Web-сайты с поддержкой протокола HTTPS уязвимы к MiM-атакам

image

Теги: HTTP, HTTPS, MIT, SSL

По данным компании TIM, небезопасными являются 90% крупнейших сайтов.

Организация Trustworthy Internet Movement (TIM), занимающаяся изучением вопросов интернет-безопасности, провела исследование почти 200 тыс. крупнейших web-сайтов с поддержкой протокола HTTPS на наличие уязвимостей, позволяющих осуществить атаку "человек посередине".

В ходе исследования SSL Pulse компания проверяла, какие протоколы поддерживают веб-сайты с HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, и т.д.), длину ключа, используемого для обеспечения связи (512 бит, 1024 бит, 2048 бит и т.д.) и размер поддерживаемого кода (256 бит, 128 бит или ниже).

По результатам исследования TIM, половина сайтов из рейтинга Alexa, поддерживающие HTTPS, используют сочетание современных протоколов, надежного кодирования и длинных ключей, но только 10% из них являются действительно безопасными. 75% оказались уязвимыми к атакам, с помощью инструмента BEAST.

На сегодняшний  день  все современные браузеры оснащены функционалом защиты от BEAST-атак. Тем не менее, многие из тех, кто еще использует устаревшее ПО, остаются незащищенными.

Исследование SSL Pulse показало, что более 13% из обследуемых сайтов с поддержкой HTTPS допускают перенаправление по небезопасным соединениям. Это особенно рискованно для сайтов с большим количеством пользователей, или тех, которые содержат ценную информацию.

Компания TIM планирует проводить такие исследования на постоянной основе, ежемесячно обновляя статистику. Это позволит отслеживать обновление систем безопасности крупнейших сайтов.

Подробнее с отчетом исследования SSL Pulse можно ознакомиться здесь.


или введите имя

CAPTCHA
жук
02-05-2012 13:30:32
Мда, печальная статистика... Пользуйтесь SSL, только так вы сможете уберечь свой пароль от перехвата и только на 10% сайтов )
0 |
funny
02-05-2012 15:34:52
Спасибо парни, много цифр, много букв, но об том, КАК проходит эта атака, ни слова. Очень, очень полезная заметка.
0 |
02-05-2012 17:50:12
Сходить по ссылке, которая указана не судьба? Если бы Вы это сделали, то наткнулись бы на эут ссылку - https://www.trustworthyinternet.org/blog/2012/4/25/ssl-pulse-to-make-ssl-more-secure-and-pervasive.html Внутри которой есть ссылки на 2 типа атак, о которых идет речь в исследовании. Или самому читать - не наш метод?
0 |