The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Около 5.5% сайтов используют уязвимые реализации TLS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от opennews (??), 09-Апр-19, 14:33 
Группа исследователей из университета Ка' Фоскари (Италия) проанализировала (https://secgroup.github.io/tlswebscan/) 90 тысяч хостов, связанных с 10 тысячами крупнейших сайтов по рейтингу Alexa, и пришла к выводу, что в 5.5% из них имеются серьёзные проблемы с безопасностью в применяемых реализациях TLS. В ходе исследования были рассмотрены проблемы с применением уязвимых методов шифрования:  4818 из проблемных хостов оказались подвержены MITM-атакам, 733 содержали уязвимости, позволяющие полностью расшифровать трафик, а 912 позволяли выполнить частичную расшифровку (например, извлечь сессионные Cookie).

На 898 сайтах выявлены серьёзные уязвимости, позволяющие полностью скомпрометировать их, например, через организацию подстановки скриптов на страницы. 660  (73.5%) из этих сайтов использовали на своих страницах внешние скрипты, загружаемые со сторонних хостов, подверженных уязвимостям, что демонстрирует актуальность косвенных атак и возможность их каскадного распространения (в качестве примера можно упомянуть  взлом (https://www.opennet.ru/opennews/art.shtml?num=49568) счётчика StatCounter, который мог привести к компрометации более двух миллионов других сайтов).

10% всех форм входа на изученных сайта имели проблемы с конфиденциальностью, которые потенциально могли привести к краже пароля. 412 сайтов имели проблемы с перехватом сессионных Cookie. 543 сайтов имели проблемы с контролем целостности сессионных Cookie. Более 20% изученных Cookie были подвержены утечке сведений лицам, контролирующим поддомены.


URL: https://secgroup.github.io/tlswebscan/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50488

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Около 5.5% сайтов используют уязвимые реализации TLS"  +1 +/
Сообщение от Аноним (1), 09-Апр-19, 14:33 
Но, как всегда:
"О боже мой, да всем... пофиг!"
(компаниям, да)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Около 5.5% сайтов используют уязвимые реализации TLS"  +8 +/
Сообщение от нах (?), 09-Апр-19, 15:28 
и что характерно - всем и на самом деле пофиг - потому что tls на этих сайтах появился только из-за шантажа гугля и большинству из них (как и остальным 90 тысячам) - нафиг не вперся.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Аноним (13), 10-Апр-19, 10:31 
Кроме маленького нюанса: так называемые операторы взялись за старое и инжектят свой код в страницы, что оч. не красиво. Но https - это так, косвенное решение проблемы.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Около 5.5% сайтов используют уязвимые реализации TLS"  –1 +/
Сообщение от нах (?), 10-Апр-19, 10:36 
> Кроме маленького нюанса: так называемые операторы взялись за старое и инжектят свой код в
> страницы

стесняюсь спросить - где они еще такие страницы находят, и где вы находите таких операторов? У меня главная проблема с совсем поносными операторами - найти как раз какой-нибудь непалевный сайт, чтобы его открыть для срабатывания captive portal - а не получить в рыло "тут какеры, мы тебе сайт не покажем для твоей безопастносте!"

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Анонимус2 (?), 10-Апр-19, 10:50 
Открой опеннет
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 10-Апр-19, 10:52 
> Открой опеннет

беспалевный же ж просил!
где не сохраняются куки или они хотя бы со мной не связаны

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от ya (??), 11-Апр-19, 10:03 
тебя устроит http://www.netsurf-browser.org/ ?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 11-Апр-19, 16:21 
> тебя устроит http://www.netsurf-browser.org/ ?

newerssl правильней (спасибо за наводку) - и запомнить, и набирать, и гарантирован от ssl'я, а эти рано или поздно будут забанены гуглем и прогнутся ;-)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

20. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Аноним (13), 10-Апр-19, 10:56 
> где вы находите таких операторов

Вы не поверите...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Около 5.5% сайтов используют уязвимые реализации TLS"  +1 +/
Сообщение от Аноним (21), 10-Апр-19, 13:47 
http://neverssl.com/
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

7. "Около 5.5% сайтов используют уязвимые реализации TLS"  –1 +/
Сообщение от zzz (??), 09-Апр-19, 18:02 
Вы правы, массе компаний вся эта tls-истерия до одного места, равно как и пользователям. TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков. Всем остальным TLS нафиг не упал. Единственная причина, по которой его сейчас массово навязывают владельцам сайтов - желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от пох (?), 09-Апр-19, 20:48 
как это им может быть до одного места, когда вылазит БОЛЬШОЕ окно полное неведомой фигни "тут небезопастно!" ?!

> желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.

как будто оно нам было надо. Не говоря уже о том, что хранилки на гуглобайт размером - несколько несвойственный оператору технологический сегмент, он их строить вряд ли умеет, деньги на это все с неба тоже не сыплются, а платят оператору - за траффик.

А гуглю платят именно за воровство вашей информации, почувствуйте разницу.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Аноним (10), 10-Апр-19, 01:01 
> TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков.

А теперь покажи нам, на какой позиции в топе находится первый сайт, не являющийся соцсетью, финансовым сайтом или почтовиком и при этом не включающий в свои страницы всякую хрень с соцсетей, финансовых сайтов и почтовиков.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 10-Апр-19, 10:54 
>> TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков.
> А теперь покажи нам, на какой позиции в топе находится первый сайт,
> не являющийся соцсетью, финансовым сайтом или почтовиком и при этом не
> включающий в свои страницы всякую хрень с соцсетей, финансовых сайтов и
> почтовиков.

ну так ты ж не хочешь warning про mixed content? Поэтому этот сайт тоже использует tls - ненужно, но "объяснимо".

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Аноним (11), 10-Апр-19, 08:14 
Не соглашусь. HTTPS нужно хотя бы потому, что без него кто угодно, контроллирующий канал, включая всяких шпионов, но не исключая остальных, кто на это способен, может внедрить любую малварь. При наличии на сайте JS считайте, что APT имеют root-доступ к вашему компьютеру, если вы посещаете сайты, где есть JS и нужны им. А вы им нужны - по данным одной лабы APT используют ботнеты в своих атаках. Включая IoT ботнеты.

То есть отказ от HTTPS - это упорное нежелание защитить своих пользователей от киберпреступников из APT. Этому нет оправдания.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 10-Апр-19, 10:40 
любую малварь можно просто внедрить непосредственно на сайт, который ты открываешь. Сертификат заодно прихватив на память. Даже ломать ничего не надо, кроме пары пальцев его админу.
Более того, именно этот сценарий абсолютно вероятен и регулярно случается, а изложенные тобой - практически невероятны, и никто кроме неведомой "одной лабы" в жизни их не видит.

Ну и отдельно смешно про рут доступ, ага. Шапочку из фольги поправь, она у тебя съехала  на затылок, и от твого имени с нами сейчас говорит рептилоид.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Около 5.5% сайтов используют уязвимые реализации TLS"  –1 +/
Сообщение от Аноним (11), 10-Апр-19, 23:54 
>Даже ломать ничего не надо, кроме пары пальцев его админу.

Засылать в чужое государство шпионов и ломать пальцы админам дороже, чем вмешаться в траффик. Если дошло до ломки пальцев админам в чужом государстве, значит вся группа провалила операцию, потому что они по-крупному наследили, ими уже плотно занимается контрразведка, и возможно что они даже ноги унести не успеют. А когда контрразведка дело раскрутит, будет дипломатический скандал.


>Более того, именно этот сценарий абсолютно вероятен и регулярно случается

Сразу видно эксперта. Это не вас, случаем, Шотландское Подворье разыскивает?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 11-Апр-19, 16:20 
> Засылать в чужое государство шпионов и ломать пальцы админам дороже, чем вмешаться

шпионы, чужое государство...

я ошибался, у вас шапочка из фольги не то что сползла, вам вместо фольги крашенную металликом бумагу подсунули. Бегите. Она волны не отражает а усиливает!

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

23. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Ordu (ok), 10-Апр-19, 16:42 
> Единственная причина, по которой его сейчас массово навязывают владельцам сайтов - желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.

Ну-да, ну-да. Давайте нагадим гуглу, и дадим доступ к бигдате магистральным провайдерам. Вот уж гуглу обидно будет. А ещё, давайте вообще все поотключаем все uMatrix'ы, и блокировки всяких трекеров, чтобы любой маленький игрок на рынке имел бы шансы хоть чего-нибудь собрать. А ещё лучше, давайте поставим себе руткиты и откроем свои системы наружу, испортим гуглу малину, сделаем его бигдату бесплатной и доступной любому. Ай-да пацаны, с завтрашнего дня открываем свои системы любому мимопроходилу, и пускай гугл разоряется.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

2. "Около 5.5% сайтов используют уязвимые реализации TLS"  +1 +/
Сообщение от Аноним (2), 09-Апр-19, 14:39 
>Около 5.5% сайтов используют уязвимые реализации TLS

Манагеры: "бабло же капает, что еще надо?"
Труюниходмины: "диды говорили - работает, не трогай!"
Хомяки: "ачоита?"

Результат: всем пофиг.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Около 5.5% сайтов используют уязвимые реализации TLS"  +4 +/
Сообщение от Аноним (3), 09-Апр-19, 14:57 
исполнение скриптов не со своих серверов -- само по себе уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Около 5.5% сайтов используют уязвимые реализации TLS"  +1 +/
Сообщение от гугель (?), 09-Апр-19, 15:29 
вы что, НАМ не верите?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Около 5.5% сайтов используют уязвимые реализации TLS"  +6 +/
Сообщение от Аноним (2), 09-Апр-19, 16:37 
Ну чо ты такой наполовину беременный?
Включил комп - уже потенциально уязвимость. Начиная с инициализации проца. Даже "продвинутый" какцкер, не говоря уж за хомяков, не контролирует "свою" технику примерно никак. Ты еще браузер не успел открыть, а тебя уж десяток раз отымели. Но ты да, прикрывая порватую ж0пу можешь гордо воротить рожу с криком "за щеку не дам! достоинство не позволяить!"
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от пох (?), 09-Апр-19, 20:50 
> Даже "продвинутый" какцкер, не говоря уж за хомяков, не контролирует "свою" технику примерно
> никак.

не, ну вон тут в параллельной новости очень продвинутый объясняет, где какие кварцы перепаять (потому что даже частоты необходимые для запуска - и то могут, оказывается, задаваться программно)

дальше, понятно, главное это не подключать к сети - даже электрической (а то еще сгорит, после этих упражнений ;-)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Около 5.5% сайтов используют уязвимые реализации TLS"  +3 +/
Сообщение от А (??), 10-Апр-19, 08:38 
А как свой сайт на такое проверить?

Поболтать о том, какие все уроды - это для опеннета святое, но давайте быть конструктивными: свои сайты не хочется считать криворуко настроенными, хорошо бы делать проверку регулярно - так вот как такой комплексный анализ сделать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 10-Апр-19, 10:50 
дык,
grep -qi ssl /etc/nginx/* /etc/nginx/*/* || \
  echo good site, no ssl-related security problems detected

нет ножек - нет варенья. И можешь не считать свой сцайт криворуконастроенным.

А мнение неведомых дятлов - ну так оно у каждого дятла разное. Одни дятлы считают опастным теоретическую возможность что ты сам себе (или своим пользователям) напихаешь уязвимых шифров или разрешишь понижать версию протокола, а они, конечно же, тоже уже попатчили свои браузеры, чтобы эта фича у них сработала (а то даже с ie6 ждет облом). Другие просто считают что tls <1.4 ужастно опастно, а <1.3 просто недопустимо. Тебе дятлов-то с какой стаи хочется к себе пригласить?

А недятлы смотрят в тот же список свежих уязвимостей того же апача, и спокойно пробегают по списку - ненужно-http2 - ок, в моем даже кода такого нет. Ненужно-"protocol upgrade" не поддерживается, ок. Ненужно-tls 1.3 - ок, у меня немодная openssl, не грозит. Заплатки от всяких heartbleed стоят?  Сертификат получен от кого-то еще не зобаненного гуглем и его шакалами и мониторинг экспайра есть? Значит, нормально настроен сайт, и плевать, что про него думают дятлы, у них мозг, если ты не в курсе, с горошинку.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

26. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от А (??), 11-Апр-19, 05:00 
Так в ИТ вообще все так: если не бежишь все время - значит, уже отстал. Это хоть про версии http (апач умеет http/2, а openssl tls 1.3, но нужно обновлять же, т.е. не стоять на месте), хоть про версии php (видел людей, которые до сих пор на 5.3 сайты гоняют, мол, куда мне больше; плевать им, что не поддерживается он уже годы), хоть к версии ОС (причем, на Windows 2000 сегодня можно неплохо работать, если поддержка свежего железа не волнует, в тч работа стоит USB).

Но если делать ты не динозавр, приходится бежать. Ставить новое. Обновлять старое. И без проверок не обойтись.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от нах (?), 11-Апр-19, 16:15 
> Так в ИТ вообще все так: если не бежишь все время -
> значит, уже отстал.

или наоборот - улетел с обрыва вместе с остальными 3000000000 lemmings - they can't go wrong!

> Это хоть про версии http (апач умеет http/2,

умеет. А я умею выключить. И еще пачку сомнительных фич следом. Или вообще не использовать ТОТ апач.

> а openssl tls 1.3, но нужно обновлять же, т.е. не стоять

а можно не обновлять. Но это сложнее, да, авторы дистрибутивов тоже любят иногда свеженькое, а иногда их к этому вынуждают "новые стандарты" и отказ разрабочтиков исправлять ошибки в версии, выпущенной час назад - вот же две прекрасные поддерживаемые, выпущенные две и пять минут тому!

> на месте), хоть про версии php (видел людей, которые до сих
> пор на 5.3 сайты гоняют, мол, куда мне больше; плевать им,

ну у меня к примеру был сайт на 5.5 - не вижу проблемы, поскольку это мой сайт, и уязвимостей _изнутри_ я не боюсь вот совсем.

зато теперь у меня есть сайт на прекрасном 7.3.3 - так вот, поздравляю шариков-балбесов с насмерть поломанным aggregator в xdebug. Зато свежайшим обмазались - а как они отлаживаться теперь будут - не моя проблема, чинить за них я не собираюсь.

> на Windows 2000 сегодня можно неплохо работать, если поддержка свежего железа

на 2000 - довольно противно, элементарных привычных вещей не хватает - типа cmd из file explorer не открыть в текущем каталоге без левого софта, еще и не факт что вообще совместимого - я его только для XP помню.
И уязвимая smbfs, да, правда, кто ж ее на улицу выпустит.
Ну и других remote уязвимостей есть - то есть это ретро уже реально вызывает проблемы.

А какие проблемы у тебя возникнут от неподдержки моднявого http/2 и tls1.3 (да хоть и с 1.2 на пару) - я с интересом послушаю. Если ты не фейсбук - их проблемы мне малоинтересны.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

24. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Ordu (ok), 10-Апр-19, 21:17 
> А как свой сайт на такое проверить?

Я не занимался этими вещами, поэтому не могу дать конкретного ответа, но лет десять-пятнадцать назад этих вещей было много в моём информационном бабле, и память оттуда подсказывает мне ключевые слова для гугла, с которых я бы начал на твоём месте. Это, во-первых, "penetration testing" или "pentest" сокращённо. Во-вторых, это "metasploit framework", который можно рассматривать как пример инструмента для пентеста.

Тебе надо найти актуальный инструмент, который постоянно обновляется, куда вносят всё новые и новые тесты, с учётом всех распоследних уязвимостей, и чья область интересов покрывает те технологии, которые тебе надо тестировать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

22. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Аноним (22), 10-Апр-19, 15:19 
Это должно быть просто. А по факту - законаешся: в тестах, на дев, станции, в проде - всё сделать "красиво".... А потом ещё браузер отвергнет. И после этого на остальное уже желания и мотивации нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Около 5.5% сайтов используют уязвимые реализации TLS"  +/
Сообщение от Аноним (31), 12-Апр-19, 12:33 
Не хватает ссылки на инструмент, позволяющий проверить свой сайт.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру