forum.opennet.ru

Составление сообщения

Исходное сообщение

"Около 5.5% сайтов используют уязвимые реализации TLS"
Отправлено opennews, 09-Апр-19 14:33

Группа исследователей из университета Ка' Фоскари (Италия) проанализировала (https://secgroup.github.io/tlswebscan/) 90 тысяч хостов, связанных с 10 тысячами крупнейших сайтов по рейтингу Alexa, и пришла к выводу, что в 5.5% из них имеются серьёзные проблемы с безопасностью в применяемых реализациях TLS. В ходе исследования были рассмотрены проблемы с применением уязвимых методов шифрования: 4818 из проблемных хостов оказались подвержены MITM-атакам, 733 содержали уязвимости, позволяющие полностью расшифровать трафик, а 912 позволяли выполнить частичную расшифровку (например, извлечь сессионные Cookie).
На 898 сайтах выявлены серьёзные уязвимости, позволяющие полностью скомпрометировать их, например, через организацию подстановки скриптов на страницы. 660 (73.5%) из этих сайтов использовали на своих страницах внешние скрипты, загружаемые со сторонних хостов, подверженных уязвимостям, что демонстрирует актуальность косвенных атак и возможность их каскадного распространения (в качестве примера можно упомянуть взлом (https://www.opennet.ru/opennews/art.shtml?num=49568) счётчика StatCounter, который мог привести к компрометации более двух миллионов других сайтов).
10% всех форм входа на изученных сайта имели проблемы с конфиденциальностью, которые потенциально могли привести к краже пароля. 412 сайтов имели проблемы с перехватом сессионных Cookie. 543 сайтов имели проблемы с контролем целостности сессионных Cookie. Более 20% изученных Cookie были подвержены утечке сведений лицам, контролирующим поддомены.

URL: https://secgroup.github.io/tlswebscan/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50488

Исходное сообщение
"Около 5.5% сайтов используют уязвимые реализации TLS" Отправлено opennews, 09-Апр-19 14:33
Группа исследователей из университета Ка' Фоскари (Италия) проанализировала (https://secgroup.github.io/tlswebscan/) 90 тысяч хостов, связанных с 10 тысячами крупнейших сайтов по рейтингу Alexa, и пришла к выводу, что в 5.5% из них имеются серьёзные проблемы с безопасностью в применяемых реализациях TLS. В ходе исследования были рассмотрены проблемы с применением уязвимых методов шифрования: 4818 из проблемных хостов оказались подвержены MITM-атакам, 733 содержали уязвимости, позволяющие полностью расшифровать трафик, а 912 позволяли выполнить частичную расшифровку (например, извлечь сессионные Cookie). На 898 сайтах выявлены серьёзные уязвимости, позволяющие полностью скомпрометировать их, например, через организацию подстановки скриптов на страницы. 660 (73.5%) из этих сайтов использовали на своих страницах внешние скрипты, загружаемые со сторонних хостов, подверженных уязвимостям, что демонстрирует актуальность косвенных атак и возможность их каскадного распространения (в качестве примера можно упомянуть взлом (https://www.opennet.ru/opennews/art.shtml?num=49568) счётчика StatCounter, который мог привести к компрометации более двух миллионов других сайтов). 10% всех форм входа на изученных сайта имели проблемы с конфиденциальностью, которые потенциально могли привести к краже пароля. 412 сайтов имели проблемы с перехватом сессионных Cookie. 543 сайтов имели проблемы с контролем целостности сессионных Cookie. Более 20% изученных Cookie были подвержены утечке сведений лицам, контролирующим поддомены. URL: https://secgroup.github.io/tlswebscan/ Новость: https://www.opennet.ru/opennews/art.shtml?num=50488

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Группа исследователей из университета Ка' Фоскари (Италия) проанализировала (https://secgroup.github.io/tlswebscan/) 
> 90 тысяч хостов, связанных с 10 тысячами крупнейших сайтов по рейтингу 
> Alexa, и пришла к выводу, что в 5.5% из них имеются 
> серьёзные проблемы с безопасностью в применяемых реализациях TLS. В ходе исследования 
> были рассмотрены проблемы с применением уязвимых методов шифрования:  4818 из 
> проблемных хостов оказались подвержены MITM-атакам, 733 содержали уязвимости, позволяющие 
> полностью расшифровать трафик, а 912 позволяли выполнить частичную расшифровку (например, 
> извлечь сессионные Cookie).

> На 898 сайтах выявлены серьёзные уязвимости, позволяющие полностью скомпрометировать 
> их, например, через организацию подстановки скриптов на страницы. 660  (73.5%) 
> из этих сайтов использовали на своих страницах внешние скрипты, загружаемые со 
> сторонних хостов, подверженных уязвимостям, что демонстрирует актуальность косвенных 
> атак и возможность их каскадного распространения (в качестве примера можно упомянуть 
>  взлом (https://www.opennet.ru/opennews/art.shtml?num=49568) счётчика StatCounter, 
> который мог привести к компрометации более двух миллионов других сайтов).

> 10% всех форм входа на изученных сайта имели проблемы с конфиденциальностью, которые 
> потенциально могли привести к краже пароля. 412 сайтов имели проблемы с 
> перехватом сессионных Cookie. 543 сайтов имели проблемы с контролем целостности сессионных 
> Cookie. Более 20% изученных Cookie были подвержены утечке сведений лицам, контролирующим 
> поддомены.

> URL: https://secgroup.github.io/tlswebscan/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50488

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру