×
Сертификаты сайтов не гарантия безопасности

Исследование, проведенное американскими разработчиками, показывает, что сертификаты безопасности сайтов не являются гарантией от заражения компьютеров. Об этом сообщает arstecnica.com.


Сертификаты безопасности сайтов электронной коммерции и других онлайн-ресурсов давно вызывали подозрение в том, что они на самом деле не оправдывают своей стоимости, которая может обходиться до сотни тысяч долларов в год. Сейчас специалисты в области машинных вычислений провели исследование, которое показывает, что на самом деле подобные сертификаты делают сайты более уязвимыми к атакам.


Так называемые сертификаты предоставляются десятком компаний в сфере информационной безопасности, включая Symantec, McAfee, Trust-Guard и Qualys. В обмен на комиссии в размере от $100 до более чем $2000 в год они проводят периодические замеры безопасности сайта. Если сайт их проходит, он получает сертификат «безопасности» (Good Housekeeping Seal), который устанавливается на главной странице. Демонстрируя изображения замков и слоганы «защищено от хакеров», такие знаки должны вызвать уверенность у пользователей, что здесь данные их кредитных карт и другая ценная информация в безопасности.


Недавнее академическое исследование, охватывающее порядка 10 ресурсов с подобными «печатями», показало необычный уровень несоответствия. С одной стороны, эксперименты показали, что сканеры имеют серьезные пробелы в определении уязвимостей. Так, в одном из них лучший на рынке сканер безопасности не выявил половину угроз, созданных исследователями. С другой стороны, пробелы в коде сертифицированных сайтов таковы, что опытному хакеру понадобится менее дня, чтобы их обнаружить и ими воспользоваться. На практике это может означать, что многие атаки могут быть спровоцированы наличием сертификата безопасности, привлекая хакеров больше, чем те ресурсы, которые его не используют.

 

Автор: Александра Кисель