В рамках проекта «Монитор госсайтов» мы регулярно сталкиваемся с недостаточно защищенными и даже откровенно «дырявыми» веб-серверами, причем сообщения о найденных проблемах и уязвимостях их администраторы зачастую игнорируют. Поскольку на этих серверах размещены государственные сайты, просто отказаться от их посещения не получится. Что посетитель таких сайтов может противопоставить безалаберности их администраторов на стороне клиента?

Закон о рекламе запрещает распространение рекламы по сетям электросвязи без предварительного согласия абонента или адресата на получение оной (п.1 ст.18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе»), иначе придет Федеральная антимонопольная служба (ФАС) и впаяет штраф от 100 до 500 тысяч вечнодеревянных (ст.14.3 КоАП РФ). Или не придет, смотря с какой ноги встанет…

«Классической» Perfect Forward Secrecy в современном TLS не существует, как не существует необходимости в ней… если только вы сами не создадите ее.

Как мы пытаемся принять участие в законотворческом процессе, как эти попытки разбиваются о чиновников Минцифры, и почему даже благие начинания властей превращаются в профанацию.

Конец XIV века, неизвестный автор: Комиссия ФАС изучает отмазки спамера.

Я радуюсь, получая спам – ведь у меня появляется новая возможность пополнить бюджет любимой страны (откуда берутся деньги на пенсии старикам, больницы, школы, домики для уточек и вот это вот все). Каждое полученное от спамеров сообщение я аккуратно пересылаю в ФАС, давая ей возможность пополнить бюджет на лишние 100-500 тысяч рублей, а потом наслаждаюсь материалами «расследований», проливающих свет на грязную подноготную «солидного бизнеса» и его подельников. Вранье, подтасовка документов и далее со всеми остановками – наслаждайтесь!

HTTP Strict Transport Security (HSTS, хотя согласно RFC – просто STS) – заголовок столь же «раскрученный», сколь и переоцененный. Этот заголовок говорит агенту пользователя, что к отправившему его сайту следует обращаться только на «Вы» и шепотом по защищенному HTTP – HTTPS. Говорит уже после того, как к сайту обратились, причем именно по HTTPS.

Если же агент зашел на сайт по HTTP, то цитирую RFC: UA must ignore any present STS header field(s). То есть, если агент получил ответ от сайта по HTTP, он должен проигнорировать заголовок HSTS и продолжать общаться по незащищенному протоколу (если его принудительно не переключат на защищенный, но тогда какой смысл посылать заголовок?)

Сколько региональных правительств и парламентов до сих пор не имеют официальных сайтов, насколько надежно защищено их соединение с посетителями, как щедро данные об этих посетителях раздаются посторонним, и что изменилось в этой области за последний год – предмет доклада «Информационная безопасность сайтов государственных органов субъектов Российской Федерации – 2021», выпущенного в рамках нашего проекта «Монитор госсайтов».

Расширение TLS (TLS extension) – это расширение спецификации протокола, устраняющее обнаруженные недоработки или добавляющее функционал, не предусмотренный при утверждении оригинальной спецификации. Судя по результатам исследований в рамках проекта «Монитор госсайтов», администраторы веб-серверов часто не знают о расширениях TLS, довольствуясь конфигурацией по умолчанию (к тому же устаревшей версии веб-сервера). Почему расширения TLS важны и чем чревато игнорирование наиболее важных из них?

После публикации двухтомника (тыц и тыдыц) о простом и питательном способе выставить назойливых спамеров на 100+ килорублей штрафа, в редакцию пришло множество вопросов и комментариев, результатом чего стал выпуск брошюры «Борьба со спамерами правовыми средствами. Руководство по дезинсекции», которую я и представляю вашему вниманию.

Я мог бы и прощелкать это эпохальное событие, но Минцифра раскудахталась: пятое место, пятое место, поднялись сразу на 21 позицию за год, одна строчка с ОАЭ и Малайзией! Стало интересно, тем более что сам недавно составлял похожий индекс и пятым местом России там если и пахнет, то скорее с конца.

Посмотрел я этот «международный индекс кибербезопасности» и появились некоторые соображения, чем объясняется небывалый успех родины.

Законодательство требует от сайтов ФОИВ обеспечивать шифрование и защиту передаваемой информации. Как строители «устойчивого Рунета» справились с защитой собственных сайтов и соблюдением соответствующих требований НПА?

С 2010 года закон обязывает все государственные органы иметь официальный сайт, но до некоторых это требование не доходит вот уже 11 лет. Как мы пытались нести свет знаний отстающим, как звали на помощь в правовом просвещении органы прокуратуры, и как вместо этого они расписались в некомпетентности.

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.

Что мы предлагали сделать с государственным сайтами еще 10 лет назад, как Правительство дозрело до понимания проблемы, и что может из этого выйти, если законопроект Минцифры примут в существующем виде.

По случаю праздника весны и труда ТАСС уполномочен заявить сообщает новости из прошлого: МВД изобретет велосипед заплатит за клон Truecaller почти 45 млн. наших рублей.

В прошлом году «Билайн» стал требовать для входа в «Личный кабинет» абонента принять «оферту» и согласиться получать рекламу спам от полосатых и его «партнеров», а в случае несогласия – отправляться в «Мегафон» или МТС на ближайший хутор ловить бабочек.

Идея сафари на чешуекрылых показалась мне настолько оригинальной, что я пригласил присоединиться к приключениям Роснепотребнадзор, ФАС и Роскомнадзор, предложив по дороге обсудить: не слишком ли много ухи съели пчеловоды, требуя от абонентов согласия на спам? Две первые инстанции посчитали, что не слишком: вы же не приняли оферту, дорогой абонент, значит ваши права не были нарушены, играйте в юного энтомолога без нас. А надзор, профилактика, предупреждение – оставьте тем, кто верит в Деда Мороза.

Зато Роскомнадзор заинтересовался новым видом активного отдыха, запросил у туроператора «Билайна» проспекты, составил на него административный протокол за то, что не сразу выслали, а затем направил требование о приведении своей деятельности в соответствии с действующим законодательством. Самого текста не видел, но предполагаю, что требовалось не орфографические ошибки в «оферте» исправить.

За неделю Роскомнадзор дважды составил административные протоколы на Департамент информационных технологий Москвы: за незаконную обработку ПД и наглое вранье надзорному органу.


Во время пика прошлогоднего коронабесия, когда власти вводили пропуска, комендантский час, патрули с собаками чумными докторами и это все, я развлекал себя, измываясь над московской системой оформления электронного «пропуска на передвижение», который якобы требовался для обуздания пандемии.

Гипотеза состояла в том, что вся эта система – сплошная профанация и нужна лишь для распила бюджета и построения «цифрового профиля» москвичей, а любой гражданин, располагая толикой изворотливости и информацией из открытых источников, может ее легко обойти. Проверка носила бескорыстный характер, так что я был целиком в белом жабо white hat.

При подготовке Методики расчета «Индекса надежности HTTPS» мы перерыли массу тематической литературы и не раз сталкивались с рекомендацией поддерживать на веб-сервере шифронаборы на основе алгоритма шифрования CHACHA20 в целях снижения нагрузки на мобильные клиенты, которые не умеют в аппаратный AES. В этом контексте обычно упоминались процессоры Mediatek и скопом «старые бюджетные мобильные процессоры».

Действительно ли CHACHA20 со своим верным спутником POLY1305 позволяют не слишком греться мобильным клиентам и стоит ли его поддерживать на веб-сервере? Давайте это обсудим!

Тему подсказало обсуждение предыдущего поста, в котором прозвучал голос заботливого администратора веб-сервера: TLS 1.2 и AEAD – выбор здорового человека, но кто пожалеет пользователей «устаревших» браузеров? Давайте это обсудим – мнимую несовместимость «современного» TLS и «устаревших» браузеров.

Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.