보안 인증서 경고가 작동하지 않음, 연구원이

모든 웹 서퍼가 그들을 보았습니다. 보안 웹 사이트를 방문 할 때 때로는 "유효하지 않은 인증서"경고가 나타납니다.

"이 웹 사이트의 보안 인증서에 문제가 있습니다." 카네기 멜론 대학 (Carnegie Mellon University)의 연구원이 발표 한 새로운 신문에 따르면, 대부분의 사람들과 비슷하다면 경고가 무시되고 어쨌든 통과 할 가능성이 높습니다.

실험실 실험에서 연구자들은 55 %에서 100 % 사이의 참가자가 자신이 사용하고있는 브라우저에 따라 인증서 보안 경고를 무시한다는 사실을 발견했습니다. (다른 브라우저는 사용자에게 경고하기 위해 다른 언어를 사용합니다.)

[추가 정보: 맬웨어를 제거하는 방법 귀하의 Windows PC]

"이 경고에 문제가 있다는 것을 누구나 알고있었습니다."라고 카네기 멜론 대학원생이자 논문의 공동 저자 인 조슈아 선샤인 (Joshua Sunshine)은 말했습니다. "우리의 연구는 문제가 얼마나 큰지를 극적으로 보여주었습니다."

좋은 소식은 아닙니다. 종종 웹 사이트의 기술적 인 문제로 인해 경고 메시지가 나타나지만 웹 서퍼가 어떻게 든 가짜 웹 사이트로 리디렉션되고 있음을 의미 할 수도 있습니다. 보안 웹 사이트의 URL은 "https"로 시작합니다.

연구원은 처음에는 인증서 경고에 대해 생각한 것을 알기 위해 400 명 이상의 웹 서퍼를 대상으로 온라인 설문 조사를 실시했습니다. 그들은 실험실에 100 명을 데려 가서 웹 서핑을 연구했습니다.

사람들은 종종 인증서 경고에 대한 이해가 혼재되어 있음을 발견했습니다. 예를 들어, 많은 사람들은 신뢰할 수있는 사이트를 방문 할 때 메시지를 무시할 수 있다고 생각했지만 신뢰할 수없는 사이트는주의해야한다고 생각했습니다.

"이러한 메시지가 의미하는 바를 이해 한 것입니다."라고 Sunshine은 말했습니다. "메시지는 귀하가 방문중인 사이트를 방문하고 있음을 확인하는 것으로 사이트가 신뢰할만한 것이 아닙니다."

은행 웹 사이트에서 보안 인증서가 유효하지 않다는 메시지를 표시하면 이는 매우 나쁜 징후입니다. 보안 전문가들은 말한다. 이는 웹 서퍼가 소위 말하는 중간자 공격을 받게 될 수도 있습니다. 이 유형의 공격에서 범죄자는 정보를 훔치기 위해 웹 서퍼와 그가 방문하는 사이트 사이에 자신을 삽입합니다.

보안 전문가는 오랫동안 이러한 보안 경고가 효과적이지 않다는 사실을 알고 있다고 Jeremiah Grossman 최고 기술 책임자는 말했습니다. 웹 보안 컨설팅 인 White Hat Security. 인스턴트 메시지를 통해 사용자들은 "보안 위험이 무엇을 의미하는지 실제로 알지 못하기 때문에"라고 말했습니다. "그래서 그들은 도박을합니다."

Firefox 3 브라우저에서 Mozilla는 더 간단한 언어와 잘못된 인증서에 대한 경고를 사용하려고했습니다. 그리고 브라우저는 잘못된 인증서 경고를 무시하는 것을 더 어렵게 만듭니다. 카네기 멜론 연구소 (Carnegie Mellon lab)에서 파이어 폭스 3 사용자들은 경고 메시지를 표시 한 후 클릭 할 확률이 가장 낮았다.

연구자들은 스스로 작성한 몇 가지 재 설계된 보안 경고를 실험했다. 그들은 몬트리올 유스 닉스 보안 심포지엄에서 8 월 14 일 발견 한 내용을 발표 할 계획입니다.

여전히 Sunshine은 더 나은 경고가 도움이 될 것이라고 생각합니다. 경고 대신 브라우저는 오류 메시지를 분석 할 수있는 시스템을 사용해야합니다. 그는 "이 시스템이 공격 일 가능성이 있다고 판단하면 사용자를 완전히 차단해야한다"면서 "은행과 같은 중요한 웹 사이트를 방문 할 때도 사람들은 여전히 ​​경고를 무시하고있다"고 말했다.