Більшість з найбільших сайтів небезпечні
Оценка пользователей: / 3
ПлохоОтлично 
30.04.12 14:12
There are no translations available.

Веб-сайти з підтримкою протоколу HTTPS У доповіді організації Trustworthy Internet Movement (TIM), опублікованому минулого тижня, говориться, що 90% з 200 тис. найбільших веб-сайтів з підтримкою протоколу HTTPS є уразливими для відомих типів SSL (Secure Sockets Layer) атак.
Нагадаємо, що TIM є некомерційною організацією, що займається вивченням питань інтернет-безпеки, надійності і конфіденційності.
Доповідь грунтується на даних, зібраних в рамках нового проекту організації під назвою SSL Pulse. Проект використовує технологію автоматичного сканування, розроблену постачальником рішень в області безпеки - компанією Qualys. Дослідженню піддалися перші 200 тис. веб-сайтів, перерахованих в рейтингу аналітичної компанії Alexa.
В ході дослідження SSL Pulse перевіряв, які протоколи підтримують веб-сайти з HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, і т.д.), довжину ключа, що використовується для забезпечення зв'язку (512 біт, 1024 біт, 2048 біт і т.д.) і розмір підтримуваного коду (256 біт, 128 біт або нижче).
Половина з майже 200 тис. сайтів верхньої частини рейтингу Alexa, що підтримують HTTPS отримали оцінку «A» за якість своєї конфігурації. Це означає, що вони використовують поєднання сучасних протоколів, надійного кодування і довгих ключів.
Незважаючи на це, лише 10% з проаналізованих веб-сайтів були визнані дійсно безпечними. 75% (близько 148 тис.) виявилися уразливими для атак, відомих під назвою BEAST, повідомляє ресурс PCworld.
Атака BEAST була продемонстрована дослідниками в галузі безпеки Джуліано Ріццо (Juliano Rizzo) і Тай Дуонг (Thai Duong) на конференції в Буенос-Айресі у вересні 2011 року. Це практична реалізація старої теоретичної атаки і впливу на блоки SSL/TLS таких шифрів, як AES і Triple-DES.
«Найпростіший спосіб пом'якшити з позиції сервера BEAST напад - зробити для з'єднань HTTPS пріоритетним шифр RC4, - каже Іван Рістіч (Ivan Ristic), директор з інжинірингу компанії Qualys. - RC4 являє собою потоковий шифр, який не вразливий для цієї атаки».
Разом з підтримкою декількох протоколів багато HTTPS-сервери також підтримують декілька шифрів, щоб забезпечити їх сумісність з різними клієнтами. На сервері можуть бути використані спеціальні настройки для вказування порядку, в якому мають використовуватися шифри і встановлений пріоритет RC4.
«Я думаю, що більшість адміністраторів просто не знають про те, що необхідно виконати це завдання», - сказав Рістіч.
Захист від атак BEAST вже вбудований в нові браузери. Тим не менш, багато хто, особливо в бізнес-середовищі, ще використовують старі браузери, такі як Internet Explorer 6, який залишається вразливим.
Сканування SSL Pulse також показало, що понад 13% з 200 тис. веб-сайтів з підтримкою HTTPS допускають перенаправлення до небезпечним SSL-з'єднань. Ці ризики особливо істотні для сайтів з великою кількістю користувачів або тих, що містять об'єкти «високої вартості» (наприклад, фінансові установи, банки, говориться в повідомленні MarketWire. Виправлення небезпечних вразливостей досить просте і вимагає лише застосування патча, каже Рістіч.
Організація TIM планує здійснювати нові сканування за зразком SSL Pulse на щомісячній основі для поновлення статистики. Це дозволить побачити прогрес у підвищенні безпеки найбільших сайтів.
(Джерело RU: soft.mail.ru)
 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting