Специалисты проверили миллион самых популярных сайтов в Интернете, и большинство ресурсов получило оценку «F» за уровень защиты посетителей от XXS-уязвимостей, атак типа «человек посередине» и кражи файлов cookie.
Неудовлетворительные оценки получены в результате комплексного анализа, проведенного организацией Mozilla Foundation c помощью инструмента для сканирования сайтов Observatory, который был разработан в прошлом году. В результате проверки миллиона самых популярных сайтов, вошедших в рейтинг Alexa, только 0.013% этих ресурсов получили оценку «A+». Для сравнения: оценку «F» получили 93,45% сайтов из списка.
Инструмент оценивалзащиту сайтов по 13 параметрам, таким как, например, использование шифрования (HTTPS), противостояние XXS-атакам за счет X-XSS-Protection (XXSSP) и использование технологии привязывания ключей Public Key Pinning, защищающей сайт от использования мошеннических сертификатов. Система проверяла не только факт применения той или иной технологии, но и правильность её внедрения.
На самом деле, у проведенного исследования есть и положительные выводы: общий уровень безопасности вырос. По сравнению с результатами проверки в апреле 2016 года, в июне 2017 года количество сайтов с оценкой «B» увеличилось на 142%, а с оценкой «С» – на 90%.
«Очень сложно сделать сайт действительно безопасным , – утверждает Эйприл Кинг, специалист по безопасности в Mozilla. – Существует множество стандартов безопасности, и документация к этим стандартам разбросана по множеству мест. Лишь единичные ресурсы могут дать информацию о том, что же именно надо делать».
Кинг говорит, что ее очень радуют темпы роста уровня безопасности. Например, за прошедший год количество сайтов, поддерживающих HTTPS, выросло на 36%. На 125% увеличилось число ресурсов, принявших политику защиты контента (Content Security Policy, CSP), что позволяет защищаться от XXS-атак и атак с внедрением данных. Ещё одним достижением является рост применения механизма защиты целостности информации, получаемой от сторонних ресурсов (Subresource Integrity, SRI).
Однако, несмотря на трехкратный рост применения CSP и SRI, число сайтов, использующих эти функции безопасности, пока не превышает одного процента от общего количества.
Неудовлетворительные оценки получены в результате комплексного анализа, проведенного организацией Mozilla Foundation c помощью инструмента для сканирования сайтов Observatory, который был разработан в прошлом году. В результате проверки миллиона самых популярных сайтов, вошедших в рейтинг Alexa, только 0.013% этих ресурсов получили оценку «A+». Для сравнения: оценку «F» получили 93,45% сайтов из списка.
Инструмент оценивалзащиту сайтов по 13 параметрам, таким как, например, использование шифрования (HTTPS), противостояние XXS-атакам за счет X-XSS-Protection (XXSSP) и использование технологии привязывания ключей Public Key Pinning, защищающей сайт от использования мошеннических сертификатов. Система проверяла не только факт применения той или иной технологии, но и правильность её внедрения.
На самом деле, у проведенного исследования есть и положительные выводы: общий уровень безопасности вырос. По сравнению с результатами проверки в апреле 2016 года, в июне 2017 года количество сайтов с оценкой «B» увеличилось на 142%, а с оценкой «С» – на 90%.
«Очень сложно сделать сайт действительно безопасным , – утверждает Эйприл Кинг, специалист по безопасности в Mozilla. – Существует множество стандартов безопасности, и документация к этим стандартам разбросана по множеству мест. Лишь единичные ресурсы могут дать информацию о том, что же именно надо делать».
Кинг говорит, что ее очень радуют темпы роста уровня безопасности. Например, за прошедший год количество сайтов, поддерживающих HTTPS, выросло на 36%. На 125% увеличилось число ресурсов, принявших политику защиты контента (Content Security Policy, CSP), что позволяет защищаться от XXS-атак и атак с внедрением данных. Ещё одним достижением является рост применения механизма защиты целостности информации, получаемой от сторонних ресурсов (Subresource Integrity, SRI).
Однако, несмотря на трехкратный рост применения CSP и SRI, число сайтов, использующих эти функции безопасности, пока не превышает одного процента от общего количества.
