Новини

21:58
В Запорожье водитель маршрутки нахамил участнику АТО (видео)
21:52
Ученый: Искусственный интеллект - убийца человечества
21:09
Бешеный регбист во время матча нокаутировал арбитра, а затем избил соперников
21:04
Даже россияне назвали футболки с Путиным мерзостью
20:39
Сеть Ланет объявила об аннуляции ограничения доступа в интернет к майским праздникам
08:59
Впечатляющие кадры совместных учений США, Японии и Южной Кореи
08:41
В Нацбанке объяснили, как с ПриватБанка за ночь пропали 16 млрд грн
08:40
Российский актер-священник Охлобыстин хочет отправиться с женой воевать за "ДНР"
08:32
Сын Ющенко обзавелся бородой и новой девушкой
08:29
Настю Каменских жестко раскритиковали собственные фанаты
08:26
Хватит ли сил Раде, чтобы удовлетворить главное требование МВФ
08:18
Порошенко пригласил белорусские предприятия строить дороги в Украине
08:08
59-летняя Шерон Стоун поразила шикарным внешним видом
08:05
"Будут вместе угрожать миру": Невзоров нашел главарю "ДНР" друга среди западных диктаторов
07:59
Северная Корея снова "уничтожила" Белый дом и США
07:54
Ученые NASA: Pacкpытa глaвнaя тaйнa Mapca
07:53
Доктор Комаровский: Любой госчиновник должен лечиться только в Украине, только украинскими лекарствами, ездить только на наших авто
07:50
Больницы по всей Украине начали отменять операции из-за нехватки денег на лекарства и наркоз
07:46
Катя Осадчая: Не могла и представить, что моим мужем будет Юра Горбунов
07:26
Названий алкоголь, здатний викликати рак
07:23
В Македонии протестующие штурмом взяли парламент и устроили самосуд над депутатами
07:19
Ученые вырастили ягненка в искусственной среде
07:14
Киев потратит два миллиарда гривен на новые трамваи
07:12
Крушение военного корабля РФ возле Босфора высмеяли в карикатуре
07:08
Вручение повесток на границе: в ВСУ объяснили "новшество" военкомов
07:01
Невеста Владимира Кличко покорила британцев своей красотой
20:51
Безвизовый режим с ЕС: что разрешат украинцам в Европе
20:24
Зірка "Джентльмен-шоу" Олег Філімонов у 65 років заговорив українською мовою
19:45
Ученые NASA стоят на пороге открытия внеземной жизни
19:42
Ляшко заявил, что купил дом за 15 млн гривен в рассрочку на пять лет
19:07
У берегов Турции потопили военный корабль Путина
18:56
Полезные функции Viber, о которых вы могли не знать
18:43
У Європарламенті назвали точну дату запровадження безвізу для українців
17:16
Google обязали признать Крым частью России
14:35
Украина будет закупать уголь у Грузии
14:34
Ляшко ворвался в кабинет Холодницкого, тот отдал ему свои погоны
14:14
Насиров намерен вернуться к обязанностям главы ГФС
11:52
Администрация Трампа представила "крупнейшую налоговую реформу" в истории США
Більше новин

Большинство из крупнейших сайтов небезопасны

0

В докладе организации Trustworthy Internet Movement (TIM), опубликованном на этой неделе, говорится, что 90% из 200 тыс самых крупных веб-сайтов с поддержкой протокола HTTPS являются уязвимыми для известных типов SSL (Secure Sockets Layer) атак.

Большинство из крупнейших сайтов небезопасны

Напомним, что TIM является некоммерческой организацией, занимающейся изучением вопросов интернет-безопасности, надежности и конфиденциальности.

Доклад основан на данных, собранных в рамках нового проекта организации под названием SSL Pulse. Проект использует технологию автоматического сканирования, разработанную поставщиком решений в области безопасности — компанией Qualys. Исследованию подверглись первые 200 тыс веб-сайтов, перечисленных в рейтинге аналитической компании Alexa.

В ходе исследования SSL Pulse проверял, какие протоколы поддерживают веб-сайты с HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, и т.д.), длину ключа, используемого для обеспечения связи (512 бит, 1024 бит, 2048 бит и т.д.) и размер поддерживаемого кода (256 бит, 128 бит или ниже).

Половина из почти 200 тыс. сайтов верхней части рейтинга Alexa, поддерживающие HTTPS получили оценку «A» за качество своей конфигурации. Это означает, что они используют сочетание современных протоколов, надежного кодирования и длинных ключей.

Несмотря на это, лишь 10% из проанализированных веб-сайтов были признаны действительно безопасными. 75% (около 148 тыс) оказались уязвимыми для атак, известных под названием BEAST, сообщает ресурс PCworld.

Атака BEAST была продемонстрирована исследователями в области безопасности Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) на конференции в Буэнос-Айресе в сентябре 2011 года. Это практическая реализация старой теоретической атаки и влияния на блоки SSL/TLS шифров, такие как AES и Triple-DES.

«Самый простой способ смягчить с позиции сервера BEAST нападение — сделать для соединений HTTPS приоритетным шифр RC4, — говорит Иван Ристич (Ivan Ristic), директор по инжинирингу компании Qualys. — RC4 представляет собой потоковый шифр, который не уязвим для этой атаки».

Вместе с поддержкой нескольких протоколов многие HTTPS-серверы также поддерживают несколько шифров, чтобы обеспечить их совместимость с различными клиентами. На сервере могут быть использованы специальные настройки для указания порядка, в котором должны использоваться шифры и установлен приоритет RC4.

«Я думаю, что большинство администраторов просто не знают о том, что необходимо выполнить эту задачу», — сказал Ристич.

Защита от атак BEAST уже встроена в новые браузеры. Тем не менее, многие, особенно в бизнес-среде, еще используют старые браузеры, такие как Internet Explorer 6, остающийся уязвимым.

Сканирование SSL Pulse также показало, что более 13% из 200 тыс веб-сайтов с поддержкой HTTPS допускают перенаправления по небезопасным SSL-соединениям. Эти риски особенно существенны для сайтов с большим количеством пользователей или тех, которые содержат объекты «высокой стоимости» (например, финансовые учреждения, банки, говорится в сообщении MarketWire. Исправление небезопасных уязвимостей достаточно простое и требует лишь применения патча, говорит Ристич.

Организация TIM планирует осуществлять новые сканирования по образцу SSL Pulse на ежемесячной основе для обновления статистики. Это позволит увидеть прогресс в повышении безопасности самых крупных сайтов.
Источник


Загрузка...