Nous avons testé les portails des services gouvernementaux à l'aide de nouvelles méthodes qui évaluent la fiabilité des connexions HTTPS avec eux et le niveau de protection contre XSS, et les avons également comparés aux sites des réseaux sociaux, des banques, des entreprises de transport et de services. Le résultat est quelque peu prévisible (tout va mal avec la sécurité des services publics électroniques), mais à certains égards il ne l'est pas (la plupart des sites du «groupe témoin» ne font pas mieux), mais parlons de tout dans l'ordre.
Ainsi, nous avons étudié trois portails de services publics - la région tout-russe , Moscou et Moscou - par de nouvelles méthodes de calcul de l' indice de fiabilité HTTPS et de l'indice de protection contre le XSS , inventé pour le projet "Monitor gossaytov" .
Nous avons enquêté non seulement sur les principaux hôtes des portails, mais aussi sur des «pools» d'hôtes entiers, c'est-à-dire tous les hôtes découverts à partir desquels ces portails téléchargent des ressources dans le processus de réception de services gouvernementaux électroniques par les citoyens: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru, etc. À titre de comparaison, nous avons également examiné les sites Vkontakte , Odnoklassniki , Sberbank Online , les comptes personnels des abonnés de Beeline , la poste russe , les chemins de fer russes , Aeroflot et un portail d'autorisation pour les services Yandex .
Les résultats ont été publiés dans le rapport "Portails de service public: sécurité imaginaire", dont le nom est assez éloquent: l'indice de fiabilité HTTPS du portail des services publics de la région de Moscou était de 37 points, celui entièrement russe - 12 et celui de Moscou - 11 sur 108 possibles.
Ces points étaient la somme du certificat TLS auto-signé du contrôleur d'entrée, exposé au réseau en tant que certificat de site Web, prise en charge SSL en 2021, non fermé CVE-2014-3566 (POODLE), CVE-2016-2183 / CVE-2016- 6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) et d'autres miracles sur des serveurs dont le logiciel n'a pas été mis à jour depuis des années, et les paramètres conviennent à un site de tente à bière plutôt qu'à un portail gouvernemental qui traite et stocke des données personnelles, financières et autres informations sensibles de millions de Russes, les "protégeant" la même année 2021 avec une suite de chiffrement TLS_RSA_WITH_3DES_EDE_CBC_SHA. Si quelqu'un n'a pas attrapé le sarcasme, alors tous les algorithmes utilisés dans cette suite de chiffrement sont peu fiables ou vulnérables.
À titre de comparaison, l'indice du site Web d'Aeroflot était de 60 points et les réseaux sociaux Vkontakte et Odnoklassniki de 57 et 58 points, respectivement.
Oui, votre vue ne vous manque pas: Sberbank Online a l'une des pires notes. Si vous ne le croyez pas, jetez-y un œil, familiarisez-vous avec la méthodologie, avec des explications , trouvez des défauts, piquez-y votre nez - nous vous en serons reconnaissants et nous la réviserons.
Pas les meilleurs résultats pour les portails des services publics et dans l'indice de sécurité XSS: 0 point pour le All-Russian et 10 points pour la région de Moscou et Moscou. Parmi les ressources tierces téléchargées sur ces portails, il y a des cartes, des bibliothèques «gratuites», des polices, des systèmes d'analyse et de plus avec tous les arrêts de l'ensemble standard d'un développeur Web novice avec un budget de 5000 roubles. Seul le portail de Moscou, qui télécharge les ressources du réseau publicitaire AdFox à ses visiteurs, se distingue par son originalité.
Dans le groupe témoin, les portails de médias sociaux sont à nouveau en tête, bien que leur résultat ne puisse pas être qualifié d'exceptionnel. Le site Web des chemins de fer russes, comme le portail panrusse des services de l'État, n'a pas du tout reçu de note, car ne répond à aucun des critères pris en compte dans sa préparation. Cependant, Odnoklassniki était littéralement à un pas (ou plutôt, un point) d'une "ligue" supérieure.
Encore une fois, le diagramme
Et ici, en plus de la discussion traditionnelle sur les raisons pour lesquelles les corporations du castor rayonnant cherchent à ramper vers tous les sites sur Internet - par souci altruiste pour le bien commun ou par désir égoïste de contrôler tout et tout, en
Eh bien, toutes ces interdictions d'utiliser des systèmes d'information situés en dehors de la Fédération de Russie, de fournir un accès à distance aux logiciels utilisés par des personnes non autorisées et de leur transférer des informations, y compris la «télémétrie» - ne sont prises en compte que si
La question, bien sûr, n'est pas pour les Khabrovites, nous allons donc la poser à FSTEK ou FSB, s'ils ne sont pas très occupés à trouver une autre explication convaincante de la