หน้าจอเตือนการเข้ารหัส TLS/SSL ผิดพลาดของ Chrome เปลี่ยนมาตั้งแต่ Chrome 37 โดยเปลี่ยนข้อความเป็น "Your connection is not private" หรือ "การเชื่อมต่อของคุณไม่เป็นส่วนตัว" จากเดิมที่ข้อความเตือนการเชื่อมต่อผิดพลาดมักเป็นข้อความทางเทคนิคระบุความผิดพลาด เช่น ใบรับรองเป็นแบบรับรองตัวเอง

ทีมความปลอดภัยของ Chrome เตรียมนำเสนอที่มาของข้อความนี้ในการประชุมวิชาการ CHI 2015 (Google Presentation) ที่กรุงโซล เกาหลีใต้ในเดือนเมษายนนี้ โดยตอนนี้ก็นำร่างเอกสารนำเสนอมาให้เราอ่านกันก่อน

กูเกิลพยายามหาคำเตือนใหม่ให้ผู้ใช้เข้าใจและทำตามคำแนะนำให้มากขึ้นโดยไม่กดข้ามเมื่อมีการเตือนการเชื่อมต่อเข้ารหัสผิดพลาด กูเกิลทำวิจัยโดยใช้ Google Consumers Surveys ให้รางวัลกับผู้ที่ตอบคำถามเป็นสมาชิกเว็บเสียเงินให้เข้าไปอ่านได้ฟรี จากนั้นจึงสุ่มผู้ใช้ให้เห็นข้อความเตือนของเบราว์เซอร์ต่างๆ กัน ได้แก่ข้อความจาก Chrome 36, IE11, Firefox 31, Safari 7, และ Chrome 37 (ที่ตอนนั้นอยู่ระหว่างวิจัย) ทีมงานพบว่าข้อความเตือนแบบใหม่ทำให้ผู้ใช้เข้าใจความเสี่ยงได้ดีกว่า เช่น เมื่อเว็บจีเมลถูกเตือนว่าการเชื่อมต่อเข้ารหัสผิดพลาด ผู้ทำแบบสำรวจ 49.2% ที่เห็นข้อความเตือนแบบใหม่ของ Chrome ตอบถูกว่าแฮกเกอร์อาจจะอ่านอีเมลได้ เทียบกับข้อความแบบอื่นๆ ที่ต่ำกว่า 40% ทั้งหมด

หลังจากนั้นทีมความปลอดภัยของ Chrome จึงตัดสินใจทดสอบข้อความแบบใหม่ในวงกว้างขึ้น โดยสุ่มแสดงข้อความแบบใหม่ในผู้ใช้ Canary และ Dev บางส่วน จนสุดท้ายปล่อยให้กับผู้ใช้ทั้งหมด และเก็บข้อมูลผ่านระบบรายงานกลับของ Chrome ที่ผู้ใช้เลือกส่งข้อมูลการใช้งานกลับกูเกิลได้

ระหว่างการทดลองกูเกิลพิจารณาที่จะเลือกใช้หน้าจอเตือนที่มีพื้นหลังสีเหลืองทั้งหมดเพื่อเน้นย้ำถึงอันตราย แต่ผลการทดลองกลับทำให้ผู้ใช้เชื่อคำเตือนลดลงเหลือ 53.3% เทียบกับหน้าจอสีเทาธรรมดา 58.3% ทำให้กูเกิลเลิกพิจารณาการใช้หน้าจอสีเหลืองต่อไป

กระบวนการวิจัยเพื่อความปลอดภัยที่เข้าถึงได้ (security usability) เป็นหัวข้อที่สำคัญหากเราต้องการวางระบบความปลอดภัยในวงกว้าง งานวิจัยของ Chrome ชิ้นนี้เป็นงานวิจัยที่กระทบชีวิตเราแทบทุกคน ถ้าใครอยู่สายงานที่ต้องออกแบบคล้ายกันควรอ่านรายงานฉบับเต็มครับ

ที่มา - The Register