam pelayar Firefox 3, Mozilla cuba menggunakan bahasa yang lebih mudah dan amaran yang lebih baik untuk mendapatkan sijil buruk. Dan pelayar menjadikannya lebih sukar untuk mengabaikan amaran sijil yang tidak baik. Dalam makmal Carnegie Mellon, pengguna Firefox 3 paling tidak mungkin mengklik selepas menunjukkan amaran.

Para penyelidik mencuba beberapa amaran keselamatan yang direka bentuk semula yang mereka tulis sendiri, yang kelihatan lebih berkesan. Mereka bercadang untuk melaporkan penemuan mereka pada 14 Ogos di Simposium Keselamatan Usenix di Montreal.

Namun, Sunshine percaya bahawa amaran yang lebih baik hanya akan membantu. Daripada amaran, pelayar harus menggunakan sistem yang boleh menganalisis mesej ralat. "Sekiranya sistem tersebut membuat keputusan ini mungkin serangan, mereka hanya perlu menghalang pengguna sama sekali," katanya.

Walaupun ketika melawat laman web penting seperti bank, "orang masih tidak mengendahkan amaran," katanya.