当前位置:
X-MOL 学术
›
arXiv.cs.CY
›
论文详情
Our official English website, www.x-mol.net, welcomes your feedback! (Note: you will need to create a separate account there.)
Snail Mail Beats Email Any Day: On Effective Operator Security Notifications in the Internet
arXiv - CS - Computers and Society Pub Date : 2021-06-15 , DOI: arxiv-2106.08024 Max Maass, Marc-Pascal Clement, Matthias Hollick
arXiv - CS - Computers and Society Pub Date : 2021-06-15 , DOI: arxiv-2106.08024 Max Maass, Marc-Pascal Clement, Matthias Hollick
In the era of large-scale internet scanning, misconfigured websites are a
frequent cause of data leaks and security incidents. Previous research has
investigated sending automated email notifications to operators of insecure or
compromised websites, but has often met with limited success due to challenges
in address data quality, spam filtering, and operator distrust and disinterest.
While several studies have investigated the design and phrasing of notification
emails in a bid to increase their effectiveness, the use of other contact
channels has remained almost completely unexplored due to the required effort
and cost. In this paper, we investigate two methods to increase notification
success: the use of letters as an alternative delivery medium, and the
description of attack scenarios to incentivize remediation. We evaluate these
factors as part of a notification campaign utilizing manually-collected address
information from 1359 German website operators and focusing on unintentional
information leaks from web servers. We find that manually collected addresses
lead to large increases in delivery rates compared to previous work, and
letters were markedly more effective than emails, increasing remediation rates
by up to 25 percentage points. Counterintuitively, providing detailed
descriptions of possible attacks can actually *decrease* remediation rates,
highlighting the need for more research into how notifications are perceived by
recipients.
中文翻译:
蜗牛邮件在任何一天都胜过电子邮件:关于 Internet 中有效的运营商安全通知
在大规模互联网扫描时代,错误配置的网站是数据泄露和安全事件的常见原因。之前的研究调查了向不安全或受感染网站的运营商发送自动电子邮件通知,但由于地址数据质量、垃圾邮件过滤以及运营商的不信任和不感兴趣方面的挑战,往往取得了有限的成功。虽然有几项研究调查了通知电子邮件的设计和措辞以提高其有效性,但由于所需的工作量和成本,其他联系渠道的使用几乎完全没有得到探索。在本文中,我们研究了两种提高通知成功率的方法:使用信件作为替代传递媒介,以及描述攻击场景以激励补救。我们将这些因素作为通知活动的一部分进行评估,该活动利用从 1359 家德国网站运营商手动收集的地址信息,并重点关注网络服务器的无意信息泄漏。我们发现,与以前的工作相比,手动收集的地址导致送达率大幅提高,信件明显比电子邮件更有效,将补救率提高了 25 个百分点。与直觉相反,提供可能的攻击的详细描述实际上可以*降低*补救率,这突出表明需要对接收者如何感知通知进行更多研究。我们发现,与以前的工作相比,手动收集的地址导致送达率大幅提高,信件明显比电子邮件更有效,将补救率提高了 25 个百分点。与直觉相反,提供可能的攻击的详细描述实际上可以*降低*补救率,这突出表明需要对接收者如何感知通知进行更多研究。我们发现,与以前的工作相比,手动收集的地址导致送达率大幅提高,信件明显比电子邮件更有效,将补救率提高了 25 个百分点。与直觉相反,提供可能的攻击的详细描述实际上可以*降低*补救率,这突出表明需要对接收者如何感知通知进行更多研究。
更新日期:2021-06-16
中文翻译:
蜗牛邮件在任何一天都胜过电子邮件:关于 Internet 中有效的运营商安全通知
在大规模互联网扫描时代,错误配置的网站是数据泄露和安全事件的常见原因。之前的研究调查了向不安全或受感染网站的运营商发送自动电子邮件通知,但由于地址数据质量、垃圾邮件过滤以及运营商的不信任和不感兴趣方面的挑战,往往取得了有限的成功。虽然有几项研究调查了通知电子邮件的设计和措辞以提高其有效性,但由于所需的工作量和成本,其他联系渠道的使用几乎完全没有得到探索。在本文中,我们研究了两种提高通知成功率的方法:使用信件作为替代传递媒介,以及描述攻击场景以激励补救。我们将这些因素作为通知活动的一部分进行评估,该活动利用从 1359 家德国网站运营商手动收集的地址信息,并重点关注网络服务器的无意信息泄漏。我们发现,与以前的工作相比,手动收集的地址导致送达率大幅提高,信件明显比电子邮件更有效,将补救率提高了 25 个百分点。与直觉相反,提供可能的攻击的详细描述实际上可以*降低*补救率,这突出表明需要对接收者如何感知通知进行更多研究。我们发现,与以前的工作相比,手动收集的地址导致送达率大幅提高,信件明显比电子邮件更有效,将补救率提高了 25 个百分点。与直觉相反,提供可能的攻击的详细描述实际上可以*降低*补救率,这突出表明需要对接收者如何感知通知进行更多研究。我们发现,与以前的工作相比,手动收集的地址导致送达率大幅提高,信件明显比电子邮件更有效,将补救率提高了 25 个百分点。与直觉相反,提供可能的攻击的详细描述实际上可以*降低*补救率,这突出表明需要对接收者如何感知通知进行更多研究。