Internet, quasi 200.000 siti HTTPS sono insicuri

Una ricerca Trustworthy Internet Movement avverte circa le vulnerabilità di quasi 200.000 siti web HTTPS, ma la soluzione è più semplice del previsto.
Internet, quasi 200.000 siti HTTPS sono insicuri
Una ricerca Trustworthy Internet Movement avverte circa le vulnerabilità di quasi 200.000 siti web HTTPS, ma la soluzione è più semplice del previsto.

Il 90% dei siti internet basati su HTTPS, come spiega un rapporto pubblicato oggi da Trustworthy Internet Movement, organizzazione no-profit che si impegna a risolvere i problemi di sicurezza, privacy e affidabilità della grande Rete, sono vulnerabili ad attacchi SSL. La relazione si basa sui dati di un nuovo progetto chiamato SSL Pulse, che utilizza una tecnologia di scansione automatizzata sviluppata da Qualys per analizzare la forza delle implementazioni HTTPS su parte dei siti web più importanti  segnalati dalla società di analisi sul web, Alexa.

Nonostante la metà dei 200.000 portali presi in esame abbia ricevuto un “A” per la qualità delle loro configurazioni, solo il 10% è stato classificato come realmente sicuro. Il 75%, corrispondente a circa 148.000 siti web, è risultato vulnerabile ad un attacco conosciuto come “Beast”, il quale può essere utilizzato per decriptare i token di autenticazione e cookie. Questa tipologia di attacco è stata presentata la prima volta dai ricercatori Juliano Rizzo e Thai Duong alla conferenza sulla sicurezza ekoparty a Buenos Aires, Argentina, nel mese di settembre 2011, ed il suo potenziale impatto si rivela ora nei numeri della ricerca Trustworthy Internet Movement.

Protezioni contro questa offensiva sono già stata istituite nelle nuove versioni dei browser più diffusi, tuttavia sono ancora tante le persone, specialmente in ambienti di lavoro, che si accontentano (spesso soprattutto per ignoranza o scarso interesse) anche di edizioni particolarmente vetuste, come Internet Explorer 6, ed esposte pertanto a questo tipo di pericolo.

Ad ogni modo, riparare la vulnerabilità è un’operazione abbastanza semplice, che richiede soltanto l’applicazione di una patch apposita. Trustworthy Internet Movement prevede quindi di effettuare nuove scansioni con SSL Pulse al fine di aggiornare le statistiche mensili circa i siti web che hanno fatto progressi con le loro implementazioni SSL. L’organizzazione ha anche annunciato la nascita di una task force speciale adibita allo sviluppo e alla proposta di soluzioni dedicate ai problemi noti in queste aree fondamentali.

Ti consigliamo anche

Link copiato negli appunti