Testamos os portais de serviços governamentais usando novos métodos que avaliam a confiabilidade das conexões HTTPS com eles e o nível de proteção contra XSS, e também os comparamos com sites de redes sociais, bancos, empresas de transporte e serviços. O resultado é um tanto previsível (está tudo ruim com a segurança dos serviços públicos eletrônicos), mas de alguma forma não (a maioria dos sites do "grupo de controle" não está melhor), mas vamos conversar sobre tudo em ordem.
Assim, investigamos três portal de serviços do estado - o todo russo , Moscou e Região de Moscou - por novos métodos de cálculo do Índice de Confiabilidade HTTPS e do Índice de proteção contra o XSS , inventado para o projeto "Monitor gossaytov" .
Investigamos não apenas os hosts principais dos portais, mas todos os "pools" de hosts, ou seja, todos os hosts descobertos dos quais esses portais baixam recursos no processo de recebimento de serviços de governo eletrônico pelos cidadãos: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru, etc. Para comparação, também examinamos os sites Vkontakte , Odnoklassniki , Sberbank Online , contas pessoais de assinantes de Beeline , Russian Post , Russian Railways , Aeroflot e um portal de autorização para serviços Yandex .
Os resultados foram publicados no relatório "Portais de serviço público: segurança imaginária", cujo nome é bastante eloquente: o índice de confiabilidade HTTPS do portal de serviços públicos da região de Moscou foi de 37 pontos, o totalmente russo - 12, e o de Moscou - 11 de 108 possíveis.
Esses pontos foram a soma do certificado TLS autoassinado do Controlador de Ingress, exposto à rede como um certificado de site, suporte SSL em 2021, CVE-2014-3566 não divulgado (POODLE), CVE-2016-2183 / CVE-2016- 6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) e outros milagres em servidores cujo software não foi atualizado por anos, e as configurações cabem em um site de barraca de cerveja em vez de um portal governamental que processa e armazena pessoal, financeiro e outros informações confidenciais de milhões de russos, "protegendo-as" no mesmo ano de 2021 com um conjunto de criptografia TLS_RSA_WITH_3DES_EDE_CBC_SHA. Se alguém não percebeu o sarcasmo, todos os algoritmos usados neste pacote de criptografia não são confiáveis ou são vulneráveis.
Para efeito de comparação, o índice do site Aeroflot foi de 60 pontos, e das redes sociais Vkontakte e Odnoklassniki - 57 e 58 pontos, respectivamente.
Sim, sua visão não falha: o Sberbank Online tem uma das piores avaliações. Se você não acredita, dê uma olhada, familiarize-se com a metodologia, com explicações , encontre falhas, enfie o nariz nelas - ficaremos gratos e iremos revisá-la.
Não é o melhor resultado para os portais de serviços públicos e no Índice de Segurança XSS: 0 pontos para o All-Russian e 10 pontos para Moscou e Região de Moscou. Entre os recursos de terceiros carregados para esses portais estão mapas, bibliotecas "gratuitas", fontes, sistemas analíticos e, ainda, com todas as paradas do conjunto padrão de um desenvolvedor web novato com um orçamento de 5.000 rublos. Apenas o portal Moscou, que faz o download dos recursos da rede de publicidade AdFox para seus visitantes, se destacou pela originalidade.
No grupo de controle, os portais de mídia social estão novamente na liderança, embora seu resultado não possa ser considerado excelente. O site da Russian Railways, assim como o portal de serviços estatais da Rússia, não recebeu nenhuma classificação, porque não cumpre nenhum dos critérios tidos em consideração na sua preparação. No entanto, Odnoklassniki estava literalmente a um passo (ou melhor, um ponto) de uma "liga" superior.
Novamente os
E aqui, além da discussão tradicional sobre por que as corporações do castor radiante procuram se arrastar para todos os sites da Internet - por uma preocupação altruísta pelo bem comum ou por um desejo egoísta de controlar tudo e todos,
Bem, todas essas proibições de usar sistemas de informação localizados fora da Federação Russa, fornecer acesso remoto ao software usado por pessoas não autorizadas e transferir informações para eles, incluindo "telemetria" - são levadas em consideração apenas se
A questão, claro, não é para os khabrovites, então vamos perguntar ao FSTEK ou FSB, se eles não estão muito ocupados chegando com outra explicação convincente de