Привет Хабр! Мы опубликовали очередной выпуск ежегодного доклада о защищенности сайтов региональных органов власти. Из доклада вы узнаете, какие власти каких субъектов
Итак, парламент ДНР и правительство ЛНР не имеют официальных сайтов, а правительство ДНР буквально во время проведения исследования утратило контроль над доменным именем для своего сайта и перенесло его на новый. Происков недружественных сил мы в этом не заметили, скорее обычное разгильдяйство (это и есть русский мир).
Парламенты Запорожской и Херсонской областей до сих пор не обзавелись сайтом вообще, что объяснимо – есть более насущные хлопоты, хотя в России это и незаконно. Впрочем, правительственный законопроект об ограничении доступа к информации о деятельности органов власти на территориях, где введено военное положение, узаконит и эту «сайтонедостаточность».
Дело в том, что госорганы обязаны публиковать информацию о месте своего нахождения, времени работы, проводимых мероприятиях (и иметь официальный сайт), а кругом террористы, экстремисты, диверсанты, иноагенты,
Сайт воронежской думы недоступен третий год подряд. Коллеги из Воронежа утверждают, что у них доступен, а космополитичный Ping-Admin – что нет и ниоткуда, и я не знаю, кому верить, кроме своих глаз, выдаче ping и tracert (они в один голос твердят, что недоступен).
7% исследованных сайтов не поддерживают защищенное соединение со своими посетителями, а 59% скорее имитируют наличие защиты, чем обеспечивают ее. В то же время, средний градус по региональной больнице, согласно нашей методике, вырос за год сразу на 10 пунктов, что а) неплохо, учитывая что максимально можно набрать 107 баллов, б) заметно выше температуры в федеральной больнице, в) впервые выше уровня, который мы считаем хотя бы формальной поддержкой защищенного соединения. 7 сайтов набрали 80 и больше баллов, тогда как всё, за что даются баллы сверх 80, уже из серии «валенки есть?»
При подготовке этого доклада мы впервые зафиксировали использование госсайтами недружественной технологии Encrypted Client Hello (ECH). Возможно, мы зафиксировали бы его и раньше, если бы и раньше попросили комрада Xokare сваять для нас скрипт, автоматизирующий часть рутины, в результате которого были обнаружены две вещи: первая – госсайты, использующие ECH, вторая – ошибка в нашей методике, не позволявшая обнаружить их раньше ;-)
Большинство обнаруженных сайтов используют ECH лишь потому, что прячутся от DDoS за Cloudflare, но есть и исключение (домашнее задание для пытливых умов: найдите его). Как раз для таких передовиков инфобеза РКН выпустил предостережение: кругом враги,
99% сайтов автоматически загружают сторонний код, 26% – контролируемый резидентами «недружественных» стран. Недружественное средство сбора информации о посетителях сайтов Google Analytics к этому году было практически истреблено на госсайтах и импортозаместилось «Яндекс.Метрикой», так что поводов для радости чуть более, чем никаких, тем более, что про CSP (Content Security Policy) в госсекторе почти никто не слышал и мусор от того же Google и других охочих до чужих данных компаний продолжает загружаться на госсайты, просто не напрямую.
Вот, например, переходит госсайт с неблагонадежного YouTube на православный RuTube, вставляет оттуда код роликов в свою ленту новостей, а православный код в свою очередь тянет за собой код Google, рекламу Getintent и вездессущего «Яндекса». Импортозамещение по-русски. Впрочем, отдадим должное и охотникам за чужими данными: их в дверь – они в окно.
Следующий доклад (по сайтам федеральных госорганов) выйдет в мае 2025. Посмотрим, чем они ответят…
Комментарии (13)
LavaLava
10.11.2024 22:12Учитывая множество успешных терактов в отношении представителей госорганов новых территорий, вам не кажется что про крокодилов и кашалотов это ирония на грани
статьи и срокадобра и зла? Ну и чисто по человечески это действительно так забавно?
ifap Автор
10.11.2024 22:12Мне кажется, что исполнители терактов брали адресную информаци уж точно не на официальных сайтах госорганов. Так что ирония тут не в адрес пострадавших, а тех, кто пытается убедить общество, что все зло от чрезмерной открытости госорганов.
David_Osipov
10.11.2024 22:12В методичку можно ещё добавить такие штуки, о которых я когда-то давно писал, будучи продактом в одной B2B компании, хотя я не думаю, что у гос. сайтов когда-нибудь дойдут до таких высот руки:
1. Комбо ограничительных COEP + COOP = Среда с изоляцией между источниками: использование этих заголовков в ограничительном режиме создает изолированное пространство для веб-страницы, снижая риски атак побочного канала, таких как Spectre. В этом режиме COEP можно установить в значение «credentialless», что позволяет обойти проблемы с авторизацией при взаимодействии с другими источниками, сохраняя при этом высокий уровень безопасности и изоляции - правда это доступно было только в Сhrome.
2. Permissions-Policy — этот заголовок позволяет веб-сайтам задать политику для разрешений, которые они запрашивают у пользователей. С его помощью сайты могут информировать браузер о том, какие функции, такие как геолокация или доступ к камере, необходимы для полноценной работы ресурса. Устанавливая этот заголовок, владельцы сайтов могут предотвращать случайное предоставление лишних разрешений пользователями.
3. Trusted Types API в рамках Content-Security-Policy (CSP) — для меня это как дополнение к CSP для Chrome и браузеров на основе Chromium. Этот заголовок — новая мера безопасности, разработанная для предотвращения атак межсайтового скриптинга в Document Object Model (DOM XSS). Он позволяет сайтам задать политику для типов значений, которые можно использовать в определенных API, например, при создании DOM-элементов или выполнении JavaScript-кода.ifap Автор
10.11.2024 22:12Вы правы, на пп.2 и 3 не стандартизированы и их нельзя включить в методику, а по п.1 надо очень глубоко копать, чтобы был объективный результат. Не имея доступа к кишкам сайта этого сделать не получится: сегодня там одно грузится, завтра другое. И получаем в итоге необъективную картину, если смотреть снаружи.
pae174
10.11.2024 22:12Где вы берете список *.gov.ru ? Я не шпион, мне просто интересно.
Я всякие там рушки и сушки забираю с nic.ru ( https://www.nic.ru/help/poluchenie-spiskov-domennyh-imen_3626.html ), но там у них нет gov.ru (ну или я чего-то недопонял). Я нашел какой-то список на гитхабе, но он явно собран вручную каким-то энтузиастом, так что скорее всего список неполный.
ifap Автор
10.11.2024 22:12ГуглениемЯндексением. Официального и полного списка, насколько я знаю, не существует.pae174
10.11.2024 22:12Если у вас список собран гуглением и потенциально возможно он неполный, то у вас и все последующие "проценты сайтов" посчитаны ну как бы "неполно", без учета тех сайтов, которые не были найдены гуглением.
ifap Автор
10.11.2024 22:12Мы исследуем не все сайты в *.gov.ru а сайты определенных госорганов. Количество и название госорганов известны, сайт по названию находится, если он существует.
PereslavlFoto
Не могли бы вы заодно проверять, какие из сайтов государственной власти перешли на свободную лицензию и, стало быть, позволяют налогоплательщикам использовать оплаченный государственный контент в своём бизнесе?
Спасибо!
ifap Автор
Это совсем не заодно, а большой объем работы, который никак не автоматизировать. Но ч.6 ст.1259 ГК РФ намекает, что официальные документы госорганов не являются объектами авторских прав.
PereslavlFoto
Признак там простой. В подвале сайта (или на странице условий использования) должна быть указана лицензия.
На сайтах органов власти находятся не только официальные документы, но и — биографические справки, макеты изданий, новостные заметки, планы, рисунки, статьи, схемы, фотографии, чертежи.
Например, на сайте правительства Москвы размещены журналы, которые это правительство издавало.
ifap Автор
Тут надо смотреть судебную практику, что признавалось этими документами и приравнено ли к ним понятие "официальной информации".
PereslavlFoto
Конечно, репортажные статьи и фотографии о жизни региона не могут быть официальными документами. У них нет ни номера, ни печати, ни подписи должностного лица.