Defaults.Exposed › Izvještaji
Kuća slavnih pogrešnih konfiguracija: najčudniji sigurnosni rekordi weba (2026.)
Objavljeno 2026-06-29
Podaci na dan 2026-06-29 · metodologija v7. Agregirani podaci popisa kroz 261 milijuna ocijenjenih domena. Svaki broj u nastavku stvaran je, ponavljajući obrazac — ne jednokratni slučaj. Pogledajte kako ocjenjujemo.
Većina sigurnosnih propusta je dosadna: postavka ostavljena isključenom. Nekoliko ih je istinski smiješno — digitalni ekvivalent predaje zgrade s natpisom „UNESITE IME NAJMOPRIMCA” još uvijek u izlogu. Ocijenili smo 261 milijuna domena; evo rekorda zbog kojih smo pogledali dvaput.
1. Certifikat koji nitko nije preimenovao
Kada generirate TLS certifikat sa zadanim upitima OpenSSL-a i samo pritisnete enter, naziv organizacije postaje rezervirano mjesto. Ta rezervirana mjesta trebala bi biti zamijenjena prije puštanja u rad. Nisu:
| Naziv „Izdao” na aktivnom certifikatu | Stranice |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
„Internet Widgits Pty Ltd” doslovna je zadana vrijednost u primjeru konfiguracije OpenSSL-a — a 244,468 javnih stranica poslužuje certifikat označen njome. Kroz sve očite nazive rezerviranih mjesta i zadane nazive, 685,732 stranica nikada nije promijenilo natpis. Svaka od njih također je samopotpisana, pa posjetitelji dobivaju upozorenje preglednika — poslužuju i rezervirano mjesto i pogrešku.
2. DMARC, izgubljen u prijevodu
DMARC pravilnik radi samo ako glasi točno p=none, p=quarantine ili p=reject. 48,648 domena objavilo je nešto drugo — riječ pravilnika pogrešno napisanu ili napisanu na sasvim drugom jeziku (stvarni podaci uključuju španjolske, francuske i portugalske inačice riječi „none”). Namjera je bila ispravna; točan pravopis nije — a DMARC prihvaća samo englesku ključnu riječ, pa svi oni pružaju nultu zaštitu. (Potpun, aktualan popis s brojevima: najčešće DMARC pogreške u tipkanju na internetu.)
3. SPF otirač dobrodošlice
Cijeli posao SPF-a je reći koji poslužitelji smiju slati poštu u vaše ime. 36,014 domena završava svoj zapis s +all — što znači točno suprotno: „bilo koji poslužitelj na internetu ovlašten je slati u moje ime.” To je sigurnosni ekvivalent lijepljenja ključa na vrata. Još 7,958 tiho kvari svoj SPF prekoračenjem ograničenja od 10 DNS pretraživanja, čime ga potpuno poništava. (Više: izvješće o pogrešnoj konfiguraciji SPF-a.)
4. Časno spominjanje: samopotpisani milijuni
Osim smiješnih naziva, 3,378,080 stranica poslužuje samopotpisani certifikat — onaj koji su izdale same sebi, a koji preglednici odbijaju. Obično usmjerivač, testni uređaj ili interni alat koji je slučajno usmjeren prema javnom internetu i nikada nije dobio pravi certifikat.
Što smiješni slučajevi imaju zajedničko
Svaki unos ovdje ima isti temeljni uzrok kao i dosadni propusti: zadana vrijednost ostavljena netaknutom, preskočen korak, nedovršeno kopiranje-lijepljenje. Web ne otkazuje dramatično — otkazuje zbog inercije, jedno nepreimenovano rezervirano mjesto u trenutku. Dobra strana: svaki od ovih je popravak od pet minuta.
Često postavljana pitanja
Zašto toliko certifikata kaže „Internet Widgits Pty Ltd”? To je zadani naziv organizacije u primjeru konfiguracije OpenSSL-a. Kada netko generira certifikat i prihvati zadane vrijednosti, to rezervirano mjesto završi na aktivnom certifikatu. 244,468 javnih stranica nikada ga nije promijenilo.
Čini li DMARC pravilnik na drugom jeziku išta?
Ne. DMARC prepoznaje samo točne ključne riječi none, quarantine i reject. Zapis s riječi pravilnika pogrešno napisanom ili napisanom na drugom jeziku nevažeći je i zanemaruje se — domena ostaje podložna krivotvorenju.
Što radi SPF +all? Ovlašćuje svaki poslužitelj na internetu da šalje e-poštu u ime vaše domene — gore nego da uopće nemate SPF. 36,014 domena ga ima, gotovo uvijek pogreškom.
Jesu li ovo rijetki granični slučajevi? Ne — svaki je stotine tisuća do milijuna domena, dosljedno pronađeni kroz popis od 261 milijuna domena. To su uobičajene zadane vrijednosti, ne čudne nezgode.
Provjerite da vaša domena ne bude u sljedećem izdanju
Većina ovih su popravci u jednom retku. Provjerite svoju domenu privatno i besplatno — pogledajte svoj certifikat, DMARC i SPF točno onako kako ih internet vidi.
Provjerite svoju domenu → · DMARC pogreške u tipkanju → · Izvješće o pogrešnoj konfiguraciji SPF-a → · Izvješće o pogreškama certifikata → · Samo agregirani podaci. Podaci se pohranjuju i obrađuju u EU-u.