Vladimír Smitka provedl bezpečnostní analýzu 35 tisíc českých e-shopů, ze které vyplývá, že řada z nich má bezpečnostní problémy a nedostatky. „Výsledky nedopadly nejlépe,“ uvádí Smitka na Reshoper Datablogu.
Prvním problémem je HTTPS – zhruba třetina z testovaných e-shopů, což je konkrétně 10 913 z nich, podporu HTTPS nemá. Buď chybí podpora úplně, nebo je certifikát vystavený pro jinou doménu. Problémem je i chybná konfigurace, kdy certifikát není platný pro všechny varianty domény. Pouze 57,3 procenta e-shopů má HTTPS v pořádku.
Podporu protokolu TLS 1.3 má pak 4 155 elektronických obchodů, HTTP/2 pak 13 449 e-shopů s tím, že správně ho používá jen 38 obchodů. Celkem 77 procent e-shopů ignoruje bezpečnostní HTTP hlavičky a jen 12,3 procenta testovaných subjektů používá soubor Security.txt.
Smitka dále otestoval, že jednoduchý XSS útok prolomí 6,5 procenta e-shopů. U 178 e-shopů pak lze volně stáhnout zdrojové kódy včetně hesel. Problémů je ještě více a studii si lze přečíst zde. Technické detaily a použité nástroje jsou pak popsány tady.
