This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Dernières nouvelles: 19 septembre 2016 - Nous avons ajouté de nouvelles catégories pour le suivi des tests de produits: Microphone et la Webcam Enregistrement, etc... Flux RSS

Accueil>news du Monde>certificat de Sécurité mises en garde ne travaillent pas, les chercheurs disent

AnyKeylogger pour Mac

Certificat de sécurité mises en garde ne travaillent pas, les chercheurs disent

Chaque internaute a vu. Ces "certificat non valide" mises en garde parfois, vous obtenez lorsque vous essayez de visiter un site Web sécurisé.

Ils disent des choses comme "Il y a un problème avec ce site Web de certificat de sécurité." Si vous êtes comme la plupart des gens, vous pouvez vous sentir vaguement mal à l'aise, et que, selon un nouvel article de chercheurs de l'Université Carnegie Mellon, il y a une bonne chance que vous allez ignorer l'avertissement et cliquez sur par le biais de toute façon.

Dans une expérience de laboratoire, les chercheurs ont constaté que, entre 55% et 100 pour cent des participants ont ignoré certificat avertissements de sécurité, en fonction du navigateur ils utilisent (les différents navigateurs utilisent un langage différent pour avertir leurs utilisateurs).

"Tout le monde savait qu'il y avait un problème avec ces mises en garde", a déclaré Joshua Soleil, une Carnegie Mellon étudiant et celui de l'article co-auteurs. "Notre étude a montré de façon spectaculaire la taille du problème."

Ce n'est pas une grande nouvelle. Souvent les avertissements pop-up en raison d'un problème technique sur le site Web, mais ils peuvent aussi signifier que l'internaute est en train d'être redirigées vers un faux site Web. Url pour sécuriser les sites Web commence par "https".

Les chercheurs ont d'abord mené un sondage en ligne de plus de 400 internautes, pour apprendre ce qu'ils en pensaient les avertissements de certificat. Ils ont ensuite apporté 100 personnes dans un laboratoire et étudié comment ils surfent sur le Web.

Ils ont trouvé que les gens avaient souvent une confusion comprendre les avertissements de certificat. Par exemple, beaucoup de gens pensaient qu'ils pouvaient ignorer les messages lors de la visite d'un site de confiance, mais qu'ils devraient être plus prudents au moins-sites dignes de confiance.

"C'est en quelque sorte une rétrospective de la compréhension de ce que ces messages signifient," le Soleil dit. "Le message est de valider que vous êtes en visitant le site, vous pensez que vous êtes en visite, pas que le site est digne de confiance."

Si un site Web bancaire affiche un message que son certificat de sécurité n'est pas valide, c'est un très mauvais signe, les experts en sécurité disent. Cela pourrait signifier l'internaute est soumis à une soi-disant " man-in-the-middle attack. Dans ce type d'attaque, le criminel insère lui-même entre l'internaute et le site qu'il visite, dans l'espoir de voler de l'information.

Les experts en sécurité ont longtemps connu que ces avertissements de sécurité sont inefficaces, dit Jeremiah Grossman, directeur de la technologie Web cabinet de conseil en sécurité Chapeau Blanc de Sécurité. C'est parce que les utilisateurs "ne sais vraiment pas ce que les risques de sécurité veux dire," il a dit par message instantané. "Donc, ils prennent le pari."

Dans le navigateur Firefox 3, Mozilla essayé d'utiliser un langage plus simple et mieux mises en garde de mauvais certificats. Et le navigateur rend plus difficile d'ignorer un mauvais certificat d'avertissement. Dans la Carnegie Mellon de laboratoire, Firefox 3 utilisateurs étaient les moins susceptibles de cliquer sur après avoir affiché un message d'avertissement.

Les chercheurs ont expérimenté avec plusieurs redessiné les avertissements de sécurité qu'ils avaient écrit eux-mêmes, ce qui semble être encore plus efficace. Ils prévoient de faire rapport de leurs constatations Août. 14e au Usenix Security Symposium à Montréal.

Encore, l'Ensoleillement croit que les meilleures mises en garde aidera beaucoup. Au lieu de mises en garde, les navigateurs devraient utiliser des systèmes capables d'analyser les messages d'erreur. "Si ces systèmes de décider ce qui est susceptible d'être une attaque, ils devraient tout simplement de bloquer l'utilisateur tout à fait," dit-il.

Même lors de la visite de sites Web importants, comme les banques, "les gens sont encore considérablement en ignorant les mises en garde," il a dit.
Accueil>news du Monde>certificat de Sécurité mises en garde ne travaillent pas, les chercheurs disent
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.
Suggest translation