Defaults.Exposed

Defaults.Exposed › Αναφορές

Το Πάνθεον των εσφαλμένων ρυθμίσεων: Τα πιο παράξενα ρεκόρ ασφάλειας του Ιστού (2026)

Δημοσιεύτηκε 2026-06-29

Στοιχεία έως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής σε 261 εκατομμύρια βαθμολογημένους τομείς. Κάθε αριθμός παρακάτω είναι ένα πραγματικό, επαναλαμβανόμενο μοτίβο — όχι μεμονωμένη περίπτωση. Δείτε πώς βαθμολογούμε.

Οι περισσότερες αποτυχίες ασφαλείας είναι βαρετές: μια ρύθμιση που έμεινε ανενεργή. Λίγες είναι πραγματικά αστείες — το ψηφιακό ισοδύναμο του να παραδίδεις το κτίριο με την πινακίδα «ΕΙΣΑΓΕΤΕ ΟΝΟΜΑ ΕΝΟΙΚΟΥ» ακόμη στο παράθυρο. Βαθμολογήσαμε 261 εκατομμύρια τομείς· εδώ είναι τα ρεκόρ που μας έκαναν να κοιτάξουμε δύο φορές.

1. Το πιστοποιητικό που κανείς δεν μετονόμασε

Όταν δημιουργείτε ένα πιστοποιητικό TLS με τις προεπιλεγμένες ερωτήσεις του OpenSSL και απλώς πατάτε enter, το όνομα του οργανισμού γίνεται ένα σύμβολο κράτησης θέσης. Αυτά τα σύμβολα υποτίθεται ότι αντικαθίστανται πριν την έναρξη λειτουργίας. Δεν αντικαταστάθηκαν:

Όνομα «Εκδόθηκε από» στο ενεργό πιστοποιητικόΙστότοποι
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» είναι η κυριολεκτική προεπιλογή στο παράδειγμα διαμόρφωσης του OpenSSL — και 244,468 δημόσιοι ιστότοποι σερβίρουν ένα πιστοποιητικό σφραγισμένο με αυτό. Σε όλα τα προφανή σύμβολα κράτησης θέσης και τα προεπιλεγμένα ονόματα, 685,732 ιστότοποι δεν άλλαξαν ποτέ την πινακίδα. Καθένας από αυτούς είναι επίσης αυτο-υπογεγραμμένος, οπότε οι επισκέπτες λαμβάνουν προειδοποίηση του προγράμματος περιήγησης — σερβίρουν το σύμβολο κράτησης θέσης και το σφάλμα.

2. DMARC, χαμένο στη μετάφραση

Μια πολιτική DMARC λειτουργεί μόνο αν διαβάζεται ακριβώς p=none, p=quarantine ή p=reject. 48,648 τομείς δημοσίευσαν κάτι άλλο — τη λέξη της πολιτικής γραμμένη λάθος ή σε εντελώς άλλη γλώσσα (τα πραγματικά δεδομένα περιλαμβάνουν ισπανικές, γαλλικές και πορτογαλικές αποδόσεις του «none»). Η πρόθεση ήταν σωστή· η ακριβής ορθογραφία όχι — και το DMARC δέχεται μόνο την αγγλική λέξη-κλειδί, οπότε όλα παρέχουν μηδενική προστασία. (Πλήρης, τρέχουσα λίστα με αριθμούς: τα πιο συνηθισμένα ορθογραφικά λάθη DMARC του διαδικτύου.)

3. Το χαλάκι υποδοχής του SPF

Όλη η δουλειά του SPF είναι να λέει ποιοι διακομιστές μπορούν να στέλνουν email εκ μέρους σας. 36,014 τομείς τελειώνουν την εγγραφή τους με +all — που σημαίνει ακριβώς το αντίθετο: «οποιοσδήποτε διακομιστής στο διαδίκτυο είναι εξουσιοδοτημένος να στέλνει εκ μέρους μου.» Είναι το αντίστοιχο ασφαλείας του να κολλάς το κλειδί σου στην πόρτα. Άλλοι 7,958 χαλούν σιωπηλά το SPF τους υπερβαίνοντας το όριο των 10 αναζητήσεων DNS, ακυρώνοντάς το εντελώς. (Περισσότερα: η αναφορά εσφαλμένης διαμόρφωσης SPF.)

4. Εύφημη μνεία: τα αυτο-υπογεγραμμένα εκατομμύρια

Πέρα από τα αστεία ονόματα, 3,378,080 ιστότοποι σερβίρουν ένα αυτο-υπογεγραμμένο πιστοποιητικό — ένα που εξέδωσαν στον εαυτό τους, το οποίο τα προγράμματα περιήγησης απορρίπτουν. Συνήθως ένας δρομολογητής, ένα μηχάνημα δοκιμών ή ένα εσωτερικό εργαλείο που κατά λάθος στράφηκε προς το δημόσιο διαδίκτυο και δεν απέκτησε ποτέ πραγματικό πιστοποιητικό.

Τι έχουν κοινό τα αστεία

Κάθε καταχώρηση εδώ έχει την ίδια βασική αιτία με τις βαρετές αποτυχίες: μια προεπιλογή που έμεινε ανέγγιχτη, ένα βήμα που παραλείφθηκε, μια αντιγραφή-επικόλληση που δεν ολοκληρώθηκε. Ο ιστός δεν αποτυγχάνει δραματικά — αποτυγχάνει από αδράνεια, ένα μη μετονομασμένο σύμβολο κράτησης θέσης κάθε φορά. Το θετικό: καθένα από αυτά είναι μια διόρθωση πέντε λεπτών.

Συχνές ερωτήσεις

Γιατί τόσα πολλά πιστοποιητικά λένε «Internet Widgits Pty Ltd»; Είναι το προεπιλεγμένο όνομα οργανισμού στο παράδειγμα διαμόρφωσης του OpenSSL. Όταν κάποιος δημιουργεί ένα πιστοποιητικό και αποδέχεται τις προεπιλογές, αυτό το σύμβολο κράτησης θέσης καταλήγει στο ενεργό πιστοποιητικό. 244,468 δημόσιοι ιστότοποι δεν το άλλαξαν ποτέ.

Κάνει κάτι μια πολιτική DMARC σε άλλη γλώσσα; Όχι. Το DMARC αναγνωρίζει μόνο τις ακριβείς λέξεις-κλειδιά none, quarantine και reject. Μια εγγραφή με τη λέξη της πολιτικής γραμμένη λάθος ή σε άλλη γλώσσα είναι άκυρη και αγνοείται — ο τομέας παραμένει ευάλωτος σε πλαστογράφηση.

Τι κάνει το SPF +all; Εξουσιοδοτεί κάθε διακομιστή στο διαδίκτυο να στέλνει email εκ μέρους του τομέα σας — χειρότερο από το να μην έχετε καθόλου SPF. 36,014 τομείς το έχουν, σχεδόν πάντα κατά λάθος.

Είναι αυτές σπάνιες ακραίες περιπτώσεις; Όχι — καθεμία αφορά εκατοντάδες χιλιάδες έως εκατομμύρια τομείς, που εντοπίζονται με συνέπεια σε μια απογραφή 261 εκατομμυρίων τομέων. Είναι συνηθισμένες προεπιλογές, όχι παράξενα ατυχήματα.

Ελέγξτε ώστε ο τομέας σας να μην βρεθεί στην επόμενη έκδοση

Οι περισσότερες από αυτές είναι διορθώσεις μίας γραμμής. Ελέγξτε τον τομέα σας ιδιωτικά και δωρεάν — δείτε το πιστοποιητικό, το DMARC και το SPF σας ακριβώς όπως τα βλέπει το διαδίκτυο.

Ελέγξτε τον τομέα σας → · Ορθογραφικά λάθη DMARC → · Αναφορά εσφαλμένης διαμόρφωσης SPF → · Η αναφορά σφαλμάτων πιστοποιητικού → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.