Bizonyára már mindenkivel előfordult, hogy egy olyan weboldalra tévedt, amelyet a böngésző nem jelenített meg azonnal, hanem egy figyelmeztető üzenet formájában közölte, hogy a meglátogatni kívánt weblap nem biztonságos, vagy annak tanúsítványával problémák vannak. Böngészője válogatja, hogy ekkor milyen lehetőségeket kínál a felhasználó számára, de tulajdonképpen valamilyen úton-módon biztosan elérhető, hogy a webhely megnyíljon. Vannak olyan esetek, amikor egy ilyen tanúsítványhiba nem okoz tényleges károkat, de sok esetben igen, azért nem véletlen a figyelmeztetés. Egyre gyakoribbak ugyanis - a többek között weboldalak meghamisításával járó - adathalász akciók valamint a man-in-the-middle támadások, melyek során az internetes bűnözők bizalmas adatokhoz próbálnak mindenféle trükkös módszerekkel hozzáférni.
A biztonsági szakértők többsége már eddig is azon a véleményen volt, hogy a böngészőkben megjelenő, tanúsítványhibára figyelmeztető üzenetek nem hatékonyak, hiszen azokról a felhasználók többsége úgyis továbblép. A Carnegie Mellon Egyetem kutatói azonban ezt tudományos módszerekkel is alá szerették volna támasztani, ezért egy két részből álló kísérletbe fogtak. Ennek során először 400 felhasználót kérdeztek meg az online böngészési szokásokról, míg a második fázisban "laboratóriumi" körülmények között figyeltek meg száz személyt internetezés közben.
A vizsgálatok eredményeinek kiértékelése után a szakemberek - nem túl meglepő módon - arra a következtetésre jutottak, hogy tényleg nincs minden rendben. A kísérletben résztvevők 55-100 százaléka abszolút nem foglalkozott a böngészőkben megjelenő figyelmeztetésekkel. A százalékértékekben lévő különbségek oka abban rejlik, hogy a vizsgálatok során különböző böngészőket alkalmaztak a kutatók. Az "engedékenyebb" alkalmazások esetében jóval kisebb volt a gyanús weboldalak meglátogatása elleni visszatartó erő.
Joshua Sunshine, a Carnegie Mellon kutatója és a tanulmány egyik társszerzője elmondta: "Mindenki tudta, hogy a figyelmeztetésekkel probléma van. A mi vizsgálódásunk drámaian megmutatta, hogy valójában milyen nagy is a gond." A kutatásban résztvevők eltérő hozzáállást mutattak a tanúsítványhibákkal kapcsolatban. Sokan voltak, akik úgy gondolták, hogy az általuk megbízhatónak tartott weblapok esetében megjelenő üzeneteket nyugodtan figyelmen kívül hagyhatják, míg a kevésbé ismert webhelyek esetében már óvatosabbnak kell lenniük. Pedig ez nem teljesen így van, hiszen ha például egy biztonságosnak tartott banki weboldalnál jelenik meg egy tanúsítványhiba, akkor igencsak el kellene gondolkodni a kockázatokon, ugyanis korántsem biztos, hogy például a bank felejtette el meghosszabbítani a tanúsítványának érvényességét.
A böngészőket fejlesztő cégek nem igen tudtak előrelépést elérni a figyelmeztetések hatékonyabbá tételével kapcsolatban. A kutatók a Firefox 3-at említették meg, amelynek esetében a Mozilla tett néhány olyan lépést, amelyek révén a hibás tanúsítványok felbukkanásakor a felhasználónak kicsit rögösebb úton kell végighaladnia ahhoz, hogy megjelenítse a problémás weblapot.
A kutatók úgy vélik, hogy a böngészőkben változtatni kellene a figyelmeztető üzenetek szövegén a felhasználók jobb tájékoztatásának érdekében. Ilyen szövegekre a közeljövőben tesznek is javaslatokat. Mindezek mellett olyan komponenseket szeretnének a webböngészőkben látni, amelyek képesek értékelni a kockázatokat, és ennek megfelelően tenni lehetővé a problémás webhelyek megnyitását.
A hír a Computerworld Biztonság rovatában jelent meg.
