很多用戶看不懂基于瀏覽器的SSL警告，更別說按警告操作了。谷歌想改變這一現(xiàn)狀。它花費數(shù)年時間針對人類對警告信號的反應(yīng)進(jìn)行跨學(xué)科研究，并基于此研發(fā)了其最新型瀏覽器警告。

“異議分子、毒販子和外交官們有一個共同點：他們都依靠SSL幫助保證他們的網(wǎng)上通信是保密的。SSL保護(hù)他們的電子郵件、推特和銀行對賬單在傳輸過程中免遭竊聽或篡改。”--《賓夕法尼亞大學(xué)和谷歌的聯(lián)合研究報告》

有意思的是，依據(jù)新的研究，SSL警告的有效性幾乎與安全無關(guān)。事實上，SSL警告需要簡單易讀倒是愈加確認(rèn)了——無論是從理解方面，還是從選項設(shè)計方面，另外還要提供清晰的操作指南。

換句話說，SSL警告需要簡單化。這份研究報告的作者們表示，報刊文章要以六年級的閱讀水平寫就，這樣才能使任何人都能看懂那些新聞。SSL警告也應(yīng)該遵循同樣的準(zhǔn)則。

谷歌這份最新SSL警告研究報告綜合了之前試圖以三個認(rèn)知分類的結(jié)合打造完美SSL警告的研究結(jié)果。這三個認(rèn)知分類分別是用戶對威脅源、受威脅的數(shù)據(jù)和誤報概率的認(rèn)知。這項新研究表明：即使采用前項研究確立的最佳方案，用戶遵循警告的情況也無甚改變。

然而，研究的某些部分還是帶來了一線曙光。盡管這項研究對SSL警告的受眾理解度給出了否定假設(shè)，谷歌還是已經(jīng)注意到一份行之有效的SSL警告的某些關(guān)鍵組成部分，并將其集成到了最新版本的Chrome瀏覽器中。

至今為止，大多數(shù)SSL警告看起來像是安全專家做給安全專家看的一樣。對外行用戶而言，Chrome36和IE11的SSL警告幾乎全無意義：

· “……服務(wù)器提供的證書是由不被您的操作系統(tǒng)信任的實體頒發(fā)的。”

· “此網(wǎng)站提供的安全證書不是由受信任的認(rèn)證機(jī)構(gòu)頒發(fā)的。”

火狐瀏覽器的警告比谷歌或微軟的表現(xiàn)稍好。谷歌認(rèn)為這是因為Mozilla一直在逐版本移除其SSL警告中的技術(shù)術(shù)語。

理想狀況下，谷歌稱，一份行之有效的SSL瀏覽器警告應(yīng)該使用戶能夠做出明智的決定，至少，要能引導(dǎo)用戶避開有潛在危險的網(wǎng)站，回到安全狀態(tài)。數(shù)據(jù)滿天飛，不過谷歌表示有大約66%的Chrome用戶無視SSL警告。最終，谷歌決定開發(fā)用戶易于理解且愿意遵守的警告。用谷歌自己的話講，它要增加警告理解度和遵循度。

谷歌相信，“固執(zhí)設(shè)計”概念，或者說用視覺圖案提示推動建議行為的被選中率，是最好的改進(jìn)警告理解率和遵循度的辦法。因此，最新版本Chrome瀏覽器里的警告將會簡單地在灰色背景上用紅色字體顯示“您的連接不是私有的”，旁邊還會有把刻了個大‘X’的紅色鎖頭圖案;而不是繼續(xù)像以前一樣用一堆復(fù)雜難懂的安全術(shù)語攪暈用戶的腦袋。當(dāng)然，在主要警告之下，谷歌還會附上簡要解釋，形如：“攻擊者可能正嘗試從【某些網(wǎng)站】偷取您的信息(如：密碼、消息，或信用卡)。”

除了警告，用戶還被鼓勵點擊那個大大的藍(lán)色按鈕，它將使用戶“重回安全”。只要用戶愿意，也可以點擊那個不太醒目的“高級”鏈接去看看更具技術(shù)細(xì)節(jié)的問題描述，然后跟隨另一個鏈接無視警告而繼續(xù)訪問站點。這自選的第二步及其帶來的麻煩，谷歌稱，又嚇退了2%~15%的用戶。

谷歌稱，“對警告的遵從度因此而從37%上升到62%，意味著每月新增數(shù)百萬用戶由于我們的警告設(shè)計改變而選擇進(jìn)行安全的操作。”

谷歌在去年針對基于瀏覽器的惡意軟件警告采取了類似措施。先進(jìn)行了一項用心理學(xué)構(gòu)建更好的瀏覽器警告的研究，然后以研究結(jié)果為依據(jù)在其Chrome瀏覽器里實現(xiàn)新型惡意軟件警告。

原文地址：http://www.aqniu.com/neotech/6579.html