Отсутствие шифрования на гос. сайте⁠⁠

Собственно удивило отсутствие SSL-сертификата на сайте госорганов

http://gov.ru/

Кстати даже на сайте Совета Безопасности Российской Федерации нет никакой безопасности))

http://www.scrf.gov.ru/

Да и к тому же, весь сайт написан на иностранных фреймворках

http://www.scrf.gov.ru/static/js/app.js

Из этого следует что весь трафик идет в незашифрованом виде, к тому же еще и метрика от google...
Хотя на сайте думы duma.gov.ru
Стоит метрика от Яндекса, НО, так же стоит счетчик от какого-то сайта https://smi2.net
Раз у них код стоит, значит они не рекламодатели, а продают граждан россии, типа кто, что смотрел на сайте, чтобы показывать им релевантную рекламу, то есть по сути зарабатывают на посетителях) Дума б...ть...

И да, судя по их HTML коду, сайт собирали в каком-то конструкторе, то есть тупо, зажали 5-10 тысяч на отрисовку нормального HTML кода, а собрал сайт чувак, который вообще не в курсе, что такое верстка и просто как в PowerPoint накидал кнопок, менюшек в визуальном редакторе и выкатил сайт

Там даже есть моменты, когда они тупо библиотеки даже не скачали к себе на сервер, если лягет гитхаб, то у них верстка тоже может лечь

И эти специалисты пытаются обезопасить интернет...

На ситуацию обратил внимание знакомый товарищ. Думаю стоит ожидать более развернутую статью на Гитхабе.

Товарищ мой, тег моё.

215

Вы смотрите срез комментариев. Показать все

iffann

4 года назад

Может подскажете зачем на тупой инфо странице хттпс? По идее сертификат нужен при попытке логиниться где-то. Плюс Гугл срется, но ущемляет не с- сайты.

раскрыть ветку (44)

easyme

4 года назад

А это, видимо, услышал звон, не знаю где он. Сайт тупо каталог ссылок на другие органы в разных краях, нет никаких форм для логина или ввода каких-либо персональных данных. Ежу понятно что ssl там как зайцу пятая нога, еще и за деньги.

NiPh

4 года назад

Чтобы все желающие на пути от меня до тупой страницы не собирали данные, какие разделы сайта я читаю.

Saniapa

4 года назад

Например налепить всплывающей рекламы.

раскрыть ветку (4)

iffann

4 года назад

Налепите на Гов.ру?

раскрыть ветку (3)

to4egonemogetbyt

4 года назад

Вы прикалываетесь, или впрямь сообразить не можете?

раскрыть ветку (2)

iffann

4 года назад

Я знаю что надо сделать, чтобы перенаправить трафик или просматривать его. И тем хакерам, которые смогут это сделать, ваше посещение ссылок с гов.ру будет последним в списке интересов.

раскрыть ветку (1)

to4egonemogetbyt

4 года назад

Видимо, все-таки не можете сообразить.

to4egonemogetbyt

4 года назад

Без хттпс есть легкая возможность встраивания вредоносного кода в страницу.

раскрыть ветку (9)

iffann

4 года назад

Встроете на гов.ру? Это же легко по-вашему...

раскрыть ветку (8)

irrationalism

4 года назад

Легко, подключайся к моему бесплатному вайфаю, встрою что угодно.

раскрыть ветку (3)

iffann

4 года назад

Зачем мне твой вайфай. Так устраивай. Это же "легко".

раскрыть ветку (2)

irrationalism

4 года назад

Ты правда не понимаешь? HTTPS - это защита трафика при __передаче__, чтобы какой-нибудь Билайн туда своих баннеров не насовал или какие-нибудь хацкеры своих майнеров.

раскрыть ветку (1)

to4egonemogetbyt

4 года назад

Не советую утруждаться. Народ у нас полуграмотный и храбрый )

to4egonemogetbyt

4 года назад

Предлагаю для начала думать, а потом писать.

Рассказываю утрировано. Шифрование нужно для того чтобы все «посредники» между вашим браузером и сервером gov.ru не могли узнать, что вы получаете и передаёте.

При незашифрованном соединении можно прочитать и подделать как приходящую от вас информацию, так и исходящую от вас. То есть «посредник» может или получить доступ к отправляемой вами информации, или предоставить вам неверную информацию.

Сделать это может как провайдер или сотовый оператор (распространённая практика кстати), так и владелец точки доступа, через которую вы вышли в интернет.

Отрицать возможность подобных манипуляций - значит отрицать необходимость в шифровании в принципе.

Пример атаки: встройка замаскированной под госуслуги формы авторизации, и ловля паролей.

Советую подумать над этим.

раскрыть ветку (3)

iffann

4 года назад

Что я отправлю на гов.ру критичного? Нет хттп интернет-приемной. Так сразу перейду на хттпс. Это можно и без перехвата трафика узнать. 🤣

раскрыть ветку (2)

to4egonemogetbyt

4 года назад

Вы или читать не умеете, или понять даже не пытаетесь.
Я вам пример атаки привёл: через встроенную вредоносную форму на gov.ru пользователь может отправить злоумышленникам свой пароль от госуслуг например.

раскрыть ветку (1)

iffann

4 года назад

Кто встроит вредоносную форму на сайт? Это не так просто сделать. Встроите?

BigNail

4 года назад

Так поддомен генпрокуратуры тоже без ssl. При этом имеет форму для обращения граждан. Отправляемые файлы и заявления могут быть перехвачены. Собственно все поддомены этого сайта не имеют шифрования

раскрыть ветку (8)

iffann

4 года назад

Если ты с сайта генпрокуратуры РФ лезешь в интернет-приемную, то попадаешь в хттпс. Сертификат конечно летсэнкриптовский, но хоть что-то. 😂

Так что опять промазал.

И да, есть зеркало генпрокуратуры с хттпс.

Green.Hamster

4 года назад

Есть госуслуги, и не просто с хттпс а с ГОСТовой эп для логина, которые могут выпускать только "православные" УЦ с аккредитацией минкомсвязи. Ты бы реально разобрался в вопросе сначала, потом уж писал. А так на корявый хайпожор похоже. Типо все говно, не знаю почему, но говно.

DELETED

4 года назад

Форма у совбеза на стороннем сайте, там есть ссл. Вот апи у них без SSL, но там открытые вроде данные...хотя есть токен, спрашивается тогда зачем

7950

4 года назад

Скажи честно, ты не заходил на страницы генпрокуратуры, где передаются данные, требующие защиты и там как раз присутствует шифрование. И ты после этого сетуешь, мол эти чиновники безопасностью интернета занимаются, хотя сам невнимателен и скорей всего имеешь поверхностные знания в ИТ.

раскрыть ветку (1)

iffann

4 года назад