Google совершенствует систему предупреждений в Chrome

Исследователи корпорации Google совместно с учеными Университета Пердью (США), Международного института информационных технологий Хайдарабада (Индия) и Университета Лейбница в Ганновере (Германия) опубликовали работу, посвященную причинам ошибок HTTPS-предупреждений, выдаваемых браузером Chrome. Они проанализировали 2000 отчетов, систематизировавших данные о более чем 300 миллионах отмеченных ошибок. Исследование предпринято в целях совершенствования системы предупреждений Google Chrome.

Специалисты признают, что результаты оказались достаточно неожиданными. Ранее эксперты склонны были связывать ошибки предупреждений с действиями разработчиков. Однако нынешние результаты показывают, что ошибки со стороны клиентов и сетей играют не меньшую роль, чем ошибки серверов. Так, 31,2% изученных отчетов оказались связаны с ошибками сервера, а 31,6% – с ошибками клиента или сети.

Заметная часть ошибок связана с так называемыми перехватывающими порталами (Captive portal), которые перехватывают трафик при подключении к открытым сетям (например, в аэропортах, отелях и т.д.). Они подменяют имя сайта, что и влечет за собой предупреждение о небезопасности соединения. Теперь вместо него будет демонстрироваться специальное предупреждение о посещении перехватывающего портала. Другой причиной большого числа «ложных срабатываний» предупреждений о небезопасности оказались неверно выставленные в системах пользователей время и дата. Если они опережают реальные, браузер может определить, что пользователь имеет дело с сертификатом, срок действия которого уже истек. Подобными причинами объяснялись сразу 33,5% всех изученных ошибок сертификатов. Для этих случаев в Chrome также будет предусмотрено новое уведомление: не о небезопасности соединения, а о том, что часы пользователя спешат.

Подробности своего исследования его авторы намерены представить на конференции ACM по вопросам компьютерной и информационной безопасности, которая пройдет в конце октября в Далласе (США).