Прошле недеље, гоогле програмери који су задужени за пројекат веб прегледача Гоогле Цхроме је донео одлуку да онемогући одвојено означавање сертификата на нивоу ЕВ (Проширена валидација) у Гоогле Цхроме-у.
Si претходно је за сајтове са сличним сертификатима било приказано верификовано име компаније од сертификационог центра у траци за адресу, сада ће се за ове локације приказати исти индикатор сигурне везе него за сертификате са верификацијом приступа домену. А то је да ће од следеће верзије Гоогле Цхроме-а 77 информације о употреби ЕВ сертификата бити приказане само у падајућем менију који се приказује кликом на икону сигурне везе.
Узимајући овај потез као референцу, прошле године (2018. године) људи из Аппле-а донели су сличну одлуку за прегледач Сафари и увели га у иОС 12 и мацОС 10.14.
Зашто се ентитети који издају сертификате више неће приказивати на траци прегледача?
Овај потез Гоогле програмера је изведено из студије коју је спровео Гоогле, где се показало да се користи индикатор раније за ЕВ сертификате није пружао очекивану заштиту за кориснике који нису обраћали пажњу на разлику и нису је користили приликом доношења одлука о уношењу осетљивих података на веб локације.
Трајност у Гооглеовој студији Утврђено је да 85% корисника није спречено да уђу са акредитивима за присуство у траци за адресу УРЛ «аццоунтс.гоогле.цом.амп.тиниурл.цом" уместо "аццоунт.гоогле.цом«, Ако се појави на типичној страници интерфејса Гоогле странице.
Кроз сопствено истраживање, као и истраживање претходног академског рада, тим Цхроме Сецурити УКС је утврдио да ЕВ УИ не штити кориснике како је предвиђено.
Чини се да корисници не доносе сигурне одлуке (као што су не уношење лозинке или података о кредитној картици) када се УИ промени или уклони, јер би ЕВ УИ требало да пружи значајну заштиту.
Поред тога, значка ЕВ заузима драгоцене некретнине на екрану, може да истакне активно обмањујућа имена компанија у истакнутом корисничком интерфејсу и омета Цхроме-ов производ усмерен ка неутралном, а не позитивном екрану ради сигурних веза.
Због ових проблема и његове ограничене корисности, мислимо да то најбоље припада информацијама на страници.
Измена корисничког интерфејса ЕВ део је ширег тренда међу прегледачима да побољшају своје безбедносне површине корисничког интерфејса у светлу недавног напретка у разумевању овог проблематичног простора.
Да би побудило поверење у веб локацију код већине корисника, испоставило се да је то довољно само да би страница била слична оригиналној.
Као резултат, закључено је да позитивни показатељи сигурности нису ефикасни и вреди се усредсредити на организовање излажења експлицитних упозорења о проблемима.
На пример, слична шема се недавно применила на ХТТП везе које су изричито означене као несигурне.
У исто време информације приказане за ЕВ сертификате заузимају превише простора у траци за адресу, може довести до додатне забуне приликом гледања назива компаније у интерфејсу прегледача, а такође крши принцип неутралности производа и користи се за лажно представљање.
На пример, Симантец Цертифицатион Аутхорити издао је ЕВ сертификат са идентитетом верификованим, чије име је приказивало преварене кориснике, посебно када право име отвореног домена није стало у траку за адресу.
izvor: https://blog.chromium.org