Avvisi sui certificati di sicurezza Non funzionano, i ricercatori dicono

Tutti i navigatori Web li hanno visti. Questi avvisi di "certificato non valido" che si ottengono a volte quando si tenta di visitare un sito Web protetto.

Si dice cose come "C'è un problema con il certificato di sicurezza di questo sito Web". Se sei come la maggior parte delle persone, potresti sentirti vagamente a disagio, e - secondo un nuovo documento dei ricercatori della Carnegie Mellon University - ci sono buone probabilità che tu ignori l'avvertimento e clicchi comunque.

In a esperimenti di laboratorio, i ricercatori hanno scoperto che tra il 55% e il 100% dei partecipanti ha ignorato gli avvisi di sicurezza del certificato, a seconda del browser utilizzato (diversi browser utilizzano una lingua diversa per avvisare i propri utenti).

[Ulteriori letture: Come rimuovere il malware da il tuo PC Windows]

"Tutti sapevano che c'era un problema con questi avvertimenti", ha detto Joshua Sunshine, uno studente laureato alla Carnegie Mellon e uno dei coautori della carta. "Il nostro studio ha mostrato drammaticamente quanto fosse grande il problema."

Non è una grande notizia. Spesso gli avvertimenti si manifestano a causa di un problema tecnico sul sito Web, ma possono anche significare che il navigatore Web viene reindirizzato in qualche modo a un sito Web falso. Gli URL per siti Web sicuri iniziano con "https".

I ricercatori hanno condotto per la prima volta un sondaggio online di oltre 400 utenti Web, per apprendere cosa pensavano degli avvisi sui certificati. Quindi hanno portato 100 persone in un laboratorio e hanno studiato come navigano sul Web.

Hanno scoperto che le persone spesso avevano una comprensione confusa degli avvisi sui certificati. Ad esempio, molti pensavano di poter ignorare i messaggi quando visitavano un sito di loro fiducia, ma che dovevano essere più cauti con siti meno affidabili.

"È una sorta di comprensione al contrario di ciò che significano questi messaggi", ha detto Sunshine. "Il messaggio sta confermando che stai visitando il sito che pensi di visitare, non che il sito sia affidabile."

Se un sito Web bancario mostra un messaggio che il suo certificato di sicurezza non è valido, è un pessimo segnale, dicono gli esperti di sicurezza. Potrebbe significare che il navigatore del Web viene sottoposto a un cosiddetto attacco man-in-the-middle. In questo tipo di attacco, il criminale si inserisce tra il navigatore Web e il sito che sta visitando, nella speranza di rubare informazioni.

Gli esperti di sicurezza sanno da tempo che questi avvisi di sicurezza sono inefficaci, ha dichiarato Jeremiah Grossman, chief technology officer with Consulenza sulla sicurezza Web White Hat Security. Questo perché gli utenti "non sanno davvero cosa significano i rischi per la sicurezza", ha affermato attraverso un messaggio istantaneo. "Così prendono il gioco d'azzardo."

Nel browser Firefox 3, Mozilla ha cercato di usare un linguaggio più semplice e avvisi migliori per certificati scadenti. E il browser rende più difficile ignorare un avviso di certificato errato. Nel laboratorio di Carnegie Mellon, gli utenti di Firefox 3 erano meno propensi a fare clic su di essi dopo aver mostrato un avvertimento.

I ricercatori hanno sperimentato diversi avvisi di sicurezza riprogettati da loro stessi scritti, che sembravano essere ancora più efficaci. Hanno in programma di riportare i loro risultati il ​​14 agosto all'USenix Security Symposium di Montreal.

Still, Sunshine crede che avvertimenti migliori possano aiutare solo così tanto. Invece di avvisi, i browser dovrebbero utilizzare sistemi in grado di analizzare i messaggi di errore. "Se questi sistemi decidono che questo è probabilmente un attacco, dovrebbero semplicemente bloccare l'utente", ha detto.

Anche quando visitano siti Web importanti come le banche, "la gente continua a ignorare drammaticamente gli avvertimenti", ha detto.