सुरक्षा प्रमाणपत्र चेतावनी कार्य नहीं करते हैं, शोधकर्ताओं का कहना है

प्रत्येक वेब सर्फर ने उन्हें देखा है। जब आप किसी सुरक्षित वेबसाइट पर जाने का प्रयास कर रहे हों तो वे "अमान्य प्रमाणपत्र" चेतावनियां कभी-कभी प्राप्त होती हैं।

वे "इस वेबसाइट के सुरक्षा प्रमाणपत्र में कोई समस्या है।" यदि आप अधिकतर लोगों की तरह हैं, तो आप बेहद असहज महसूस कर सकते हैं, और - कार्नेगी मेलॉन विश्वविद्यालय के शोधकर्ताओं के एक नए पेपर के मुताबिक - एक अच्छा मौका है कि आप चेतावनी को अनदेखा कर देंगे और वैसे भी क्लिक करेंगे।

एक में प्रयोगशाला प्रयोग, शोधकर्ताओं ने पाया कि 55 प्रतिशत से 100 प्रतिशत प्रतिभागियों ने सर्टिफिकेट सुरक्षा चेतावनियों को नजरअंदाज कर दिया, इस बात के आधार पर कि वे किस ब्राउजर का उपयोग कर रहे थे (विभिन्न ब्राउज़र अपने उपयोगकर्ताओं को चेतावनी देने के लिए अलग-अलग भाषा का उपयोग करते हैं)।

[आगे पढ़ें: मैलवेयर को कैसे हटाएं आपके विंडोज पीसी]

"हर कोई जानता था कि इन चेतावनियों में कोई समस्या थी," कार्नेगी मेलॉन स्नातक छात्र जोशुआ सनशाइन और पेपर के सह-लेखकों में से एक ने कहा। "हमारे अध्ययन में नाटकीय रूप से पता चला कि समस्या कितनी बड़ी थी।"

यह अच्छी खबर नहीं है अक्सर वेब साइट पर तकनीकी समस्या के कारण चेतावनियां पॉप अप होती हैं, लेकिन उनका यह भी अर्थ हो सकता है कि वेब सर्फर को नकली वेबसाइट पर किसी भी तरह रीडायरेक्ट किया जा रहा है। सुरक्षित वेब साइटों के लिए यूआरएल "https" से शुरू होते हैं।

शोधकर्ताओं ने पहले 400 से अधिक वेब सर्फर का ऑनलाइन सर्वेक्षण किया, यह जानने के लिए कि उन्होंने प्रमाणपत्र चेतावनियों के बारे में क्या सोचा था। फिर उन्होंने 100 लोगों को एक प्रयोगशाला में लाया और अध्ययन किया कि वे वेब सर्फ कैसे करते हैं।

उन्होंने पाया कि लोगों को अक्सर प्रमाणपत्र चेतावनियों की मिश्रित समझ थी। उदाहरण के लिए, कई लोगों ने सोचा कि वे उन साइटों पर जाकर संदेशों को अनदेखा कर सकते हैं, जिन पर वे भरोसा करते हैं, लेकिन वे कम भरोसेमंद साइटों पर अधिक सावधान रहना चाहिए।

"इन संदेशों का क्या अर्थ है, इसकी पिछली समझ है।" "संदेश यह मान्य कर रहा है कि आप जिस साइट पर जा रहे हैं, उस साइट पर जा रहे हैं, न कि साइट भरोसेमंद है।"

यदि कोई बैंकिंग वेबसाइट एक संदेश दिखाती है कि उसका सुरक्षा प्रमाणपत्र अमान्य है, तो यह एक बहुत बुरा संकेत है सुरक्षा विशेषज्ञों का कहना है। इसका मतलब यह हो सकता है कि वेब सर्फर को तथाकथित मैन-इन-द-बीच हमले के अधीन किया जा रहा है। इस तरह के हमले में, आपराधिक जानकारी स्वयं चोरी करने की उम्मीदों में वेब सर्फर और जिस साइट पर जा रही है, उसके बीच आती है।

सुरक्षा विशेषज्ञों को लंबे समय से पता चला है कि ये सुरक्षा चेतावनियां अप्रभावी हैं, मुख्य प्रौद्योगिकी अधिकारी यिर्मयाह ग्रॉसमैन ने कहा वेब सुरक्षा परामर्श व्हाइट हैट सुरक्षा। ऐसा इसलिए है क्योंकि उपयोगकर्ताओं को "वास्तव में नहीं पता कि सुरक्षा जोखिम का क्या मतलब है," उन्होंने तत्काल संदेश के माध्यम से कहा। "तो वे जुआ लेते हैं।"

फ़ायरफ़ॉक्स 3 ब्राउज़र में, मोज़िला ने खराब सर्टिफिकेट के लिए सरल भाषा और बेहतर चेतावनियों का उपयोग करने की कोशिश की। और ब्राउज़र खराब प्रमाणपत्र चेतावनी को अनदेखा करना कठिन बनाता है। कार्नेगी मेलॉन प्रयोगशाला में, फ़ायरफ़ॉक्स 3 उपयोगकर्ताओं को चेतावनी दिखाने के बाद क्लिक करने की कम से कम संभावना थी।

शोधकर्ताओं ने कई बार फिर से डिजाइन की गई चेतावनियों के साथ प्रयोग किया, जो उन्होंने खुद लिखा था, जो कि और भी प्रभावी साबित हुआ। वे मॉन्ट्रियल में यूज़ेनिक्स सिक्योरिटी संगोष्ठी में 14 अगस्त को अपने निष्कर्षों की रिपोर्ट करने की योजना बना रहे हैं।

फिर भी, सनशाइन का मानना ​​है कि बेहतर चेतावनियां केवल इतना ही मददगार होंगी। चेतावनियों के बजाए, ब्राउज़र को उन सिस्टम का उपयोग करना चाहिए जो त्रुटि संदेशों का विश्लेषण कर सकते हैं। उन्होंने कहा, "यदि वे सिस्टम तय करते हैं कि यह एक हमला होने की संभावना है, तो उन्हें सिर्फ उपयोगकर्ता को अवरुद्ध करना चाहिए।" 99

बैंकों जैसी महत्वपूर्ण वेबसाइटों पर जाने पर भी, "लोग अभी भी चेतावनी को नाटकीय रूप से अनदेखा कर रहे हैं।"