Пляшущие свинки

В компьютерной безопасности «пляшущие свиньи» — термин, описывающий отношение пользователей компьютеров к компьютерной безопасности. Он означает, что пользователи продолжат просматривать забавные изображения, даже если они получат предупреждение от программ, обеспечивающих безопасность, что переход по ссылке может представлять угрозу. Другими словами, пользователи выбирают желаемый контент без оглядки на его безопасность. Выражение «пляшущие свиньи» обычно используется экспертами по компьютерной технике, а также может быть встречено в статьях по информационным технологиям и безопасности.

Термин ввели Гари Мак-Гроу и Эдвард Фельтен:

Если пользователям дать выбор между пляшущими свиньями и безопасностью, они всегда выберут свиней^[1]

Брюс Шнайер заявляет:

Каждый раз, сталкиваясь с выбором между безопасностью и пляшущими свиньями, пользователь выбирает свиней^[2]

Брюс Шнайер раскрывает это так:

Если Иван Сетевой щелкает по кнопке, которая обещает танец свиней на его мониторе, а вместо этого получает предупреждение, описывающее потенциальные опасности приложения, он всегда выберет пляшущих свиней. Если же компьютер выведет на экран предупреждение вроде “приложение ПЛЯШУЩИЕ СВИНЬИ может содержать вредоносный код, который может необратимо повредить ваш компьютер, похитить ваши сбережения и повлиять на вашу способность иметь детей”, он все равно нажмет ОК, даже не прочитав предупреждение. Через 30 секунд он даже не вспомнит, что предупреждение вообще имело место^[3]

В обзорном руководстве по безопасности Mozilla говорится:

Множество наших потенциальных пользователей не имеют большого опыта в использовании компьютера. Они не понимают риска, связанного с использованием интерактивного веб-контента. Это означает, что мы должны полагаться на решения пользователей настолько редко, насколько это возможно^[4]

Широко распространенная статья^[5] 2009 года напрямую обращается к цитате о пляшущих свиньях и утверждает, что поведение пользователей более-менее рационально:

Хотя она[цитата] забавна, но в то же время и несправедлива: пользователям никогда не предлагают безопасность, ни саму по себе, ни как альтернативу чему-либо. Им предлагают длинный, сложный и постоянно увеличивающийся набор советов, правил и инструкций, который никогда не обещает безопасности, но вместо неё несет туманные предположения об уменьшении риска^[6]

Экспериментальные подтверждения править

Одно из исследований фишинга показало^[7], что люди, в какой-то мере, действительно предпочитают «танцующих» животных безопасности. Исследование состояло в показе испытуемым некоторого числа фишинговых сайтов, включая копирующий домашнюю страницу Bank of West. Для многих испытуемых привлекательный дизайн, уровень детализации и тот факт, что сайт не запрашивал большой объём информации, были основными факторами выбора. Двое испытуемых упомянули видео с анимированным медведем, появляющееся на странице, (например, «потому что копирование такого видео потребует много усилий»). В основном, участники нашли эту анимацию привлекательной, многие перезагрузили страницу только для того, чтобы увидеть её снова.

См. также править

Троянский конь

Примечания править

↑ Гари Мак-Гроу и Эдвард Фельтен: Защита Java (John Wiley & Sons, 1999; ISBN 0-471-31952-X), Раздел 1, Часть 7
↑ Mills, Elinor (2009-10-23). "Q&A: Schneier warns of marketers and dancing pigs". CNET. Архивировано из оригинала 10 октября 2013. Дата обращения: 12 февраля 2013.
↑ Брюс Шнайер: Секреты и ложь. Безопасность данных в цифровом мире (Secrets and Lies). ISBN 0-471-25311-1
↑ Mozilla Security Reviewers' Guide Архивная копия от 19 апреля 2009 на Wayback Machine / Mozilla Foundation
↑ Mark Pothier (2010-04-11). "Please Do Not Change Your Password". The Boston Globe. Архивировано из оригинала 28 июня 2011. Дата обращения: 25 мая 2011.
↑ Cormac Herley (2009). So Long and No Thanks for the Externalities: the Rational Rejection of Security Advice by Users (PDF). New Security Paradigms Workshop. Архивировано из оригинала (PDF) 23 июля 2013. Дата обращения: 25 мая 2013.
↑ Rachna Dhamija, J. D. Tygar and Marti Hearst, Why Phishing Works (недоступная ссылка), to appear in the Proceedings of the Conference on Human Factors in Computing Systems (CHI2006), 2006.

[1] Гари Мак-Гроу и Эдвард Фельтен: Защита Java (John Wiley & Sons, 1999; ISBN 0-471-31952-X), Раздел 1, Часть 7

[2] Mills, Elinor (2009-10-23). "Q&A: Schneier warns of marketers and dancing pigs". CNET. Архивировано из оригинала 10 октября 2013. Дата обращения: 12 февраля 2013.

[3] Брюс Шнайер: Секреты и ложь. Безопасность данных в цифровом мире (Secrets and Lies). ISBN 0-471-25311-1

[4] Mozilla Security Reviewers' Guide Архивная копия от 19 апреля 2009 на Wayback Machine / Mozilla Foundation

[5] Mark Pothier (2010-04-11). "Please Do Not Change Your Password". The Boston Globe. Архивировано из оригинала 28 июня 2011. Дата обращения: 25 мая 2011.

[6] Cormac Herley (2009). So Long and No Thanks for the Externalities: the Rational Rejection of Security Advice by Users (PDF). New Security Paradigms Workshop. Архивировано из оригинала (PDF) 23 июля 2013. Дата обращения: 25 мая 2013.

[7] Rachna Dhamija, J. D. Tygar and Marti Hearst, Why Phishing Works (недоступная ссылка), to appear in the Proceedings of the Conference on Human Factors in Computing Systems (CHI2006), 2006.

[1]

[2]

[3]

[4]

[5]

[6]

[7]