Defaults.Exposed › Izveštaji
Kuća slavnih pogrešnih podešavanja: Najčudniji bezbednosni rekordi veba (2026)
Objavljeno 2026-06-29
Подаци на дан 2026-06-29 · методологија v7. Агрегирани подаци пописа кроз 261 милиона оцењених домена. Сваки број испод је стваран, понављајући образац — не једнократни случај. Погледајте како оцењујемо.
Већина безбедносних пропуста је досадна: подешавање остављено искљученим. Неколико њих је заиста смешно — дигитални еквивалент предаје зграде са таблом „УНЕСИТЕ ИМЕ ЗАКУПЦА” која је и даље на прозору. Оценили смо 261 милиона домена; ево рекорда због којих смо погледали два пута.
1. Сертификат који нико није преименовао
Када генеришете TLS сертификат са подразумеваним упитима OpenSSL-а и само притиснете ентер, име организације постаје чувар места. Ти чувари места би требало да буду замењени пре пуштања у рад. Нису:
| Име „Издао” на активном сертификату | Сајтови |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
„Internet Widgits Pty Ltd” је дословна подразумевана вредност у примеру конфигурације OpenSSL-а — а 244,468 јавних сајтова сервира сертификат означен њоме. Кроз сва очигледна имена чувара места и подразумевана имена, 685,732 сајтова никада није променило таблу. Сваки од њих је такође самопотписан, па посетиоци добијају упозорење прегледача — они сервирају и чувар места и грешку.
2. DMARC, изгубљен у преводу
DMARC политика ради само ако гласи тачно p=none, p=quarantine или p=reject. 48,648 домена објавило је нешто друго — реч политике погрешно написану или написану на сасвим другом језику (стварни подаци укључују шпанске, француске и португалске верзије речи „none”). Намера је била исправна; тачан правопис није — а DMARC прихвата само енглеску кључну реч, па сви они пружају нулту заштиту. (Потпун, актуелан списак са бројевима: најчешће DMARC грешке у куцању на интернету.)
3. SPF отирач добродошлице
Цео посао SPF-а је да каже који сервери смеју да шаљу пошту у ваше име. 36,014 домена завршава свој запис са +all — што значи тачно супротно: „било који сервер на интернету овлашћен је да шаље у моје име.” То је безбедносни еквивалент лепљења кључа на врата. Још 7,958 тихо квари свој SPF прекорачењем ограничења од 10 DNS претрага, чиме га потпуно поништава. (Више: извештај о погрешној конфигурацији SPF-а.)
4. Часно помињање: самопотписани милиони
Поред смешних имена, 3,378,080 сајтова сервира самопотписан сертификат — онај који су издали сами себи, а који прегледачи одбијају. Обично рутер, тест уређај или интерни алат који је случајно усмерен ка јавном интернету и никада није добио прави сертификат.
Шта смешни случајеви имају заједничко
Свака ставка овде има исти основни узрок као и досадни пропусти: подразумевана вредност остављена нетакнута, прескочен корак, недовршено копирање-лепљење. Веб не отказује драматично — отказује због инерције, по један непреименовани чувар места одједном. Добра страна: сваки од њих је поправка од пет минута.
Често постављана питања
Зашто толико сертификата каже „Internet Widgits Pty Ltd”? То је подразумевано име организације у примеру конфигурације OpenSSL-а. Када неко генерише сертификат и прихвати подразумеване вредности, тај чувар места заврши на активном сертификату. 244,468 јавних сајтова никада га није променило.
Да ли DMARC политика на другом језику ради нешто?
Не. DMARC препознаје само тачне кључне речи none, quarantine и reject. Запис са речју политике погрешно написаном или написаном на другом језику је неважећи и игнорише се — домен остаје подложан лажирању.
Шта ради SPF +all? Овлашћује сваки сервер на интернету да шаље имејл у име вашег домена — горе него да уопште немате SPF. 36,014 домена га има, готово увек грешком.
Да ли су ово ретки гранични случајеви? Не — сваки је стотине хиљада до милиона домена, доследно пронађени кроз попис од 261 милиона домена. То су уобичајене подразумеване вредности, не чудни инциденти.
Проверите да ваш домен не буде у следећем издању
Већина ових су поправке у једном реду. Проверите свој домен приватно и бесплатно — погледајте свој сертификат, DMARC и SPF тачно онако како их интернет види.
Проверите свој домен → · DMARC грешке у куцању → · Извештај о погрешној конфигурацији SPF-а → · Извештај о грешкама сертификата → · Само агрегирани подаци. Подаци се чувају и обрађују у ЕУ.