每个网络冲浪者都有这样的经历。当你在打算访问一家安全的网站时,那些无效的证书有时就会跳出来发出警告。
来自卡内基.梅隆大学研究学者的最新报告称,网络冲浪者觉得看到像"这个网站的安全证书存在问题"的警示时,大多数人都会感到不舒服–很多时候我们会忽略这个警告,继续点击。
在一项实验室的实验中,研究学者发现有50%到100%的受访者会忽略安全证书警告提示,这个比例取决于他们使用的浏览器类型(不同的浏览器使用的语言来警告他们的用户)。
卡内基.梅隆大学的研究生兼本次报告的共同作者Joshua Sunshine表示"每个人都知道这些警告是个问题。我们的研究显示出这个问题严重到了什么程度"。
那不是什么重大的新闻。很多时候弹出警告提示是因为网站的技术问题,但是他们也可能意味着网络冲浪者正在被诱骗到假冒的网站。安全网站的URL链接是以"http."开头的。
专家们首次对超过400名网络冲浪者进行了在线调研,来了解他们对安全证书警告的看法。然后他们把100名网络冲浪者带到实验室,研究他们如何进行网络冲浪。
专家们发现这些参与调研的网络冲浪者经常对证书的警告有着模糊不清的理解。举例来说,许多人认为他们在访问他们信赖的网站时可以忽略掉那些安全警告的信息,但是他们对那些不够信赖的网站就要警惕的多。
Sunshine表示"这种对这些信息含义的后知后觉。这些信息是在验证你所访问的网站确实是你想去访问的网站,而不是网站是否值得信赖"。
安全专家称,如果一家银行网站显示一条安全证书无效的信息,这是一个非常糟糕的信号。这可能意味着网络冲浪者正在受到所谓的man-in-the-middle攻击的诱导。在这种类型的攻击中,犯罪分子把自己插在网络冲浪者和他所访问的网站之间,伺机窃取信息。
网络安全咨询机构的首席技术官Jeremiah Grossman表示,安全专家长期以来就知道这些安全警告是无效的。这是因为用户真的不知道安全风险意味着什么。因此用户就会孤注一掷。
在Firefox 3浏览器中,Mozilla试图利用更加简洁的语言和更好的警告来用于坏证书。浏览器使得忽略坏证书警告变得越来越难。在卡内基.梅隆实验室中,Firefox 3用户在网站上出现警告后去点击的比例是最小的。
专家对自我编译的几种重新设计的安全警告进行了实验,看起来甚至更加有效。他们计划在8月14号蒙特利尔市召开的Usenix安全研讨会上报告他们的发现。
不过Sunshine相信更好的警告仍将有所帮助。与警告不同,浏览器应该利用能分析错误信息的系统。他补充说"如果这些系统来判断这可能是一种攻击,他们就应该同时阻止用户的访问"。
甚至当你访问银行这样的重要的网站时,仍然有很多人会忽略安全警告,Sunshine强调说。