カフォスカリ大学 (イタリア) の研究者チームは、Alexa がランク付けした 90 万の最大サイトに関連する 10 万のホストを分析し、そのうち 5.5% の TLS 実装に重大なセキュリティ問題があると結論付けました。 この調査では、脆弱な暗号化方式に関する問題が調査されました。問題のあるホストのうち 4818 件には MITM 攻撃の影響を受けやすく、733 件にはトラフィックの完全な復号化を可能にする脆弱性が含まれており、912 件では部分的な復号化 (セッション Cookie の抽出など) が可能でした。
898 のサイトで深刻な脆弱性が確認されており、ページ上のスクリプトの置き換えなどによって完全に侵害される可能性があります。 これらのサイトのうち 660 (73.5%) は、脆弱性の影響を受けやすいサードパーティのホストからダウンロードされた外部スクリプトをページ上で使用していました。これは、間接攻撃の関連性とその連鎖的拡散の可能性を示しています (例として、次のハッキングを挙げることができます)。 StatCounter カウンターは、他の XNUMX 万以上のサイトの侵害につながる可能性があります)。
調査対象サイトのすべてのログイン フォームの 10% には、パスワードの盗難につながる可能性のあるプライバシーの問題がありました。 412 のサイトでセッション Cookie のインターセプトに問題が発生しました。 543 のサイトでセッション Cookie の整合性の監視に問題が発生しました。 調査された Cookie の 20% 以上は、サブドメインを制御する人物への情報漏洩の可能性がありました。
出所: オープンネット.ru