В прошлом году я затеял проект, который хочу в ближайшее время завершить и о котором, я не хотел особо писать до момента его завершения. Но раз уж я на протяжении двух дней писал о HTTPS, то я подумал, что стоит превратить диптих в триптих и немного коснуться вопроса применения HTTPS на сайтах российских компаний, занимающихся информационной безопасностью. Таких компаний на текущий момент времени в мою базу попало уже 242 (и это число постоянно растет), так что можно говорить о достаточно большой выборке.
Так вот у некоторых компаний, которые занимаются как разработкой средств защиты, так и оказанием различных услуг по информационной безопасности, включая проектирование систем в защищенном исполнении, сайты не поддерживают HTTPS в принципе или он не настроен должным образом. И фиг с ним, что такие компании нормально не будут ранжироваться в поисковой системе (если у сайта отсутствует HTTPS, то и Google и Яндекс понижают их в поисковой выдаче) — это их бизнес и если они не понимают важности правильного позиционирования себя в Интернет, то и ладно. Но когда компания, занимающаяся ИБ, даже не подумала о том, чтобы поднять хотя бы бесплатный сертификат (я не говорю о платных SSL-сертификатах и тем более о гостовых SSL-сертификатах) у себя на сайте, то это полный пипец.
Вот так часто выглядят результаты сканирования сайтов российских разработчиков, которые «забыли» про защиту своих Интернет-представительств (а некоторые на таких сайтах даже личные кабинеты для клиентов устраивают, подвергая их логины и пароли риску утечки):
Помимо наличия HTTPS сайт, как витрина компании по ИБ, показывает как она относится к пословице «сапожник без сапог». Если проанализировать с помощью сервиса SecurityHeaders сайт, то он покажет, какие из заголовков HTTP настроены и как это влияет на безопасность как самого сайта, так и его пользователей. Например, отказ от использования заголовка Content-Security-Policy может облегчить организацию XSS-атак. Поэтому стоит задуматься не только о наличии HTTPS, но и о правильных настройках HTTP. Например, сайт одного из лидеров российского рынка ИБ выглядит не очень — на нем настроен только HTTPS, но ни один из заголовков HTTP.Один российский лицензиат ФСБ и разработчик VPN-решений на своем сайте поднял уровень защите выше на один пункт:
А вот другой лицензиат ФСБ и именитый разработчик СКЗИ, даже имея HTTPS на своем сайте, не настроил его должным образом и скатился на самую нижнюю позицию рейтинга согласно SecurityHeaders:
Удостоверяющие центры, выдающие сертификаты своим клиентам сотнями тысяч, часто выглядят вот так:
Сайтов даже уровня B среди российских игроков рынка ИБ очень мало. Вот один из редких примеров:
В идеале, путем нехитрых манипуляция с настройками сайта (даже на чужом хостинге) можно добиться вот таких настроек, которые, позволяют защититься от XSS-атак (заголовок Content-Security-Policy), от сниффинга со стороны браузера (заголовок X-Content-Type-Options), от сбора лишней информации браузером (заголовок Referrer-Policy) и от атак clickjacking (заголовок X-Frame-Options):
На самом деле, можно, добавив заголовок Permission-Policy (контроль использования различных функций и API в браузере), добиться уровня А+, но это уже избыточно на мой взгляд.
Сам себя не похвалишь, никто не похвалит ????
Нельзя сказать, что все эти настройки заголовков HTTP прям критичны и от них на 100% зависит безопасность сайта. Но для компании по ИБ, которая заявляет о своем лидерстве в области кибербезопасности (а об этом заявляют все), это должно, на мой взгляд, стать правилом хорошего тона. Тем более, что ничего сложного в этом нет (раз уж даже я, «бумажный безопасник», все это смог настроить).
По статистике SecurityHeaders, всего 1% сайтов в Интернет имеет рейтинг А+, 10% — рейтинг А. 50% сайтов имеют рейтинг F. Остальные сайты распределены между рейтингами B, C, D и E.
А вообще, все это не так уж и важно. Ведь существовали вы раньше с рейтингом D и ничего, никто вас не взламывал (наверное). Почему бы и дальше не существовать также?..
Заметка
Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ была впервые опубликована на Бизнес без опасности .