หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้ อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง
ทีมความปลอดภัยของ Chrome เตรียมนำเสนอที่มาของข้อความนี้ในการประชุมวิชาการ CHI 2015 (Google Presentation) ที่กรุงโซล เกาหลีใต้ในเดือนเมษายนนี้ โดยตอนนี้ก็นำร่างเอกสารนำเสนอมาให้เราอ่านกันก่อน
กูเกิลพยายามหาคำเตือนใหม่ให้ผู้ใช้เข้าใจและทำตามคำ แนะนำให้มากขึ้นโดยไม่กดข้ามเมื่อมีการเตือนการเชื่อ มต่อเข้ารหัสผิดพลาด กูเกิลทำวิจัยโดยใช้ Google Consumers Surveys ให้รางวัลกับผู้ที่ตอบคำถามเป็นสมาชิกเว็บเสียเงินให ้เข้าไปอ่านได้ฟรี จากนั้นจึงสุ่มผู้ใช้ให้เห็นข้อความเตือนของเบราว์เซ อร์ต่างๆ กัน ได้แก่ข้อความจาก Chrome 36, IE11, Firefox 31, Safari 7, และ Chrome 37 (ที่ตอนนั้นอยู่ระหว่างวิจัย) ทีมงานพบว่าข้อความเตือนแบบใหม่ทำให้ผู้ใช้เข้าใจควา มเสี่ยงได้ดีกว่า เช่น เมื่อเว็บจีเมลถูกเตือนว่าการเชื่อมต่อเข้ารหัสผิดพล าด ผู้ทำแบบสำรวจ 49.2% ที่เห็นข้อความเตือนแบบใหม่ของ Chrome ตอบถูกว่าแฮกเกอร์อาจจะอ่านอีเมลได้ เทียบกับข้อความแบบอื่นๆ ที่ต่ำกว่า 40% ทั้งหมด
หลังจากนั้นทีมความปลอดภัยของ Chrome จึงตัดสินใจทดสอบข้อความแบบใหม่ในวงกว้างขึ้น โดยสุ่มแสดงข้อความแบบใหม่ในผู้ใช้ Canary และ Dev บางส่วน จนสุดท้ายปล่อยให้กับผู้ใช้ทั้งหมด และเก็บข้อมูลผ่านระบบรายงานกลับของ Chrome ที่ผู้ใช้เลือกส่งข้อมูลการใช้งานกลับกูเกิลได้
ระหว่างการทดลองกูเกิลพิจารณาที่จะเลือกใช้หน้าจอเตื อนที่มีพื้นหลังสีเหลืองทั้งหมดเพื่อเน้นย้ำถึงอันตร าย แต่ผลการทดลองกลับทำให้ผู้ใช้เชื่อคำเตือนลดลงเหลือ 53.3% เทียบกับหน้าจอสีเทาธรรมดา 58.3% ทำให้กูเกิลเลิกพิจารณาการใช้หน้าจอสีเหลืองต่อไป
กระบวนการวิจัยเพื่อความปลอดภัยที่เข้าถึงได้ (security usability) เป็นหัวข้อที่สำคัญหากเราต้องการวางระบบความปลอดภัยใ นวงกว้าง งานวิจัยของ Chrome ชิ้นนี้เป็นงานวิจัยที่กระทบชีวิตเราแทบทุกคน ถ้าใครอยู่สายงานที่ต้องออกแบบคล้ายกันควรอ่านรายงาน ฉบับเต็มครับ
ที่มา - The Register

Chrome, Security, Usability




อ่านต่อ...