Die User Interface Guidelines, die die Nutzung von Web-Sicherheitstechnologien durch Endanwender verbessern wollen, liegen nun erstmals als offizielle W3C-Empfehlung vor.
Die Guidelines richten sich speziell an die Entwickler sogenannter Web User Agents, womit die Verfasser jede Software (mitsamt Erweiterungen und Plugins) klassifizieren, die Webinhalte darstellt. Die Guidelines geben Entwicklern von Webanwendungen eine Checkliste an die Hand, nach der zum Beispiel Browserhersteller die Konformitätsstufen ihrer Software mit der W3C-Empfehlung oder Vertraulichkeitsmaßnahmen wie der verwendeten TLS-Sicherheitsstufen prüfen sollen.
In weiten Teilen geht es um die Gestaltung der Software und der Interaktion mit dem Endanwender. Hintergrund ist, dass Angreifer Websecurity-Technologien oft nicht knacken, sondern umgehen, weil der Benutzer sie nicht versteht und entsprechend links liegen lässt. Zu den Empfehlungen gehört, den Benutzer Informationen über die besuchte Website anzuzeigen oder ihn nicht immer unidentifizerbare Zertifikate umgehen zu lassen.
Die User Interface Guidelines mitsamt Best Practices sind auf den Webseiten des WWW-Konsortiums frei zugänglich. Erstellt wurden sie anfänglich unter dem Namen “Experience, Indicators, and Trust” von der W3C-Arbeitsgruppe “Web Security Context”, die sich im Jahr 2006 aus einem Websecurity-Workshop heraus bildete. Mit Veröffentlichung ihrer Erkenntnisse als W3C-Empfehlung hat sich die Arbeitsgruppe aufgelöst.
