很多用戶看不懂基于瀏覽器的SSL警告，更別說按警告操作了。谷歌想改變這一現(xiàn)狀。它花費數年時間針對人類對警告信號的反應進行跨學科研究，并基于此研發(fā)了其最新型瀏覽器警告。

“異議分子、毒販子和外交官們有一個共同點：他們都依靠SSL幫助保證他們的網上通信是保密的。SSL保護他們的電子郵件、推特和銀行對賬單在傳輸過程中免遭竊聽或篡改。”--《賓夕法尼亞大學和谷歌的聯(lián)合研究報告》

有意思的是，依據新的研究，SSL警告的有效性幾乎與安全無關。事實上，SSL警告需要簡單易讀倒是愈加確認了——無論是從理解方面，還是從選項設計方面，另外還要提供清晰的操作指南。

換句話說，SSL警告需要簡單化。這份研究報告的作者們表示，報刊文章要以六年級的閱讀水平寫就，這樣才能使任何人都能看懂那些新聞。SSL警告也應該遵循同樣的準則。

谷歌這份最新SSL警告研究報告綜合了之前試圖以三個認知分類的結合打造完美SSL警告的研究結果。這三個認知分類分別是用戶對威脅源、受威脅的數據和誤報概率的認知。這項新研究表明：即使采用前項研究確立的最佳方案，用戶遵循警告的情況也無甚改變。

然而，研究的某些部分還是帶來了一線曙光。盡管這項研究對SSL警告的受眾理解度給出了否定假設，谷歌還是已經注意到一份行之有效的SSL警告的某些關鍵組成部分，并將其集成到了最新版本的Chrome瀏覽器中。

至今為止，大多數SSL警告看起來像是安全專家做給安全專家看的一樣。對外行用戶而言，Chrome36和IE11的SSL警告幾乎全無意義：

·“……服務器提供的證書是由不被您的操作系統(tǒng)信任的實體頒發(fā)的。”

·“此網站提供的安全證書不是由受信任的認證機構頒發(fā)的。”

火狐瀏覽器的警告比谷歌或微軟的表現(xiàn)稍好。谷歌認為這是因為Mozilla一直在逐版本移除其SSL警告中的技術術語。

理想狀況下，谷歌稱，一份行之有效的SSL瀏覽器警告應該使用戶能夠做出明智的決定，至少，要能引導用戶避開有潛在危險的網站，回到安全狀態(tài)。數據滿天飛，不過谷歌表示有大約66%的Chrome用戶無視SSL警告。最終，谷歌決定開發(fā)用戶易于理解且愿意遵守的警告。用谷歌自己的話講，它要增加警告理解度和遵循度。

谷歌相信，“固執(zhí)設計”概念，或者說用視覺圖案提示推動建議行為的被選中率，是最好的改進警告理解率和遵循度的辦法。因此，最新版本Chrome瀏覽器里的警告將會簡單地在灰色背景上用紅色字體顯示“您的連接不是私有的”，旁邊還會有把刻了個大‘X’的紅色鎖頭圖案;而不是繼續(xù)像以前一樣用一堆復雜難懂的安全術語攪暈用戶的腦袋。當然，在主要警告之下，谷歌還會附上簡要解釋，形如：“攻擊者可能正嘗試從【某些網站】偷取您的信息(如：密碼、消息，或信用卡)。”

除了警告，用戶還被鼓勵點擊那個大大的藍色按鈕，它將使用戶“重回安全”。只要用戶愿意，也可以點擊那個不太醒目的“高級”鏈接去看看更具技術細節(jié)的問題描述，然后跟隨另一個鏈接無視警告而繼續(xù)訪問站點。這自選的第二步及其帶來的麻煩，谷歌稱，又嚇退了2%~15%的用戶。

谷歌稱，“對警告的遵從度因此而從37%上升到62%，意味著每月新增數百萬用戶由于我們的警告設計改變而選擇進行安全的操作。”

谷歌在去年針對基于瀏覽器的惡意軟件警告采取了類似措施。先進行了一項用心理學構建更好的瀏覽器警告的研究，然后以研究結果為依據在其Chrome瀏覽器里實現(xiàn)新型惡意軟件警告。

原文地址：http://www.aqniu.com/neotech/6579.html