Отсутствие шифрования на гос. сайте⁠⁠

Собственно удивило отсутствие SSL-сертификата на сайте госорганов

http://gov.ru/

Кстати даже на сайте Совета Безопасности Российской Федерации нет никакой безопасности))

http://www.scrf.gov.ru/

Да и к тому же, весь сайт написан на иностранных фреймворках

http://www.scrf.gov.ru/static/js/app.js

Из этого следует что весь трафик идет в незашифрованом виде, к тому же еще и метрика от google...
Хотя на сайте думы duma.gov.ru
Стоит метрика от Яндекса, НО, так же стоит счетчик от какого-то сайта https://smi2.net
Раз у них код стоит, значит они не рекламодатели, а продают граждан россии, типа кто, что смотрел на сайте, чтобы показывать им релевантную рекламу, то есть по сути зарабатывают на посетителях) Дума б...ть...

И да, судя по их HTML коду, сайт собирали в каком-то конструкторе, то есть тупо, зажали 5-10 тысяч на отрисовку нормального HTML кода, а собрал сайт чувак, который вообще не в курсе, что такое верстка и просто как в PowerPoint накидал кнопок, менюшек в визуальном редакторе и выкатил сайт

Там даже есть моменты, когда они тупо библиотеки даже не скачали к себе на сервер, если лягет гитхаб, то у них верстка тоже может лечь

И эти специалисты пытаются обезопасить интернет...

На ситуацию обратил внимание знакомый товарищ. Думаю стоит ожидать более развернутую статью на Гитхабе.

Товарищ мой, тег моё.

215

Вы смотрите срез комментариев. Показать все

153

emilsabitov

4 года назад

ТС, лучше сначала подробнее разобраться в проблеме, а потом срубать плюсы на бессмысленном "исследовании".

Во-первых, зачем сайту gov.ru SSL если он тупо является неким "меню" для перехода на другие сайты? Никаких данных не передается туда-сюда. Сайт ведь справляется со своими обязанностями, не так ли?

Во-вторых, у нас нет запрета на использование зарубежных фреймворков (тем более бесплатных). Поэтому можно делать и на них.

В-третьих, большинство государственных сайтов сейчас на хорошем уровне. И там где вы действительно получаете или отправляете какие-либо данные, то SSL присутствует.

В-четвертых, SSL сертификат стоит денег. Так что они сэкономили наши же с вами деньги :)

раскрыть ветку (70)

Green.Hamster

4 года назад

Да ты погоди, сейчас серт поставят, так будет исследование, что он выпущен зарубежным CA.
А вообще примерно тоже самое хотел написать. Ещё б исследовали что сайт использует зарубежный JS. Какой-то совсем уж невнятный вброс.

раскрыть ветку (14)

emilsabitov

4 года назад

Ага. Надо было сайт на 1С писать, чтобы эти зарубежные JS не использовать)

ещё комментарии

korneev123123

4 года назад

Цифры! Цифры-то арабские!

А на ближний восток сша постоянно лезет.. Совпадение?

раскрыть ветку (2)

Green.Hamster

4 года назад

Не думаю!(с)

Oduvan44

4 года назад

Цифры индийские. Называют их арабскими от того, что в Европу принесли их арабские завоеватели.

DELETED

4 года назад

Комментарий удален. Причина: данный аккаунт был удалён

раскрыть ветку (1)

Green.Hamster

4 года назад

В личный кабинет попробуй зайти

Mnwa

4 года назад

А как же примитивный lets encrypt? Все уже давно бесплатно и даже не требует усилий)

ещё комментарии

ermakn700

4 года назад

@moderator, пост может и не преднамеренный выброс, но явно вводящий в заблуждение

Ikarius

4 года назад

В-четвертых, SSL сертификат стоит денег

не обязательно, можно и бесплатный поставить, например от Let’s Encrypt

раскрыть ветку (1)

alarm29

4 года назад

Поставщик Let'sEncrypt банит организации, упомянутые в SDN-list (которые под санкциями). Просто для сведения.

Artemiyfly

4 года назад

1) Нет, не справляется, до тех пор, пока можно подменить страницу и перенаправить на свой сайт

2) Проблема во внешних зависимостях. Да и метрики выглядят феерично.

4) Так, ну это реально не смешно.

раскрыть ветку (19)

NightCracker

4 года назад

1) О каком виде подмены идёт речь? С чьей стороны?

2) Проблема с внешними зависимостями заключается в необходимости аудита безопасниками всего стороннего кода (если мы говорим о серьёзных проектах). После аудита - проблемы больше не существует. Отказ от опенсорс-фреймворков - это из разряда "хочется хлебушка? Не иди в магазин, а сначала засей поле пшеницей..."

раскрыть ветку (3)

Artemiyfly

4 года назад

1) Можно подменить страницу и спровадить людей на фишинговый сайт. Да много что можно сделать. Кто будет этим заниматься? Да фиг знает. Давайте будем честны, 99% что этот сайт не будут атаковать, как и 95% квартир не будут взламывать. Однако замки стоят на всех.

2) Тут фишка не столько в копипасте открытого кода, аудит которого очевидно не проводился, сколько в ссылках на внешние источники. Я не буду как журнашлюхи говорить, что гугл принадлежит американцам, а значит завтра отдаст по ссылке заражёную версию метрики, но вообще такие зависимости жутко небезопасны.

А, и 19 строчка выглядит так:

ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';

Весело, не правда ли? Выкачать по http скрипт и запустить его без всяких проверок.

раскрыть ветку (2)

NightCracker

4 года назад

1) Я имею в виду подмена со стороны провайдера или dns-сервера? При заражении самого клиента? При взломе хостинга сайта? Пытаюсь понять в каком случае ssl-серт хоть как-то чем-то поможет.

2) По метрикам на офф. ресурсах спорить не буду.

раскрыть ветку (1)

Artemiyfly

4 года назад

1) В 1 и 2. И они на порядок проще 3 и 4, если мы считаем, что кругом враги.

emilsabitov

4 года назад

1. Ты и с SSL на стороне сайта можешь подменить сертификат и страницу, так что это не спасает.

2. Например? Согласен, что разные плагины могут нарушать безопасность сайта, но там сайты носят только информативный характер. Это не госуслуги.

4. Чего?

раскрыть ветку (13)

Artemiyfly

4 года назад

1. Вы понимаете зачем вообще ssl нужен? Я про MiM атаку.

2. Та же фигня. Встраиваешь чужой код = могут делать с твоими клиентами что угодно

4. Они очень дешёвые, по сравнению с государственными бюджетами на разработку. Есть и вообще бесплатные.

ещё комментарии

NiPh

4 года назад

Я ещё добавлю про 3). Когда в начале года Chrome и следом остальные браузеры закрутили гайки и перестали пускать на сайты с самоподписанными/недействительными сертификатами - у меня куча сайтов перестала корректно работать, от госуслуг до сбера, выяснилось что реакция на отозванные корневые сертификаты у этих гигантов очень медленная, часть контента подгружалась по http, и прочие детские ошибки.

fatpunk

4 года назад

Сайт создан 14 марта 1998 года. 21, мать его, год назад!

http://gov.ru/main/page2.html :)

to4egonemogetbyt

4 года назад

Заходит юзер на gov.ru через бесплатный WiFi в отеле, а там форма входа через Госуслуги и надпись «срочно войдите для просмотра». Треть пользователей введёт.

И все, привет! Пароль у злоумышленников.

Anthon

4 года назад

Сэкономили? Его по любому сделали за пару миллиардов какой-нибудь госзакупкой, где победила ооошка, зареганная за день до закупки с уставным капиталом десять косарей...

darvlastey

4 года назад

Согласен. Автора поста совсем не туда понесло.

Mr.Ecco

4 года назад

1. SSL нужен не только на сайтах, на которые отправляются данные. Без шифрования невозможно убедиться в том, кто действительно прислал ответ. Потому туда можно интегрировать все что угодно (см. beef framework - как это сделать за 15 минут).

2. Скоро без SSL вообще ничего работать не будет. И хотя обсуждения идут довольно давно, тем не менее, рано или поздно это случится. И Гугл, и Яндекс, и вообще все вендоры браузеров настоятельно рекомендуют использовать ssl на сайтах, причем на любых.

3. ISP охуели, они в нешифрованные соединения интегрируют свою рекламу, трекеры и прочий блот.

4. Есть российские доверенные CA. Которые существуют на деньги налогоплательщиков в том числе.

moderator

4 года назад

Давайте добавим в пост? @BigNail,

раскрыть ветку (3)

NiPh

4 года назад

Это объяснение не совсем (а местами совсем не)верное.

SSL можно сделать бесплатно (как например LetsEncrypt сертификат у пикабу), защищать стоит даже переходы внутри сайта.
В #comment_143897397 этой ветке всё корректно расписано.

ещё комментарии

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку