Tuần trước, nhà phát triển google phụ trách dự án trình duyệt web Google Chrome đã đưa ra quyết định vô hiệu hóa việc dán nhãn riêng biệt cho các chứng chỉ cấp EV (Xác thực mở rộng) trong Google Chrome.
Si trước đây đối với các trang web có chứng chỉ tương tự, tên công ty đã xác minh đã được hiển thị bởi trung tâm chứng nhận trong thanh địa chỉ, bây giờ đối với các trang web này, cùng một chỉ báo kết nối an toàn sẽ được hiển thị so với chứng chỉ có xác minh quyền truy cập miền. Và đó là từ phiên bản tiếp theo của Google Chrome 77, thông tin về việc sử dụng chứng chỉ EV sẽ chỉ được hiển thị trong trình đơn thả xuống được hiển thị khi nhấp vào biểu tượng kết nối an toàn.
Lấy động thái này để tham khảo, vào năm ngoái (năm 2018), những người ở Apple đã đưa ra quyết định tương tự cho trình duyệt Safari và triển khai nó trong iOS 12 và macOS 10.14.
Tại sao các thực thể cấp chứng chỉ sẽ không còn được hiển thị trên thanh trình duyệt?
Động thái này của các nhà phát triển Google được bắt nguồn từ một nghiên cứu do Google thực hiện, nơi nó được hiển thị rằng chỉ báo đã sử dụng trước đây đối với chứng chỉ EV, nó không cung cấp sự bảo vệ như mong đợi cho những người dùng không chú ý đến sự khác biệt và không sử dụng nó khi đưa ra quyết định nhập dữ liệu nhạy cảm trên các trang web.
Tính thường xuyên trong nghiên cứu của Google Người ta thấy rằng 85% người dùng không bị ngăn cản nhập cảnh bằng thông tin xác thực hiện diện trong thanh địa chỉ địa chỉ «Account.google.com.amp.tinyurl.com" thay vì "Tài khoản.google.com«, Nếu nó xuất hiện trên trang giao diện điển hình của trang Google.
Thông qua nghiên cứu của riêng chúng tôi cũng như khảo sát về công việc học tập trước đây, nhóm Chrome Security UX đã xác định rằng giao diện người dùng EV không bảo vệ người dùng như dự kiến.
Người dùng dường như không đưa ra quyết định an toàn (chẳng hạn như không nhập mật khẩu hoặc thông tin thẻ tín dụng) khi giao diện người dùng bị thay đổi hoặc bị xóa, vì giao diện người dùng EV cần cung cấp sự bảo vệ đáng kể.
Ngoài ra, huy hiệu EV chiếm bất động sản màn hình có giá trị, có thể làm nổi bật tên công ty gây nhầm lẫn chủ động trong giao diện người dùng nổi bật và cản trở việc sản phẩm của Chrome hướng tới một màn hình trung lập, thay vì tích cực, cho các kết nối an toàn.
Do những vấn đề này và tính hữu ích hạn chế của nó, chúng tôi nghĩ rằng nó tốt nhất thuộc về thông tin trên trang.
Việc thay đổi giao diện người dùng EV là một phần của xu hướng rộng rãi hơn giữa các trình duyệt nhằm cải thiện bề mặt giao diện người dùng bảo mật của họ dựa trên những tiến bộ gần đây trong việc hiểu không gian có vấn đề này.
Để khơi dậy niềm tin vào trang web cho hầu hết người dùng, hóa ra chỉ cần làm cho trang giống với trang gốc là đủ.
Kết quả là kết luận rằng các chỉ số an toàn tích cực không hiệu quả và cần tập trung vào việc tổ chức đầu ra các cảnh báo rõ ràng về các vấn đề.
Ví dụ: một sơ đồ tương tự gần đây đã được áp dụng cho các kết nối HTTP được đánh dấu rõ ràng là không an toàn.
Đồng thời thông tin hiển thị cho chứng chỉ EV chiếm quá nhiều dung lượng trong thanh địa chỉ, nó có thể dẫn đến nhầm lẫn bổ sung khi xem tên công ty trong giao diện trình duyệt, và nó cũng vi phạm nguyên tắc trung lập của sản phẩm và được sử dụng để giả mạo.
Ví dụ: Tổ chức phát hành chứng chỉ Symantec đã cấp chứng chỉ EV đã được xác minh danh tính, tên của chứng chỉ này cho thấy người dùng bị lừa dối, đặc biệt khi tên thật của miền mở không vừa trong thanh địa chỉ.
Fuente: https://blog.chromium.org