Většina českých webů má díru umožňující útok a HTTPS ignoruje

22. 1. 2015 | Jindřich Zechmeister

WebTop100 je tradiční soutěž zaměřená na kvalitu a užitnost českých webů. Více než 200 firem soutěží o nejpodařenější webovou prezentaci v oboru na základě hodnocení odborníků. Weby byly otestovány i z pohledu bezpečnosti a odolnosti vůči hackerům; výsledky najdete v dnešním článku.

Kritéria soutěže a bezpečnost webů

Webové prezentace se v soutěži utkávají v kategoriích nejlepší firemní web, nejlepší mobilní web a nejlepší design. Soutěžící se též utkávají v oborových žebříčcích.

Krom kritérií kvality webu je posouzena i jejich bezpečnost, která nás zajímá nejvíce. Dnešní článek vás krátce seznámí se závěry výzkumu, které publikoval pan Michal Špaček, který bezpečnost webů testuje, a hledá možné bezpečnostní díry.

Webové útoky a jejich proveditelnost

Webové prezentace byly otestovány na provedení nejčastějších typů útoků. Níže podle článku cituji statistiku jednotlivých testů a procento webů, které podlehlo.

Útok SQL injection - 7 % webů
Útok Cross-Site Scripting (XSS) Špatně ošetřené nebezpečné znaky - skoro polovina webů
HTTPS - weby se zabezpečeným přihlašováním pomocí HTTPS byste spočítali na prstech jedné ruky
Špatné ukládání hesel - 12 % webů

Celých 91 webů ze 143 hodnocených dostalo nejnižší hodnocení 0 bodů. Obsahovaly závažnou chybu, díky které by bylo jednoduše možné provést úspěšný bezpečnostní útok.

Šifrování komunikace na testovaných webech

Bezpečnost webových aplikací tedy nebyla vůbec dobrá. Nás zajímá zejména bezpečnost dosažená protokolem HTTPS a SSL certifikátem. Výsledky jsou však alarmující, protože tester na webech nenašel téměř žádné certifikáty - provozovatelé vůbec nešifrují, a ignorují je! Dokonce i v přihlašovacích dialozích, kdy může útočník přihlašovací údaje snadno odposlechnout a ukrást.

Čestné výjimky se SSL certifikátem

Pouze několik provozovatelů myslí na bezpečnost osobních dat uživatelů, a nabízí jim zabezpečení SSL certifikátem. Z velkých e-shopů to byl jen Mironet, CZC.cz nabízí zabezpečené přihlášení a chystá se na šifrování celého webu (Always-on SSL). Alza, která by měla jít příkladem, po hříchu HTTPS protokol uživatelům nenabízí ani pro přihlášení.

Seznam.cz na šifrovaný protokol postupně přechází, zatím je EV certifikát od Thawte na hlavním portálu. Google je výrazně napřed přede všemi, protože podporuje pouze šifrované protokoly.

Bezpečnostní doporučení

Autor klade důraz na to, abyste heslo ke své e-mailové schránce nikdy nepoužili pro registraci kamkoliv jinam. S tím nemohu než než souhlasit. Před nákupem je také vhodné zhodnotit přístup webu k bezpečnosti; signálem je například použití SSL certifikátu, nebo posílání přístupových údajů e-mailem.

Obecně není dobrý nápad používat na různých internetových službách stejné heslo; alespoň k e-mailové schránce si zvolte heslo jiné, a silné (kombinace velkých a malých písmen, číslic a znaků jako ? nebo *). Útočník může po získání přístupu k e-mailové schránce získat i ostatní hesla služeb, které jste registrovali s tímto e-mailem.

Zdroje a další informace

Výsledky soutěže najdete na serveru Lupa.cz, analýzu bezpečnosti potom v článku Michala Špačka Nejčastější bezpečnostní chyby na českých webech, vysvětleny „pro lidi".


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz