При подготовке Методики расчета «Индекса надежности HTTPS» мы перерыли массу тематической литературы и не раз сталкивались с рекомендацией поддерживать на веб-сервере шифронаборы на основе алгоритма шифрования CHACHA20 в целях снижения нагрузки на мобильные клиенты, которые не умеют в аппаратный AES. В этом контексте обычно упоминались процессоры Mediatek и скопом «старые бюджетные мобильные процессоры».

Действительно ли CHACHA20 со своим верным спутником POLY1305 позволяют не слишком греться мобильным клиентам и стоит ли его поддерживать на веб-сервере? Давайте это обсудим!

Тему подсказало обсуждение предыдущего поста, в котором прозвучал голос заботливого администратора веб-сервера: TLS 1.2 и AEAD – выбор здорового человека, но кто пожалеет пользователей «устаревших» браузеров? Давайте это обсудим – мнимую несовместимость «современного» TLS и «устаревших» браузеров.

Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.

В комментариях к предыдущему тексту на тему: как правильно жаловаться на спам в ФАС в связи с нарушением закона «О рекламе», один из комментаторов любезно напомнил о существовании закона «О связи» и обширных возможностях, предоставляемых им в борьбе с этим злом (спойлер: нет).

Что ж, давайте и про этот закон поговорим.

Уже не впервые сталкиваюсь, что читатели Хабра не все поголовно умеют правильно бороться со спамом. И я не про SpamAssasin, «Ктозвонил» и прочие приложения для фильтрации информационного мусора, а про несложную, но весьма доставляющую всем сторонам процесса подачу жалобы в ФАС.

После публикации на Хабре появилась статья с более лучшим раскрытием темы.

Давайте расскажу, как буквально за 15 минут не отрываясь от любимого компьютера подключить спамеру задораздирающий тариф линейки «Административный»: «Административный 100к», «Административный 150к» и вплоть до «Административный 500к» – как повезет.

Вот мы и выпустили сводный доклад по итогам мониторинга сайтов высших органов власти регионов – «Надежность сайтов органов государственной власти субъектов Российской Федерации – 2020». Оценивали их с трех сторон: а) можно ли эти сайты считать официальными с точки зрения закона, б) обеспечивают ли они надежное HTTPS-соединение, и в) что и откуда они загружают, т.е. насколько потенциально уязвимы к XSS и как щедро сливают данные о своих посетителях третьим лицам?

По результатам исследования сайтов федеральных органов власти можно было догадаться, что на региональном уровне все окажется не лучше, но вот как и насколько, мы даже не догадывались.

Закончив перевод Руководства по обеспечению доступности веб-контента (WCAG) 2.1 на русский язык, захотелось поговорить о языкознании, правоприменении, и поднять вынесенный в заголовок вопрос: почему российские сайты могут соответствовать WCAG, разработанным на его основе стандартам по доступности Евросоюза, США и даже Китая, но не национальному стандарту – ГОСТу?

Мы выпустили уже несколько обзоров поддержки HTTPS на сайтах российских органов власти и столкнулись с неизбежной необходимостью четче формализовать критерии, по которым она оценивается. Понятно, что если сервер «подтверждает» защищенность соединения чужим TLS-сертификатом, то это «шляпа» и высокого места в «рейтинге» соответствующему сайту не занять.

Но дальше возникают менее однозначные вопросы, например: поддержка TLS_RSA_EXPORT_WITH_RC4_40_MD5 – это полная «шляпа» или просто недостаток? А если этот шифронабор из 60-х 90-х первым предлагается клиенту для согласования? А если все остальные не сильно лучше? А что такое «сильно лучше»? Скажем, TLS_PSK_DHE_WITH_AES_128_CCM_8 – лучше или нет?

Вот и дошли у нас руки до сайтов региональных органов власти, а то все федералы да федералы – не Москвой единой богата Россия! Кому лень дальше читать мое словоблудие, могут сразу скачать доклад «Сайты органов власти субъектов Российской Федерации: Центральный федеральный округ – 2020», а я пока расскажу об обнаруженных «вкусняшках».

В 2015 году мы задались вопросом: как на сайтах органов власти обстоят дела с загрузкой ресурсов из сторонних источников? А то XSS, утечка данных о посетителях и это все… Оказалось, очень даже обстоят: на 92% госсайтов об этом всем даже не задумывались и грузили все подряд – счетчики, шрифты, библиотеки JavaScript, виджеты, информеры, реклама… только что криптомайнеров не было (но это неточно).

С 2010 года вступил в силу закон «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», которым всем этим органам вменялось в обязанность иметь свой сайт, да не простой, а официальный.

Степень тогдашней готовности чиновников к исполнению закона могу проиллюстрировать таким эпизодом: летом 2009 года довелось выступать перед собранием главных по информатизации из всех муниципалитетов одной далеко не отсталой области, вскользь упомянул надвигающийся закон, и реакция зала была единодушной: какой-какой закон?!

Так вот, с наступлением 2010 года мы решили проверить, кто хотя бы из федеральных чиновников в курсе требований закона, у кого из органов федеральной власти есть официальные сайты? Оказалось, что просто сайты есть у 88 из 89 органов, а вот официальные – лишь у 62.

В 2016 году мы задались вопросом: сколько сайтов федеральных органов власти поддерживают HTTPS? Мы узнали, вы готовы? Фактически – 2 (прописью: два, Карл!) сайта из 85. Формально – 32 поддерживали, т.е. на серверах был включен HTTPS, но дальше все упиралось в традиционное российское разгильдяйство: SSL-сертификат просрочен, самоподписан или вообще от другого сайта, соединение по HTTPS автоматически переключается на HTTP или переадресуется в админку сайта, веб-сервер уязвим к ROBOT, POODLE и прочим излишествам нехорошим, HTTPS-подключение только по SSL и прочий чад кутежа.

Поэтому, даже согласно нашим скромным критериям – действительный SSL-сертификат, поддержка TLS 1.2 и отказ от использования уязвимых или ненадежных криптоалгоритмов типа DH и RC4 – фактически HTTPS поддерживали только 2 сайта (напоминаю, из 85 обследованных).

Сегодня мы снова задались тем же вопросом, хотя и несколько ужесточив критерии, но даже при этом ситуация оказалась существенно лучше: 27 сайтов из 82 могут считаться реально поддерживающими HTTPS и еще 23 – условно поддерживают его. Условно в том смысле, что при определенных условиях, зависящих в большей степени от клиентской стороны: актуальная версия браузера, сконфигурирована по уму, ручками указали HTTPS – соединение защищено, не обеспечили чего-то из перечисленного – depends on.

Комиссия по всемирному культурному наследию назвала первые 18 веб-сайтов, получивших статус Всемирного нематериального достояния. Решение об учреждении этого статуса было принято на XXXI заседании Комиссии еще в 2007 году, и с тех пор эксперты кропотливо отбирали достойные сайты.
В 1972 ЮНЕСКО приняла Конвенцию об охране всемирного культурного и природного наследия. С тех пор статус Объекта всемирного культурного или природного наследия регулярно присуждается природными территориям, рукотворным сооружениям или «смешанным» объектам, нуждающимся в охране со стороны всего человечества. Важность сохранения нематериального наследия была подтверждена в 2003 году принятием Конвенции ЮНЕСКО об охране нематериального культурного наследия.
В списке Всемирного наследия афинский Акрополь, исторический центр Санкт-Петербурга, Московский Кремль, Венеция, Большой барьерный риф, Йеллоустоунский национальный парк, озеро Байкал, Куршская коса и др.; общее количество объектов Всемирного наследия приближается к девятистам. Существует также список Объектов всемирного наследия, находящихся под угрозой уничтожения. Попадание объектов в этот список означает необходимость принятия срочных мер по их сохранению.
Интернет занимает все большее значение в повседневной жизни людей, становясь неотъемлемой частью культуры, – отметил Председатель Комиссии Виджапаранг Сопромат, представляя первые сайты, – К сожалению, интернет-сайтам, составляющим основу этого глобального нематериального достояния, тоже угрожает разрушение.
Так же, как талибы в Афганистане разрушили статуи Будды, хакеры постоянно угрожают нашему нематериальному культурному достоянию в Интернете, – отметил Сопромат, – только в прошлом году была частично повреждена интернет-фонотека Дрезденской филармонии, содержащая множество уникальных записей лучших голосов мира, а также полностью уничтожен сайт самой крупной в России газеты «Московский комсомолец», отражающий историю страны с 1919 года.
Содержание сайтов, получивших статус Всемирного нематериального достояния, будет скопировано на специальные позолоченные DVD-диски, которые примерно в 100 раз долговечнее обычных «болванок», и депонированы в Александрийской библиотеке (Египет).
Первая церемония депонирования пройдет 31 июня 2010 года, когда в фонд библиотеки будут заложены первые 18 комплектов дисков. Копии этих дисков будут также переданы в Библиотеку конгресса США, Европейскую цифровую библиотеку Europeana, Президентскую библиотеку им. Б.Н. Ельцина и другие крупнейшие библиотеки и архивы мира.
Среди сайтов, первыми получивших статус Всемирного нематериального достояния, крупнейшая поисковая система Google, Европейская электронная библиотека Europeana, «народная» интернет-энциклопедия Wikipedia, фото-хостинг Flickr, мировая база кинематографических знаний IMDB и сайт музея Метрополитен.
Отбор сайтов, претендующих на статус Всемирного нематериального достояния, производится экспертами из 12 стран. За регион Восточной Европы, в который входит и Россия, в отборочной комиссии отвечает МОО «Информация для всех».
Россия пока заявила лишь об одном сайте – кандидате на присвоение статуса Всемирного нематериального достояния, – сообщил руководитель Информационно-аналитической службы МОО «Информация для всех» Евгений Альтовский, – им стал «Живой журнал», являющийся, без преувеличения, культовым местом виртуального общения для многих россиян.
К сожалению, при рассмотрении этой кандидатуры встали пока неразрешимые вопросы соблюдения авторских прав. Однако, шансы у «Живого журнала» по-прежнему остаются, так как в настоящее время Комиссия разрабатывает соответствующий регламент.

Роспотребнадзор опубликовал справку по вопросу защиты прав потребителей при дистанционных способах продажи товаров, например, через интернет-магазины.

Вне зависимости от того, есть ли в справке «открытия», она интересна с той точки зрения, что это позиция уполномоченного органа по вопросу о… То есть описание того, как он видит ситуацию. В свете чего можно сделать _предположение_, что если ваше видение не совпадает с описанным, то защиты у Роспотребнадзора лучше не искать ;)

С 2006 года в нашей стране действует Федеральный закон «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд». Прочесть этот закон, как и въехать в его название с первой попытки, – труд не из легких, поэтому сформулирую здесь основную мысль: процесс закупки государством товаров и услуг для своих нужд должен быть открытым, чтобы все потенциально заинтересованные поставщики могли предложить свой товар, а государство – выбрать лучшее предложение с лучшей ценой.

Даже столь значимое для Рунета мероприятие, как Всероссийский интернет-марафон 2010, не может избежать конкурсной участи, если государство решит пролить на его организаторов золотой дождь из бюджетных (то есть, наших с вами) денег.

Государство в лице Роспечати решило, марафон не избежал, конкурс на право его подготовки и проведения был объявлен 11 февраля с датой окончания приема заявок 16 марта. Но уже 17 февраля Роспечать не выдержала напряжения интриги и объявила (текст был удален с сайта Роспечати, но копия сохранилась в архивах поисковиков): марафон при поддержке Роспечати проводится РОЦИТом.

Конкурс на получение господдержки при этом как бы продолжался, что позволяло предположить два сценария развития событий:
— в марте будет официально объявлено, кто выиграл конкурс Роспечати на организацию марафона, организуемого РОЦИТом;
— некто (не РОЦИТ) выиграет конкурс Роспечати, и у нас будет праздник – сразу два Всероссийских интернет-марафона в 2010 году.