Nové indikátory bezpečnosti v Chrome pochází z výzkumu uživatelů

25. 8. 2016 | Jindřich Zechmeister

Google Chrome v nové verzi mění ikony bezpečnostních indikátorů. Zelené zámky jsou obecným symbolem zabezpečení webu a z prohlížeče znáte i další symboly, které naopak upozorňují na chybu zabezpečení. U Chrome se indikátory mění už poněkolikáté, ale tentokrát je Google přebírá z výzkumu mezi uživateli, který hledal co nejvíce srozumitelné symboly. Více o nových indikátorech a odkaz na výzkum najdete v našem článku.

Indikátory v prohlížečích - proč jsou důležité?

Grafické indikátory bezpečnosti a symboly u adresního řádku jsou nejčastěji viděným bezpečnostním prvkem v prohlížečích (a na internetu obecně). Stav zabezpečení navštívené stránky je znázorněn typickým štítem, zámkem nebo zeleným adresním řádkem v případě EV certifikátů. Daleko těžším úkolem je však sdělení problému se zabezpečením, chyby certifikátu nebo jiného rizika; zde už využití symbolů pokulhává. I zkušený uživatel často váhá, co se mu prohlížeč snaží sdělit šedým trojúhelníkem pod symbolem zámku nebo přeškrtnutým HTTPS. Současné indikátory nejsou pro uživatele srozumitelné i z toho důvodu, že každý program má své vlastní a liší se dokonce i mezi platformami (Windows, Linux).

Níže je přehled současných indikátorů převzatý ze studie Rethinking Connection Security Indicators.

Současné bezpečnostní indikátory a varování rozdělené dle prohlížečů

Současné bezpečnostní indikátory a varování rozdělené dle prohlížečů. Zdroj: Rethinking Connection Security Indicators

Google si uvědomuje důležitost bezpečnostních indikátorů a jejich diverzitu v prohlížečích. Proto ve spolupráci s University of California provedl výzkum, jehož cílem bylo nalezení optimálních a srozumitelných symbolů. Výzkumu se zúčastnilo 1.329 respondentů, kteří hodnotili 40 indikátorů vyhovujících kritériím, kterými byly například jednoduchost (na mobilních zařízeních jsou ikony zmenšené) nebo nezávislost na barvách (pro barvoslepé).

Nové indikátory přináší zjednodušení

Na obrázku níže vidíte podobu nových indikátorů, které Chrome 53 začne používat. Jedná se o výběr těch nejvíce srozumitelných symbolů pro daný účel; lze tedy říci, že jsou vybrány přímo uživateli. Celkově byl počet indikátorů zredukován na pouhé tři, přičemž zelený zámek zůstává, ale výstraha bude nově v podobě trojúhelníku a třetí stav bude zobrazovat písmeno "i" v kruhu.

Nové indikátory v Chrome

Nové indikátory vzešlé ze studie. Zdroj: Rethinking Connection Security Indicators

Reakce respondentů na jednotlivé symboly jsou zajímavé a stojí za přečtení. Například u testovaných piktogramů pro pozitivní i negativní stavy bylo zcela lhostejné, jakou mají symboly barvu. Nepotvrdilo se, že červená barva působí výstražně a respondenti hodnotili úplně stejně i černou, oranžovou, modrou nebo zelenou variantu indikátoru. Barva symbolu je naprosto podružná a nevytváří v návštěvníkovi pocit důvěry nebo naopak ohrožení; důležitý je pro něj samotný symbol a text sdělení.

Tento výsledek mimochodem dokazuje, že obvyklý zelený zámek viditelný u webu používajícího SSL certifikát není dostatečný symbol zabezpečení. Pokud chcete návštěvníka zaujmout, pak je na místě zvolit EV certifikát zobrazující jméno vlastníka certifikátu vedle adresního řádku. Uživatel vidí rozdíl na první pohled díky rozšířenému symbolu zabezpečení a orámování celého indikátoru (tzv. EV Green baru).

Výsledky studie ukázaly, které symboly dokáží uživateli nejlépe sdělit své poselství a kterým porozumí i laik. Google proto nejúspěšnější indikátory vzešlé z výzkumu vybral pro Chrome a přislíbil jejich nasazení. Uvidíte je v Chrome pro Windows ve verzi 53 a na Macu ve verzi 52. Autoři studie hodlají oslovit i ostatní výrobce prohlížečů a vyzvat je k používání těchto nových indikátorů.

Nové indikátory můžete snadno otestovat

Pokud pracujete ve firemním IT oddělení či zákaznické podpoře a s varováními v prohlížeči se setkáváte, doporučuji si v prostředí nové verze Chrome různé scénáře vyzkoušet. K tomu ideálně poslouží web badssl.com, kde můžete vyvolat všechny možné chyby zabezpečení. Budete pak mít jasno, co který indikátor znamená.

Zdroje:

  1. Felt, Adrienne Porter, et al. "Rethinking Connection Security Indicators." Twelfth Symposium on Usable Privacy and Security (SOUPS 2016). 2016. Dostupné zde.

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz