Прошло полгода с момента появления браузерных эксплойтов BEAST (Browser Exploit Against SSL/TLS), однако абсолютное большинство сайтов до сих пор не изменили конфигурацию TLS и SSL, чтобы защитить пользователей от этой угрозы.
Организация Trustworthy Internet Movement для информирования общественности запустила новый проект SSL Pulse, на котором обновляют глобальную статистику по интернету по уязвимости сайтов перед самыми известными типами атак. BEAST занимает среди них первое место.
Всего на SSL Pulse проверили почти 200 тыс. сайтов на предмет конфигурации SSL и анализа безопасности. Пока ситуация не очень приятная: из 198 216 сайтов полностью безопасными можно назвать всего лишь 19 024, то есть 10%.
Около 8% сайтов страдают от проблем с открытым ключом (Certificate Chain), 40% сайтов используют слабые шифры и самое печальное — 75% сайтов до сих пор уязвимы перед атакой типа BEAST из-за неправильной конфигурации и неправильных дефолтных настроек серверов. Многие сайты до сих пор поддерживают старые уязвимые протоколы TLS 1.0 и SSL 3.0 ради обратной совместимости. Многие также не установили в настройках приоритетное использование шифра RC4 для HTTPS-соединений.
