Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness. Presented by: Elli Panagi

Σχετικά έγγραφα
Usable Security. Android Permissions User Attention, Comprehension, and Behaviour Δήμος Ιωάννου dimosioannouatgmail.com OR dioann08atcs.ucy.ac.

Σύστημα Άυλων Τίτλων - Οδηγίες παραμετροποίησης client συστήματος

ΠΑΡΑΡΤΗΜΑ. Εγκατάσταση πιστοποιητικού

Οδηγίες. Εγκατάσταση Προσωπικού Πιστοποιητικού

Εθνική Πύλη ermis.gov.gr

Ασφάλεια Υπολογιστικών Συστηµάτων. Ορισµοί

Εθνική Πύλη ermis.gov.gr

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

Κρυπτογραφία: HTTPS και web κρυπτογραφία

Οδηγίες. Εγκατάσταση Προσωπικού Πιστοποιητικού

Freedom of Speech. Κρυπτογραφία και ασφαλής ανταλλαγή πληροφοριών στο Internet

Ασφάλεια Υπολογιστικών Συστημάτων

Εργαλεία ανάπτυξης εφαρμογών internet Ι

ΕΡΓΑΣΙΑ. (στο µάθηµα: Τεχνολογίες Εφαρµογών ιαδικτύου του Η εξαµήνου σπουδών του Τµήµατος Πληροφορικής & Τηλ/νιών)

Οδηγίες Εγκατάστασης Πιστοποιητικών για Χρήση σε WEB Browsers

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 6 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

ΕΝΟΤΗΤA Σχολικό εργαστήριο πληροφορικής και εισαγωγή στα θέματα ασφάλειας

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 6 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

του Φυλ ΚΟΡΥΜΒΟΣ Α.Ε. TALENT

Πανεπιστήμιο Κρήτης Τμήμα Ιστορίας και Αρχαιολογίας

Πανεπιστήμιο Κρήτης Τμήμα Ιστορίας και Αρχαιολογίας

ΟΔΗΓΟΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΑΣΦΑΛΕΙΑΣ WEBMAIL ΤΕΙ ΚΑΛΑΜΑΤΑΣ

Εθνική Πύλη

ΔΙΑΔΙΚΑΣΙΑ ΑΝΑΒΑΘΜΙΣΗΣ ΚΥΠΡΙΑΚΟΥ ΧΑΡΤΗ

Εγκατάσταση πιστοποιητικού για τη χρήση Ασφαλών Υπηρεσιών του Τμήματος Εκπαιδευτικής Υπολογιστικής Υποδομής.

IBM Trusteer Fraud Protection

Β. Μάγκλαρης 30/11/2015

Ανωνυμία & Ιδιωτικότητα στο Διαδίκτυο

CVE the SSL Heartbleed bug. SSL Renegotiation Attack

ΟΛΟΚΛΗΡΩΜΕΝΕΣ ΥΠΗΡΕΣΙΕΣ ΕΝΙΣΧΥΣΗΣ ΨΗΦΙΑΚΗΣ ΕΜΠΙΣΤΟΣΥΝΗΣ

Πανεπιστήμιο Κύπρου DEPARTMENT OF COMPUTER SCIENCE

ΠΟΛΥ ΜΕΓΑΛΗ : ΜΕΓΑΛΗ : ΜΕΣΑΙΑ: ΜΙΚΡΗ

Ο Δ Η Γ Ι Ε Σ Α Ν Α Ν Ε Ω Σ Η Σ Ε Γ Γ Ρ Α Φ Η Σ - Δ Η Λ Ω Σ Ε Ω Ν Μ Α Θ Η Μ Α Τ Ω Ν Ε Α Ρ Ι Ν Ο Υ Ε Ξ Α Μ Η Ν Ο Υ Ρέθυμνο 24/2/2015

Οδηγός εκκαθάρισης spam

Οδηγός εκκαθάρισης ιστορικού cookies περιηγητή

Λογισμικό για το Σχολικό εργαστήριο

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Οδηγός εκκαθάρισης ιστορικού cookies περιηγητή

Λογισμικό. Αντωνακάκης Αντώνιος Δήμος Ευάγγελος Χορόζογλου Γεώργιος

Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων

2. Για να δημιουργήσουμε το πρώτο ή κάθε νέο Backup set πατάμε στο εικονίδιο και εμφανίζεται ο Wizard του Backup set

οµή της παρουσίασης Στατιστικά στοιχεία Άδειες χρήσης Γενικά στοιχεία Βασικά χαρακτηριστικά του browser

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 6 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

IDIKA eprescription SignMed Authentication & Digital Signature Client για Windows

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

IBM Trusteer Fraud Protection

Ασφαλείς online αγορές

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες


Σπύρος Παπαθανασίου Διευθυντής Πωλήσεων

Η μαζική αποστολή sms ( Bulk sms ) μπορεί να χρησιμοποιηθεί με εκατοντάδες τρόπους από διάφορες κατηγορίες επαγγελματιών.

photo Νικόλας Ζαρταλούδης The City Never Sleeps Ltd

Προσομοίωση Συστημάτων Χειμερινό εξάμηνο Εξάμηνο 5 ο. Ατομική εργασία προς παράδοση στο CloudAnalyst

Startup Guide Backup365. Οδηγός γρήγορης εγκατάστασης και εκκίνησης. Για να δοκιμάσετε την υπηρεσία θα πρέπει να ακoλουθήσατε τα παρακάτω βήματα:

α. Προσωπικά δεδομένα που δύνανται να ζητηθούν από την σελίδα.

Εγχειρίδιο χρήσης συστήματος ηλεκτρονικής αλληλογραφίας της Ελληνικής Ομοσπονδίας Μπριτζ

Ρυθμίσεις Ψηφιακής Υπογραφής για έγγραφα μορφής PDF στο ΕΚΕΦΕ Δημόκριτος

«ΠΡΟΓΡΑΜΜΑ ΑΝΑΠΤΥΞΗΣ ΤΗΣ ΒΙΟΜΗΧΑΝΙΚΗΣ ΕΡΕΥΝΑΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΣΕ ΝΕΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ (ΠΑΒΕΤ-ΝΕ-2004)»

Τεχνολογία Ηλεκτρονικού Εμπορίου. 9η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου II (EC Security II) Χρήστος Γεωργιάδης

ΟΠΣ ΕΣΠΑ Τεχνικές Οδηγίες. και σημαντικές διευκρινίσεις για την ορθή λειτουργία των εφαρμογών του ΟΠΣ

Οδηγίες εγκατάστασης πιστοποιητικών της Αρχής Πιστοποίησης του Χρηματιστηρίου Αθηνών

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

interactivecommunication Banner Campaigns White Paper Φεβρουάριος , Cybertechnics Ltd. All rights reserved.

Εισαγωγή 6. Tα πολλά πρόσωπα των απειλών για το PC 8. Οι βασικές ρυθμίσεις ασφαλείας στα Windows 18. Προστασία από το Malware με το Avast Antivirus 34

ATS2020 Μαθησιακός Σχεδιασμός

ΔΙΩΝΗ Οδηγίες κατάθεσης τεκμηρίων στο ψηφιακό αποθετήριο του Πανεπιστημίου Πειραιά. Elidoc Systems & Services

ΕΥΓΛΩΤΤΟΝ Εγχειρι διο Χρή σής. Έκδοση 1.4

ΑΔΑ: 62ΑΛ465ΦΘΕ-Φ21 ΣΥΝΗΜΜΕΝΑ

Εφαρμογή στο Ηλεκτρονικό πρωτόκολλο

Οδηγός εκκαθάρισης ιστορικού cookies περιηγητή

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 11η Διάλεξη: Ασφάλεια στο Web

Ασφάλεια Υπολογιστικών Συστημάτων

H Αρχή Πιστοποίησης των Ελληνικών Ακαδημαϊκών Ιδρυμάτων (HARICA)

6.2 Υπηρεσίες Διαδικτύου

Περιεχόμενα. Τεχνικό εγχειρίδιο χρήσης IBNEWSLETTER

X-Order Client: ΟΔΗΓΙΕΣ ΓΙΑ ΤΗΝ ΕΝΕΡΓΟΠΟΙΗΣΗ ΤΗΣ ΕΦΑΡΜΟΓΗΣ σε ΔΧΣ Τερματικό

Μαρία Μαμαλάκη, ΕΔΙΠ. Γραφείο: Β229 - Τηλέφωνο: mariam@csd.uoc.gr. Web site μαθήματος:

Βασικές Έννοιες Web Εφαρμογών

Οδηγός Παραμετροποίησης και Χρήσης Ψηφιακής υπογραφής εγγράφων σε Adobe Acrobat Reader

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

Cookies Γραμμή βοηθείας Ενημέρωση-Επαγρύπνηση Γραμμή παράνομου περιεχομένου

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

CS682 - Advanced Security Topics Instructor: Elias Athanasopoulos SPAM. Ορέστης Μακαρούνας

ΣΧΕΔΙΑΣΜΟΣ ΚΑΙ ΑΝΑΠΤΥΞΗ ΙΣΤΟΤΟΠΩΝ

Ασφάλεια Πληροφοριακών Συστημάτων

Sheet3_2. Τα literals (3.0, 1.5, κτλ) πρέπει να ορίζονται ως σταθερές.

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ ΚΑΙ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ

Σύνδεση με σταθερό υπολογιστή ή με laptob/notebook

IDIKA eprescription SignMed Authentication & Digital Signature Client για Mac

ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥΔΩΝ «ΔΙΟΙΚΗΣΗ της ΥΓΕΙΑΣ» ΑΞΙΟΛΟΓΗΣΗ ΑΠΟΔΟΣΗΣ ΠΡΟΣΩΠΙΚΟΥ: ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ ΙΔΙΩΤΙΚΟΥ ΝΟΣΟΚΟΜΕΙΟΥ ΠΑΡΑΓΙΟΥΔΑΚΗ ΜΑΓΔΑΛΗΝΗ

Copyright Χρηµατιστήριο Αθηνών Α.Ε.

Οδηγίες εγκατάστασης και λειτουργίας ERPeshop

Οδηγίες Σύνδεσης Ασύρματου Δικτύου ΤΜΗΥ&Π. Οδηγίες Σύνδεσης για λοιπά Linux/Unix Συστήματα

ΕΡΓΑΣΙΑ. (στο μάθημα: Τεχνολογίες Εφαρμογών Διαδικτύου του Η εξαμήνου σπουδών του Τμήματος Πληροφορικής & Τηλ/νιών)

Survey 123 User Manual

Εργαλεία ανάπτυξης εφαρμογών internet Ι

X-Order Client: ΟΔΗΓΙΕΣ ΓΙΑ ΤΗΝ ΕΝΕΡΓΟΠΟΙΗΣΗ ΤΗΣ ΕΦΑΡΜΟΓΗΣ σε ΔΧΣ Τερματικό

Transcript:

Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness Presented by: Elli Panagi

Παρούσα Έρευνα Είναι αποτελεσματικά τα warnings του browser? Έλεγχος μόνο των bypassable warnings Αυτά που μπορούν να αγνοήσουν οι χρήστες Πώς ενεργούν οι χρήστες στα Warnings; Click through = Αγνόα την προειδοποίηση και συνέχισε στη σελίδα Leave = Λάβε υπόψη την προειδοποίηση. Απόφυγε τη σελίδα

Συλλογή Δεδομένων Browser Telemetry framework Μηχανισμός στο browser για την συλλογή δεδομένων Καταγράφει την συμπεριφορά των χρηστών στο διαδίκτυο Τα δεδομένα συλλέγονται ανώνυμα και με την συγκατάθεση των χρηστών τα δεδομένα αντανακλούν την πραγματική συμπεριφορά των χρηστών μετά την εμφάνιση προειδοποιήσεων Από Chrome και Firefox browsers Μεγάλης κλίμακας έρευνα Πάνω από 25 εκατομμύρια αντιδράσεις σε warnings

Warnings Μελετώνται 3 είδη warnings Malware warnings Phishing warnings SSL warnings Browser βγάζει: Warning όταν δεν είναι 100% σίγουρος ο κίνδυνος Error Page στις υπόλοιπες περιπτώσεις Σκοπός: να αποθαρρύνουν την πρόσβαση σε ύποπτες σελίδες

Malware and Phishing Warnings Προστασία χρηστών από κακόβουλες ιστοσελίδες Περιέχουν malicious executables Ή προσπαθούν να ξεγελάσουν τους χρήστες Πως αναγνωρίζουν malware και phishing websites? Μέσω του Safe Browsing list (μια λίστα από ύποπτα sites)

SSL πρωτόκολλο Ασφαλές κανάλι επικοινωνίας μεταξύ client και server Τα δεδομένα στέλνονται κρυπτογραφημένα Επικύρωση της ταυτότητας του server είναι σημαντική Αυτό γίνεται με digital certificates Επικύρωση γίνεται από trusted certificate authorities

SSL Warnings Όταν αποτυγχάνει η επικύρωση του certificate Σημαίνει ένα από τα πιο κάτω: Man-in-the-middle (MITM) attack Καταλάθος (πχ. Λανθασμένες ρυθμίσεις του server)

Browser Release Channels Stable/release: Σταθερή έκδοση του browser Λιγότερα προβλήματα Συνιστάται Pre-Release (Beta, Developer, Nightly ) Ασταθής Υπό ανάπτυξη Καινούργιες δυνατότητες Λαμβάνεται υπόψη το κανάλι που έχουν οι χρήστες.

Προηγούμενες μελέτες Σχηματίστηκε η εικόνα ότι οι χρήστες δεν δίνουν προσοχή στα warnings Πλείστες έρευνες ασχολούνταν με πεπαλαιωμένα warnings Έχουν εγκαταλειφθεί (deprecated) Ή έχουν τροποποιηθεί Μόνο 2 μελέτες ασχολούνται με πιο σύγχρονα warnings Μεροληπτικά αποτελέσματα Το περιβάλλον εργαστηρίου έχει επηρεάσει τα clickthrough

Μεθοδολογία Μετρούν πόσες φορές αγνοεί ή λαμβάνει υπόψη ένα warning Υπολογίζουν το clickthrough rate για κάθε είδος warning Μετρούν πόσο χρόνο σπαταλούν οι χρήστες στα SSL warnings Συσχέτιση χρόνου με αποτέλεσμα (clickthrough, leave) Συσχέτιση χρόνου με τύπο error (untrusted authority, name mismatch και expired certificate)

Αποτελέσματα

Malware and Phishing warnings Malware Rates by date Τα clickthrough rates στο Chrome ποικίλουν ανά ημερομηνία οφείλεται στην διαφορετική αντιμετώπιση των 2 browsers σε πιθανούς ύποπτους πόρους Firefox κάνει block τον πόρο χωρίς προειδοποίηση Chrome εμφανίζει warning

Malware/Phishing Rates by Warning type OS vs clickthrough rates Release channel vs clickthrough rates Firefox: υψηλότερο clickthrough rate στα phishing warnings

Malware/Phishing Rates by Warning type OS vs clickthrough rates Release channel vs clickthrough rates Chrome: κατά μέσο όρο υψηλότερο clickthrough rate στα malware warnings

Malware/Phishing Rates by Browser OS vs clickthrough rates Release channel vs clickthrough rates Υψηλότερο clickthrough rate στο Chrome

Malware/Phishing rates by Demographics OS vs clickthrough rates Release channel vs clickthrough rates Υψηλότερο clickthrough rate έχουν οι Linux users

Malware/Phishing rates by Demographics OS vs clickthrough rates Release channel vs clickthrough rates Υψηλότερο clickthrough rate έχουν οι Nightly users

SSL Warnings

SSL rates by Demographics OS vs clickthrough rates Release channel vs clickthrough rates

SSL rates by Demographics OS vs clickthrough rates Release channel vs clickthrough rates

SSL rates by Demographics OS vs clickthrough rates Release channel vs clickthrough rates

SSL rates by Browser OS vs clickthrough rates Release channel vs clickthrough rates 1 2

SSL rates by Certificate Error Type Chrome Firefox Περίπου ίδιο ποσοστό 24.4% διαφορά

Time Spent On SSL Warnings Time by Outcome Time by Error Type Proceed = λιγότερο χρόνο σκέψης Don t Proceed = περισσότερο χρόνο Συχνότητα εμφανίσεων ενός error είναι αντιστρόφως ανάλογη του χρόνου

Συμπεράσματα Τα warnings μπορούν να γίνουν αποτελεσματικά στους χρήστες Χαμηλό clickthrough rate για malware και phishing warnings Χρήστες με τεχνικά skills (Linux and pre-release channels users) κάνουν περισσότερα click through Πρέπει να περιοριστούν οι φορές που εμφανίζονται τα warnings Λιγότερα click through Οι χρήστες δεν διαβάζουν τα «More Information» να μην κρύβονται πληροφορίες που είναι σημαντικές για την λήψη αποφάσεων

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια