1010

Отсутствие шифрования на гос. сайте

UPD - объяснение

Собственно удивило отсутствие SSL-сертификата на сайте госорганов

http://gov.ru/

Кстати даже на сайте Совета Безопасности Российской Федерации нет никакой безопасности))

http://www.scrf.gov.ru/

Да и к тому же, весь сайт написан на иностранных фреймворках

http://www.scrf.gov.ru/static/js/app.js

Из этого следует что весь трафик идет в незашифрованом виде, к тому же еще и метрика от google...
Хотя на сайте думы duma.gov.ru
Стоит метрика от Яндекса, НО, так же стоит счетчик от какого-то сайта https://smi2.net
Раз у них код стоит, значит они не рекламодатели, а продают граждан россии, типа кто, что смотрел на сайте, чтобы показывать им релевантную рекламу, то есть по сути зарабатывают на посетителях) Дума б...ть...

И да, судя по их HTML коду, сайт собирали в каком-то конструкторе, то есть тупо, зажали 5-10 тысяч на отрисовку нормального HTML кода, а собрал сайт чувак, который вообще не в курсе, что такое верстка и просто как в PowerPoint накидал кнопок, менюшек в визуальном редакторе и выкатил сайт

Там даже есть моменты, когда они тупо библиотеки даже не скачали к себе на сервер, если лягет гитхаб, то у них верстка тоже может лечь

И эти специалисты пытаются обезопасить интернет...

На ситуацию обратил внимание знакомый товарищ. Думаю стоит ожидать более развернутую статью на Гитхабе.

Товарищ мой, тег моё.

Дубликаты не найдены

+46

зачем шифрвание сайту единственная форма ввода на котором это форма поиска.

раскрыть ветку 1
-1
Фиг с ними с данными, а вот от атак МиМ тоже защищать бабушек надо жеж
+44
Скажите, зачем вам потребовался сертификат на новостном портале?
раскрыть ветку 13
+34

И при чем здесь JQuery и информационная безопасность?

Видимо автор сам только вкатился в айти неделю назад.

Да и вообще нахер это все сайту про новостной портал (SSL и прочее дерьмо)


Зы, зашел на сайт ЦРУ, открыл сурс код, и О ШОК, ТАМ ТОЖЕ БИБЛИОТЕКИ JQUERY

Пиздец.

раскрыть ветку 2
+18

Если у них - производственная необходимость, если у нас - распиздяйство, ты не путай .

раскрыть ветку 1
-6

Чтобы все желающие на пути от меня до новостного портала не собирали данные, какие новости я читаю.

раскрыть ветку 1
+3

Так… Паранойей Пикабушники не страдают… Тогда такой вариант - слышали про новости когда мобильные операторы вставляют рекламу в любые сайты, которые вы просматриваете через телефон? Так вот, это можно сделать не с любыми сайтами, а как раз таки с теми, которые не защищены сертификатом. Ну, смотришь gov.ru, всплывает баннер на пол экрана, нечаянный клик, и ворох платных подписок. Примеры такого поведения - https://habr.com/ru/post/142909/ , https://meduza.io/slides/mobilnye-operatory-podsovyvayut-abo...

https://pikabu.ru/story/bilayn_vstavlyaet_svoyu_reklamu_na_p... - вот история которая затронула рядового пикабушника. И так может случиться с каждым http сайтом.

-6

есть слух, что это помогает в seo

плюс  http/2 возможен только при https

раскрыть ветку 7
+11

Прокуратуре нужно сео продвижение? 👏

раскрыть ветку 6
ещё комментарии
+139

ТС, лучше сначала подробнее разобраться в проблеме, а потом срубать плюсы на бессмысленном "исследовании".

Во-первых, зачем сайту gov.ru SSL если он тупо является неким "меню" для перехода на другие сайты? Никаких данных не передается туда-сюда. Сайт ведь справляется со своими обязанностями, не так ли?

Во-вторых, у нас нет запрета на использование зарубежных фреймворков (тем более бесплатных). Поэтому можно делать и на них.

В-третьих, большинство государственных сайтов сейчас на хорошем уровне. И там где вы действительно получаете или отправляете какие-либо данные, то SSL присутствует.

В-четвертых, SSL сертификат стоит денег. Так что они сэкономили наши же с вами деньги :)

раскрыть ветку 70
+32
Да ты погоди, сейчас серт поставят, так будет исследование, что он выпущен зарубежным CA.
А вообще примерно тоже самое хотел написать. Ещё б исследовали что сайт использует зарубежный JS. Какой-то совсем уж невнятный вброс.
раскрыть ветку 14
+13

Ага. Надо было сайт на 1С писать, чтобы эти зарубежные JS не использовать)

ещё комментарии
+4

Цифры! Цифры-то арабские!

А на ближний восток сша постоянно лезет.. Совпадение?

раскрыть ветку 2
+1

сертификат у сайта госуслуги выдан Comodo.com, американский поставщиком )

раскрыть ветку 1
+15

А как же примитивный lets encrypt? Все уже давно бесплатно и даже не требует усилий)

ещё комментарии
+26

@moderator, пост может и не преднамеренный выброс, но явно вводящий в заблуждение

+6
В-четвертых, SSL сертификат стоит денег

не обязательно, можно и бесплатный поставить, например от Let’s Encrypt

раскрыть ветку 1
0
Поставщик Let'sEncrypt банит организации, упомянутые в SDN-list (которые под санкциями). Просто для сведения.
+8

1) Нет, не справляется, до тех пор, пока можно подменить страницу и перенаправить на свой сайт

2) Проблема во внешних зависимостях. Да и метрики выглядят феерично.

4) Так, ну это реально не смешно.

раскрыть ветку 19
+4

1) О каком виде подмены идёт речь? С чьей стороны?

2) Проблема с внешними зависимостями заключается в необходимости аудита безопасниками всего стороннего кода (если мы говорим о серьёзных проектах). После аудита - проблемы больше не существует. Отказ от опенсорс-фреймворков - это из разряда "хочется хлебушка? Не иди в магазин, а сначала засей поле пшеницей..."

раскрыть ветку 3
0

Я ещё добавлю про 3). Когда в начале года Chrome  и следом остальные браузеры закрутили гайки и перестали пускать на сайты с самоподписанными/недействительными сертификатами - у меня куча сайтов перестала корректно работать, от госуслуг до сбера, выяснилось что реакция на отозванные корневые сертификаты у этих гигантов очень медленная, часть контента подгружалась по http, и прочие детские ошибки.

-3

1. Ты и с SSL на стороне сайта можешь подменить сертификат и страницу, так что это не спасает.

2. Например? Согласен, что разные плагины могут нарушать безопасность сайта, но там сайты носят только информативный характер. Это не госуслуги.

4. Чего?

раскрыть ветку 13
+1

Заходит юзер на gov.ru через бесплатный WiFi в отеле, а там форма входа через Госуслуги и надпись «срочно войдите для просмотра». Треть пользователей введёт.

И все, привет! Пароль у злоумышленников.

+1

Сайт создан 14 марта 1998 года. 21, мать его, год назад!

http://gov.ru/main/page2.html :)

+1

Сэкономили? Его по любому сделали за пару миллиардов какой-нибудь госзакупкой, где победила ооошка, зареганная за день до закупки с уставным  капиталом десять косарей...

+1

Согласен. Автора поста совсем не туда понесло.

0

1. SSL нужен не только на сайтах, на которые отправляются данные. Без шифрования невозможно убедиться в том, кто действительно прислал ответ. Потому туда можно интегрировать все что угодно (см. beef framework - как это сделать за 15 минут).

2. Скоро без SSL вообще ничего работать не будет. И хотя обсуждения идут довольно давно, тем не менее, рано или поздно это случится. И Гугл, и Яндекс, и вообще все вендоры браузеров настоятельно рекомендуют использовать ssl на сайтах, причем на любых.

3. ISP охуели, они в нешифрованные соединения интегрируют свою рекламу, трекеры и прочий блот.

4. Есть российские доверенные CA. Которые существуют на деньги налогоплательщиков в том числе.

-1

Давайте добавим в пост? @BigNail,

раскрыть ветку 3
+3

Это объяснение не совсем (а местами совсем не)верное.

SSL можно сделать бесплатно (как например LetsEncrypt сертификат у пикабу), защищать стоит даже переходы внутри сайта.
В #comment_143897397 этой ветке всё корректно расписано.

-6

Серьезно? Вы спрашиваете у человека, который вбросил, стоит ли добавить информацию, разоблачающую его ложь, в пост?

раскрыть ветку 1
ещё комментарии
-5
Спасибо, прочитал пост и поставил плюсик. Прочитал твой коммент забрал плюсик обратно, поставил плюсик тебе.
-13
В-четвертых, SSL сертификат стоит денег. Так что они сэкономили наши же с вами деньги

вот глупые, могли бы купить серт за 10 лямов и на откате положить себе в карман хороший кусок

раскрыть ветку 2
+2

Ты не смог в сарказм

раскрыть ветку 1
ещё комментарии
+6

просто фейспалм после "Да и к тому же, весь сайт написан на иностранных фреймворках"

раскрыть ветку 2
0
а разве отечественные существуют? и какая разница то какой фреймворк? я начал эту всю хрень изучать совсем недавно, но даже я удивился
раскрыть ветку 1
0

без понятия. может и существуют. тут дело в акценте на "отечественность", а значит, якобы, "безопасность"

+5

jQuery - не фреймворк, а библиотека.

раскрыть ветку 1
0

Вражеская! 🤣

+5

если лягет гитхаб,


Не лягет, не переживай

раскрыть ветку 2
+8

Лягет гитхаб - в мире будут проблемы покруче поплывшей вёрстки на гос сайте.

раскрыть ветку 1
0

Весь мой сарказм о слове "лягет"

+22

Может подскажете зачем на тупой инфо странице хттпс? По идее сертификат нужен при попытке логиниться где-то. Плюс Гугл срется, но ущемляет не с- сайты.

раскрыть ветку 44
+13

А это, видимо, услышал звон, не знаю где он. Сайт тупо каталог ссылок на другие органы в разных краях, нет никаких форм для логина или ввода каких-либо персональных данных. Ежу понятно что ssl там как зайцу пятая нога, еще и за деньги.

+2

Чтобы все желающие на пути от меня до тупой страницы не собирали данные, какие разделы сайта я читаю.

0
Например налепить всплывающей рекламы.
раскрыть ветку 4
0

Налепите на Гов.ру?

раскрыть ветку 3
-5

Без хттпс есть легкая возможность встраивания вредоносного кода в страницу.

раскрыть ветку 9
0

Встроете на гов.ру? Это же легко по-вашему...

раскрыть ветку 8
-13
Так поддомен генпрокуратуры тоже без ssl. При этом имеет форму для обращения граждан. Отправляемые файлы и заявления могут быть перехвачены. Собственно все поддомены этого сайта не имеют шифрования
раскрыть ветку 8
+10

Если ты с сайта генпрокуратуры РФ лезешь в интернет-приемную, то попадаешь в хттпс. Сертификат конечно летсэнкриптовский, но хоть что-то. 😂 

Так что опять промазал.


И да, есть зеркало генпрокуратуры с хттпс.

+4
Есть госуслуги, и не просто с хттпс а с ГОСТовой эп для логина, которые могут выпускать только "православные" УЦ с аккредитацией минкомсвязи. Ты бы реально разобрался в вопросе сначала, потом уж писал. А так на корявый хайпожор похоже. Типо все говно, не знаю почему, но говно.
+3

Форма у совбеза на стороннем сайте, там есть ссл. Вот апи у них без SSL, но там открытые вроде данные...хотя есть токен, спрашивается тогда зачем

+5

Скажи честно, ты не заходил на страницы генпрокуратуры, где передаются данные, требующие защиты и там как раз присутствует шифрование. И ты после этого сетуешь, мол эти чиновники безопасностью интернета занимаются, хотя сам невнимателен и скорей всего имеешь поверхностные знания в ИТ.

раскрыть ветку 1
0

А главное - фейкать одно удовольствие сайты без ссл.

раскрыть ветку 2
-14

а зачем хттпс, а зачем корс, а зачем бояться xss, а зачем вам приватность в мессенджерах, а отдайте ключи от телеграма.


а зачем у нас люди, некомпетентные ни в одном деле, принимают законы?

раскрыть ветку 17
+7

Так зачем на информационной странице https?

ещё комментарии
+6

А зачем такие же некомпетентные люди, типа автора поста, пилят посты?

ещё комментарии
+5

Ты этот набор умных названий написал оттого что знаешь или что-то умное хотел сказать? 🤣

ещё комментарии
+35

Предлагаю домены duma.gov.ru и gov.ru перерегистрировать на хостинге в Норвегии. У них домен первого уровня вроде ".no" называется...

раскрыть ветку 11
+10

Думаю стоит ожидать более развернутую статью на Гитхабе.

Автор имел ввиду порнхаб?

Но я буду смотреть на хабре.

раскрыть ветку 3
+7

судя по тому, что я на гитхабе иногда вижу в коде - он может порнохаб за пояс затнкуть

раскрыть ветку 2
0

Кстати домен Gov.no стоит чуть больше 2к рублей

раскрыть ветку 6
0

Это где?

Везде занят(

раскрыть ветку 2
0

подарим нашему правительству в складчину? Вот реально не жалко.

раскрыть ветку 2
+4

Бери выше - сайт написан на иностранном HTML и CSS, какие уж там фреймворки - кругом одни латинские буквы! Это не по-нашему!


А про "лягет гитхаб" — это хорошо, нефиг всякие фаерволы выдумывать, когда все сситемы чебурахнутся от не загруженных с CDN библиотек хоть у кого-то в башке зачешется, что пора перестать выдумывать чепуху в той отрасли, в которой власть имущие на разбираются

+6

Да нахера он там всрался, этот SSL? Мне гуглохром орет об опасном домене, могут спионерить деньги и карты без шифрования, а то что левый сайт по продаже дисков по 146 Тб за 999.99 работает на SSL это нормально, так можно, контора огонь, наебалова нет. Или тому подобные фишинговые или типа того страницы с вводом данных карты напрямую на странице. Везде SSL и мнимая безопасность. Людей только лишний раз подкупает своей мнимой безопасностью и заставляет вестись на развод.

раскрыть ветку 2
+1

Летсэнкрипт чисто для шифрования соединения нужен, поэтому его может любой получить. А вот серьезные сертификаты, которые удостоверяют продавца  - уже денег стоят. Просто раньше нас предупреждали если реально какая-то проблема с сертификатом, а сейчас предупреждают даже в том случае, если сертификата нет и соединение соответственно - не зашифрованное.

раскрыть ветку 1
+1

Вообще мы ушли от темы. Пост гавно вброс, автор - мудак кармодрочер и дилетант, решил словить плюсов и хомячки заплюсовали пост. Сила пекабу, чего уж там.

+6
Про иностранный фреймворк - жирненько :)
+4

В синагоге идут выборы раввина. Все предлагают Рабиновича. Встает Хаймович:

— Я могу сказать свое мнение?

— Пожалуйста, говорите.

— Вот вы предлагаете Рабиновича, а между прочим у него дочь — проститутка.

— Хаймович, что вы говорите! У Рабиновича вообще нет дочери. У него четыре сына — и все!

— Ну, я сказал свое мнение, а вы решайте.

+15

На разработку, как всегда, были выделены пару миллионов .

Иллюстрация к комментарию
раскрыть ветку 3
+6

Миллиардов. Опомнитесь! За пару миллионов никто пальцем не пошевелит!

раскрыть ветку 1
-1

За пару миллионов пару кнопок только добавить на сайт смогут

0

И два студента, которые работали за дошик

+2

Иногда надо скачать несколько корневых сертификатов чтобы пустило на тот или иной сайт.
А так многие подобные сайты при переходе по ссылке, скажем из почты, считаются "неблагонадежными")

раскрыть ветку 8
-1

Пример такого сайта дай.

раскрыть ветку 7
+1

ПИК ЕАСУЗ считается неблагонадежным.
а для электронного бюджета нужны корневые

раскрыть ветку 6
+5

Идет по деревне баба, видит - у соседской уборной двери нет, а внутри заседает хозяин. Тужится.

- Петрович, - говорит она ему, - ты бы хоть дверь навесил!

- Э-э, да чего тут брать-то...

раскрыть ветку 2
0

Тут больше показателен анекдот  «программист и солонка».

В незапертый сортир Петровича могут встроить гарпун, который при следующем использовании больно войдёт в ягодицы.

-3

Да у нас пиздят не то что дорого, а то что плохо лежит, так что и говно спиздят и стены им обмажут

+4
Чувак, хороший HTML - это не 5 и не 10 тысяч и даже не долларов. Конечно там конструктор - контент явно не верстальщиками создаётся.
ещё комментарии
+3

Smi2 - помойка, практически контент-ферма.

Зачем нужен сертификат и защищённое соединение для простого текстового сайта? Как минимум, чтобы всякое говно не могло так легко встраивать туда свою говнорекламу и подменять ссылки.

+3

Жалобу в спортлото стоит ожидать?

раскрыть ветку 1
-1

сами с гитхаба форкнут

+2

На всех страницах, где передается инфа, требующая защиты, стоит шифрование. А данный сайт лишь является глобальным меню, с которого уже идет переход на сайты гепрокуратуры и т.д. Где на страницах, требующих шифрования (оно не везде нужно) имеется шифрование. Но хомяки схавают пост от некомпетентного автора и плюсики поставят.

+1

Занимаюсь в том числе и настройкой доступа к электронным площадкам. Конечно же просто поднимать шум увидев http. Кстати, друг твой тот еще кулхацкер если считает отсутствие доступа по https исключительно виной сайта. Для доступа на портал он не нужен, а вот с настройкой доступа в защищенные ЭП разделы приходится порой, особенно на изначально настроенных не мной машинах, изрядно попотеть. По поводу рекламы - даже на защищенном соединении все что вы делаете на любом сайте уходит в ту же Я.метрику и прочие, тут ssl не поможет.

По поводу системы защиты доступа на подобные платформы можно накатать вообще целый обширный пост, но если кратко - запилили очень серьезную, хорошо защищенную систему, вбухав кучу денег, но позже проебали все полимеры. Теперь из-за экономии в дальнейшей поддержке системы приходится для работы обманывать её, повторюсь, ИЗНАЧАЛЬНО хорошо защищенную. И интересный момент. Вообще дополнительный ключ даже для хозяина стоит денег, тем более должно быть проблемно его скопировать злоумышленникам. А по всей россии защитой от копирования являются всего ДВА пароля. При наличии трех попыток ввода до блокировки. Это конечно уже не проблема системы, а распиздяйство людей, её продающих.

0

"Да и к тому же, весь сайт написан на иностранных фреймворках"


Вы предлагаете ещё один jQuery свелосипедить?)

0

Тут что-то все пиздят на эльфийском... ни хуя не понятно

0
ТС, я уже писал в комментах однажды.
Зайди на сайт ФСО. Вот там истинная жесть творится в исходном коде
раскрыть ветку 3
0

У вас есть доступ к исходникам сайта? Или вы исходным кодом называете то что прилетает клиенту?

раскрыть ветку 2
-3
Во-первых, можешь открыть сайт и заметить отсутствие намеков на бэкенд. Во-вторых, логично, что под исходным кодом я имел ввиду именно доступный код из браузера
раскрыть ветку 1
0

Пф! С начала 2019 года ввели обязательную регистрацию на сайте zakupki.gov для участия в электронных торгах. Там и КриптоПро и прочие хрени, вроде как, присутствуют.... Но! Рекламный спам от разных "перекупов" по, например, банковским гарантиям, начинает сыпаться на почту раньше, чем уведомления о регистрации от торговых площадок))))

раскрыть ветку 1
+2

Странно, мне не приходит никаких рекламных писем.

-1

Дума б...ть...
Хоть и оффтоп, но ровно такие же мысли были час назад.
Плачу штраф на госуслугах через сбер.

Посредник выдаётся - газпромбанк.

Оплата штрафа с комиссией.
Плачу государству на государственном сайте государственный налог через госкорпорации - и комиссия. Мелочь конечно, но это какой-то позор.

раскрыть ветку 1
+1

Убрали с 24 июня 2019 по 23 июня 2020 года комиссию при оплате через госуслуги платёжной системой Мир

-1

"Зачем информационному сайту сертификат":


шифрование обеспечивает не только конфиденциальность информации, но и ее целостность.


Без сертификата любой посредник может при передаче изменить страницу или любую ее часть по собственному желанию, заменить содержимое, встроить свой вредоносный или рекламный (что одно и то же) код и т.п. Поэтому любая "инфа" требует шифрования.

раскрыть ветку 1
+1

Не любая, шифрование требует ресурсов и обращаться к нему нужно выборочно .

MITM, в данном случае, нецелесообразен .

-1

Ты че, не знаешь главное условие работы почти всех госсайтов? Надо добавить их в надежные сайты в настройках браузёра? =)

-2
Самое лучшее доказательство того, что хакеры влияющие на выборы в США не имеют к властям РФ никакого отношения
раскрыть ветку 1
+3

скорее доказательство того, что автор поста уж точно не виноват.

-2

Ты товарищу скажи, что мой товарищ сказал, что большинство гос. сайтов, причем не только этой страны, имеют дыры шо пиздец

-2

Вы удивитесь, но в Сбербанк онлайн подключены и метрика и Гугл аналитика. Маркетинг превыше безопасности в нашей стране.

-2
Ура, подвод выделить ещё 456 млн на переделку сайта.
-3

Да все банально. Использовать иностранную криптографию на гос  сайтах запрещает закон, а отечественный ГОСТ поддерживается 2мя отчечественными браузерами  и старым ишаком. Причем в 2х из трех случаем требуется еще и лицензия на криптопро.

-3

Думаю что не все в курсе о встройке провайдерами рекламы на сайтах без SSL.

-4
Спасибо за своевременный сигнал! Мы уже выделили из бюджета 5 млн. на детальный анализ проблемы, 30 млн. на устранение, а также 40 млн. на НИОКР по поддержке отечественной криптографии в ssl в браузерах по умолчанию.
На следующей неделе объявим конкурс на сайте госзакупок
-4

О, такими темпами роскомнадзор гитхаб заблокирует.

-4

Не страна, а пилорама!

Пилят тута, пилят тама.

-4

помню было похожие разоблачение год назад.

чувака вроде штрафанули и посадили

-5

У кого то ещё были сомнения об "уровне" 99.99 госпроектов?

Каждый из них - дикое говнище, сделанное криворукими "специалистами" из говна и палок, потому что из безумно жирного куска бюджета денег осталось только на такое.

-5
Даже gov как бэ намекает, какой уровень безопасности таких сайтов :-D
-6

Нам, патриотам, срывать нечего!

раскрыть ветку 1
0

кроме майки и трусов

-12

Прикольно, но не удивительно. Удивительно, что граждане всё ещё ждут эффективных реформ в буржуазной демократии, где хорошо станет всем.

-13

...угу. Я как-то лет 20 тому hotel помочь родному пердприятию с продажами и забацал в хэтэмээл красивый шаблон сайта без текстов и картиног, но получилось оч красиво и шустро для того времени.

Тырнет был тока у меня, ГИ и ГД. ГИ - дядя лет 42, пьющий, но прогрессивный. Пасатрел - одобрил. Круто, мол, звездуй к ГД.

ГД - тетя 34 лет. Правильная, но тупая до тошноты. Прихожу, стучусь.

-Вайдити!

-ГД, здрасьте, вотъ, я тут это... Короче... вотъ. (клац-клац, тыц-тыц).

- О, я-я! Дас ист фантастиш! Оставь мне диск, я паиграюс.

Вечером звонок:

- Скока хочишь?

- 150$

- Многа... сайт нам ни нужен.

Назавтра зашел за диском. ГД нет на месте. Потом она в командировку на Сейшелы уе... хала, потом в отпуск. Вопщим, диск пропал.

Я уволился через года 4 (все это время у предприятия не было ничего, кроме 2 имэйлов).

В 2008 году по старой памяти решил поискать, че там у х... ГД.

Ага - нашел свой сайт, сшитый пэхапэ-Франкенштейном в стиле заводской малотиражки, без картинок и с 80% мертвых кнопок.

Поржал.

Да, а ГД таки посадили на 4 года, за кредитные мохинацыи.  Вышла в конце 2012 года.

раскрыть ветку 4
+8

Я вас читал, и кровь лилась из глаз моих. Нельзя же так злоупотреблять коверканьем слов.

раскрыть ветку 3
+1

эх, молодежь... не понять вам пажилова падонка.

-4
Вайдити! Пасатрел? Вобщим, мохинацыи.

Течёт?)
раскрыть ветку 1
ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: