The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Около 5.5% сайтов используют уязвимые реализации TLS

09.04.2019 13:52

Группа исследователей из университета Ка' Фоскари (Италия) проанализировала 90 тысяч хостов, связанных с 10 тысячами крупнейших сайтов по рейтингу Alexa, и пришла к выводу, что в 5.5% из них имеются серьёзные проблемы с безопасностью в применяемых реализациях TLS. В ходе исследования были рассмотрены проблемы с применением уязвимых методов шифрования: 4818 из проблемных хостов оказались подвержены MITM-атакам, 733 содержали уязвимости, позволяющие полностью расшифровать трафик, а 912 позволяли выполнить частичную расшифровку (например, извлечь сессионные Cookie).

На 898 сайтах выявлены серьёзные уязвимости, позволяющие полностью скомпрометировать их, например, через организацию подстановки скриптов на страницы. 660 (73.5%) из этих сайтов использовали на своих страницах внешние скрипты, загружаемые со сторонних хостов, подверженных уязвимостям, что демонстрирует актуальность косвенных атак и возможность их каскадного распространения (в качестве примера можно упомянуть взлом счётчика StatCounter, который мог привести к компрометации более двух миллионов других сайтов).

10% всех форм входа на изученных сайтах имели проблемы с конфиденциальностью, которые потенциально могли привести к краже пароля. 412 сайтов имели проблемы с перехватом сессионных Cookie. 543 сайтов имели проблемы с контролем целостности сессионных Cookie. Более 20% изученных Cookie были подвержены утечке сведений лицам, контролирующим поддомены.

  1. Главная ссылка к новости (https://secgroup.github.io/tls...)
  2. OpenNews: Атака на биржу криптовалюты через взлом счётчика StatCounter
  3. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  4. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  5. OpenNews: Раскрыты детали новой атаки на различные реализации TLS
  6. OpenNews: Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 14:33, 09/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Но, как всегда:
    "О боже мой, да всем... пофиг!"
    (компаниям, да)
     
     
  • 2.4, нах (?), 15:28, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    и что характерно - всем и на самом деле пофиг - потому что tls на этих сайтах появился только из-за шантажа гугля и большинству из них (как и остальным 90 тысячам) - нафиг не вперся.

     
     
  • 3.13, Аноним (13), 10:31, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме маленького нюанса: так называемые операторы взялись за старое и инжектят свой код в страницы, что оч. не красиво. Но https - это так, косвенное решение проблемы.
     
     
  • 4.14, нах (?), 10:36, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кроме маленького нюанса: так называемые операторы взялись за старое и инжектят свой код в
    > страницы

    стесняюсь спросить - где они еще такие страницы находят, и где вы находите таких операторов? У меня главная проблема с совсем поносными операторами - найти как раз какой-нибудь непалевный сайт, чтобы его открыть для срабатывания captive portal - а не получить в рыло "тут какеры, мы тебе сайт не покажем для твоей безопастносте!"

     
     
  • 5.16, Анонимус2 (?), 10:50, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Открой опеннет
     
     
  • 6.18, нах (?), 10:52, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Открой опеннет

    беспалевный же ж просил!
    где не сохраняются куки или они хотя бы со мной не связаны

     
     
  • 7.27, ya (??), 10:03, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    тебя устроит http://www.netsurf-browser.org/ ?
     
     
  • 8.30, нах (?), 16:21, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > тебя устроит http://www.netsurf-browser.org/ ?

    newerssl правильней (спасибо за наводку) - и запомнить, и набирать, и гарантирован от ssl'я, а эти рано или поздно будут забанены гуглем и прогнутся ;-)

     
  • 5.20, Аноним (13), 10:56, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > где вы находите таких операторов

    Вы не поверите...

     
  • 5.21, Аноним (21), 13:47, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://neverssl.com/
     
  • 2.7, zzz (??), 18:02, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы правы, массе компаний вся эта tls-истерия до одного места, равно как и пользователям. TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков. Всем остальным TLS нафиг не упал. Единственная причина, по которой его сейчас массово навязывают владельцам сайтов - желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.
     
     
  • 3.8, пох (?), 20:48, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    как это им может быть до одного места, когда вылазит БОЛЬШОЕ окно полное неведомой фигни "тут небезопастно!" ?!

    > желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.

    как будто оно нам было надо. Не говоря уже о том, что хранилки на гуглобайт размером - несколько несвойственный оператору технологический сегмент, он их строить вряд ли умеет, деньги на это все с неба тоже не сыплются, а платят оператору - за траффик.

    А гуглю платят именно за воровство вашей информации, почувствуйте разницу.

     
  • 3.10, Аноним (10), 01:01, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков.

    А теперь покажи нам, на какой позиции в топе находится первый сайт, не являющийся соцсетью, финансовым сайтом или почтовиком и при этом не включающий в свои страницы всякую хрень с соцсетей, финансовых сайтов и почтовиков.

     
     
  • 4.19, нах (?), 10:54, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков.
    > А теперь покажи нам, на какой позиции в топе находится первый сайт,
    > не являющийся соцсетью, финансовым сайтом или почтовиком и при этом не
    > включающий в свои страницы всякую хрень с соцсетей, финансовых сайтов и
    > почтовиков.

    ну так ты ж не хочешь warning про mixed content? Поэтому этот сайт тоже использует tls - ненужно, но "объяснимо".

     
  • 3.11, Аноним (11), 08:14, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не соглашусь. HTTPS нужно хотя бы потому, что без него кто угодно, контроллирующий канал, включая всяких шпионов, но не исключая остальных, кто на это способен, может внедрить любую малварь. При наличии на сайте JS считайте, что APT имеют root-доступ к вашему компьютеру, если вы посещаете сайты, где есть JS и нужны им. А вы им нужны - по данным одной лабы APT используют ботнеты в своих атаках. Включая IoT ботнеты.

    То есть отказ от HTTPS - это упорное нежелание защитить своих пользователей от киберпреступников из APT. Этому нет оправдания.

     
     
  • 4.15, нах (?), 10:40, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    любую малварь можно просто внедрить непосредственно на сайт, который ты открываешь. Сертификат заодно прихватив на память. Даже ломать ничего не надо, кроме пары пальцев его админу.
    Более того, именно этот сценарий абсолютно вероятен и регулярно случается, а изложенные тобой - практически невероятны, и никто кроме неведомой "одной лабы" в жизни их не видит.

    Ну и отдельно смешно про рут доступ, ага. Шапочку из фольги поправь, она у тебя съехала  на затылок, и от твого имени с нами сейчас говорит рептилоид.

     
     
  • 5.25, Аноним (11), 23:54, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Даже ломать ничего не надо, кроме пары пальцев его админу.

    Засылать в чужое государство шпионов и ломать пальцы админам дороже, чем вмешаться в траффик. Если дошло до ломки пальцев админам в чужом государстве, значит вся группа провалила операцию, потому что они по-крупному наследили, ими уже плотно занимается контрразведка, и возможно что они даже ноги унести не успеют. А когда контрразведка дело раскрутит, будет дипломатический скандал.


    >Более того, именно этот сценарий абсолютно вероятен и регулярно случается

    Сразу видно эксперта. Это не вас, случаем, Шотландское Подворье разыскивает?

     
     
  • 6.29, нах (?), 16:20, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Засылать в чужое государство шпионов и ломать пальцы админам дороже, чем вмешаться

    шпионы, чужое государство...

    я ошибался, у вас шапочка из фольги не то что сползла, вам вместо фольги крашенную металликом бумагу подсунули. Бегите. Она волны не отражает а усиливает!

     
  • 3.23, Ordu (ok), 16:42, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Единственная причина, по которой его сейчас массово навязывают владельцам сайтов - желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.

    Ну-да, ну-да. Давайте нагадим гуглу, и дадим доступ к бигдате магистральным провайдерам. Вот уж гуглу обидно будет. А ещё, давайте вообще все поотключаем все uMatrix'ы, и блокировки всяких трекеров, чтобы любой маленький игрок на рынке имел бы шансы хоть чего-нибудь собрать. А ещё лучше, давайте поставим себе руткиты и откроем свои системы наружу, испортим гуглу малину, сделаем его бигдату бесплатной и доступной любому. Ай-да пацаны, с завтрашнего дня открываем свои системы любому мимопроходилу, и пускай гугл разоряется.

     
  • 1.2, Аноним (2), 14:39, 09/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Около 5.5% сайтов используют уязвимые реализации TLS

    Манагеры: "бабло же капает, что еще надо?"
    Труюниходмины: "диды говорили - работает, не трогай!"
    Хомяки: "ачоита?"

    Результат: всем пофиг.

     
  • 1.3, Аноним (3), 14:57, 09/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    исполнение скриптов не со своих серверов -- само по себе уязвимость.
     
     
  • 2.5, гугель (?), 15:29, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вы что, НАМ не верите?

     
  • 2.6, Аноним (2), 16:37, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну чо ты такой наполовину беременный?
    Включил комп - уже потенциально уязвимость. Начиная с инициализации проца. Даже "продвинутый" какцкер, не говоря уж за хомяков, не контролирует "свою" технику примерно никак. Ты еще браузер не успел открыть, а тебя уж десяток раз отымели. Но ты да, прикрывая порватую ж0пу можешь гордо воротить рожу с криком "за щеку не дам! достоинство не позволяить!"
     
     
  • 3.9, пох (?), 20:50, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже "продвинутый" какцкер, не говоря уж за хомяков, не контролирует "свою" технику примерно
    > никак.

    не, ну вон тут в параллельной новости очень продвинутый объясняет, где какие кварцы перепаять (потому что даже частоты необходимые для запуска - и то могут, оказывается, задаваться программно)

    дальше, понятно, главное это не подключать к сети - даже электрической (а то еще сгорит, после этих упражнений ;-)

     
  • 1.12, А (??), 08:38, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А как свой сайт на такое проверить?

    Поболтать о том, какие все уроды - это для опеннета святое, но давайте быть конструктивными: свои сайты не хочется считать криворуко настроенными, хорошо бы делать проверку регулярно - так вот как такой комплексный анализ сделать?

     
     
  • 2.17, нах (?), 10:50, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    дык,
    grep -qi ssl /etc/nginx/* /etc/nginx/*/* || \
      echo good site, no ssl-related security problems detected

    нет ножек - нет варенья. И можешь не считать свой сцайт криворуконастроенным.

    А мнение неведомых дятлов - ну так оно у каждого дятла разное. Одни дятлы считают опастным теоретическую возможность что ты сам себе (или своим пользователям) напихаешь уязвимых шифров или разрешишь понижать версию протокола, а они, конечно же, тоже уже попатчили свои браузеры, чтобы эта фича у них сработала (а то даже с ie6 ждет облом). Другие просто считают что tls <1.4 ужастно опастно, а <1.3 просто недопустимо. Тебе дятлов-то с какой стаи хочется к себе пригласить?

    А недятлы смотрят в тот же список свежих уязвимостей того же апача, и спокойно пробегают по списку - ненужно-http2 - ок, в моем даже кода такого нет. Ненужно-"protocol upgrade" не поддерживается, ок. Ненужно-tls 1.3 - ок, у меня немодная openssl, не грозит. Заплатки от всяких heartbleed стоят?  Сертификат получен от кого-то еще не зобаненного гуглем и его шакалами и мониторинг экспайра есть? Значит, нормально настроен сайт, и плевать, что про него думают дятлы, у них мозг, если ты не в курсе, с горошинку.

     
     
  • 3.26, А (??), 05:00, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так в ИТ вообще все так: если не бежишь все время - значит, уже отстал. Это хоть про версии http (апач умеет http/2, а openssl tls 1.3, но нужно обновлять же, т.е. не стоять на месте), хоть про версии php (видел людей, которые до сих пор на 5.3 сайты гоняют, мол, куда мне больше; плевать им, что не поддерживается он уже годы), хоть к версии ОС (причем, на Windows 2000 сегодня можно неплохо работать, если поддержка свежего железа не волнует, в тч работа стоит USB).

    Но если делать ты не динозавр, приходится бежать. Ставить новое. Обновлять старое. И без проверок не обойтись.

     
     
  • 4.28, нах (?), 16:15, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Так в ИТ вообще все так: если не бежишь все время -
    > значит, уже отстал.

    или наоборот - улетел с обрыва вместе с остальными 3000000000 lemmings - they can't go wrong!

    > Это хоть про версии http (апач умеет http/2,

    умеет. А я умею выключить. И еще пачку сомнительных фич следом. Или вообще не использовать ТОТ апач.

    > а openssl tls 1.3, но нужно обновлять же, т.е. не стоять

    а можно не обновлять. Но это сложнее, да, авторы дистрибутивов тоже любят иногда свеженькое, а иногда их к этому вынуждают "новые стандарты" и отказ разрабочтиков исправлять ошибки в версии, выпущенной час назад - вот же две прекрасные поддерживаемые, выпущенные две и пять минут тому!

    > на месте), хоть про версии php (видел людей, которые до сих
    > пор на 5.3 сайты гоняют, мол, куда мне больше; плевать им,

    ну у меня к примеру был сайт на 5.5 - не вижу проблемы, поскольку это мой сайт, и уязвимостей _изнутри_ я не боюсь вот совсем.

    зато теперь у меня есть сайт на прекрасном 7.3.3 - так вот, поздравляю шариков-балбесов с насмерть поломанным aggregator в xdebug. Зато свежайшим обмазались - а как они отлаживаться теперь будут - не моя проблема, чинить за них я не собираюсь.

    > на Windows 2000 сегодня можно неплохо работать, если поддержка свежего железа

    на 2000 - довольно противно, элементарных привычных вещей не хватает - типа cmd из file explorer не открыть в текущем каталоге без левого софта, еще и не факт что вообще совместимого - я его только для XP помню.
    И уязвимая smbfs, да, правда, кто ж ее на улицу выпустит.
    Ну и других remote уязвимостей есть - то есть это ретро уже реально вызывает проблемы.

    А какие проблемы у тебя возникнут от неподдержки моднявого http/2 и tls1.3 (да хоть и с 1.2 на пару) - я с интересом послушаю. Если ты не фейсбук - их проблемы мне малоинтересны.

     
  • 2.24, Ordu (ok), 21:17, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А как свой сайт на такое проверить?

    Я не занимался этими вещами, поэтому не могу дать конкретного ответа, но лет десять-пятнадцать назад этих вещей было много в моём информационном бабле, и память оттуда подсказывает мне ключевые слова для гугла, с которых я бы начал на твоём месте. Это, во-первых, "penetration testing" или "pentest" сокращённо. Во-вторых, это "metasploit framework", который можно рассматривать как пример инструмента для пентеста.

    Тебе надо найти актуальный инструмент, который постоянно обновляется, куда вносят всё новые и новые тесты, с учётом всех распоследних уязвимостей, и чья область интересов покрывает те технологии, которые тебе надо тестировать.

     
  • 1.22, Аноним (22), 15:19, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это должно быть просто. А по факту - законаешся: в тестах, на дев, станции, в проде - всё сделать "красиво".... А потом ещё браузер отвергнет. И после этого на остальное уже желания и мотивации нет.
     
  • 1.31, Аноним (31), 12:33, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не хватает ссылки на инструмент, позволяющий проверить свой сайт.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:


    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру
    Hosting by Ihor