[Информационная безопасность] Исследование: российские государственные сайты свободно делятся информацией о посетителях с иностранцами
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Официальные сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями. Об этом говорится в исследовании специалистов Общественного движения «Информация для всех», которые провели мониторинг интернет-ресурсов органов власти федерального уровня. Исследователи составили отчёт «Российские госсайты: посторонним вход разрешен», в котором говорится, что государственные сайты в России беспечно относятся к защите данные и свободно делятся данными о своих посетителях с посторонними. В среднем каждый исследованный сайт загружает ресурсы с четырёх других сайтов. При этом только восемь российских государственных ресурсов не использовал на своих страницах ничего постороннего — а всего в исследовании их участвовало 82. 72 из них принадлежат федеральным органам законодательной, исполнительной и судебной власти, а четыре — государственным органов с особым статусом: Генеральной прокуратуре, Счетной палате, Центральной избирательной комиссии и Центральному банку.Специалисты считали загрузкой ресурсов со сторонних сайтов все загрузки, которые происходят без дополнительных действий со стороны юзера — листания страниц, движения курсора, использования клавиатуры. Так, например, видеоролик на сайте Росаккредитации, интегрированный из YouTube, автоматически тянет с собой ресурсы рекламной сети Doubleclick. По результатам исследования аналитики составили «Индекс XSS-безопасности госсайтов». Он рассчитывался по формуле: 100 — (Гс5 + Дс15), где Гс — количество государственных сайтов, а Дс — количество остальных сайтов, с которых загружаются сторонние ресурсы. Индекс не учитывал отрицательные значения — в таком случае его считали равным нулю. Согласно рейтингу, в число наиболее защищённых государственных сайтов России с индексом 100 вошли ресурсы восьми ведомств Конституционного суда, Министерства науки и высшего образования, Правительства, Президента, Службы внешней разведки, Совета федерации, Федеральной пробирной палаты и Федеральной службы безопасности. В то же время сайты Министерства культуры, Министерства промышленности и торговли, ФАС, Федерального архивного агентства, Министерства природных ресурсов и экологии, Минпросвещения, Федеральной службы по аккредитации, Федерального агентства лесного хозяйства и Федерального агентства по делам СНГ оказались наименее защищёнными — все они получили нулевой индекс. Чаще всего госсайты подгружают ресурсы «Яндекса» — в 55 случаях. На 43 сайтах используется код аналитической системы «Спутник», на 42 — ресурсы Google, на 15 — «Битрикс», на девяти — Mail.ru Group, на семи — Cloudflare. При этом исследователи отметили весьма скромное количество сайтов с виджетами существующих социальных сетей — всего три из них предлагают авторизацию через Facebook и по два — через «ВКонтакте» и Twitter. Зато госресурсы часто используют сервисы Google, причём самые разнообразные — коллекции шрифтов, CAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate и т.д. Код же системы сбора данных о посетителях Google Analytics присутствует на 20 официальных сайтах органов власти, но вместе с кодом других сервисов Google — уже на 42.Похожий мониторинг специалисты МОО «Информация для всех» проводили в 2015 году. Тогда оказалось, что 92% сайтов органов власти федерального уровня включали сторонний код изнеконтролируемых источников, а 64% загружали код из источников, подвластных зарубежным компаниям, чаще всего Google. Исследователи отмечают, что за пять лет ситуация почти не изменилось, лишь уменьшилось разнообразие различных счетчиков: администраторы госсайтов стали реже использовать виджеты соцсетей и информеры, зато им на смену пришли чат-боты, создающие видимость живого диалога специалистов службы поддержки с пользователями сайта.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Как мы внедрили скрытие аккаунтов в Telegram или #ДуровДобавьДвойноеДно
- [Информационная безопасность, Сетевые технологии, Сотовая связь] Как попасть в IPVPN Билайн через IPSec. Часть 2
- [Информационная безопасность, Системное администрирование, Сетевые технологии] 6. Check Point SandBlast Agent Management Platform. FAQ. Бесплатное тестирование
- [Информационная безопасность, Разработка под Linux] Как выбирать программное обеспечение для патчинга ядра Linux в реальном времени (перевод)
- [Информационная безопасность] Сколько стоит коммерческая тайна
- [Информационная безопасность, Реверс-инжиниринг] Руткиты на основе BIOS. Часть 3 (перевод)
- [Информационная безопасность, Серверное администрирование, Облачные сервисы] Zoom так и не понял GDPR (перевод)
- [Системное администрирование, Сетевые технологии, Беспроводные технологии, Сетевое оборудование] Особенности защиты беспроводных и проводных сетей. Часть 2 — Косвенные меры защиты
- [Информационная безопасность] 43 статистических факта про ИБ во время COVID-19 (перевод)
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Облачные сервисы] 5. NGFW для малого бизнеса. Облачное управление SMP
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_rossija (Россия), #_gossajty (госсайты), #_bezopasnost (безопасность), #_xss, #_informatsija_dlja_vseh (Информация для всех), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 11:36
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Официальные сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями. Об этом говорится в исследовании специалистов Общественного движения «Информация для всех», которые провели мониторинг интернет-ресурсов органов власти федерального уровня. Исследователи составили отчёт «Российские госсайты: посторонним вход разрешен», в котором говорится, что государственные сайты в России беспечно относятся к защите данные и свободно делятся данными о своих посетителях с посторонними. В среднем каждый исследованный сайт загружает ресурсы с четырёх других сайтов. При этом только восемь российских государственных ресурсов не использовал на своих страницах ничего постороннего — а всего в исследовании их участвовало 82. 72 из них принадлежат федеральным органам законодательной, исполнительной и судебной власти, а четыре — государственным органов с особым статусом: Генеральной прокуратуре, Счетной палате, Центральной избирательной комиссии и Центральному банку.Специалисты считали загрузкой ресурсов со сторонних сайтов все загрузки, которые происходят без дополнительных действий со стороны юзера — листания страниц, движения курсора, использования клавиатуры. Так, например, видеоролик на сайте Росаккредитации, интегрированный из YouTube, автоматически тянет с собой ресурсы рекламной сети Doubleclick. По результатам исследования аналитики составили «Индекс XSS-безопасности госсайтов». Он рассчитывался по формуле: 100 — (Гс5 + Дс15), где Гс — количество государственных сайтов, а Дс — количество остальных сайтов, с которых загружаются сторонние ресурсы. Индекс не учитывал отрицательные значения — в таком случае его считали равным нулю. Согласно рейтингу, в число наиболее защищённых государственных сайтов России с индексом 100 вошли ресурсы восьми ведомств Конституционного суда, Министерства науки и высшего образования, Правительства, Президента, Службы внешней разведки, Совета федерации, Федеральной пробирной палаты и Федеральной службы безопасности. В то же время сайты Министерства культуры, Министерства промышленности и торговли, ФАС, Федерального архивного агентства, Министерства природных ресурсов и экологии, Минпросвещения, Федеральной службы по аккредитации, Федерального агентства лесного хозяйства и Федерального агентства по делам СНГ оказались наименее защищёнными — все они получили нулевой индекс. Чаще всего госсайты подгружают ресурсы «Яндекса» — в 55 случаях. На 43 сайтах используется код аналитической системы «Спутник», на 42 — ресурсы Google, на 15 — «Битрикс», на девяти — Mail.ru Group, на семи — Cloudflare. При этом исследователи отметили весьма скромное количество сайтов с виджетами существующих социальных сетей — всего три из них предлагают авторизацию через Facebook и по два — через «ВКонтакте» и Twitter. Зато госресурсы часто используют сервисы Google, причём самые разнообразные — коллекции шрифтов, CAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate и т.д. Код же системы сбора данных о посетителях Google Analytics присутствует на 20 официальных сайтах органов власти, но вместе с кодом других сервисов Google — уже на 42.Похожий мониторинг специалисты МОО «Информация для всех» проводили в 2015 году. Тогда оказалось, что 92% сайтов органов власти федерального уровня включали сторонний код изнеконтролируемых источников, а 64% загружали код из источников, подвластных зарубежным компаниям, чаще всего Google. Исследователи отмечают, что за пять лет ситуация почти не изменилось, лишь уменьшилось разнообразие различных счетчиков: администраторы госсайтов стали реже использовать виджеты соцсетей и информеры, зато им на смену пришли чат-боты, создающие видимость живого диалога специалистов службы поддержки с пользователями сайта. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 11:36
Часовой пояс: UTC + 5