Νομίζατε ότι είστε ασφαλής σε μια https ιστοσελίδα; Σκεφτείτε ξανά...

https

Έρευνα που δημοσιεύει η Trustworthy Internet Movement, μια μη κερδοσκοπική οργάνωση που ασχολείται με την ασφάλεια στο Internet, αποκαλύπτει ότι το 90 τοις εκατό των 200 χιλιάδων κορυφαίων ιστοσελίδων με προστασία https είναι τρωτές σε επιθέσεις SSL (Secure Sockets Layer). Τα δεδομένα προέκυψαν από ένα νέο project με τίτλο SSL Pulse που χρησιμοποιεί μια αυτοματοποιημένη τεχνολογία σκαναρίσματος για την ανάλυση της ασφάλειας των ιστοσελίδων https που βρίσκονται στην πρώτη λίστα της εταιρείας αναλύσεων Alexa.

Το project χρησιμοποιεί έναν αλγόριθμο και βαθμολογεί τις ιστοσελίδες όσον αφορά την ασφάλεια που παρέχουν και τα πρωτόκολλα που χρησιμοποιούν. Οι περισσότερες ιστοσελίδες κατάφεραν να σκοράρουν μια καλή βαθμολογία αλλά μόλις το δέκα τοις εκατό κρίθηκαν πραγματικά ασφαλείς. Οι υπόλοιπες βρέθηκαν ότι είναι τρωτές σε μια επίθεση γνωστή ως BEAST (Browser Exploit Against SSL/TLS) που χρησιμοποιείται για την αποκρυπτογράφηση tokens πιστοποίησης και cookies από requests HTTPS.

Το κενό ασφαλείας διορθώθηκε στην έκδοση 1.1 του πρωτοκόλλου TLS αλλά αρκετοί servers συνεχίζουν να υποστηρίζουν ακόμα παλαιότερα πρωτόκολλα, όπως το SSL 3.0, για συμβατότητα με προηγούμενες γενιές. «Για την μέση ιστοσελίδα -που πιθανότητα δεν έχει σημαντική αξία- το ρίσκο είναι πολύ μικρό. Αλλά για σελίδες που έχουν μεγάλο αριθμό χρηστών και σημαντικό περιεχόμενο το ρίσκο είναι πολύ μεγάλο».

[via Infoworld]

Loading