Prejšnji teden, Googlovi razvijalci ki so odgovorni za projekt spletnega brskalnika Google Chrome sprejel odločitev, da onemogoči ločeno označevanje potrdil na ravni EV (Razširjena validacija) v brskalniku Google Chrome.
Si prej je bilo za mesta s podobnimi certifikati prikazano preverjeno ime podjetja s strani certifikacijskega centra v naslovni vrstici, zdaj bo za ta spletna mesta prikazan isti indikator varne povezave kot za potrdila s preverjanjem dostopa do domene. In to je, da bodo v naslednji različici brskalnika Google Chrome 77 informacije o uporabi potrdil EV prikazane samo v spustnem meniju, ki se prikaže ob kliku na ikono varne povezave.
Ta poteza je bila referenčna, lani (leta 2018) pa so se ljudje v Apple-u podobno odločili za brskalnik Safari in jo predstavili v iOS 12 in macOS 10.14.
Zakaj subjekti, ki izdajo potrdila, ne bodo več prikazani v vrstici brskalnika?
Ta poteza Googlovih razvijalcev izhaja iz študije, ki jo je izvedel Google, kjer se je pokazalo, da je uporabljen kazalnik prej za certifikate EV ni zagotavljal pričakovane zaščite za uporabnike, ki niso bili pozorni na razliko in je niso uporabljali pri odločanju o vnosu občutljivih podatkov na spletnih mestih.
Trajnost v Googlovi študiji Ugotovljeno je bilo, da 85% uporabnikom ni bilo mogoče preprečiti vstopa s poverilnicami za prisotnost v naslovni vrstici URL «accounts.google.com.amp.tinyurl.com" namesto "account.google.com«, Če se pojavi na tipični vmesniški strani Googlovega spletnega mesta.
Z lastnimi raziskavami in anketo o prejšnjem akademskem delu je ekipa za Chrome Security UX ugotovila, da uporabniški vmesnik EV ne ščiti uporabnikov, kot je bilo predvideno.
Zdi se, da uporabniki ne spreminjajo ali odstranjujejo uporabniškega vmesnika (na primer ne vnašajo gesla ali podatkov o kreditni kartici), saj bi moral uporabniški vmesnik EV zagotoviti pomembno zaščito.
Poleg tega značka EV zavzame dragoceno nepremičnino na zaslonu, v vidnem uporabniškem vmesniku lahko aktivno zmede imena podjetij in moti Chrome-ov izdelek, ki usmerja k nevtralnemu in ne pozitivnemu zaslonu za varne povezave.
Zaradi teh težav in njihove omejene uporabnosti menimo, da najbolje sodijo med informacije na strani.
Sprememba uporabniškega vmesnika EV je del širšega trenda med brskalniki za izboljšanje njihovih varnostnih površin uporabniškega vmesnika glede na nedavni napredek pri razumevanju tega problematičnega prostora.
Da bi večina uporabnikov vzbudila zaupanje v spletno mesto, se je izkazalo, da je dovolj, da je bila stran podobna prvotni.
Kot rezultat, sklenjeno je bilo, da pozitivni varnostni kazalniki niso učinkoviti, zato se je treba osredotočiti na organizacijo izrecnih opozoril o težavah.
Na primer, podobna shema je bila nedavno uporabljena za povezave HTTP, ki so izrecno označene kot negotove.
Hkrati informacije, prikazane za potrdila EV, zavzamejo preveč prostora v naslovni vrstici, lahko povzroči dodatno zmedo pri ogledu imena podjetja v vmesniku brskalnika, prav tako pa krši načelo nevtralnosti izdelka in se uporablja za ponarejanje.
Certifikacijski organ Symantec je na primer izdal potrdilo EV Identity Verified EV, katerega ime je prikazovalo prevarane uporabnike, še posebej, če pravo ime odprte domene ni ustrezalo naslovni vrstici.
vir: https://blog.chromium.org