Есть много объяснений этого грустного феномена, однако не будем об этом.
Я переписываю эту статью во второй раз, т.к. не так давно часть проблем была исправлена, а докапываться до оставшихся мне показалось бессмысленным. Но увы, в результате изменений ситуация вернулась практически к тому, что было изначально
Есть такая замечательная компания РЖД. Не так давно на Хабре поднималась тема с безопасностью в сапсанах, с довольно предсказуемым концом.
Было бы наивно считать, что это единственная проблема с инфраструктурой РЖД.
Однако, мы же с вами не злоумышленники
Так что не будем растекаться мыслью по древу.
Есть такой замечательный и бесплатный сервис
Попробуем с его помощью проверить, что же у нас с сайтом rzd.ru, где миллионы человек оставляют свою персональную информацию. Наверное, уж тут то очевидных недоработок быть не должно.Естественно надо понимать, что данный сервис лишь проводит тестирование сайта, ни в коем случае нельзя считать эти данные истиной в последней инстанции и каким-то хоть сколько-нибудь серьёзным аудитом.Ситуация на данный момент
Ситуация на момент написания статьи
Если кому интересно, так выглядел результат до того, как ржд начал изменять настройки:
Как вы можете увидеть результат неудовлетворителен.
Стоит ли доверять этому сайту свои персональные данные?
Мы можем увидеть, что используется SSL V3, признанный устаревшим в 2015 году
CVE-2014-3566, она же poodle, уязвимость 2014 (!!!) года
Зато поддерживается тёплый, ламповый IE6.Я думаю вебмастеры и верстальщики старой закалки хорошо помнят, как легко и забавно обеспечивалась его поддержка.
Ну и само собой, все поддерживаемые шифры или уязвимы, или слабоваты.
И вишенкой на торте- единственный криптографический протокол, не признанный устаревшим на сегодня, поддерживаемый rzd.ru это TLS 1.0. Изюминкой данной ситуации является то, что как ранее уже писали на Хабре, в 2020 году большинство популярных браузеров планируют отказаться от его поддержки.
А значит, если когда в 2020 РЖД ничего не сделает, у множества пользователей вместо сайта откроется что-то похожее на вот это
На самом деле, это скорее хорошо, возможно массовые проблемы с оформлением билетов у пользователей вынудят хоть немного заняться сайтом. А уж кого обвинить в такой подлой диверсии против ржд, я думаю найдут. А злоумышленники, а что с ними делать, да и зачем.
Почему удалось взломать? Наверное, потому что злоумышленник. (С) Директор компании РЖД по информационным технологиям Евгений Чаркин.
ссылка на оригинал статьи https://habr.com/ru/post/481032/
Добавить комментарий