为什么公共服务器通常维护不善,使用过时的软件并且不安全?
对于这种可悲的现象有很多解释,但我们不要谈论它。
自从我第二次重写本文以来 不久前,一些问题已解决,而其余问题在我看来毫无意义。 但是,由于这些更改,这种情况实际上已经恢复到原来的状态。
有一家如此出色的俄罗斯铁路公司。 不久前,
有人提出了关于哈布雷(Habré)的
话题 ,该
话题涉及游security猎鹰的安全性,其结果
可预见 。
相信这是俄罗斯铁路基础设施的唯一问题,这是天真的想法。
但是,我们不是入侵者,
是的,少校同志,我们不是那样的 。 好的,Sapsan,本来以为邪恶的攻击者会买票并开始从内部进行黑客攻击。 因此,我们完全出于学术兴趣,让我们在俄罗斯铁路网站上看看情况如何。 它在前苏联的广阔地区中的重要性和受欢迎程度不仅不容高估。 关于为爱猫买票时如何发现这个问题的故事可能令人心痛,但我希望这次您可以不用撒下含泪的故事而立即陷入残酷的现实。
因此,我们不会在树上铺开斗篷。
有如此美妙而免费的
服务让我们尝试使用它来检查rzd.ru网站上的内容,那里有数百万的人留下他们的个人信息。 大概这里应该没有任何明显的缺陷。很自然地了解到,此服务仅测试站点,在任何情况下都不应将这些数据视为真实,并且至少要进行某种形式的认真审核。
目前的情况 。
撰写本文时的情况
如果有人感兴趣,这是在俄罗斯铁路公司开始更改设置之前结果的样子:
如您所见,结果并不令人满意。
您是否应该使用您的个人数据信任该网站?
我们可以看到使用了SSL V3,该版本已于2015年弃用。
CVE-2014-3566,又名贵宾犬,年度漏洞2014(!!!)
但是支持温暖的IE6,我想这家老派的网站管理员和版式设计师还记得如何轻松而有趣地为其提供支持。
好吧,当然,所有受支持的密码都是脆弱的或脆弱的。
蛋糕上的樱桃是当今唯一不被弃用的加密协议,TLS 1.0支持rzd.ru。 这种情况的亮点是,正如先前在Habré上
所写 ,到2020年,大多数流行的浏览器都计划放弃对其的支持。
友情链接因此,如果2020年俄罗斯铁路公司什么都不做,那么许多用户将拥有与此类似的内容而不是网站
实际上,这是相当不错的,用户发行票证的巨大问题也许会迫使至少要进行一些操作。 而且我认为他们会发现有人对俄罗斯铁路如此卑鄙的转移负责。 攻击者,以及如何处理他们,以及原因。
为什么可能会被黑客入侵? 可能是因为攻击者。 (C)俄罗斯铁路IT主管Evgeny Charkin。