الاسبوع الماضى، مطوري جوجل المسؤولون عن مشروع متصفح الويب Google Chrome اتخذ قرارًا بتعطيل وضع العلامات المنفصلة للشهادات على مستوى EV (التحقق من الصحة الممتد) في جوجل كروم.
Si في السابق للمواقع ذات الشهادات المماثلة ، تم عرض اسم الشركة الذي تم التحقق منه بواسطة مركز الشهادات في شريط العناوين ، الآن بالنسبة لهذه المواقع ، سيتم عرض نفس مؤشر الاتصال الآمن من الشهادات مع التحقق من الوصول إلى المجال. ومن بين ما سيكون الإصدار التالي من Google Chrome 77 ، سيتم عرض المعلومات المتعلقة باستخدام شهادات EV فقط في القائمة المنسدلة التي يتم عرضها عند النقر فوق رمز الاتصال الآمن.
باتخاذ هذه الخطوة كمرجع ، في العام الماضي (في 2018) ، اتخذ الأشخاص في Apple قرارًا مشابهًا لمتصفح Safari وطرحوه في iOS 12 و macOS 10.14.
لماذا لم يعد يتم عرض الكيانات التي تصدر الشهادات في شريط المتصفح؟
هذه الخطوة من قبل مطوري جوجل مشتق من دراسة أجرتها Google, حيث تبين أن المؤشر المستخدم في السابق بالنسبة لشهادات EV لم توفر الحماية المتوقعة للمستخدمين الذين لم ينتبهوا للفرق ولم يستخدموها عند اتخاذ قرارات بشأن إدخال بيانات حساسة على المواقع.
الدوام في دراسة جوجل وجد أن 85٪ من المستخدمين لم يتم منعهم من الدخول ببيانات اعتماد التواجد في شريط العناوين عنوان URL «account.google.com.amp.tinyurl.com" بدلا من "account.google.com«، إذا ظهرت على صفحة الواجهة النموذجية لموقع Google.
من خلال بحثنا الخاص ، بالإضافة إلى مسح للعمل الأكاديمي السابق ، قرر فريق Chrome Security UX أن واجهة المستخدم EV لا تحمي المستخدمين على النحو المنشود.
لا يبدو أن المستخدمين يتخذون قرارات آمنة (مثل عدم إدخال كلمة المرور أو معلومات بطاقة الائتمان) عند تغيير واجهة المستخدم أو إزالتها ، حيث ستحتاج واجهة المستخدم EV لتوفير حماية كبيرة.
بالإضافة إلى ذلك ، تستحوذ شارة EV على عقارات شاشة قيمة ، ويمكن أن تعرض أسماء شركات مضللة بشكل نشط في واجهة مستخدم بارزة ، وتتداخل مع توجيه منتج Chrome نحو شاشة محايدة ، وليست إيجابية ، للاتصالات الآمنة.
نظرًا لهذه المشكلات وفائدتها المحدودة ، نعتقد أنها تنتمي بشكل أفضل إلى المعلومات الموجودة على الصفحة.
يعد تغيير واجهة مستخدم EV جزءًا من اتجاه أوسع بين المتصفحات لتحسين أسطح واجهة المستخدم الأمنية في ضوء التطورات الأخيرة في فهم هذه المساحة الإشكالية.
لإثارة الثقة في الموقع لمعظم المستخدمين ، اتضح أنه يكفي فقط لجعل الصفحة مشابهة للصفحة الأصلية.
نتيجة لذلك ، خلص إلى أن مؤشرات السلامة الإيجابية ليست فعالة وأنه من الجدير التركيز على تنظيم مخرجات التحذيرات الصريحة حول المشاكل.
على سبيل المثال ، تم تطبيق مخطط مشابه مؤخرًا على اتصالات HTTP التي تم تمييزها صراحةً على أنها غير آمنة.
في الوقت نفسه ، تشغل المعلومات المعروضة لشهادات EV مساحة كبيرة في شريط العناوين، فقد يتسبب ذلك في حدوث مزيد من الارتباك عند عرض اسم الشركة في واجهة المتصفح ، كما أنه ينتهك مبدأ حيادية المنتج ويستخدم في الانتحال.
على سبيل المثال ، أصدرت هيئة إصدار Symantec شهادة EV تم التحقق من الهوية ، أظهر اسمها المستخدمين المخادعين ، خاصةً عندما لا يتناسب الاسم الحقيقي للنطاق المفتوح مع شريط العناوين.
مصدر: https://blog.chromium.org