Только 5% соединений HTTPS являются надежными

21 Март 2016

Администраторы очень часто игнорируют рекомендации относительно установки механизма HSTS, из-за чего соединение HTTPS может оказаться ненадежным, причем для его взлома понадобится совершить абсолютно несложные атаки.

HSTS — это механизм, который обеспечивает высокий уровень безопасности при соединении через протокол HTTPS. Этот механизм поддерживается практически всеми популярными веб-обозревателями. С помощью HSTS разработчики могут защитить свои сайты и сервисы от атак злоумышленников, которые используют схемы вроде «человек посередине» и пр. для получения доступа к персональному компьютеру пользователя и его личным данным.

Netcraft недавно провел исследование, в ходе которого выяснилось, что 95% серверов, к которым осуществляется соединение с помощью защищенного протокола HTTPS, являются уязвимыми, поэтому их запросто могут атаковать злоумышленники и получить всю необходимую информацию.

Это исследование продолжалось на протяжении 3-х лет. Примечательно, что в течении всего этого времени уровень использования HSTS оставался на одном и том же уровне. А это значит, что разработчики либо не знают об этой проблеме, либо упорно ее игнорируют.

За все время также остался неизменным главный сценарий атак злоумышленников. Они с помощью нехитрых манипуляций заставляют сайты использовать слабое шифрование или же не использовать его совсем.

Примечательно, что среди уязвимых ресурсов оказались также сайты банковских учреждений, которые должны иметь наиболее высокий уровень защиты.