Kami menguji portal layanan pemerintah menggunakan metode baru yang menilai keandalan koneksi HTTPS dengan mereka dan tingkat perlindungan terhadap XSS, dan juga membandingkannya dengan situs jaringan sosial, bank, perusahaan transportasi dan layanan. Hasilnya agak dapat diprediksi (semuanya buruk dengan keamanan layanan publik elektronik), tetapi dalam beberapa hal tidak (sebagian besar situs dari "grup kontrol" tidak berkinerja lebih baik), tetapi mari kita bicarakan semuanya secara berurutan.
Jadi, kami menyelidiki tiga portal layanan negara - seluruh Rusia , Moskow dan Moskow Region - dengan metode baru perhitungan HTTPS Reliabilitas Indeks dan Indeks perlindungan terhadap XSS , diciptakan untuk proyek "Monitor gossaytov" .
Kami menyelidiki tidak hanya host utama dari portal, tetapi juga seluruh "kumpulan" host, yaitu semua host yang ditemukan tempat portal ini mengunduh sumber daya dalam proses menerima layanan elektronik pemerintah oleh warga: www.gosuslugi.ru, oplata.gosuslugi.ru, lk.gosuslugi.ru, dll. Sebagai perbandingan, kami juga meneliti situs Vkontakte , Odnoklassniki , Sberbank online , rekening pribadi pelanggan dari Beeline , Rusia Pos , Kereta Api Rusia , Aeroflot, dan portal otorisasi untuk Yandex layanan .
Hasilnya dipublikasikan dalam laporan "Public Service Portals: Imaginary Security"., namanya cukup jelas: indeks keandalan HTTPS portal layanan publik wilayah Moskow adalah 37 poin, yang semuanya Rusia - 12, dan yang Moskow - 11 dari 108 mungkin.
Poin-poin ini adalah jumlah dari sertifikat TLS yang ditandatangani sendiri oleh Ingress Controller, yang diekspos ke Jaringan sebagai sertifikat situs web, dukungan SSL pada tahun 2021, CVE-2014-3566 (POODLE) yang tidak ditutup, CVE-2016-2183 / CVE-2016- 6329 (SWEET32), CVE-2016-2107 (OpenSSL Padding Oracle) dan keajaiban lainnya di server yang perangkat lunaknya belum diperbarui selama bertahun-tahun, dan pengaturannya sesuai dengan situs tenda bir daripada portal pemerintah yang memproses dan menyimpan informasi pribadi, keuangan, dan lainnya informasi sensitif jutaan orang Rusia, "melindunginya" di tahun yang sama 2021 dengan cipher suite TLS_RSA_WITH_3DES_EDE_CBC_SHA. Jika seseorang belum menangkap sarkasme tersebut, maka semua algoritme yang digunakan dalam cipher suite ini tidak dapat diandalkan atau rentan.
Sebagai perbandingan, indeks situs web Aeroflot adalah 60 poin, dan jejaring sosial Vkontakte dan Odnoklassniki - masing-masing 57 dan 58 poin. Bagan yang
Ya, penglihatan Anda tidak mengecewakan Anda: Sberbank Online memiliki salah satu peringkat terburuk. Jika Anda tidak percaya, periksa, biasakan diri Anda dengan metodologi, dengan penjelasannya , temukan kekurangan, tusuk hidung Anda - kami akan berterima kasih dan akan merevisinya.
Bukan hasil terbaik untuk portal layanan publik dan di Indeks Keamanan XSS: 0 poin untuk All-Rusia dan 10 poin untuk Moskow dan Wilayah Moskow. Di antara sumber daya pihak ketiga yang diunggah ke portal ini adalah peta, pustaka "gratis", font, sistem analitik, dan selanjutnya dengan semua pemberhentian dari kumpulan standar pengembang web pemula dengan anggaran 5.000 rubel. Hanya portal Moskow, yang mengunduh sumber daya jaringan iklan AdFox kepada pengunjungnya, dibedakan berdasarkan orisinalitasnya.
Di grup kontrol, portal media sosial kembali memimpin, meski hasilnya tidak bisa disebut luar biasa. Situs web Kereta Api Rusia, seperti portal layanan negara All-Rusia, tidak menerima peringkat sama sekali, karena tidak memenuhi salah satu kriteria yang diperhitungkan dalam persiapannya. Namun, Odnoklassniki secara harfiah satu langkah (atau lebih tepatnya, satu poin) dari "liga" yang lebih tinggi.
Sekali lagi diagram
Dan di sini, selain diskusi tradisional tentang mengapa perusahaan-perusahaan berang-berang bercahaya berusaha merangkak ke setiap situs di Internet - karena perhatian altruistik untuk kebaikan bersama atau keinginan egois untuk mengendalikan segalanya dan segalanya,
Nah, semua larangan untuk menggunakan sistem informasi yang terletak di luar Federasi Rusia ini, menyediakan akses jarak jauh ke perangkat lunak yang digunakan oleh orang yang tidak berwenang dan mentransfer informasi kepada mereka, termasuk "telemetri" - hanya dipertimbangkan jika
Pertanyaannya, tentu saja, bukan untuk Khabrovites, jadi kami akan menanyakannya ke FSTEK atau FSB, jika mereka tidak terlalu sibuk memberikan penjelasan lain yang meyakinkan tentang