來自義大利 Ca' Foscari 大學的一組研究人員分析了與 Alexa 排名的 90 萬個最大站點相關的 10 萬個主機,得出的結論是,其中 5.5% 在 TLS 實施中存在嚴重的安全問題。 該研究著眼於易受攻擊的加密方法的問題:4818 個問題主機容易受到 MITM 攻擊,733 個包含可能允許完全解密流量的漏洞,912 個允許部分解密(例如,提取會話 cookie)。
已在 898 個站點上發現嚴重漏洞,使它們能夠被完全破壞,例如,透過組織頁面上的腳本替換。 其中660 個(73.5%)的網站在其頁面上使用了外部腳本,這些腳本是從易受漏洞影響的第三方主機下載的,這表明了間接攻擊的相關性及其級聯傳播的可能性(例如,我們可以提到StatCounter 計數器,這可能會導致超過兩百萬個其他網站受到損害)。
研究網站上的所有登入表單中有 10% 存在可能導緻密碼被盜的隱私問題。 412 個網站在攔截會話 cookie 時遇到問題。 543 個站點在監控會話 cookie 完整性方面有問題。 超過 20% 的研究 Cookie 容易將資訊洩漏給控制子網域的人員。
來源: opennet.ru