Een team van onderzoekers van de Universiteit van Ca' Foscari (Italië) analyseerde 90 hosts die geassocieerd waren met de 10 grootste sites gerangschikt door Alexa, en concludeerde dat 5.5% van hen ernstige beveiligingsproblemen had bij hun TLS-implementaties. In het onderzoek werd gekeken naar problemen met kwetsbare encryptiemethoden: 4818 van de probleemhosts waren vatbaar voor MITM-aanvallen, 733 bevatten kwetsbaarheden die volledige decryptie van verkeer mogelijk zouden kunnen maken, en 912 lieten gedeeltelijke decryptie toe (bijvoorbeeld het extraheren van sessiecookies).
Op 898 sites zijn ernstige kwetsbaarheden geïdentificeerd, waardoor deze volledig kunnen worden gecompromitteerd, bijvoorbeeld door het organiseren van vervanging van scripts op pagina's. 660 (73.5%) van deze sites gebruikten externe scripts op hun pagina's, gedownload van hosts van derden die gevoelig zijn voor kwetsbaarheden, wat de relevantie van indirecte aanvallen en de mogelijkheid van trapsgewijze verspreiding ervan aantoont (als voorbeeld kunnen we het hacken van de StatCounter-teller, wat zou kunnen leiden tot het compromitteren van meer dan twee miljoen andere sites).
10% van alle inlogformulieren op onderzochte sites hadden privacyproblemen die mogelijk tot wachtwoorddiefstal konden leiden. 412 sites hadden problemen met het onderscheppen van sessiecookies. 543 sites hadden problemen met het controleren van de integriteit van sessiecookies. Meer dan 20% van de onderzochte cookies waren gevoelig voor het lekken van informatie naar personen die subdomeinen beheren.
Bron: opennet.ru