ソーシャルネットワークは、政府のサービスポータルよりも安全であることが判明しました

政府サービスのポータルを、HTTPS接続の信頼性とXSSに対する保護のレベルを評価する新しい方法を使用してテストし、ソーシャルネットワーク、銀行、運輸、サービス会社のサイトと比較しました。 結果はある程度予測可能ですが（電子公共サービスのセキュリティではすべてが悪い）、ある意味ではそうではありません（「コントロールグループ」のほとんどのサイトはうまくいっていません）が、すべてを順番に話しましょう。



したがって、プロジェクト「Monitor gossaytov」のために発明された、HTTPS信頼性指数と XSSに対する保護指数の新しい計算方法によって 、3つの州のサービスポータル（全ロシア、 モスクワ、 モスクワ地域）を調査 しました 。 ポータルのメインホストだけでなく、ホストの「プール」全体、つまり市民による電子政府サービスを受ける過程でこれらのポータルがリソースをダウンロードする、発見されたすべての ホスト： www.gosuslugi.ru



、oplata.gosuslugi.ru、lk.gosuslugi.ruなど。比較のために、サイトVkontakte、 Odnoklassniki、 Sberbank Online、Beeline、 Russian Post、 Russian Railways、 Aeroflotの加入者の個人アカウント 、およびYandexサービスの承認ポータル も調べました 。



結果は、レポート「Public Service Portals：ImaginarySecurity」に掲載されました 。、その名前は非常に雄弁です。公共サービスのモスクワ地域ポータルのHTTPS信頼性インデックスは37ポイントで、全ロシアが12ポイント、モスクワが108ポイント中11ポイントでした。



これらのポイントは、Webサイト証明書としてネットワークに公開されたIngress Controllerの自己署名TLS証明書、2021年のSSLサポート、クローズされていないCVE-2014-3566（POODLE）、CVE-2016-2183 / CVE-2016-6329の合計でした。 （SWEET32）、CVE-2016-2107（OpenSSL Padding Oracle）、およびソフトウェアが何年も更新されていないサーバー上のその他の奇跡、および設定は、個人、金融、その他を処理および保存する政府ポータルではなく、ビールテントサイトに適しています数百万人のロシア人の機密情報。2021年に暗号スイートTLS_RSA_WITH_3DES_EDE_CBC_SHAで「保護」しました。誰かが皮肉を捕まえなかった場合、この暗号スイートで使用されるすべてのアルゴリズムは信頼できないか、脆弱です。



比較のために、アエロフロートのウェブサイトのインデックスは60ポイントで、ソーシャルネットワークのVkontakteとOdnoklassnikiはそれぞれ57ポイントと58ポイントでした。 結果が記載された素敵なチャートが添付されています：





はい、あなたの視力はあなたを失敗させません：SberbankOnlineは最悪の評価の1つを持っています。信じられない場合は、チェックして、方法論をよく理解し、 説明を付けて、欠陥を見つけて、鼻を突いてください。感謝し、改訂します。



公共サービスのポータルとXSSセキュリティインデックスでは最良の結果ではありません。全ロシア語で0ポイント、モスクワとモスクワ地域で10ポイントです。これらのポータルにアップロードされたサードパーティのリソースには、マップ、「無料」のライブラリ、フォント、分析システムなどがあり、5000ルーブルの予算を持つ初心者のWeb開発者の標準セットからすべてが停止します。 AdFox広告ネットワークのリソースを訪問者にダウンロードするモスクワポータルだけが、その独創性によって際立っていました。



コントロールグループでは、ソーシャルメディアポータルが再びリードしていますが、その結果は優れているとは言えません。ロシア鉄道のウェブサイトは、全ロシアの国家サービスポータルのように、評価を受けていませんでした。その準備で考慮された基準のいずれも満たしていません。しかし、Odnoklassnikiは、文字通り、より高い「リーグ」からの一歩（というよりはポイント）でした。



再び 図がスライドします：





そしてここでは、なぜ放射ビーバーの企業がインターネット上のすべてのサイトに這い出そうとするのかについての伝統的な議論に加えて、共通善に対する利他的な懸念や、すべてのもの、特に金融の流れを制御したいという利他的な欲求から 、等しく興味深いトピックが発生します。ポータルの状態サービスでのサードパーティコンテンツの存在は、2017年7月26日の連邦法第187-FZ「ロシア連邦の重要な情報インフラストラクチャのセキュリティについて」の要件とどのように組み合わされますか？



ロシア連邦外にある情報システムの使用、許可されていない人が使用するソフトウェアへのリモートアクセスの提供、および「テレメトリ」を含む情報の転送に関するこれらすべての禁止事項は、次の場合にのみ考慮されます。 国家秩序を鋸で挽き、偉大な 中国のロシアのシェバーネットを構築するのか、それとも常に？



もちろん、質問はKhabrovites向けではないので、FSTEKまたはFSBに質問します。忙しくない場合は、「Grasshopper」の代替テーブルで鋼がどのように焼き戻されたかについて、 別の説得力のある説明を考え出し ます。「行く。