Плагин Netcraft маркирует сайты зараженные Heartbleed

Британская компания Netcraft, предоставляющая услуги тестирования безопасности, анализа веб-серверов и веб-хостингов, выпустила плагин, предупреждающий пользователя о переходе на веб-сайт, где не закрыта уязвимость Heartbleed (найденная в некоторых версиях OpenSSL). Бесплатное расширение можно установить в браузерах Chrome, Firefox и Opera.

По оценке Netcraft, на сегодняшний день около 17% всех доверенных SSL (Secure Socket Layer) Web-серверов остаются уязвимыми для атак с использованием Heartbleed. Напомним, OpenSSL — open-source реализация протоколов SSL и TLS (Transport Layer Security), используемых для шифрования таких важных данных (например паролей) при передаче в публичных сетях. Heartbleed обнаружена только в некоторых версиях OpenSSL, но именно они чаще всего развертываются с открытыми веб-серверами Apache и Nginx, которые вместе составляют около 66% всех серверов интернета. Патч для уязвимости уже выпущен, но поставлен он, конечно, не везде. Кроме того, даже если патч установлен, хакеры могли ранее с помощью Heartbleed похитить приватный ключ сайта, что означает возможность кражи данных путем атак типа «человек посередине» (man-in-the-middle, MITM).

Новый инструмент Netcraft проверяет, может ли посещаемый сайт иметь уязвимость Heartbleed, и если да — установлен ли патч.