Большинство популярных сайтов не прошли проверку Mozilla на безопасность
Специалисты проверили миллион самых популярных сайтов в Интернете, и большинство ресурсов получило оценку «F» за уровень защиты посетителей от XXS-уязвимостей, атак типа «человек посередине» и кражи файлов cookie.
Неудовлетворительные оценки получены в результате комплексного анализа, проведенного организацией Mozilla Foundation c помощью инструмента для сканирования сайтов Observatory, который был разработан в прошлом году. В результате проверки миллиона самых популярных сайтов, вошедших в рейтинг Alexa, только 0.013% этих ресурсов получили оценку «A+». Для сравнения: оценку «F» получили 93,45% сайтов из списка.
Инструмент Observatory, выпущенный в прошлом году, оценивает защиту сайтов по 13 параметрам, таким как, например, использование шифрования (HTTPS), противостояние XXS-атакам за счет X-XSS-Protection (XXSSP) и использование технологии привязывания ключей Public Key Pinning, защищающей сайт от использования мошеннических сертификатов. Система проверяет не только факт применения той или иной технологии, но и правильность её внедрения.
На самом деле, у проведенного исследования есть и положительные выводы: за время существования инструмента Observatory общий уровень безопасности вырос. По сравнению с результатами проверки в апреле 2016 года, в июне 2017 года количество сайтов с оценкой «B» увеличилось на 142%, а с оценкой «С» – на 90%.
«Очень сложно сделать сайт действительно безопасным , – утверждает Эйприл Кинг, специалист по безопасности в Mozilla и разработчик инструмента Observatory. – Существует множество стандартов безопасности, и документация к этим стандартам разбросана по множеству мест. Лишь единичные ресурсы могут дать информацию о том, что же именно надо делать».
Кинг говорит, что ее очень радуют темпы роста уровня безопасности. Например, за прошедший год количество сайтов, поддерживающих HTTPS, выросло на 36%. На 125% увеличилось число ресурсов, принявших политику защиты контента (Content Security Policy, CSP), что позволяет защищаться от XXS-атак и атак с внедрением данных. Ещё одним достижением является рост применения механизма защиты целостности информации, получаемой от сторонних ресурсов (Subresource Integrity, SRI).
Однако, несмотря на трехкратный рост применения CSP и SRI, число сайтов, использующих эти функции безопасности, пока не превышает одного процента от общего количества.
Проверка инструментом Observatory, по словам Кинг, позволяет разработчикам сайтов «узнать о существовании различных технологий защиты, разработанных различными комитетами по стандартизации и разработчиками браузеров, чтобы повысить общий уровень безопасности интернет-пользователей.»