19:13
18/1/2015

Krótka praca naukowa na temat tego, jak (i dlaczego) powinnno wyglądać ostrzeżenie (ekranu błędu) dot. SSL w przeglądarce. Wynik prac został zaimplementowany w Google Chrome. Efekt?

We ultimately failed at our goal of a well-understood warning. However, nearly 30% more total users chose to remain safe after seeing our warning. We attribute this success to opinionated design, which promotes safety with visual cues. Subsequently, our proposal was released as the new Google Chrome SSL warning

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

16 komentarzy

Dodaj komentarz
  1. Przydałby się screenshoot z ekranem przed zmianą i po zmianie.

  2. Jak na *ptr to brakuje mi w tym wpisie…..ptr

  3. Na szczęście mam mozille :v

  4. Wiele serwerów ma źle skonfigurowane SSL i nie dostarcza kompletnego łańcucha certyfikatów (tylko certyfikat domeny bez certyfikatów wystawców) i przeglądarka zgłasza fałszywe alarmy. Jak żyć?

    • Jak najkrócej.

  5. No to teraz Chrome przedstawia nieprawdziwy komunikat, iż połączenie nie jest prywatne, mimo że jest. A przecież mogli jeszcze bardziej zwiększyć skuteczność pisząc:
    This connection STEAL money from your account! Disconnect immediately!
    [TU PRZYCISK DISCONNECT]

    • W zasadzie tak, to jest cios w całą społeczność alternatywnych CA oraz osób które stosują self signed certy. Ciekawe ile te duże znane CA wyłożyły kasy na tak dobrą reklamę? :-P

    • @CK, masz rację, ale z jednej strony usługa jest już na poziomie 20zł/rok więc nie jest to też majątek, a z drugiej daje większą “gwarancje”. Koniec końców jeżeli tworzysz coś wymagające SSL dla dużej grupy, mniej świadomych użytkowników Internetu to powinieneś taki certyfikat zakupić, a nie wystawiać własny.

    • > No to teraz Chrome przedstawia nieprawdziwy komunikat, iż połączenie nie jest prywatne, mimo że jest.
      Nie jest prywatne, może być podsłuchane za pomocą ataku MITM o ile nie sprawdzasz za każdym razem klucza. Jeśli chcesz korzystać z własnych kluczy dodaj go sobie do zaufanych.

    • Jeśli robisz stronę dla z góry znanej, zamkniętej grupy użytkowników (np. w intranecie) to możesz sam sobie za darmo wystawić certyfikat ważny przez pierdylion lat i rozesłać wszystkim użytkownikom aby zainstalowali go w swoich magazynach certyfikatów zaufanych. Wtedy przeglądarka nie będzie pokazywała ostrzeżeń. Jeśli robisz stronę www dla bliżej nieokreślonego kręgu odbiorców, musisz skorzystać z zaufanego CA, który wystawi certyfikat choćby na podstawie tylko tego, że masz kontrolę nad domeną. W przeciwnym wypadku SSL nie ma sensu bo skąd użytkownik ma widzieć, że certyfikat należy do właściciela strony a nie do osoby, która się wpięła do sieci i podstawiła swój certyfikat?

      Upraszcza się sprawa przy dedykowanych rozwiązaniach typu klient-serwer, gdy aplikacja użytkownika komunikuje się przez SSL zawsze tylko z jednym serwerem. Wtedy właśnie możesz wystawić sobie darmowy certyfikat self-signed i umieścić go w kodzie aplikacji klienckiej oraz (wraz z kluczem prywatnym) na serwerze. W przypadku wykrycia niezgodności certyfikatu aplikacja nawet nie powinna o nic pytać użytkownika a zwyczajnie rozłączyć się i odmówić dalszych operacji.

  6. “W zasadzie tak, to jest cios w całą społeczność alternatywnych CA oraz osób które stosują self signed certy. ”

    Hmm… po pierwsze, każde CA używa certyfikatów “self signed”, więc wyszło trochę masło maślane.

    Po drugie, to że kogoś stać by za odpowiednią sumkę dopisać swój root CA do przeglądarki/systemu/whatewer nie znaczy jeszcze, że możemy mu ufać ;]
    Jest to raczej zło konieczne, w przypadku gdy chcemy mieć serwis publicznie dostępny
    i chronić naszych użytkowników przed potencjalnymi nadużyciami.

    A po trzecie, pisanie o HTTPS jako o połączeniu SSL nigdy nie było szczególnie poprawne, a teraz już zaczyna być śmieszne ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.