Minggu lepas, pembangun google yang mengendalikan projek penyemak imbas web Google Chrome membuat keputusan untuk melumpuhkan pelabelan berasingan sijil tahap EV (Pengesahan Lanjutan) di Google Chrome.
Si sebelumnya untuk laman web dengan sijil serupa, nama syarikat yang disahkan dipaparkan oleh pusat pensijilan di bar alamat, sekarang untuk laman web ini penunjuk sambungan selamat yang sama akan dipaparkan daripada sijil dengan pengesahan akses domain. Dan dari versi Google Chrome 77 yang akan datang, maklumat mengenai penggunaan sijil EV akan dipaparkan hanya di menu lungsur yang dipaparkan ketika mengklik ikon sambungan selamat.
Mengambil langkah ini sebagai rujukan, tahun lalu (pada tahun 2018), orang-orang di Apple membuat keputusan yang serupa untuk penyemak imbas Safari dan melancarkannya di iOS 12 dan macOS 10.14.
Mengapa entiti yang mengeluarkan sijil tidak lagi dipaparkan di bar penyemak imbas?
Langkah ini oleh pembangun Google berasal dari kajian yang dilakukan oleh Google, di mana ditunjukkan bahawa penunjuk yang digunakan sebelumnya untuk sijil EV ia tidak memberikan perlindungan yang diharapkan bagi pengguna yang tidak memperhatikan perbezaannya dan tidak menggunakannya ketika membuat keputusan tentang memasukkan data sensitif di laman web.
Kekal dalam kajian Google Didapati bahawa 85% pengguna tidak dihalang masuk dengan bukti kelayakan kehadiran di bar alamat URL «accounts.google.com.amp.tinyurl.com"bukannya"accounts.google.com«, Jika ia muncul di halaman antara muka khas laman web Google.
Melalui penyelidikan kami sendiri, serta tinjauan karya akademik sebelumnya, pasukan Chrome Security UX telah menentukan bahawa EV UI tidak melindungi pengguna seperti yang diharapkan.
Pengguna sepertinya tidak membuat keputusan yang selamat (seperti tidak memasukkan kata laluan atau maklumat kad kredit) apabila UI diubah atau dikeluarkan, kerana EV UI perlu memberikan perlindungan yang signifikan.
Selain itu, lencana EV mengambil harta tanah skrin yang berharga, dapat menampilkan nama syarikat yang secara aktif menyesatkan dalam antara muka pengguna yang menonjol, dan mengganggu produk Chrome ke arah paparan yang netral, bukannya positif, untuk sambungan yang selamat.
Oleh kerana masalah ini dan kegunaannya yang terhad, kami rasa ini paling sesuai dengan maklumat di halaman.
Perubahan antara muka pengguna EV adalah sebahagian daripada trend yang lebih luas di antara penyemak imbas untuk meningkatkan permukaan antara muka pengguna keselamatan mereka memandangkan kemajuan terkini dalam memahami ruang bermasalah ini.
Untuk membangkitkan kepercayaan pada laman web ini bagi kebanyakan pengguna, ternyata cukup untuk menjadikan halaman serupa dengan yang asli.
Akibatnya, disimpulkan bahawa petunjuk keselamatan positif tidak berkesan dan perlu diberi tumpuan untuk mengatur pengeluaran amaran eksplisit mengenai masalah.
Sebagai contoh, skema serupa baru-baru ini diterapkan pada sambungan HTTP yang secara jelas ditandai sebagai tidak selamat.
Pada masa yang sama maklumat yang dipaparkan untuk sijil EV mengambil terlalu banyak ruang di bar alamat, ini boleh menimbulkan kekeliruan tambahan ketika melihat nama syarikat di antara muka penyemak imbas, dan juga melanggar prinsip netralitas produk dan digunakan untuk melakukan spoofing.
Sebagai contoh, Pihak Berkuasa Persijilan Symantec mengeluarkan sijil EV Identity Verified, namanya menunjukkan pengguna yang tertipu, terutama apabila nama domain terbuka tidak sesuai di bar alamat.
Fuente: https://blog.chromium.org