суббота, 28 апреля 2012 г.

Перед BEAST уязвимы 75 процентов сайтов!

Прошло полгода с момента возникновения браузерных эксплойтов BEAST (Browser Exploit Against SSL/TLS), хотя абсолютное больше всего сайтов до сих пор не изменили конфигурацию TLS и SSL, чтоб защитить людей от этой угрозы.

Организация Trustworthy Internet Movement для информирования общественности запустила новый проект SSL Pulse, на коем обновляют глобальную статистику по интернету по уязвимости сайтов перед самыми известными типами атак. BEAST занимает посреди них I-е место.




Всего на SSL Pulse проверили практически 200 тысяч сайтов на предмет конфигурации SSL и анализа безопасности. Пока ситуация так себе приятная: из 198 216 сайтов целиком безопасными возможно назвать лишь только 19 024, то есть 10 процентов.

Около 8 процентов сайтов страдают от проблем с открытым ключом (Certificate Chain), 40 процентов сайтов применяют слабые шифры и самое печальное - 75 процентов сайтов до сих пор уязвимы перед атакой типа BEAST из-за неправильной конфигурации и неправильных дефолтных настроек серверов. Многие сайты до сих пор поддерживают старые уязвимые протоколы TLS 1.0 и SSL 3.0 ради обратной совместимости. Многие тоже не установили в настройках приоритетное применение шифра RC4 для HTTPS-соединений.

На SSL Pulse возможно проверить произвольный ресурс.


Комментариев нет:

Отправить комментарий