Uma equipe de pesquisadores da Universidade de Ca' Foscari (Itália) analisou 90 mil hosts associados aos 10 mil maiores sites classificados pela Alexa, e concluiu que 5.5% deles apresentavam sérios problemas de segurança em suas implementações de TLS. O estudo analisou problemas com métodos de criptografia vulneráveis: 4818 dos hosts problemáticos eram suscetíveis a ataques MITM, 733 continham vulnerabilidades que poderiam permitir a descriptografia completa do tráfego e 912 permitiam a descriptografia parcial (por exemplo, extração de cookies de sessão).
Foram identificadas vulnerabilidades graves em 898 sites, permitindo o seu comprometimento total, por exemplo, através da organização de substituição de scripts em páginas. 660 (73.5%) desses sites utilizavam scripts externos em suas páginas, baixados de hosts terceiros suscetíveis a vulnerabilidades, o que demonstra a relevância dos ataques indiretos e a possibilidade de sua propagação em cascata (como exemplo, podemos citar o hacking de o contador StatCounter, o que poderia levar ao comprometimento de mais de dois milhões de outros sites).
10% de todos os formulários de login nos sites estudados apresentavam problemas de privacidade que poderiam levar ao roubo de senhas. 412 sites tiveram problemas para interceptar cookies de sessão. 543 sites tiveram problemas para monitorar a integridade dos cookies de sessão. Mais de 20% dos Cookies estudados eram suscetíveis ao vazamento de informações para pessoas que controlavam subdomínios.
Fonte: opennet.ru