Приглашение к обсуждению методики составления индекса HTTPS-защищенности сайтов

Мы выпустили уже несколько обзоров поддержки HTTPS на сайтах российских органов власти и столкнулись с неизбежной необходимостью четче формализовать критерии, по которым она оценивается. Понятно, что если сервер «подтверждает» защищенность соединения чужим TLS-сертификатом, то это «шляпа» и высокого места в «рейтинге» соответствующему сайту не занять. Но дальше возникают менее однозначные вопросы, например: поддержка TLS_RSA_EXPORT_WITH_RC4_40_MD5 – это полная «шляпа» или просто недостаток? А если этот шифронабор из 60-х 90-х первым предлагается клиенту для согласования? А если все остальные не сильно лучше? А что такое «сильно лучше»? Скажем, TLS_PSK_DHE_WITH_AES_128_CCM_8 – лучше или нет? Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
• Три архитектурных решения для multi-tenant B2B SaaS, о которых я пожалел, что не узнал раньше
• Бэкдор вместо тестового
• Ваш Telegram-бот на базе LLM уязвим. Я написал сканер, чтобы доказать это на популярном Open Source проекте
• Цифровой аудит против галлюцинаций по ГОСТу. Как понять, когда ответу ИИ нельзя верить?
• [Перевод] Как ошибка в интернет‑картах превратила жизнь фермы в Канзасе в «цифровой» ад
• А при чём тут законы о ПДн? (или «Как 152-ФЗ зацементировал новую реальность»)
• L×Box: диагностика per-app трафика, посмотрим кто куда ходит
• [Перевод] Как Mozilla нашли 271 уязвимость в Firefox с помощью Claude Mythos
• Как НЕ провалить аудит смарт-контрактов?