מ- Chrome 77 האימות של אישורי SSL יוצג כאחד

Darkcrizt

4 דקות

שבוע שעבר, מפתחי Google שאחראים על פרויקט דפדפן האינטרנט של Google Chrome קיבלה את ההחלטה להשבית תיוג נפרד של אישורים ברמת EV (אימות מורחב) ב- Google Chrome.

Si בעבר עבור אתרים עם אישורים דומים הוצג שם החברה המאומת על ידי מרכז ההסמכה בשורת הכתובת, כעת עבור אתרים אלה יופיע אותו מחוון חיבור מאובטח מאשר לאישורים עם אימות גישה לדומיין. וזה שממה שתהיה הגרסה הבאה של גוגל כרום 77, המידע על השימוש בתעודות EV יוצג רק בתפריט הנפתח שמוצג בעת לחיצה על סמל החיבור המאובטח.

עם התייחסות למהלך זה, בשנה שעברה (בשנת 2018), אנשים באפל קיבלו החלטה דומה עבור דפדפן הספארי וגלגלו אותה ב- iOS 12 ו- macOS 10.14.

חשוב להדגיש כי אישורי EV מאשרים את פרמטרי הזיהוי הנתבעים ומחייבים את מרכז ההסמכה לאמת את המסמכים בתחום ואת הנוכחות הפיזית של בעל המשאב.

מדוע הגופים המנפיקים את האישורים כבר לא יוצגו בסרגל הדפדפן?

מהלך זה של מפתחי גוגל נגזר ממחקר שערכה גוגל, איפה הוצג שהמחוון משמש בעבר עבור אישורי EV זה לא סיפק את ההגנה הצפויה למשתמשים שלא שמו לב להבדל ולא השתמשו בו בעת קבלת החלטות לגבי הזנת נתונים רגישים באתרים.

קביעות במחקר גוגל נמצא כי 85% מהמשתמשים לא נמנעו מלהיכנס עם אישורי הנוכחות בשורת הכתובת כתובת אתר «accounts.google.com.amp.tinyurl.com" במקום "accounts.google.com«, אם הוא מופיע בדף הממשק האופייני של אתר גוגל.

באמצעות המחקר שלנו, כמו גם סקר על עבודות אקדמיות קודמות, צוות ה- UX של Chrome Security קבע כי ממשק המשתמש של EV אינו מגן על המשתמשים כמתוכנן.

נראה כי המשתמשים לא מקבלים החלטות בטוחות (כגון אי הזנת פרטי סיסמה או כרטיס אשראי) כאשר ממשק המשתמש משתנה או מוסר, מכיוון שממשק המשתמש של EV יצטרך לספק הגנה משמעותית.

בנוסף, תג EV תופס נדל"ן יקר בעל מסך, יכול לכלול שמות חברות מטעים באופן פעיל בממשק משתמש בולט, ומפריע להנחיות המוצר של Chrome לעבר מסך ניטרלי ולא חיובי לחיבורים מאובטחים.

בשל בעיות אלה ותועלתו המוגבלת, אנו חושבים שהוא שייך הכי טוב למידע בדף.

השינוי בממשק המשתמש EV הוא חלק ממגמה רחבה יותר בקרב הדפדפנים לשיפור משטחי ממשק המשתמש האבטחה שלהם לאור ההתקדמות האחרונה בהבנת המרחב הבעייתי הזה.

כדי לעורר אמון באתר עבור רוב המשתמשים, הסתבר שהספיק רק כדי להפוך את הדף למקור.

כתוצאה מכך, הוסכם כי מדדי בטיחות חיוביים אינם יעילים וכדאי להתמקד בארגון תפוקת האזהרות המפורשות על הבעיות.

לדוגמא, תכנית דומה הוחלה לאחרונה על חיבורי HTTP המסומנים במפורש כלא מאובטחים.

יחד עם זאת, המידע המוצג עבור אישורי EV תופס מקום רב מדי בשורת הכתובת, זה יכול להוביל לבלבול נוסף בעת הצגת שם החברה בממשק הדפדפן, והוא גם מפר את עקרון ניטרליות המוצרים ומשמש לזייף.

לדוגמא, רשות ההסמכה של סימנטק הוציאה תעודת EV Verified Identity, ששמה הראה משתמשים מרומים, במיוחד כאשר השם האמיתי של הדומיין הפתוח לא נכנס לסרגל הכתובות.

מקור: https://blog.chromium.org


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.