[Из песочницы] Plug-and-Get-Security I, мониторинг настроек TLS в роще доменов

Все блоги / Про интернет 10 сентября 2016 311

Безопасная настройка TLS всегда был головной болью. Как для владельцев небольших ресурсов, так и для компаний, размер инфраструктуры которых может достигать нескольких сотен или даже тысяч доменов. Проблемы с TLSSSL появляются постоянно — уязвимости в самих протоколах, крипто-алгоритмах или их имплементациях. От всем известных Poodle и HeartBleed, до достаточно экзотичных и свежих (CVE-2016-2107) проблем с AES-NI.

А к чему приводят проблемы с TLS?
К краже учетных записей пользователей, администраторов, внедрению в трафик вредоносного контента, рекламы или, как это было с HeartBleed, даже к прямому доступу к памяти сервера.

Давайте взглянем на картину в целом.
На июль 2016 по данным проекта SSL Pulse, который анализирует настройки Alexa Top 200k доменов:

40% из них имеют ошибки в конфигурации или используют недостаточно стойкие наборы алгоритмов шифрования

25% имеют серьезные проблемы приводящие к реальной реализации атак на пользователей ресурсов или на сами ресурсы

А значит, у всех нас проблемы!

Не люблю проблемы!

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Проблемы владельцев доменов в России и как их избежать — Советы и примеры «Nethouse.Домены»

Юридическая служба регистратора доменов «Nethouse.Домены» написала для vc.ru колонку об основных проблемах администраторов доменов в России, а также дала советы, как их избежать.

подробнее »

22 апреля 2016

Проблемы и перспективы новых доменов верхнего уровня обсудили на TLDCON 2015

Итоги программы New gTLD и перспективы развития новых доменов верхнего уровня обсудили в ходе 8-й международной конференции администраторов и регистраторов национальных доменов стран СНГ, Центральной и Восточной Европы (TLDCON 2015), прошедшей 8-11 сентября 2015 года в Ереване.

подробнее »

15 сентября 2015

АРСИЭНТЕК запускает третью версию auth.as:token для iOS

В третьей версии auth.as:token для iOS, доступной для скачивания в Apple AppStore, воплощён целый ряд новых возможностей: — Добавлена многопрофильность, благодаря которой можно генерировать пароли сразу для нескольких доменов, не импортируя каждый раз настройки учётной записи. Через iCloud список

подробнее »

6 апреля 2016

Проблемы безопасности IoT: исследователь обнаружил серьезные уязвимости в MatrixSSL

SSL — основной инструмент обеспечения безопасности в интернете, позволяющий организовывать защищенный обмен данными даже в недоверенной сети. Однако реализация устойчивого SSL — не такая уж и легкая задача, ошибки в решении которой могут приводить к масштабным проблемам, таким, как уязвимость

подробнее »

14 октября 2016

[Перевод] Хакер, взломавший приложения для слежения за автомобилями по GPS, обнаружил, что может их удалённо останавливать

«Я могу создать серьёзные проблемы с дорожным движением по всему миру», — сказал он. Хакер взломал тысячи учётных записей, принадлежащих пользователям двух приложений для слежения по GPS, что дало ему возможность отслеживать местонахождение десятков тысяч машин и даже глушить моторы некоторых из

подробнее »

20 мая 2019

Ru-Center потерял более 40 тысяч доменов после изменений условий оплаты

Основатель сервиса Domainparking.ru Павел Гросс-Днепров на своей странице в Facebook опубликовал статистику регистраторов доменов. Согласно этим данным, компания Ru-Center за март 2016 года потеряла более 40 тысяч доменов в зоне .RU, в то время как остальные регистраторы демонстрируют рост.

подробнее »

5 апреля 2016