Wir haben die Portale von Regierungsdiensten mit neuen Methoden getestet, die die Zuverlässigkeit von HTTPS-Verbindungen mit ihnen und das Schutzniveau gegen XSS bewerten, und sie auch mit den Standorten von sozialen Netzwerken, Banken, Transport- und Dienstleistungsunternehmen verglichen. Das Ergebnis ist etwas vorhersehbar (alles ist schlecht mit der Sicherheit elektronischer öffentlicher Dienste), aber in gewisser Weise nicht (die meisten Websites der "Kontrollgruppe" schneiden nicht besser ab), aber lassen Sie uns über alles in der richtigen Reihenfolge sprechen.
Daher untersuchten wir drei staatliche Dienstleistungsportale - das Allrussische , das Moskauer und das Moskauer Gebiet - mit neuen Berechnungsmethoden, dem HTTPS-Zuverlässigkeitsindex und dem Schutzindex gegen das XSS , die für das Projekt "Monitor gossaytov" erfunden wurden .
Wir untersuchten nicht nur die Hauptwirte der Portale, sondern ganze "Pools" von Wirten, d.h. Alle entdeckten Hosts, von denen diese Portale Ressourcen herunterladen, um elektronische Regierungsdienste von Bürgern zu erhalten: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru usw. Zum Vergleich untersuchten wir auch die Websites Vkontakte , Odnoklassniki , Sberbank Online , persönliche Konten von Abonnenten von Beeline , Russian Post , Russian Railways , Aeroflot und ein Autorisierungsportal für Yandex- Dienste .
Die Ergebnisse wurden im Bericht "Public Service Portals: Imaginary Security" veröffentlicht.Der Name ist ziemlich beredt: Der HTTPS-Zuverlässigkeitsindex des Portals für öffentliche Dienste in der Region Moskau betrug 37 Punkte, der rein russische - 12 und der Moskauer - 11 von 108 Punkten.
Diese Punkte waren die Summe des selbstsignierten TLS-Zertifikats des Ingress Controllers, das dem Netzwerk als Website-Zertifikat zur Verfügung gestellt wurde, SSL-Unterstützung im Jahr 2021, nicht geschlossen CVE-2014-3566 (POODLE), CVE-2016-2183 / CVE-2016- 6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) und andere Wunder auf Servern, deren Software seit Jahren nicht mehr aktualisiert wurde, und die Einstellungen passen eher zu einem Bierzeltstandort als zu einem Regierungsportal, das persönliche, finanzielle und andere verarbeitet und speichert sensible Informationen von Millionen Russen, die sie im selben Jahr 2021 mit einer Verschlüsselungssuite TLS_RSA_WITH_3DES_EDE_CBC_SHA "schützen". Wenn jemand den Sarkasmus nicht bemerkt hat, sind alle in dieser Verschlüsselungssuite verwendeten Algorithmen unzuverlässig oder anfällig.
Zum Vergleich betrug der Index der Aeroflot-Website 60 Punkte und der der sozialen Netzwerke Vkontakte und Odnoklassniki 57 bzw. 58 Punkte.
Ja, Ihr Sehvermögen versagt nicht: Sberbank Online hat eine der schlechtesten Bewertungen. Wenn Sie es nicht glauben, probieren Sie es aus, machen Sie sich mit der Methodik vertraut, erklären Sie sie , finden Sie Fehler, stecken Sie Ihre Nase hinein - wir werden Ihnen dankbar sein und sie überarbeiten.
Nicht die besten Ergebnisse für die Portale öffentlicher Dienste und im XSS-Sicherheitsindex: 0 Punkte für Allrussisch und 10 Punkte für Moskau und die Region Moskau. Zu den Ressourcen von Drittanbietern, die auf diese Portale hochgeladen werden, gehören Karten, "kostenlose" Bibliotheken, Schriftarten, Analysesysteme und vieles mehr aus dem Standard eines unerfahrenen Webentwicklers mit einem Budget von 5000 Rubel. Nur das Moskauer Portal, das seinen Besuchern die Ressourcen des AdFox-Werbenetzwerks herunterlädt, zeichnete sich durch Originalität aus.
In der Kontrollgruppe liegen Social-Media-Portale erneut an der Spitze, obwohl ihr Ergebnis nicht als herausragend bezeichnet werden kann. Die Website der Russischen Eisenbahnen erhielt ebenso wie das Allrussische Portal für staatliche Dienstleistungen überhaupt keine Bewertung, weil erfüllt keines der bei seiner Erstellung berücksichtigten Kriterien. Odnoklassniki waren jedoch buchstäblich einen Schritt (oder besser gesagt einen Punkt) von einer höheren "Liga" entfernt.
Wieder
Und hier, zusätzlich zu der traditionellen Diskussion darüber, warum Unternehmen des strahlenden Bibers versuchen, zu jeder Website im Internet zu kriechen - aus altruistischer Sorge um das Gemeinwohl oder aus dem egoistischen Wunsch, alles und jeden,
Nun, all diese Verbote, Informationssysteme außerhalb der Russischen Föderation zu verwenden, Fernzugriff auf die von Unbefugten verwendete Software zu ermöglichen und Informationen, einschließlich "Telemetrie", an diese zu übertragen, werden nur berücksichtigt, wenn
Die Frage ist natürlich nicht für die Chabrowiten, also werden wir sie FSTEK oder FSB stellen, wenn sie nicht sehr damit beschäftigt sind, eine weitere überzeugende Erklärung dafür zu finden,