Săptămâna trecută, dezvoltatori google care sunt responsabile de proiectul browserului web Google Chrome a luat decizia de a dezactiva etichetarea separată a certificatelor de nivel EV (Validare extinsă) în Google Chrome.
Si anterior pentru site-urile cu certificate similare a fost afișat numele companiei verificate de către centrul de certificare din bara de adrese, acum pentru aceste site-uri va fi afișat același indicator de conexiune sigură decât pentru certificatele cu verificare a accesului la domeniu. Și este faptul că, din ceea ce va fi următoarea versiune a Google Chrome 77, informațiile despre utilizarea certificatelor EV vor fi afișate numai în meniul derulant care este afișat atunci când faceți clic pe pictograma conexiunii securizate.
Luând această mișcare ca referință, anul trecut (în 2018), oamenii de la Apple au luat o decizie similară pentru browserul Safari și au lansat-o în iOS 12 și macOS 10.14.
De ce entitățile care emit certificatele nu vor mai fi afișate în bara de browser?
Această mișcare a dezvoltatorilor Google este derivat dintr-un studiu realizat de Google, unde s-a arătat că indicatorul folosit anterior pentru certificatele EV nu oferea protecția așteptată pentru utilizatorii care nu acordau atenție diferenței și nu o foloseau la luarea deciziilor privind introducerea datelor sensibile pe site-uri.
Permanență în studiul Google S-a constatat că 85% dintre utilizatori nu au fost împiedicați să intre cu acreditările de prezență în bara de adrese URL «accounts.google.com.amp.tinyurl.com" in loc de "accounts.google.com«, Dacă apare pe pagina tipică a interfeței site-ului Google.
Prin propriile noastre cercetări, precum și printr-un sondaj al activității academice anterioare, echipa Chrome Security UX a stabilit că EV UI nu protejează utilizatorii conform intenției.
Utilizatorii nu par să ia decizii sigure (cum ar fi introducerea parolei sau a informațiilor despre cardul de credit) atunci când interfața de utilizare este modificată sau eliminată, deoarece interfața EV ar trebui să ofere o protecție semnificativă.
În plus, insigna EV ocupă proprietăți imobiliare valoroase pe ecran, poate prezenta nume de companii înșelătoare în mod activ într-o interfață de utilizator proeminentă și interferează cu orientarea produsului Chrome către un afișaj neutru, mai degrabă decât pozitiv, pentru conexiuni sigure.
Datorită acestor probleme și utilității sale limitate, credem că aparține cel mai bine informațiilor de pe pagină.
Modificarea interfeței cu utilizatorul EV face parte dintr-o tendință mai largă în rândul browserelor de a-și îmbunătăți suprafețele de securitate a interfeței de utilizator, în lumina progreselor recente în înțelegerea acestui spațiu problematic.
Pentru a trezi încrederea în site pentru majoritatea utilizatorilor, sa dovedit a fi suficient doar pentru a face pagina similară cu cea originală.
Ca urmare, sa ajuns la concluzia că indicatorii de siguranță pozitivi nu sunt eficienți și merită să ne concentrăm asupra organizării emiterii de avertismente explicite despre probleme.
De exemplu, o schemă similară a fost recent aplicată conexiunilor HTTP care sunt marcate explicit ca nesigure.
În același timp, informațiile afișate pentru certificatele EV ocupă prea mult spațiu în bara de adrese, poate provoca confuzie suplimentară atunci când vizualizați numele companiei în interfața browserului și, de asemenea, încalcă principiul neutralității produsului și este utilizat pentru falsificare.
De exemplu, Autoritatea de certificare Symantec a emis un certificat EV verificat de identitate, al cărui nume arăta utilizatori înșelați, mai ales atunci când numele real al domeniului deschis nu se încadra în bara de adrese.
Fuente: https://blog.chromium.org