SSL: Comprehension dan Adherence

SSL: Comprehension dan Adherence Browser akan memberi peringatan ketika user menggunakan privasi koneksi SSL/TLS yang memiliki resiko. Peringatan SSL yang idealnya adalah untuk membantu User untuk membuat keputusan apakah website aman atau tidak. Namun, sangat disayangkan, sebagian besar pengguna masih belum memahami dan sering mengabaikan peringatan dari fitur SSL. Ada beberapa browser yang menggunakan fitur peringatan SSL. Google Chrome merupakan salah satu browser yang menggunakan fitur SSL ini untuk memudahkan user mengambil keputusan apakah sebuah website cukup aman untuk diakses. Dari data yang didapatkan dari uji coba pengembangan SSL Google Chrome. Jumlah pengguna hampir 30% lebih memilih untuk tetap aman setelah melihat peringatan dari fitur SSL di Google Chrome. Hal uniknya, ada beberapa kesamaan antara pemberontak, penjual barang-barang illegal, aparatur negara. Mereka memiliki suatu kesamaan dalam menjaga komunikasi dan data-data pribadi yang bisa saja disadap melalui sebuah website. Tentunya fitur SSL sangat berguna untuk mereka jika meraka mengerti apa itu SSL. Ketika user mengakses suatu website, dan terjadi peringatan pada browser yang diterima dari SSL, kemudian user harus memutuskan apakah akan mempertimbangkan peringatan tersebut atau menghiraukan dan mengakses website tersebut. Peringatan SSL sangat effektif untuk menghindari kerugian. Namun bagi beberapa user, memutuskan untuk mengabaikan peringatan SSL dapat bisa saja menyebabkan kerugian secara fisik maupun nonfisik. Contoh kasus, beberapa user yang mengabaikan peringatan SSL dari browser saat mengakses situs belanja online kemudian melakukan pembayaran menggunakan kartu kredit, padahal sebelumnya user sudah diberi peringatan dari SSL bahwa situs tidak aman untuk diakses. Kerugian yang dialami membengkaknya tagihan kartu kredit yang disalah gunakan oleh pembajak data-data user tersebut. Peringatan dari SSL efektifnya harus memiliki: 



Comprehension User dapat mengambil keputusan setelah melihat peringatan dari SSL. USer harus memahami sumber ancaman, data yang beresiko, dan kemungkinan dari peringatan positif palsu. Adherence Merupakan suatu kepatuhan, peringatan harus membuat pengguna dapat mengambil tindakan yang konservatif dan tidak melanjutkannya.

Comprehension (pemahaman) merupakan tujuan pencapaian, namun Adherence (kepatuhan) merupakan alternatif yang dapat dicapai jika user sudah mencapai Comrehension (pemahaman). Beberapa literatur mengingatkan bahwa peringatan SSL saat ini mungkin gagal pada satu atau kedua tujuan tersebut. Sebagian user keliru bahwa SSL hanya untuk peringatan pembaruan keamanan, cookies, ataupun malware. Contohnya, beberapa user hanya percaya dan mengandalkan antivirus yang mereka gunakan untuk perlindungan. Hal ini sudah dilakukan terhadap tiga survei berbasis yang berhubungan dengan comprehension yang direspon oleh 7.537 microsurvey. Sebagai perbandingannya, ini juga sudah diuji melalui peringatan SSL yang dijalankan pada empat browser berbeda. Teks yang diusulkan sedikit diperbaiki, salah satunya diaspek comprehension (sumber ancaman), namun tingkat comprehension secara keseluruhan tetap rendah untuk semua peringatan. Mengapa demikian? Meskipun hal ini tetap dicoba untuk mengikuti praktek-praktek terbaik, ini menghadapi timbal balik antara saran yang kontradiktif.

Pilihannya mungkin belum optimal. Hal ini menunjukkan kebutuhan untuk penelitian lebih lanjut kedalam kepentingan relatif yang singkat, kekhususan, dan non-teknis pada peringatan keamanan. Beralih ketujuan kedua yaitu Adherence. Percobaan untuk mengukur seberapa dogmatis rancangan yang mempengaruhi tingkat Adherence. Desain yang dogmatis dalam hal ini adalah penggunaan desain visual sebagai isyarat untuk mendorong program direkomendasikan dan ditindaklanjuti. Konsep ini secara substansial meningkatkan tingkat Adherence, hampir 30%. Ini menunjukkan bahwa desain yang dogmatis dapat memiliki dampak yang besar kepada keamanan dan keselamatan pengguna dan pengambil keputusan. Adherence meningkat dari 37% menjadi 62%, yang berarti bahwa jutaan user setiap bulannya bertindak dengan aman karena perubahan desain tadi.

Apa itu SSL? Ketika user mengunjungi situs web melalui HTTPS, browser mencoba untuk membangun koneksi SSL/TLS1 ke server website. SSL seharusnya memastikan kedua sifat penting yaitu: kerahasiaan dan otentikasi. Kerahasiaan yang berarti bahwa seharusnya website aman dan tidak vulnerable saat user mengirim email atau melakukan pembayaran online. Untuk itulah browser mengenkripsi data yang mengalir antara browser dan server website. Browser juga mengotentikasi server tidak mengelabui identitasnya. Tanpa otentikasi, network attacker (penyerang jaringan) bisa berpura-pura menjadi server dan dengan demikian mengakses data. Otentikasi diperlukan untuk memastikan kerahasiaan. Browser akan menampilkan peringatan SSL saat enskripsi terlalu lemah atau server tidak dapat dikonfirmasi. Koneksi berhenti, sambil menunggu keputusan pengguna yang mendapatkan peringatan SSL. Dalam beberapa kasus, Pengguna internet di Suriah melihat peringatan SSL ketika Departemen Telekomunikasi Suriah menyerang pengguna facebook. Demikian pula, saat peringatan SSL disiagakan pengguna internet Cina untuk serangan terhadap Google dan Github. Namun dalam kasus lain, server yang salah konfigurasi atau firewall nya menyebabkan peringatan yang salah atau palsu.

Definisi dari Comprehension Untuk mencapai tujuan Comprehension, idealnya peringatan SSL akan menyampaikan sebagai berikut: 



Threat source (sumber ancaman). Peringatan SSL sekitar jaringan, tidak berbahaya atau membahayakan server. Ini berarti bahwa penyerang seharusnya berada pada beberapa titik antara komputer user dan server website. Ancaman tidak berasal dari website itu sendiri. Pengguna informasi dapat mempertimbangkan berapa banyak dia percaya koneksi jaringan lokal dan ISP. Misalnya, user mungkin cukup mempercayai koneksi WiFi di Area Free WiFispot atau koneksi di Universitas anda. User tidak akan mengevaluasi apakah aman atau tidaknya website yang dituju. Data Risk (Risiko Data). Data pengguna di website tujuan memiliki resiko penyadapan atau penyalahgunaan. Selain itu, hal ini juga berlaku untuk semua data yang telah ada di website, bukan hanya data baru yang dimasukkan user setelah mengklik peringatan. DAta lokal pengguna dan data yang tidak terkait website HTTPS juga menjadi taruhannya. Misalnya, pengguna yang mendapat peringatan pada situs perbankan harus tahu bahwa pernyataan perbankannya mungkin dibaca oleh orang lain jika dia mengklik peringatan. Karena itu pengguna informasi akan mempertimbangkan sensitivitas datanya pada website tujuan.



False Positif. Website memiliki kesalahan konfigurasi dan WiFi log-in layar yang menyebabkan peringatan palsu bahwa tidak akan ada serangan. Website dengan penerapan keamanan yang baik (seperti penyedia email dan bank) tidak mungkin salah konfigurasi. Ketika menimbang kemungkinan false positive, pengguna informasi akan mempertimbangkan reputasi website dan apakah website biasanya berkerja dengan benar.

TO BE CONTINUED....!!!