Un equipo de investigadores da Universidade de Ca' Foscari (Italia) analizou 90 mil hosts asociados aos 10 mil sitios máis grandes clasificados por Alexa, e concluíu que o 5.5% deles tiña serios problemas de seguridade nas súas implementacións TLS. O estudo analizou problemas cos métodos de cifrado vulnerables: 4818 dos hosts problemáticos eran susceptibles a ataques MITM, 733 contiñan vulnerabilidades que podían permitir o descifrado completo do tráfico e 912 permitían o descifrado parcial (por exemplo, a extracción de cookies de sesión).
Identificáronse vulnerabilidades graves en 898 sitios, o que permite que se vexan completamente comprometidas, por exemplo, mediante a organización da substitución de scripts nas páxinas. 660 (73.5%) destes sitios utilizaron scripts externos nas súas páxinas, descargados de hosts de terceiros susceptibles a vulnerabilidades, o que demostra a relevancia dos ataques indirectos e a posibilidade da súa propagación en cascada (como exemplo, podemos citar o hackeo de o contador StatCounter, o que podería levar ao compromiso de máis de dous millóns de sitios).
O 10% de todos os formularios de inicio de sesión dos sitios estudados tiñan problemas de privacidade que poderían levar ao roubo de contrasinal. 412 sitios tiveron problemas para interceptar as cookies de sesión. 543 sitios tiveron problemas para supervisar a integridade das cookies de sesión. Máis do 20% das Cookies estudadas foron susceptibles de fuga de información ás persoas que controlan os subdominios.
Fonte: opennet.ru