5 may 2023

Chrome mata el icono del "candado" en las URL (¡al fìn!)

Históricamente, desde las primeras versiones de Netscape en la década del 90, los navegadores han mostrado el icono de un candado cuando un sitio se carga sobre HTTPS. Durante la última década, los navegadores modernos han participado en una importante iniciativa para aumentar la adopción de HTTPS en la web y ayudar a que la web sea segura de forma predeterminada. En 2013, solo el 14% de los sitios Top 1M de Alexa admitían HTTPS.

Hoy, sin embargo, HTTPS se ha convertido en la norma y más del 95% de las páginas de Chrome en Windows se realizan a través de un canal seguro que utiliza HTTPS. Esta es una gran noticia para el ecosistema; también crea una oportunidad para reevaluar cómo señalamos las protecciones de seguridad en el navegador. En particular, el icono de candado.

Según la investigación de la industria (de Chrome y otros) y la ubicuidad de HTTPS, permitiría reemplazars el ícono del candado en la barra de direcciones de Chrome con un nuevo ícono de "sintonización", ambos para enfatizar que la seguridad debe ser el estado predeterminado, y para hacer que la configuración del sitio sea más accesible.

El ícono de candado tenía la intención de indicar que la conexión de red es un canal seguro entre el navegador y el sitio y que la conexión no puede ser manipulada o espiada por terceros, pero es un remanente de una era en la que HTTPS era poco común. HTTPS era originalmente tan raro que, en un momento, Internet Explorer llegó a mostrar una alerta a los usuarios para notificarles que la conexión estaba protegida por HTTPS, lo que recuerda a la alarma "Todo está bien" de Los Simpson. Cuando HTTPS era raro, el icono de candado llamaba la atención sobre las protecciones adicionales proporcionadas por HTTPS. Hoy en día, esto ya no es cierto, y HTTPS es la norma, no la excepción, y los navegadores han evolucionado en consecuencia.

Por ejemplo: se sabem que el ícono del candado no indica la confiabilidad del sitio web. Por eso, en 2016 Chrome rediseñó el ícono del candado para que los usuarios entendieran lo que intentaba transmitir dicho ícono. A pesar de esos esfuerzos, una investigación en 2021 mostró que solo el 11% de los participantes del estudio entendían correctamente el significado preciso del ícono de candado. Este malentendido no es inofensivo: casi todos los sitios de phishing usan HTTPS y, por lo tanto, también muestran el ícono de candado. Los malentendidos son tan generalizados que muchas organizaciones, incluido el FBI, publican instrucciones explícitas de que el icono del candado no es un indicador de la seguridad del sitio web.

Cuando se muestra la interfaz de usuario de Chrome en estudios de investigación, los usuarios miran el candado para evaluar la confiabilidad de un sitio de comercio electrónico hipotético. Mostramos los controles del sitio a los participantes del experimento. Los mapas de calor superpuestos representan los patrones de clic de los encuestados a quienes se les pidió que indicaran cualquier información que se percibiera útil en el escenario.

En 2021, Chrome compartió que estaba experimentando con el reemplazo del ícono del candado con algo más neutral en cuanto a la seguridad. Si bien continúan marcando HTTP como inseguro en la barra de URL, los usuarios del experimento abrieron más los controles del sitio y no expresaron ninguna confusión.

Controles del sitio actualmente accesibles desde el icono de candado.

En base a estos resultados de investigación, y el cambio más grande hacia HTTPS, es que reemplazarán el ícono del candado en Chrome con una variante del ícono de "ajustes":

  • No implica "digno de confianza"
  • Es más obviamente seleccionable
  • Se asocia comúnmente con configuraciones u otros controles.

Es decir que Chrome planea reemplazar el ícono del candado con una variante del ícono de "ajustes", que se usa comúnmente para indicar controles y configuraciones.

Reemplazar el ícono de candado con un indicador neutral evita el malentendido de que el ícono de candado está asociado con la confiabilidad de una página y enfatiza que la seguridad debe ser el estado predeterminado en el navegador.

La investigación también ha demostrado que muchos usuarios nunca entendieron que hacer clic en el icono de candado mostraba información y controles importantes. Un nuevo ícono ayuda a que los controles de permisos y la información de seguridad adicional sean más accesibles, al tiempo que evita los malentendidos que plagan el ícono del candado.

El nuevo ícono está programado para lanzarse en Chrome 117, que se lanzará a principios de septiembre de 2023, como parte de una actualización de diseño general para plataformas de escritorio. Chrome seguirá alertando a los usuarios cuando su conexión no sea segura. Ya se puede ver el nuevo ícono de en Chrome Canary si se habilita en chrome://flags#chrome-refresh-2023.

Se reemplazará el ícono de candado en Android al mismo tiempo que el cambio de escritorio más amplio. En iOS, el ícono de candado no se puede tocar, por lo que no se eliminará por completo. En todas las plataformas, se continuará marcando HTTP de texto sin formato como inseguro.

Fuente: Google Chromium

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!