Un equipo de investigadores de la Universidad de Ca' Foscari (Italia) analizó 90 hosts asociados a los 10 sitios más grandes clasificados por Alexa y concluyó que el 5.5% de ellos tenían graves problemas de seguridad en sus implementaciones TLS. El estudio analizó problemas con métodos de cifrado vulnerables: 4818 de los hosts problemáticos eran susceptibles a ataques MITM, 733 contenían vulnerabilidades que podrían permitir el descifrado completo del tráfico y 912 permitían el descifrado parcial (por ejemplo, extraer cookies de sesión).
Se han identificado vulnerabilidades graves en 898 sitios, lo que les permite verse completamente comprometidos, por ejemplo, mediante la organización de la sustitución de scripts en las páginas. 660 (73.5%) de estos sitios utilizaron scripts externos en sus páginas, descargados de hosts de terceros susceptibles a vulnerabilidades, lo que demuestra la relevancia de los ataques indirectos y la posibilidad de su propagación en cascada (como ejemplo, podemos mencionar el hackeo de el contador StatCounter, lo que podría comprometer más de dos millones de otros sitios).
El 10% de todos los formularios de inicio de sesión en los sitios estudiados tenían problemas de privacidad que podrían conducir al robo de contraseñas. 412 sitios tuvieron problemas para interceptar las cookies de sesión. 543 sitios tuvieron problemas para monitorear la integridad de las cookies de sesión. Más del 20% de las Cookies estudiadas eran susceptibles de fuga de información a personas que controlaban subdominios.
Fuente: opennet.ru