Web-сайты с поддержкой протокола HTTPS уязвимы к MiM-атакам

Организация Trustworthy Internet Movement (TIM), занимающаяся изучением вопросов интернет-безопасности, провела исследование почти 200 тыс. крупнейших web-сайтов с поддержкой протокола HTTPS на наличие уязвимостей, позволяющих осуществить атаку "человек посередине".

В ходе исследования SSL Pulse компания проверяла, какие протоколы поддерживают веб-сайты с HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, и т.д.), длину ключа, используемого для обеспечения связи (512 бит, 1024 бит, 2048 бит и т.д.) и размер поддерживаемого кода (256 бит, 128 бит или ниже).

По результатам исследования TIM, половина сайтов из рейтинга Alexa, поддерживающие HTTPS, используют сочетание современных протоколов, надежного кодирования и длинных ключей, но только 10% из них являются действительно безопасными. 75% оказались уязвимыми к атакам, с помощью инструмента BEAST.

На сегодняшний  день  все современные браузеры оснащены функционалом защиты от BEAST-атак. Тем не менее, многие из тех, кто еще использует устаревшее ПО, остаются незащищенными.

Исследование SSL Pulse показало, что более 13% из обследуемых сайтов с поддержкой HTTPS допускают перенаправление по небезопасным соединениям. Это особенно рискованно для сайтов с большим количеством пользователей, или тех, которые содержат ценную информацию.

Компания TIM планирует проводить такие исследования на постоянной основе, ежемесячно обновляя статистику. Это позволит отслеживать обновление систем безопасности крупнейших сайтов.

Подробнее с отчетом исследования SSL Pulse можно ознакомиться здесь .