Google verbetert SSL-waarschuwing in Chrome
Door een verbeterde SSL-waarschuwing in Google Chrome stoppen nu meer mensen als ze de waarschuwing te zien krijgen, maar volgens Google is er nog ruimte voor verbetering. De browser toont een SSL-waarschuwing als er bijvoorbeeld iets mis met het SSL-certificaat van een website is. Dit kan er bijvoorbeeld op duiden dat er een Man-in-the-Middle-aanval plaatsvindt. SSL-waarschuwingen zijn dan ook zeer ernstig. Uit onderzoek blijkt echter dat veel internetgebruikers SSL-waarschuwingen negeren.
Volgens Google komt dit doordat gebruikers SSL-waarschuwingen niet begrijpen. Daarom werd er besloten een begrijpbare SSL-waarschuwing te ontwikkelen. Iets waar onderzoekers van Google en de Universiteit van Pennsylvania naar eigen zeggen niet in slaagden. Toch zou de nieuwe SSL-waarschuwing, die sinds Chrome 37 wordt gebruikt, ervoor zorgen dat het aantal gebruikers dat stopt van 37% naar 62% steeg. "Dat houdt in dat miljoenen extra gebruikers per maand zich dankzij onze aangepaste waarschuwingen veilig gedragen", aldus de onderzoekers.
Taalgebruik
Om de SSL-waarschuwing ook daadwerkelijk te verbeteren werd er gekozen om eenvoudige taal en minder technische termen te gebruiken. Volgens onderzoekers zullen mensen meer dan de eerste regel lezen als een waarschuwing eenvoudige taal gebruikt. Mensen zouden bijvoorbeeld eerder de instructie opvolgen om een "raam te openen" dan de meer complexe instructie om iets in een "goed geventileerde kamer te gebruiken". Mozilla heeft bijvoorbeeld in Firefox de technische termen verwijderd, wat de leesbaarheid van de waarschuwingen ten goede is gekomen.
Daarop besloten ook de onderzoekers de waarschuwing in Chrome te vereenvoudigen. Dit zorgde ook voor een uitdaging omdat het niet mogelijk is alle aspecten van een dreigingsmodel in een eenvoudige, korte paragraaf te vermelden. De tekst die in eerste instantie werd voorgesteld bleek geen effect op het doorklikken van gebruikers te hebben, hoewel ze wel iets beter begrepen waar de dreiging vandaan kwam.
Uiteindelijk bleek de gekozen en ook doorgevoerde SSL-waarschuwing het aantal gebruikers dat stopt te vergroten van 37% naar 62%. Vier maanden na het verschijnen van Chrome 37 is dit nog steeds het geval. Toch is het percentage nog steeds teleurstellend, zo stellen de onderzoekers in het rapport. "De lage scores zijn te wijten aan de moeilijkheid om een SSL-waarschuwing te ontwikkelen die gelijktijdig kort, niet-techisch, eenvoudig en specifiek is", zo merken ze op. Naast het onderzoeksrapport (pdf) is ook de bijbehorende presentatie online verschenen.
Dan kun je wel de gebruiksvriendelijkheid verhogen, maar heeft imho weinig zin.
Vind je dat nog steeds na het lezen van?
https://www.imperialviolet.org/2012/02/05/crlsets.html
Dan kun je wel de gebruiksvriendelijkheid verhogen, maar heeft imho weinig zin.
CRL of OCSP checks zijn een prima oplossing voor het controleren van client certificates door een server, maar niet voor het controleren van server certificates, o.a. vanwege de gebrekkige mogelijkheid om CRL lists te cachen op de client (want welke CRL's bijvoorbeeld?).
Met een up to date lijst van trusted CA's in de browser ondervang je in ieder geval een deel van de problemen. Dat het geen soelaas biedt voor gestolen certificaten of self signed certificates is duidelijk. PKI is gezien vanuit de client gewoon lastig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
