Un team di ricercatori dell'Università di Ca' Foscari (Italia) ha analizzato 90mila host associati ai 10mila siti più grandi classificati da Alexa e ha concluso che il 5.5% di loro presentava seri problemi di sicurezza nelle implementazioni TLS. Lo studio ha esaminato i problemi relativi ai metodi di crittografia vulnerabili: 4818 degli host problematici erano suscettibili agli attacchi MITM, 733 contenevano vulnerabilità che potevano consentire la decrittografia completa del traffico e 912 consentivano la decrittografia parziale (ad esempio, estraendo i cookie di sessione).
Su 898 siti sono state identificate vulnerabilità gravi che consentono di comprometterli completamente, ad esempio organizzando la sostituzione degli script nelle pagine. 660 (73.5%) di questi siti utilizzavano script esterni sulle proprie pagine, scaricati da host terzi sensibili a vulnerabilità, il che dimostra la rilevanza degli attacchi indiretti e la possibilità della loro diffusione a cascata (si può citare, a titolo di esempio, l'hacking di il contatore StatCounter, che potrebbe portare alla compromissione di oltre due milioni di altri siti).
Il 10% di tutti i moduli di accesso sui siti studiati presentavano problemi di privacy che potevano potenzialmente portare al furto della password. 412 siti hanno avuto problemi nell'intercettare i cookie di sessione. 543 siti hanno avuto problemi nel monitorare l'integrità dei cookie di sessione. Oltre il 20% dei cookie studiati erano suscettibili di fuga di informazioni verso le persone che controllano i sottodomini.
Fonte: opennet.ru