来自意大利 Ca' Foscari 大学的一组研究人员分析了与 Alexa 排名的 90 万个最大站点相关的 10 万个主机,得出的结论是,其中 5.5% 的主机在 TLS 实施中存在严重的安全问题。 该研究着眼于易受攻击的加密方法的问题:4818 个问题主机容易受到 MITM 攻击,733 个包含可能允许完全解密流量的漏洞,912 个允许部分解密(例如,提取会话 cookie)。
已在 898 个站点上发现严重漏洞,使它们能够被完全破坏,例如,通过组织页面上的脚本替换。 其中 660 个(73.5%)的网站在其页面上使用了外部脚本,这些脚本是从易受漏洞影响的第三方主机下载的,这表明了间接攻击的相关性及其级联传播的可能性(例如,我们可以提到StatCounter 计数器,这可能会导致超过两百万个其他站点受到损害)。
研究网站上的所有登录表单中有 10% 存在可能导致密码被盗的隐私问题。 412 个站点在拦截会话 cookie 时遇到问题。 543 个站点在监控会话 cookie 完整性方面存在问题。 超过 20% 的研究 Cookie 容易将信息泄露给控制子域的人员。
来源: opennet.ru