Comments 14
Я писал об этом Росбанку в конце 2012 года, ничего не изменилось.
UFO just landed and posted this here
Думается этот тест там гоняли 1000 раз, но тихо.
Старые браузеры поддерживать приходится многим (и новые далеко не ушли), и это влечет кучу проблем и велосипедов. (тут я вспоминаю два очень подходящих слова — унификация и стандартизация).
Интересно было почитать, не знал про такой онлайн сервис, в базе которого уже миллионы собранных записей.
Старые браузеры поддерживать приходится многим (и новые далеко не ушли), и это влечет кучу проблем и велосипедов. (тут я вспоминаю два очень подходящих слова — унификация и стандартизация).
Интересно было почитать, не знал про такой онлайн сервис, в базе которого уже миллионы собранных записей.
Тинькофф только В, печаль(
А почему у Райффайзена, Сбербанка и Ханты-Мансийского банка (faktura.ru) при одинаковых плюсах и минусах разные итоговые оценки? У Сбера и ХМ — B, а у Райффа только C.
Оценка зависит от множества параметров. Критерии оценки Qualys SSL Labs можно посмотреть здесь:
www.ssllabs.com/downloads/SSL_Server_Rating_Guide.pdf
www.ssllabs.com/downloads/SSL_Server_Rating_Guide.pdf
Во-первых, я нигде не нашел методики исследования ssllabs. В Rating Guide лишь объясняется, как множество критериев сводятся к одной буковке. А как каждая часть исследуется — не описано. Тестирование прогоном через черный ящик — это мило.
Во-вторых, даже по имеющейся информации очевидно, что тест — крайне поверхностный.
«click.alfabank.ru — no secure protocols supported» — что, правда? :))
В тесте на поддержку браузеров делается только одна попытка соединения. В результате, если соединение не устанавливается по первому же выбранному протоколу, делается вывод, что сайт браузером не поддерживается. Угу, угу.
Дальше, допустим, что сайт в ответ на попытку даунгрейда протоколов соединение устанавливает, но выдает пользователю страничку «ваш браузер не поддерживается». С точки зрения поддержки клиента это правильно. А с точки зрения теста это будет фэйл.
В-третьих, реального теста на проникновение тут нет, соответственно, нельзя понять что там у банка с IDS/IPS творится. Вот даже сайт весь такой A+, а тут где-то ходит 0-day, который еще не стал широко известен. И смысл в этой оценке A+?
И т.д., и т.п.
В общем, по-моему, исследование вида «забьем полсотни страничек в форму на ssllabs и посмотрим, что выйдет» с реальной безопасностью общего имеет довольно мало.
Во-вторых, даже по имеющейся информации очевидно, что тест — крайне поверхностный.
«click.alfabank.ru — no secure protocols supported» — что, правда? :))
В тесте на поддержку браузеров делается только одна попытка соединения. В результате, если соединение не устанавливается по первому же выбранному протоколу, делается вывод, что сайт браузером не поддерживается. Угу, угу.
Дальше, допустим, что сайт в ответ на попытку даунгрейда протоколов соединение устанавливает, но выдает пользователю страничку «ваш браузер не поддерживается». С точки зрения поддержки клиента это правильно. А с точки зрения теста это будет фэйл.
В-третьих, реального теста на проникновение тут нет, соответственно, нельзя понять что там у банка с IDS/IPS творится. Вот даже сайт весь такой A+, а тут где-то ходит 0-day, который еще не стал широко известен. И смысл в этой оценке A+?
И т.д., и т.п.
В общем, по-моему, исследование вида «забьем полсотни страничек в форму на ssllabs и посмотрим, что выйдет» с реальной безопасностью общего имеет довольно мало.
1. Наличие непроверенных ресурсов — всего-лишь следствие ограничений средств анализа (инструмент один).
2. Создание рейтинга и любое принятие критериев оценки несет за собой некоторые искажения и обобщения. Оценки Qualys SSL Labs вполне адекватны для получения общей информации. Если они вас не устраивают — не используйте их.
3. Оценки A и B достигаются: устранением известных уязвимостей, отказом от небезопасной криптографии, отказом от SSL в пользу TLS. В выполнении этих мер есть смысл? Если да, то в достижении оценок A и B тоже.
2. Создание рейтинга и любое принятие критериев оценки несет за собой некоторые искажения и обобщения. Оценки Qualys SSL Labs вполне адекватны для получения общей информации. Если они вас не устраивают — не используйте их.
3. Оценки A и B достигаются: устранением известных уязвимостей, отказом от небезопасной криптографии, отказом от SSL в пользу TLS. В выполнении этих мер есть смысл? Если да, то в достижении оценок A и B тоже.
> Оценки Qualys SSL Labs вполне адекватны для получения общей информации.
На какой конкретно фактической базе сделан этот вывод?
> В выполнении этих мер есть смысл? Если да, то в достижении оценок A и B тоже.
Я уже дал вам один прямой пример, почему имеет не всегда. Сайт может принимать подключения по небезопасным протоколам, но перенаправлять такого пользователя на страничку с инструкциями, что ему надо сделать, чтобы подключиться. И это более правильный путь, чем тупо сбрасывать подключения ради того, чтобы в каком-то там формальном тесте получить оценку.
На какой конкретно фактической базе сделан этот вывод?
> В выполнении этих мер есть смысл? Если да, то в достижении оценок A и B тоже.
Я уже дал вам один прямой пример, почему имеет не всегда. Сайт может принимать подключения по небезопасным протоколам, но перенаправлять такого пользователя на страничку с инструкциями, что ему надо сделать, чтобы подключиться. И это более правильный путь, чем тупо сбрасывать подключения ради того, чтобы в каком-то там формальном тесте получить оценку.
Sign up to leave a comment.
Безопасность SSL/TLS российского интернет-банкинга