Зачем нам нужна информация о прозрачности технологий для веб-сайтов

Уже более десяти лет у нас появилась технология шифрования на уровне защищенных сокетов (SSL) для обеспечения безопасности транзакций в Интернете. За очень немногими исключениями, в том числе угрозой клонирования сертификатов пару лет назад, он работал очень хорошо и позволил миллионам людей в сети совершать триллионы онлайн-покупок и финансовых транзакций.

Однако на прошлой неделе тысячи веб-сайтов, работающих под управлением Microsoft SQL Server 2003 и 2005, были атакованы киберпреступниками с целью обойти их безопасность. Атака внедрила код на серверы, что означало, что каждый посетитель после этого будет встречен сообщением о том, что их компьютер был заражен сотнями вирусов.

Это, конечно, неправда, это был способ обманом заставить людей заплатить за загружаемый троян, который чистый проблема с вирусом, но действительно установит на ваш компьютер бот-сети, кейлоггеры и многое другое. Что еще хуже, при оплате этого программного обеспечения преступники получат данные вашей кредитной карты … или даже больше!

Согласно некоторым сообщениям, эта атака могла скомпрометировать 28000 веб-сайтов, и это пугающая новость, особенно для всех тех из нас, чьи личные данные принадлежат веб-компаниям A, B и C.

Это возвращает меня к SSL. Если мы хотим делать покупки в Интернете, то уже более десяти лет наши веб-браузеры могут предупреждать нас о том, зашифрована ли информация, которую мы отправляем, и считается ли этот веб-сайт безопасным для финансовых транзакций или для обмена личными данными.

Кроме того, у нас есть компании, в том числе Microsoft и Google, которые ведут черные списки небезопасных веб-сайтов, которыми они совместно пользуются и антивирусными компаниями, чтобы еще больше предупреждать нас о веб-сайтах, зараженных вредоносным ПО, переводя наши браузеры в красный цвет.

Чего у нас нет, так это предупреждений о том, насколько безопасна базовая технология на веб-сайте и можем ли мы доверять что.

Нет никаких причин, по которым это было бы трудно сделать, зашифрованный файл, расположенный на сервере (возможно, с сертификатом SSL), который может быть прочитан браузером и сертифицирован сторонней организацией, — это все, что может потребоваться, в конце концов это испытанная технология. Этот файл будет содержать информацию о хостинге на этом компьютере, версии какой операционной системы и версиях других технологий, которые он использует.

В описанных выше случаях система, подобная этой, предупреждала бы посетителей веб-сайтов о том, что сайты, которые они посещают и которым доверяют свою личную информацию, используют старые технологии, которые даже при правильном исправлении могут быть уязвимы для атак.

Действительно, многие люди, которые уже знают о таких вещах, могут отказаться от всех серверов, работающих под управлением Windows, в пользу серверов, работающих под управлением Linux и MySql.

Меня действительно удивляет, что у нас еще нет такой системы, но я еще больше ошеломлен тем, что так много компаний и хостинговых компаний используют на своих веб-сайтах технологии, которым уже почти десять лет. Так что давай, люди, согласитесь со стандартом, по которому, с небольшой погрешностью, мы сможем увидеть, насколько безопасна наша личная информация на веб-сайте, прежде чем мы ее передадим.