pdf - Bilgisayar Mühendisliği

GÜVENLİK SİSTEMLERİ İÇİN
KULLANICI ARAYÜZÜ TASARIMI
A. Zülal ŞEVKLİ
([email protected], [email protected])
Özet
Bu makale, güvenlik sistemlerinin kullanabilirliği üzerinde geçmişten günümüze
yapılagelmiş çalışmalar hakkında bilgi vermek amaçlı yazılmıştır. Bilgisayar kullanıcıları
varolan teknolojileri kendilerine sunulan arayüzler sayesinde keşfederler. Arayüzlerin
verimli tasarlanıp tasarlanmadığı konusunu HCI disiplini inceler. İnsan Bilgisayar
Etkileşimi olarak bilinen bu disiplin teknoloji ile kullanıcıların daha fazla etkileşimli
çalışmasını sağlar. Resmi ve günlük işlerimizin büyük kısmının internet üzerinden
yapılmaya başlandığı günümüzde bilgi güvenliğini sağlama önem kazanmıştır. Günlük
işlerin internet ortamında kullanımını yaygınlaştırmak için gerekli alt yapının düzgün
çalışabilmesinin yanında, kullanıcı ile irtibata giren arayüzlerin de kullanıcıya güven
hissettirmesi önemli bir husustur. Bu makale bizzat güvenlik için düzenlenmiş veya
fonksiyonlarında güvenlik ihtiyacı duyan sistemlerin arayüzlerinin HCI kriterlerini temel
alarak nasıl geliştirildiklerini anlatır. Makalenin son kısmında bu çalışmalardan biri olan [1]
Windows XP için geliştirilen Firewall yazılımının arayüzü için uygulamalı bir çalışma
sunulmuştur.
Anahtar Kelimeler: HCI, İnsan Bilgisayar Etkileşimi, Bilgi güvenliği, Firewall, HCI-S
1. GİRİŞ
Bugün insanlar teknolojik yönden birbirlerine bir ağ kablosu kadar yakındırlar. Bu yakınlaşmanın insana
getirdiği birçok avantajının yanında bilgi güvenliğini sağlama problemleri ortaya çıktmıştır Güvenliği
sağlamak için dış ağa konulan setler, şifreli mesajlar yani komplex sistemler ve yazılımlar güvenlik işinin
içinde olmayan kişiler için ürkütücü ve anlaşılmaz olmuştur. Bu tür işleri tecrübeli elemanlarla veya
kurumlarla çözmek en uygun adım gibi gelmiştir. Lakin teknoloji insanların günlük hayatlarına girdikçe
insanların temel işlerinde bile güvenlik gerekir olmuştur. Kimse emailinin okunmasını, dosyalarına
erişilmesini yada banka işlemlerinin takip edilmesini istemez. Yani güvenlik yazılımları yada kullandığımız
yazılım içinde güvenliğin sağlanmasını son-kullanıcıların da takip etmesi gerekliliği doğmuştur.Artık bizden
çok uzak gibi görülen güvenlik işlemleri bizim de hayatımızda etkisini göstermiştir. Tam bu sırada da
güvenlik sistemlerinin son kullanıcı ile tanışması ve kullanabilirliğinin artırılması konusunda çalışmalar
başlatılmıştır. Kullanabilirliğin artırılması için yapılan çalışmalar genel olarak 3 bölüm halinde anlatabiliriz.
1. Kullanıcıların güvenlik konusunda eğitilmesi
Genel olarak kullanıcıları 3 kısıma ayırabiliriz. Yazılım geliştiricisi yani sisteme güvenlik ayarlarını entegre
eden kişi, ikincisi birçok kullanıcı ve makinaya güvenlik izinlerini kuran kişi sistem yöneticileri, üçüncü
olarakta verilen sistem izinlerinin içinde esas görevini yapmaya çalışan son kullanıcılar.Araştırmalar daha
çok son iki kesimdeki kullanıcıya yönelik olarak devam etmektedir.
İşlemler , hesaplamalar büyük güvenlikli makinalardan daha çok masaüstü ve mobil makinalara kaydıkça,
son kullanıcılarda kendi makinalarının sistem yöneticisi hemde kullanıcısı durumuna geçtiler [15].
Makinalarını ve kullanılan yazılımların güvenlik ayarlarını tel başına da yapabilmeleri gerekir oldu. Bununla
beraber kullanıcıların birinci hedefi güvenliği yönetmek değil, çalışmalarını minumum zamanda
gerçekleştirebilmektir. [16,17]. Bundan dolayı kendi çalışmalarını aksatacak herhangi bir teknolojiye de
destekçi olmazlar [11].
1
Bu konuda kullanıcıyı minumum güvenlik ihtiyaçlarını giderecek şekilde eğitmek bir çözüm olarak sunuldu.
Mesala uygun şifre seçimi, virus yazılımlarının kurulumu ve güncelleştirmesi, sisteme login ile giriş yapıp
mutlaka logout olması...vs.
2. Güvenlik yazılımlarında kullanıcı arayüzlerinin iyileştirilmesi
İkinci çözüm ise arayüzlerin iyileştirilmesidir. Bugün kullanıcılar çok farklı arayüzlerle birçok bilgisayar ve
benzer teknolojileri kullanmaktadırlar – mobil telefon menüleri, bilgisayar ekranı içinde butonlar, iconlar,
pencereler, otomaobil bilgisayar arayüzleri, web arayüzleri...vs.
Bu arayüzler kullanıcıların sistemleri kullanırken daha çabuk öğrenmeleri ve verimliliklerini artırmak amaçlı
tasarlanırlar.Örneğin iyi tasarlanmış bir arayüz, kullanıcının işini daha kısa sürede yapmasına yardımcı olur.
Bu da kullanıcının üretkenliğinin artmasını sağlar. Kullanıcının kendine güveni ve makinayı yönettiği hissi
artar ve kullandığı teknolojiyi sever. Eğer bunun tam tersi olan zayıf bir arayüzle işini yapmaya kalkarsa işini
daha uzun bir sürede yada hiç yapamadığı takdirde, teknolojiye karşı durma, başarısızlığa sebep olarak
teknolojiyi görme ve kullanmama sürecine girer.
Computer Crime ve Security Survey [18] yaptığı araştırmayla şirketler ve kişisel kullanımlarda en popüler
programların Antivirus yazılımları(%99 kullanım) ile firewall(%98 kullanım) yazılımları olduğu ortaya çıktı.
Güvenlik yazılımları son kullanıcıların zaten önyargı ile baktığı , korkutucu ve karmaşık gelen bir konu olup,
bu teknolojinin kullanabilirliğini artırma işi genellikle arayüzlere düşer. Bu konuda yapılan araştırmalarda
görülmüştür ki arayüzlerin daha etkin, verimli ve kullanıcının mentalitesine uygun tasarlanması için daha
özetle insan ve bilgisayar arasında etkilleşimin verimliliğini artırmak için HCI disiplinin kriterlerinden
yararlanmak gerekir.
Tabi akıllarda güvenlik ve kullanabilirlik her zaman zıt iki terimmiş gibi gelebilir. “Güvenlik yazılımları
kullanabilirlik özelliğine sahip olurlarsa güvenlikleri kalır mı?” gibi sorular aklımıza gelebilir.
Unutulmamalıdır ki kullanabilir bir arayüzle güvenlik yazılımınız kullanıcı karşısında ancak güçlenmiş olur.
Çünki kullanıcının daha az hata yapması sağlanacak, kullanıcının hissiyatı makina beni yönetiyordan ben onu
yönetiyorum seviyesine çıkacak , kendine ve teknolojiye güveni artacak ve bu da daha fazla yazılım kullanım
isteği doğuracaktır.
HCI kriterlerini güvenlik yazılımlarına uygunluğu araştırılıp güvenlik alanına uygun yeni kriterler çıkartılmış
ve güvenlik yazılım arayüzleri bu kriterler çerçevesinde iyileştirilmeye çalışılmıştır [1,9,10,14,].
3. Kullanabilirlik odaklı şekilde baştan güvenlik teknolojilerinin oluşturulması
Son çözüm olarak ise teknolojilerin kullanabilirlik odaklı yeniden oluşturulması sunulmuştur. Problem ne
kullanıcıda ne yazılımda görülmüş, çözümü kullanabilirlilik odaklı teknolojinin baştan yapılanması ile
sağlayabileceği kararkaştırılmıştır [13]. Özellikle mobil ve kablosuz araçlarda kullanılacak yeni teknolojilerin
kullanabilirlik odaklı gelişimi için çeşitli çözüm yolları önerilmiştir. Daha ayrıntılı bilgi için [13] bakılabilir.
Bu makalede literatürün de çok fazla üzerinde durduğu güvenlik yazılım arayüzlerinin kullanabilirlik
özelliğini artırma konusu üzerinde durulacaktır. İnsan Bilgisayar Etkileşimi (HCI) disiplinin veri güvenlik
sistemlerine uygulanabilirlik normları araştırılacaktır. Mesala şifreleme programları, firewalllar gibi
programlar tam güvenlik fonksiyonlarını kullanırken, internet bankacılığı veya alışveriş siteleri gibi
yazılımlar içinde güvenlik önemlidir.Öyle arayüzler olmalıki kullanıcı güvenliği hakkında bilgilendirilmeli
ve nasıl kullanacakları yada ayar değişikliklerini nasıl yapacakları kolaylıkla öğrenebilmelidirler.
Teknolojiniz ne kadar gelişmiş olursa olsun , kullanıcıları teker teker eğitmenin de imkansız olduğu bir
dönemde en kısa yol hangi seviyede kullanıcı olursa olsun kolaylıkla kullanabileceği arayüzler sunmaktır.
Bruce Schneier [11] yazısında da bu konu hakkında güzel bir tespitte bulunmuştur.
“ Güvenlik en zayıf halkanız kadar kuvvetlidir ve insanda bu zincirde en zayıf halkadır.”
Bu zamana kadar yapılan çalışmaları özetle anlattığımız bu bölümden sonra ikinci bölümümüzde HCI
disiplini hakkında daha detaylı bilgi verilecek, üçüncü bölümümüzde arayüz tasarlarken HCI tespit ettiği belli
başlı kriterler anlatılacak, dördüncü bölümde Güvenlik Alanında HCI tanımı ve kriterleri tespit edilip (HCI-
2
S), son bölümde yapılan örnek çalışmalardan bir tanesi detaylı olarak anlatılıp HCI-S kriterlere göre arayüz
önerileri sunulacaktır.
2. HCI NEDİR?
İnsan yaşamının her alanında giderek daha fazla kullanılan ve 'olmazsa olmaz' bir aracı haline gelen
bilgisayar üzerinde çalışan uygulamaların geniş kullanıcı kesimi tarafından kabul edilmesi ve efektif bir
halde kullanılması için bilgisayar ile kullanıcının etkileşimini (interaction) sağlayan arayüzün (interface'in)
çok iyi tasarlanması gerekmektedir.
Bu arayüz tasarımını inceleyen uzmanlık alanına, 1980'lerin ortalarında İngilizce'de İnsan-Bilgisayar
Etkileşimi anlamına gelen sözcüklerin baş harfinden oluşan HCI (Human Computer Interface ya da
Interaction) İnsan-Bilgisayar Etkileşimi adı verildi.
Şekil 1- İnsan-Bilgisayar Etkileşiminde temeller, 1996 Jenny Preece
Tarihsel gelişimine bakıldığında 1970’li yılların başında kullanıcı arayüz tasarımı kavramı ortaya atılmış ve
Makine- İnsan Arayüzü (Man - Machine Interface - MMI) olarak da adlandırılmıştı. İnsan-Bilgisayar
Etkileşimi ya da Makine- İnsan Arayüzünün üzerinde çalıştığı tasarım ilkeleri, bilgisayar ekranında
sınırlanan arayüzün ötesinde aslında bilgisayarın, ekranın, fare ve klavyenin ergonomisinin belirlenmesinde
de önemli bir rol oynamıştır.Multidisipliner bir uygulama alanı olarak kabul edilen İnsan-Bilgisayar
Etkileşimi 'nin (Human Computer Interaction) birçok temel disiplinle ilişkisi vardır:
Bilgisayar
Mühendisliği, psikoloji, Ergonomi ve İnsan Faktörü,Yapay Zeka bu disiplinlerden birkaçıdır.
Bu multidisipliner araştırma alanı insanın bilgisayardan beklentilerini
•
•
•
doğru,
kolay
efektif
bir şekilde alabilmesi için gerekli düzeneğin ve sisteminin ne olması gerektiğini araştıran bir alandır.
3
Bir sonraki bölümde “kullanıcı-dostu arayüzü” oluşturmak için kullanılan başlıca HCI kriterleri
anlatılacaktır.
3. BAŞARILI BİR HCI İÇİN BAŞLICA KRİTERLER NELERDİR?
Daha iyi kullanıcı arayüzü tasarlamak için birçok çalışmalar geliştirilmiştir [3,4,5]. Bu bölümde HCI
alanında anahtar rolü olan kişilerden biri olan Jakob Nielsen’in başarılı bir HCI için geliştirdiği [4] ve geniş
bir çevrede kabul gören 10 kriterini açıklayacağız.
1.
Sistem durumunun görünürlüğü : Kullanıcı sistemin durumundan haberdar olması lazımdır.Bu da
makul bir sürede doğru geribildirimle sağlanmalıdır. Örneğin bir dökümanı açmak istediğinizde farenin
çalışır pozisyona kendisini alması gibi. O anda kullanıcı sistemin bu dosyayı açmak için çaba sarfettiğini
anlar ve makul bir süre bekler. Ama farede bir değişiklik olmazsa kullanıcı işletim sisteminin bu isteğini
anlamadığını zannedip defalarca açma işini tekrarlayabilir
2.
Sistem ile gerçek dünyanın eşlenmesi : Kullanıcının bilgisayar ile daha iyi iletişim kurması için
sistemde gerçek hayat nesneleri kullanılır. Böylece kullanıcı kafasındaki oluşan mentaliteyi bilgisayarda
bizzat görerek işlerini daha kolay tamamlayabilir. Örneğin çöp kutusu ikonu gerçek dünya işlevi ile aynı
işi yapacağını kullanıcının kafasında çabucak canlandırır.
3.
Kullanıcının kontrolü ve özgürlüğü : Kullanıcı sistemi kullanırken sistem içinde kaybolmamalı,
istediği zaman sistemden güvenli bir şekilde ayrılmalı.
4.
Tutarlılık ve standartlar : Sistemde kullanılan her türlü açıklama, yazılar sistemin durumu ve görülen
davranışla uyum içinde olmalı ve aynı manayı ifade etmeli. Özellikle bilgisayar alanında çok kullanılan
terimleri kullanmak , ihtiyaç olmadıkça yeni kelimeler kullanmamak kullanıcının da daha önce edinmiş
terimsel hafızasını kullanarak işleri bitirmesini sağlamak HCI açısından uygundur.
5.
Hata önleme : Bir sistem için tabiki en iyisi dikkatli bir tasarım içinde hatayı baştan engellemektir.
Bununla beraber hata oluştuğu zaman da en iyi şekilde hatayı yakalamak ve uygun şekilde hatayı
kullanıcıya açıklamak gerekir.
6.
Geri çağırımdan ziyade Tanıma işleminine öncelik verilmesi : Kullanıcı bir olaydan başka olaya
geçerken bilgiyi hafızadan geri çağırmak zorunda kalmamalı , bundan ziyade daha çok bilgiyi
hatırlatacak ipuçları ile tasarımı zenginleştirilmelidir.Metin kutularında kullanılan maskeler, yada açılır
kutular, tamamlayıcı listeler bu gibi hatırlatıcı arayüzler için örnektir.
7.
Kullanımda esneklik ve verimlilik : Sistem her seviyeden kullanıcı için uygun olmalıdır.
Kullanıcıların arayüzleri farklı şekilde kullanma yöntemlerine cevap verecek kadar esnek olmalıdır.
Mesala bazıları menülere ulaşım için fareyi kullanırken, başka kullanıcı klavye ile kısa yollarla ulaşır.
Bunun gibi sisteminizin faklı yöntemlere cevap verebilmesi aynı zamanda kullanıcıların verimliliği de
artırmış olacaktır.
8.
Estetik ve Minumum Tasarım: Kullanıcı arayüz ile bilgi ve seçim bombardımanına tutulmamalı ,
gereksiz yada alakalı olmayan bilgi kullanıcıya sunulmamalıdır.
9.
Hata mesajları anlaşılır ve yol gösterici olmalıdır : Hata mesajları ve sunulan yardımlar ne çok uzun
nede çok kısa olmalı , Anlaşılır olmalı ve kullanıcının anlayacağı terimlerle olay anlatılmalıdır
10. Yardım ve Dökümantasyon: Kullanıcı yardım ve döküman işine en son başvurmalı. Yardımların
içerik duyarlılığı olmalı ve aranan şey kolayca bulunabilmeli.
4
4. HCI-S TANIMI (Güvenlik Alanında İnsan Bilgisayar Etkileşimi)
Bu çalışmanın amacı güvenlik sistemlerinin nasıl bir arayüze sahip olması gerektiğini göstermektir. Bu
amacı gerçekleştirebilmek için, Johston ve arkadaşları makalesinde [1] yeni bir terimi “HCI-S”
tanıtmışlardır.
Bu terimin literatürde ilk defa kullanıldığını ve “kullanıcı ile sistemin güvenlik özellikleri arasında ortak bir
zemin hazırlamaktan sorumlu kullanıcı arayüzünün bir parçası” olarak tanımlanabileceğini söylemişlerdir.
Daha kısa bir ifade ile HCI-S, HCI (insan bilgisayar etkileşimi) biliminin güvenlik alanında uygulanmış
kısmıdır diyebiliriz.
HCI-S, güvenlik sistemlerine ait grafik arabirimlerinin olabildiğince kullanıcı-dostu olması için çalışır. Daha
kolay bir kullanım, daha az hata yapmayı veya güvenlik ayarlarını geçiştirmeyi engeller.Böylece sistemin
bütünlüğü korumnuş olur. HCI-S hedefi grafik arayüzünü geliştirerek aslında güvenlik sistemini
geliştirmektir.Bununla beraber bazen sistemlerin güvenlik özelliklerinin kullanımı kullanıcıyı negatif yönde
etkileyebiliyor.Tam bu aşamada HCI-S güvenlik ile kolay kullanabilirlik arasında bir balans sağlar. Böylece
sistem daha güvenli, sağlam ve kolay kullanabilirlik özelliklerinin üçünü de sağlamış olur.
Bir sonraki bölümde HCI kriterlerini temel alarak oluşturulmuş HCI-S kriterleri açıklanacaktır.
5. HCI-S KRİTERLERİ
Bu bölümde Jakob Nielsen’in HCI kriterlerini temel alarak [1,12,14] referanslı makalelerde çalışılan
güvenlik sistemlerinin arabirimlerini geliştirirken dikkat ettikleri kriterleri açıklayacağız.
1.
Sistem durumunun görünürlüğü: Kullanıcı güvenlik sistemleri yada başka amaçlı yazılımların içine
gömülmüş güvenlik yazılımlarının çalışır durumlarını yada işlem durumlarını açıkça görebilmelidir. O
anda yaptığı işi gösterir mesajı yada iconu durum çubuğunda olmalı ve bir işlem yapıyorsa ne kadar
süreceğini progress bar ile kullanıcıya bildirmelidir.Böylece kullanıcı sisteme daha güvenli bakacaktır.
Şekil 2 de görüldüğü gibi kullanıcının güvenli bir web sayfasına girdiğini tarayıcının sağ alt kısmında
çıkan kilit sayesinde anlamaktayız. Bu kilit web sayfasının durumu hakkında bilgi verir ve şifreleme
işlemlerinin kullanıldığını söyler.
Şekil 2- Internet Explorer da güvenli gezinti
2.
Estetik ve Minumum Tasarım : Güvenlik teknik bir iştir. Sisteminizi kullanacağınız kullanıcı profiline
uygun olarak arayüzü tasarlamak yapılcak en doğru iştir. Herkesin kullanacağı bir programın içinde
güvenlik ayarlarlarını kontrol etmek isteniyorsa çok ağır güvenlik terimleri kullanılmamalıdır. Örneğin
[14] ‘te ele alınan KeyManagment programında daha önceki versiyonu olanPGPKeys programında
kullanılan public-private key yerine mykeys- otherkeys– ifadelerini kullanarak güvenlik
terminolojisinden programı kurtarmıştır. Ayrıca kullanıcıyı bilgi ve seçenek bombardımanına
tutulmamalıdır. Çok kullanılan seçeneklerden daha ileri seviyedeki bilgi ve seçenekler ayrılmalı
gerekirse saklanmalıdır.
3.
Hata mesajları anlaşılır ve yol gösterici olmalıdır : Anlaşılır hata mesajları güvenlik sistemlerinin
kullanımında önemli rol oynar. Hata mesajları doğru yazıldığında kullanıcıya sistemin doğru
kullanmasını öğreteceği gibi güvenlik yollarını anlamada da yardım eder. Örneğin bir banka işleminizin
ortasında “Bağlantınız aktif değil” gibi bir mesaj görseniz, işleminizin akibeti hakkında bir bilgi
vermediğinden panik duruma geçebilirsiniz ve sisteme olan güveninizi kaybolabilir. Bundan dolayı hata
mesajlarını yazarken [6] ‘da belirtilen şu dört önemli kuralı takip etmeliyiz:
5
•
•
•
•
4.
mesajlar açık bir dilde yazılmalı
her durum için genel bir mesaj yerine hataya hassas mesajlar yazılmalı
mesajlar problemi çözücü nitelikte olmalı
mesajlar göz korkutucu değil ve suçlayıcı nitelikte değil , nazik bir dille ifade edilmelidir.
Öğrenebilirlik : Güvenlik konusu çoğu kullanıcılar için öncelik arzetmez.Bu yüzden arayüz tasarımları
mümkün olduğunca kolay öğrenilebilir olmalıdır. Kullanıcının gerçek hayattan tanıdığı nesneler
arayüzde kullanabilir. Şekil 3 deki örnek, kullanıcının sisteme girebilmesini kilit ikonundan faydalanarak
kullanıcıya sunmuştur.
Şekil 3- Sistem ile Gerçek dünya nesnelerinin eşlenmesi
Bunun dışında kullanımı çok yaygın olan programların ikonlarından faydalanarak yine öğrenmeyi
kısaltabiliriz. Öğrenebilirliği artırıcı bir başka faktör de dilde standartlaşmış kelimeleri arayüzde
kullanmaya önem vermeliyiz.Örneğin “username” ve “password” yerine “Profile name” ve “Access
Code” kullanmak kafa karıştırıcı olabilir.
5.
Bu dört HCI-S kriteri “güveni” sağlamalıdır : HCI-S için anlatılan bu dört kriter arayüze
uygulandığında güveni sağlamalıdır. Sistem ile kullanıcı arasında güven oluşması önemlidir.Çünkü eticaret veya bilgisayar yazılımlarının daha yaygın olabilmesi için kullanıcının sisteme güveni
şarttır.InteractionArhitect.com tarafından yapılan bir araştırma [7] kullanıcıların rahat e-ticaret
yapabilmesini 4 faktöre bağlamış.
1.
2.
3.
4.
İşlemlerin doğru şekilde iletilmesi : Arayüzde sistem durumunun görünürlüğü ve alınan
açık bir geribildirim bize işlemlerin doğru yürütülüp yürütülmediği hakkında bilgi
verecektir.
Güvenli onaylama : Güvenlik gerektiren işlemler için arayüz gerekli bilgiyi kullanıcı ile
paylaşmalı ve sistemin bilgileri güvenli olarak onayladığı bildirilmeli.Şekil 2 de görülen
web arayüzü girilen sitenin SSL ile korunduğunu göstererek kullanıcıda güveni sağlar.
Uygun tasarım : Estetiğe ve minumum tasarıma önem vererek yapılan arayüzler uygun
tasarımı gerçekleştirirler.
Gezebilme : Estetik ve minumum tasarım uygulamada gezinebilmeyi de sağlar. Ayrıca
kolay öğrenebilme kriteri de bu işleme yardım eder.
Bu dört faktör HCI-S kriterleri ile uyuşmaktadır.Bu da demek oluyor ki bir arayüze sistem durumunun
görünürlüğü, estetik ve minumum tasarım, hata mesajlarının anlaşılır olması ve öğrenebilirlik kriterlerini
uygulanırsa güven elde edilir.
Bundan sonraki bölümde literatürde HCI-S ile ilgili yapılmış örnek çalışmalar incelenecek ve bu çalışmaların
HCI-S kriterlerine uygunluğu tartışılacaktır.
6. HCI-S ALANINDA YAPILMIŞ ÖRNEK ÇALIŞMALAR
Yaptığım literatür taramasında bulduğum çalışmaları maddeler halinde sıralamak gerekirse;
• İletişimde kimlik denetimi ile ilgili arayüzler geliştime [9]
• Ağda güvenlik ekranlama araçlarının arayüzlerini geliştirme [10]
6
•
•
•
•
Firewall arayüzlerini geliştirme [1]
Yazılım kurma ve bakım için arayüzler geliştirme [12]
Virus Koruma yazılımlarının arayüzler geliştirme [12]
Şifreli Email programlarının arayüzler geliştirme [14]
Bir sonraki bölümde yapılan bu çalışmalardan Windows XP için geliştirilen Internet Connection Firewall
(ICF) arayüzü [1] HCI-S kriterlerine göre incelenecektir.
7. ÖRNEK ÇALIŞMA - HCI-S Kriterlerine göre Windows XP Internet Connection
Firewall (ICF) ‘in İncelenmesi7.1 Neden Windows XP ICF
Microsoft Windows XP işletim sistemi, Internet Connection Firewall (ICF) adında bir koruma duvarı ile
beraber kurulur. ICF Windows XP içinde hem home hem de professional versiyonlarında standart olarak
gelmeye başladı.
ICF ev ve küçük ofis kullanıcıları için gelistirildi. Amaç Windows XP ‘ye olabilecek saldırıları engellemek
amaçlıydı. Gelen paketleri kontrol etmek ve istenmeyen paketleri bloke etmek görevlerindendir. ICF lokal
yada internet bağlantısı ile aktif olabilir.
Bu çalışmada ICF ‘in inceleme sebebi WebSlideStory [8] göre %30 internet kullanıcısından fazlası Windows
XP kullanıyor tespitidir.Bu da milyonlarca kullanıcının bilgisayarlarında haberli yada habersiz ICF kurulu
demektir.Bu programın arayüz kullanabilirliği bu kadar kullanıcı potensiyeli olduğundan önem arzediyor.
7.2 ICF- Çalışma Şekli
ICF ‘in çalışma şekli çok basittir. Herhangi bir ağ bağlantısı olduğu anda ICF seçili ise aktif hale gelir.
Bununla beraber birçok kullanıcı ICF ‘in kendi makinalarında kurulu olduklarını bile bilmezler. Çünki
herhangi bir ikon yada mesaj, durum çubuğunda görülmez.Yani sistemin durumu hakkında bilgi açık
değildir. Ayrıca ICF aktif olsa bile çalıştığından kullanıcı haberdar olamaz. Herhangi bir paket önlemede
kullanıcı bundan haberdar olmaz. Yani sistem durumu gözükmediği gibi uygun geri bildirimler de
verilmemektedir.
Şekil 4- Sistem göstergesi- Sistem durumunun görünürlüğü zayıf
7.3 ICF- Çalışma Şekli için Birkaç Tavsiye
HCI-S kriterleri temel alınarak ICF ‘in çalışma prensibleri ile ilgili birkaç öneri verilecektir:
Ağ bağlantısı olur olmaz bir mesaj çıkmalı ve sistemin korunmadığına dair kullanıcı bildirmeli.Mesaj kutusu
sistem durumunun görünürlüğünü artırır.
Şekil 5- Önerilen mesaj kutusu- ICF aktif değil
7
Şekil-5 ‘te sisteme uyarlanabilecek mesajı gösterilmektedir.
ICF aktif olur olmaz durum çubuğunda bir ikon (mesala “F”- firewall) gözükebilir. (Şekil-6) Firewall bir
paketi engellediğinde kullanıcı bir mesaj kutusu ile uyarılabilir. Kullanıcı bu uyarıları alıp almama yetkisini
kendisi kullanabilmeli. Ayrıca uyarıları her defasında mesajla iletmektense “F” ikonu yanıp sönerek
kullanıcının dikkatini çekilebilir.
Şekil 6- Sistem göstergesinde önerilen ikon
7.4 ICF-Konfigirasyonu
ICF konfigirasyon pencerelerinden bir tanesi Şekil-7 görülmektedir. Bu pencere estetik ve minumum tasarım
kuralına uygun olarak tasarlanmış. Kullanıcı bir pencerede bilgi bombardımanına tutulmamış.Ayrıca “Learn
more about Internet Connection Firewall” linki ile kullanıcıya ICF ‘e güvenmesi için daha fazla bilgi imkanı
da sunulmuştur.
7.5 ICF-Konfigirasyonu için Birkaç Tavsiye
Şekil-8 ICF için yeni bir arayüz geliştirilmiştir.Tab bölmesinin “Advanced” smi “Firewall” olarak
değiştirilmiştir.Birçok kullanıcı “Advanced” yazılı buton yada tab kısmına hiç dokunmaz. Bu bölümün
teknik kullanıcılar için olduğunu düşünüp beklenmedik olaylarda buralara bakıldığını düşünürler. ICF
bununla beraber hiçte teknik bir özellik değildir. Hatta standart bir özellik olduğundan her kullanıcının
kullanabilmesi lazımdır. Şekil-8’de sunulan alternatif tasarım sadece firewall için tasarlanmış bir önceki
tasarımda olduğu gibi başka konular bu tasarımın içine girmemiştir.
Varolan sistemde ICF ulaşmak için “Start” butonuna bastıktan sonra “Show all connection” tarafından takip
edilen “Connect to” butonuna basıp sağ ile tıklayıp “Proporties” seçip “Advanced ” kısmından Setting ‘ e
gelebiliriz. Bu yolu öğrenmek kullanıcı için bir hayli zordur. Bu problem yeni yapılan tasarımla şu yollarla
daha kısaltılabilir.Kontrol Panelinden ICF iconuna tıklanır. (Bu demek oluyor ki kontrol paneline bir icon
daha eklemek gerekir) veya durum çubuğunda duran “F” iconuna tıklanır. Bu iki yöntem aynı zamanda
arabirimin öğrenebilirliğini de artırır.
8
Şekil 7- Varolan ICF için arayüz
Şekil 8- Önerilen ICF için arayüz
Şekil-8 daki arayüz estetik ve minumum tasarım kuralına uygun olarak hazırlanmıştır.ICF ile ilgili detay
bilgiler günlük bilgilerden ayrılmıştır.İşlemler hafızadan bilgileri yeniden çağırmakla değilde pencereyi görür
görmez hatılamakla yapılabilecek duruma gelmiştir.Programın çalışır çalışmazlığı durumu açıkca görünür
olmuş kullanıcının sisteme güvenmemesi için hiç bir sebep kalmamıştır.
Bu karşılaştırmayı daha özet olarak Tablo 1 de açık açık görmek mümkündür.
Tablo 1- HCI-S kriterleri ile varolan ve önerilen ICF ‘in karşılaştırılması
HCI-S Kriterleri
Sistem durumunun
görünürlüğü
Estetetik ve Minumum Tasarım
Yardım ve Hata Mesajları ve
Gezinme
Öğrenebilirlik
Güven
Varolan ICF
HAYIR
ICF’in aktif yada çalışıyor olduğu
anlaşılmıyor.Kullanıcı bu konuda
bilgilendirilmeli
HAYIR
ICF arayüzü bu şekliyle kullanıcının dikkatini
çekmeyecek kadar minumum bir tasarımla
yapılmış.
EVET
“Learn more about” linki ile yardıma
ulaşılabiliyor. Log mesajlarını da kullanıcı
onay verir ise Setting ayarından hangi dosyada
tutulduğunu öğrenebliyor. Burdan şöyle bir
tespit doğru olur; bu arayüz tecrübeli
kullanıcılar için geçerli
HAYIR
Eğer kullanıcı yerini biliyorsa firewall’u aktif
hale getirebilir.
Önerilen ICF
EVET
Gerek alt araç çubuğunda ikon
vasıtasıyla gerekse mesaj yardımıyla
kullanıcı sistem durumu hakkında bilgili
EVET
Önerilen arayüzde bilgi bombardımanına
tutulmadan ve bilgiler 3 bölüme ayrılarak
son derece minumum ve estetik şekilde
arayüz tasarlanmıştır.
EVET
Yeni firewall arayüzünde başka bir yere
dallanmadan bütün işlerini bu arayüzde
halledebiliyorsun.Yardım, konfigirasyon
yada log kayıtlarına kolaylıkla ulaşım
sağlanabiliyor
EVET
Bu arayüzle ICF kapama/ açma son
derece kolaylaşmış.Yeni arayüz
Windows’a aşina olanlar için çabuk
öğrenilir hale gelmiştir.
Sonuç olarak bu arayüz kullanıcı için gerekli güveni sağlıyor mu?
HAYIR
EVET
Kullanıcının haberdar olmadığı birşeye karşı
Kullanıcı ICF ve olaylarından çok açık
güven duyması ve onu kullanması zordur.
şekilde haberdar olduğundan ve daha
kolay bir arayüzle güven sağlanmıştır.
9
8. SONUÇ
Bu makalede genel olarak geçmişten bu zamana kadar güvenlik alanında kullanabilirlik ve arayüz tasarımı
hakkında yapılan çalışmaların bir özetini sunmaya çalıştım. Eskiden güvenlik sistemleri tasarlanırken daha
çok bu konuda deneyimli kullanıcıların kullanabileceği düşünülür yada son kullanıcı güvenlik ayarlarını
kendinden çok uzak görürdü. Gelişen teknoloji ve araçlar sayesinde kişisel kullandığımız yazılım yada
donanımlarda da güvenlik arayüzleri ile karşılaşır olduk. Son kullanıcıların güvenlikle ilgili çekimserliği
kırmak yazılım yada donanımı tasarlayan geliştiricilere kalmıştır. Kullanıcı ile yazılımın etkileşimini
inceleyen HCI disiplini güvenlik alanında yapılan çalışmaları da incelemesi gereği ortaya çıkmış ve bu
ihtiyacı hisseden birçok akademisyen güvenlik sistemlerinin kullanabilirliği konusunda araştırmalara
başlamıştır. Araştırmalara baktığımızda HCI kriterleri temel alınarak güvenlik alanında arayüz kriterleri
geliştirildiğini görmekteyiz. Ve bu kirterler etrafında yazılım arayüzleri incelenerek iyileştirmeler yada yeni
öneriler getirilmiştir.Önerilen yada iyileştirilen arayüzlerin kullanım performansı ölçülmüştür. Böylece genel
kanı olarak zıt gibi düşünülen güvenlik sistemleri ve kullanabilirlik terimleri biraraya getirilerek verimli
çalışmalar yapılmıştır.
Yapılan çalışmalar genellikle varolan sistemleri iyileştirme yönündedir. Bundan sonra yeni yazılımların yada
araçların tasarımına başlanmadan önce kullanıcı ve kullanabilirlik merkezli bakılabildiği takdirde daha
verimli uygulamalar geliştirilecektir.
REFERANSLAR
[1] Johnston, J. Eloff, J. H. P., Labuschagne, L., Security and Human Computer Interfaces, Computers &
Security Vol 22,No 8, 2003
[2] Myers, B.A.,. A Brief History of Human Computer Interaction Technology, ACM Interactions, Vol. 5(2),
March 1998, pp. 44–54, 1998
[3] Nielsen, J., Usability Engineering, AP Professional, 1993.
[4] Nielson, J., Nielson's List of Heuristics, http://www.useit.com/papers/heuristic/heuristic_list.html
[5] Shneiderman, B., Designing the User Interface (3d Edition), Addison Wesley Longman, 1998.
[6] Schniederman B., "Designing Computer System Messages", Communications of the ACM 25,9
September 1982, 610-611, 1982
[7] D’Hertefelt, S., Trust and the Perception of Security,
http://www.interactionarchitect.com/research/report20000103shd.htm , 3 January 2000
[8] Windows XP Captures One-Third of O/S Market on the Web,
http://www.websidestory.com/pressroom/pressreleases.html?id=193&ctl=x08x087h27h2, 13 May 2003
[9] Josang, A., ve Patton, M., User Interface Requirements for Authentication of Community, Fourth
Australasian User Interface Conference, Vol. 18., 2003
[10] Dourish, P. ve Redmiles, D. An Approach to Usable Security Based on Event Monitoring and
Visualization,ACM New Security Paradigms Workshop, 2002
[11] Sasse, A., Brostoff, S. and Weirich, D., Transforming the ‘weakest link’ — a humancomputer
interaction approach to usable and effective security, BT Technology Journal, 19 (3).122-131.
[12] Yee, K.-P., User Interaction Design for Secure Systems, In Proceedings of 4th International Conference
on Information and Communications Security, Singapore, 2002.
10
[13] Smetters, D. K. ve Grinter, R. E., Moving from the Design of Usable Security Technologies to the
Design of Useful Secure Applications, Workshop on New security Paradigms, Virginia Beach,
Virginia,Sayfa: 82 – 89, 2002
[14] Dhamija R., Chen H. ve Ginsburg S., User Interfaces for Security: Iterative Design of a Cryptographic
Key Management Interface, http://www.sims.berkeley.edu/~rachna/is219/keymanage/
[15] Edwards W. K. ve Grinter R. E. At home with ubiquitous computing: Seven challenges, In UbiComp
’01, Atlanta,. Springer-Verlag. LNCS 2201, September 2001.
[16] Weirich D. ve Sasse M. A., Pretty good persuasion: A first step towards e_ective password security for
the real world. In New Security Paradigms Workshop,pages 137–143, Cloudcroft, NM,. ACM., 2001.
[17] Whitten A. ve Tygar J. D., Why Johnny can’t encrypt: A usability evaluation of PGP 5.0. In
Proceedings of the 8th USENIX Security Symposium, Washington, DC, August 1999.
[18] Richardson, R., 2003 CSI/FBI Computer Crime and Security Survey, Computer Security Institute,
www.gocsi.com, 2003.
11