Temat: Firefox 3, SSL i komunikaty - użyteczne?

Obserwuję ostatnio rozwiązania jakie proponuje Mozilla w swojej nowej wersji przeglądarki. Pomijając celowość i uzadadnienie niektórych z nich, chciałbym skupic się na jednym konkretnym przykładzie i użyteczności takiego rozwiązania.

Chodzi tutaj konkretnie o wersję komunikatu dla stron z szyfrowanym dostępem SSL (HTTPS) oraz komunikaty w przypadku niepoprawnego certyfikatu.

Dla stron z poprawnym certyfikatem (najczęściej opłacanym osobno), przeglądarka wyświetla informację zanznaczoną za pomocą zielonego paska w adresie (można rozwinąć dodatkowo okienko z szerszymi informacjami).

Dla połączenia o "wątpliwej" zgodności z okazywanymi intencjami, przeglądarka komunikuje nas mocnym i stanowszym komunikatem (czerń i bordo).

Jednak meritum sprawy, które mnie najbardziej interesuje, to komunikat dla stron, które owszem - korzystaja z poprawnego certyfikatu - jednak certyfikat tyczy się adresu maszyny, na której stoi strona. Najczęsciej serwer na wirtualnym hostingu.
Wygląd powyższego komunikatu jest na samym końcu posta.

Dla mnie osobiście zobaczenie takiego komunikatu kojarzy się z typowym komunikatem braku strony:





i na chłopski rozum dla większości "przeciętnych" użytkowników przeglądarki Firefox, skończy się to opuszczeniem strony. Samo dodanie tzw. "wyjątku" dla tej strony jest arcy-trudne z uwagi na dziwny sposób akceptacji (kliknięcie w link na końcu komunikatu, pobranie certyfikatu, kliknięcie w zaakceptuj).

Prawda jest taka, że sporo serwisów stoi na serwerach wirtualnych (ludzka cena hostingu), a niestety tam nie za wiele firm hostingowych umożliwia wygenerowanie certyfikatu pod własną domenę czy też od biedy podpięcie własnego - wykupionego.

Pytanie 1:
Co o tym sądzicie? Jak można byłoby zmienić wygląd tego komunikatu i usprawnic proces dodawania takiego wyjątku?

Pytanie 2:
Czy nie jest to za duże niedociągnięcie ze strony Mozilli? A może chcą nakręcić sprzedaż firmom sprzedającym certyfikaty?

Przykłady komunikatów związanych z połaczeniem HTTPS zamieszczam poniżej:



Krzysztof Piwowar edytował(a) ten post dnia 23.05.08 o godzinie 09:38

Temat: Firefox 3, SSL i komunikaty - użyteczne?

Mysle, ze to nie niedociagniecie, ale zupelnie nieukierunkowana akcja majaca zapewnic ludziom bezpieczenstwo poprzez pchniecie firm do kupowania certyfikaty podpisanych przez wiarygodne centra.

Mysle, ze idea nie jest taka zla, po prostu w stanach nikt nie ma watpliwosci czy taki certyfikat kupic czy nie, natomiast w Polsce kazdy prawie sklep internetowy, jesli w ogole ma SSL, to wita nas certyfikatem *.nazwa.pl.

To nie jest takie glupie, choc sposob moze faktycznie zbyt ostry.

Temat: Firefox 3, SSL i komunikaty - użyteczne?

Uuuu, coś stagnacja wkrada się w naszą grupę - a może to temperatura za oknem?

Nie wierzę, że nie ma więcej osób, które chociaż przez moment nie zastanowiły się nad sposobem tego rozwiazania - chyba, że wszyscy używają IE - w co śmiem wątpić ;)

Temat: Firefox 3, SSL i komunikaty - użyteczne?

Dla mnie również pomysł jest dobry jednak wykonanie złe.
Osoby które w internecie spędzają dużo czasu coraz rzadziej czytają pełne komunikaty. Sam zresztą się na to "nadziałem".

Pierwszy raz gdy zobaczyłem komunikat "nie udało się nawiązać bezpiecznego połączenia" pomyślałem od razu - czyżby padł serwer(?) w ogóle nie przyswajając słowa "bezpiecznego" a już tym bardziej nie myślałem o czytaniu całego tekstu (zbyt podobny do komunikatu który pokazywany jest właśnie w tym momencie).

Dopiero za drugim czy 3 razem zobaczyłem, że można dodać wyjątek. Ogólnie jednak jestem za takim rozwiązaniem.

Temat: Firefox 3, SSL i komunikaty - użyteczne?

Jeśli domena się nie zgadza, to Firefox nie może stwierdzić, czy skąpisz na hostingu, czy używasz jakiegoś lewego certyfikatu podszywając się pod bank (dopiero TLS/1.1 z rozszerzeniami pozwala działać z vhostami, ale to obsługiwane jest zaledwie przez wszystkie przeglądarki poza IE :)

Tak samo z certyfikatami bez podpisu CA. Jeśli ktoś przejmie kontrolę nad połączeniem (banał w publicznych sieciach WiFi), to przechwytywanie danych będzie objawiało sie dokładnie tym, że certyfikaty stracą podpis CA. I znów - Firefox nie może wiedzieć, czy właściciel strony skąpi, czy ktoś hackuje łącze.

A to, że wyjątek wymaga 2ch kliknięć, a nie jednego, to też dobry pomysł - walczy z odruchem a'la Vista UAC. Użytkownicy bezmyślnie odpędzają się od takich komunikatów.

Gdyby to było "Kradną ci pieniądze z konta bankowego! Anulować czy Kontynuować?" to połowa użytkowników by odruchowo kliknęła kontynuować.Kornel L. edytował(a) ten post dnia 26.08.08 o godzinie 03:04

Temat: Firefox 3, SSL i komunikaty - użyteczne?

Kornel L.:
Gdyby to było "Kradną ci pieniądze z konta bankowego! Anulować czy Kontynuować?" to połowa użytkowników by odruchowo kliknęła kontynuować.

Za mocno uprościłeś sprawę ;)

Rzecz w tym, że na wirtualkach często jest tak, że w ofercie hostingowej dostajesz możliwość włączenia połączenia szyfrowanego, ale certyfikat jest podpisany przez dla serwera a nie dla Twojej domeny. Tym samym na dzień-dobry użytkownik dostaje taki komunikat i nie czytając (tutaj Ameryki nie odkrywasz), uznaje, że strona nie działa. A Ty chcąc nie chcąc musisz wykładać kasę na płatny certyfikat.

A można by odrobinę wizualnie rozróżnić te komunikaty. Nie wspominając o procesie akceptacji wyjątkowo, który działa niezrozumiale:
1. Przeczytaj tekst.
2. Odszukaj link.
3. Kliknij w wyjątek.
4. Widzisz puste okno - co robić?
5. Pobierz certyfikat.
6. Co dalej?
7. Dodaj wyjątek.
8. To już? :/

Można lepiej - tego od Mozilli mogę wymagać :]Krzysztof Piwowar edytował(a) ten post dnia 27.08.08 o godzinie 09:55