Настройка CSP - Content Security Policy

L
На сайте с 07.12.2007
Offline
351
#51
ctit:
Уже 5 неделя тестирования пошла. И каждый раз - как только снимаю CSP - доход возвращается. Это касается не только AdSense

У меня при включённом CSP доход не падает, месяц уже как включён. На сайтах - Директ + Адсенс.

ctit:
Нет, количество показов у меня не падает

А вы как число показов смотрите, и показов чего?

У Адсенса в статистике - число показов страниц сайта(impression pages), а не объявлений.

Ежедневные колебания трафика на сайтах 5-10% - "показы объявлений" соответственно будут плавать.

Чтобы исключить влияние суточных колебаний трафика, я нормирую "количество показов объявлений относительно числа просмотров страниц"(делю первое на второе).

Выгружаю статистику в Excel и строю график "нормированного числа показов" по дням.

По нему точно видно когда CSP косячно настроена и режет показы твоих собственных объяв.

C
На сайте с 07.05.2010
Offline
234
#52
Ladycharm:
А вы как число показов смотрите, и показов чего?

Смотрю просто доход. Когда разница от 30% до 50%, это очевидно. Писали, что именно в этом время в AdSense упала цена за клик, возможно совпадение. Давайте потестю еще месяц.

Что касается http://yandex.sc, то в поддержке Яндекса сообщили, что это не их домен, а следовательно вирусняк.

P.S. А вот как распространяют зараженные браузеры и плагины.

/ru/forum/871581

L
На сайте с 07.12.2007
Offline
351
#53
ctit:
Смотрю просто доход. Когда разница от 30% до 50%, это очевидно. Писали, что именно в этом время в AdSense упала цена за клик, возможно совпадение. Давайте потестю еще месяц.

Скиньте мне в личку вашу политику CSP для какого-нибудь сайта с Адсенсом. А лучше - сам сайт(если доверяете), http-заголовки у него я и сама посмотреть смогу.

Потому, что 30% потерь не может быть даже при косячно настроенной CSP.

ctit:
Что касается yandex.sc, то в поддержке Яндекса сообщили, что это не их домен, а следовательно вирусняк.

То, что это вирусняк - сразу видно из загружаемых с него скриптов(например, yandex . sc/v4/ci.iframe.js) - они же светятся в CSP. Редирект yandex.sc на Яндекс сделан чисто для прикрытия.

А написать в ТП Яндекса - это сильный ход, поскольку этот yandex.sc "косит" под Яндекс и даже иконка в выдаче у него - Яндексовская.

А на деле - занимается распространением malware, прикрываясь брэндом Яндекса и пороча его.

Юристам Яндекса есть работа: домен отобрать, владельца - под суд за незаконное использование чужого брэнда. Вагную, что сейчас владелец этого хозяйства наложит в штаны и побежит снимать редирект и фавиконку.

PS: Прямые ссылки на "вражеские" сайты лучше не делать - зачем им ТИЦ/PR накручивать забесплатно :)

jpg yandex.jpg
Malcolm
На сайте с 02.05.2007
Offline
119
#54

Поделитесь, кто куда рапорты CSP сливает, т.е. что у вас указано в report-uri? У всех свои собственные скрипты? Из подходящих для этих целей сервисов нашел только cspbuilder.info, неплохо, но может ещё что-то есть?

Mik Foxi
На сайте с 02.03.2011
Offline
1130
#55

Malcolm, а чем вас cspbuilder.info не устроил. норм сервис, зачем городить свой огород, чтоб пару дней потестить?

Универсальный антибот, антиспам, веб файрвол, защита от накрутки поведенческих № 1 в рунете: https://antibot.cloud/
Malcolm
На сайте с 02.05.2007
Offline
119
#56

foxi, за неимением лучшего, да, его и использую сейчас. А так он теряет часть рапортов, нет элементарной сортировки в таблицах, нельзя добавить собственные правила, которые уже присутствовали в CSP до начала использования сервиса. Пару дней назад он вообще лежал почти сутки. Бета-версия же.

Mik Foxi
На сайте с 02.03.2011
Offline
1130
#57

Malcolm, тогда надо писать свои пхп скрипты. Хотя меня они устроили.

C
На сайте с 07.05.2010
Offline
234
#58

Постоянно наблюдаю в логах записи следующего типа:

blocked-uri:http://192.168.1.2:4080/,violated-directive:frame-src

original-uri:http://www.youtube.com/embed/1aM8wmQ4_Es

Причем в качестве original-uri могут выступать url рекламных площадок.

Например,

blocked-uri:http://1zal7mesto:4080,violated-directive:frame-src

original-uri:http://googleads.g.doubleclick.net/pagead/html/r20141029/r20141103/zrt_lookup.html

Хотя бы логику понять, из-за чего это происходит.

Что касается экспериментов. Что тут сказать... Хостер на три дня отключал сайты из-за проблем с дисками, поэтому понятно где мой трафик сейчас... Не с чем экспериментировать. Вот чуть восстановится, снова примусь.

L
На сайте с 07.12.2007
Offline
351
#59
ctit:
Причем в качестве original-uri могут выступать url рекламных площадок.

Вы там точно CSP настраиваете? original-uri не бывает, вот что согласно RFC может быть в отчётах CSP:

 {
"csp-report": {
"document-uri": "http://example.org/page.html",
"referrer": "http://evil.example.com/haxor.html",
"blocked-uri": "http://evil.example.com/image.png",
"violated-directive": "default-src 'self'",
"original-policy": "default-src 'self'; report-uri http://example.org/csp-report.cgi"
}
}
Если под original-uri вы имеете ввиду document-uri, то судя по вашим цитатам ниже - Вы владелец youtube.com и googleads.g.doubleclick.net, потому, что в document-uri могут быть url только ваших сайтов:
ctit:
Постоянно наблюдаю в логах записи следующего типа:
blocked-uri:http://192.168.1.2:4080/,violated-directive:frame-src
original-uri:http://www.youtube.com/embed/1aM8wmQ4_Es

"Невалидка" из 192.168.0.0 - 192.168.255.255, 172.16.0.0 - 172.31.255.255 и 10.0.0.0 - 10.255.255.255 в blocked-uri встречается, скорее всего это криворукие клепальщики плагинов недоглядели.

Url-ов рекламодателей в blocked-uri не бывает, тк переходы по внешним ссылкам CSP не запрещает.

C
На сайте с 07.05.2010
Offline
234
#60

Выкладываю все без купюр.


{"csp-report":{"document-uri":"http:\/\/мой сайт\/","referrer":"мой сайт","blocked-uri":"http:\/\/1zal7mesto:4080\/","violated-directive":"frame-src мой сайт:80 'unsafe-eval' http:\/\/*.мой сайт:80 https:\/\/video.yandex.ru:443 https:\/\/c.mscimg.com:443 http:\/\/*.qservz.com:80 http:\/\/*.4zw.pw:80 http:\/\/*.intencysrv.com:80 http:\/\/*.etgdta.com:80 http:\/\/blocking.stat:80 http:\/\/*.yahoo.com:80 http:\/\/*.hubrus.com:80 https:\/\/money.yandex.ru:443 https:\/\/yandex.ru:443 http:\/\/*.siteheart.com:80 https:\/\/*.siteheart.com:443 http:\/\/*.webmoney.ru:80 http:\/\/*.yandex.ru:80 http:\/\/*.yandex.net:80 http:\/\/wolframalpha.com:80 http:\/\/www.wolframalpha.com:80 http:\/\/vk.com:80 https:\/\/vk.com:443 https:\/\/*.vk.com:443 http:\/\/www.youtube.com:80 https:\/\/www.youtube.com:443 http:\/\/*.adriver.ru:80 http:\/\/*.googlesyndication.com:80 http:\/\/*.doubleclick.net:80 https:\/\/*.doubleclick.net:443 http:\/\/w.uptolike.com:80 https:\/\/*.google.com:443 http:\/\/*.google.com:80 http:\/\/*.facebook.com:80 http:\/\/*.datamind.ru:80 http:\/\/www.google.com.ua:80 http:\/\/*.rutarget.ru:80 http:\/\/*.kavanga.ru:80 http:\/\/*.revsci.net:80 http:\/\/*.republer.com:80","original-uri":"http:\/\/www.youtube.com\/embed\/dGxsnxpb-rk?rel=0"}}

{"csp-report":{"document-uri":"http:\/\/мой сайт\/","referrer":"http:\/\/мой сайт","blocked-uri":"http:\/\/1zal7mesto:4080\/","violated-directive":"frame-src http:\/\/мой сайт:80 'unsafe-eval' http:\/\/*мой сайт:80 https:\/\/video.yandex.ru:443 https:\/\/c.mscimg.com:443 http:\/\/*.qservz.com:80 http:\/\/*.4zw.pw:80 http:\/\/*.intencysrv.com:80 http:\/\/*.etgdta.com:80 http:\/\/blocking.stat:80 http:\/\/*.yahoo.com:80 http:\/\/*.hubrus.com:80 https:\/\/money.yandex.ru:443 https:\/\/yandex.ru:443 http:\/\/*.siteheart.com:80 https:\/\/*.siteheart.com:443 http:\/\/*.webmoney.ru:80 http:\/\/*.yandex.ru:80 http:\/\/*.yandex.net:80 http:\/\/wolframalpha.com:80 http:\/\/www.wolframalpha.com:80 http:\/\/vk.com:80 https:\/\/vk.com:443 https:\/\/*.vk.com:443 http:\/\/www.youtube.com:80 https:\/\/www.youtube.com:443 http:\/\/*.adriver.ru:80 http:\/\/*.googlesyndication.com:80 http:\/\/*.doubleclick.net:80 https:\/\/*.doubleclick.net:443 http:\/\/w.uptolike.com:80 https:\/\/*.google.com:443 http:\/\/*.google.com:80 http:\/\/*.facebook.com:80 http:\/\/*.datamind.ru:80 http:\/\/www.google.com.ua:80 http:\/\/*.rutarget.ru:80 http:\/\/*.kavanga.ru:80 http:\/\/*.revsci.net:80 http:\/\/*.republer.com:80","original-uri":"http:\/\/googleads.g.doubleclick.net\/pagead\/ads?client=ca-pub-6396478301566645&format=160x600&output=html&h=600&slotname=6489643052&adk=318825074&w=160&lmt=1415102270&flash=11.7.700&url=http%3A%2F%2Fмой сайт%2F&dt=1415102270743&bpp=37&bdt=M&shv=r20141029&cbv=r20141103&saldr=aa&prev_fmts=240x400&correlator=247715856963&frm=20&ga_vid=683784829.1415102271&ga_sid=1415102271&ga_hid=455641438&ga_fc=0&u_tz=240&u_his=1&u_java=0&u_h=900&u_w=1440&u_ah=870&u_aw=1440&u_cd=24&u_nplug=11&u_nmime=28&dff=times%20new%20roman&dfs=19&adx=1223&ady=0&biw=1423&bih=771&eid=575144603%2C317150304&oid=3&ref=http%3A%2F%2Fмой сайт&rx=0&eae=0&fc=8&brdim=%2C%2C-4%2C-4%2C1440%2C0%2C1448%2C878%2C1440%2C771&vis=1&abl=CS&ppjl=f&fu=0&ifi=2&xpc=n2KneJNNc9&p=http%3A\/\/мой сайт&dtd=375"}}

Вот сам csp


<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' *.мой сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' *.мой сайт *.4zw.pw advapi.ru *.actionpay.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com http://code.jquery.com *.ytimg.com http://*.whisla.com http://*.republer.com *.appsaddons.com http://*.revsci.net https://*.revsci.net http://www.promo.r-money.ru https://dl.dropboxusercontent.com https://merchant.roboxchange.com http://www.wolframalpha.com http://wolframalpha.com http://userapi.com *.webmoney.ru *.yandex.ru *.yandex.net https://*.yandex.net https://*.yandex.ru https://yastatic.net http://*.siteheart.com https://*.siteheart.com *.adriver.ru https://*.googleapis.com https://*.google.com http://*.google.com.ua *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net http://w.uptolike.com *.kavanga.ru http://recreativ.ru http://vk.com https://vk.com http://kavanga.sibnet.ru;object-src 'self' http://*.ytimg.com r-money.ru *.macromedia.com *.adobe.com https://*.adobe.com *.adriver.ru https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com http://alpari.ru http://www.alpari.ru *.kavanga.ru kavanga.sibnet.ru;style-src 'self' 'unsafe-inline' *.мой сайт *.amazonaws.com *.googleapis.com https://* http://*.siteheart.com http://recreativ.ru http://netdna.bootstrapcdn.com;img-src * *.whisla.com *.revsci.net data: *.мой сайт *;media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' http://*.мой сайт.ru https://video.yandex.ru https://c.mscimg.com *.qservz.com *.4zw.pw *.intencysrv.com *.etgdta.com blocking.stat *.yahoo.com *.hubrus.com https://money.yandex.ru https://yandex.ru *.siteheart.com https://*.siteheart.com *.webmoney.ru *.yandex.ru *.yandex.net http://wolframalpha.com http://www.wolframalpha.com http://vk.com https://vk.com https://*.vk.com http://www.youtube.com https://www.youtube.com *.adriver.ru http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net http://w.uptolike.com https://*.google.com http://*.google.com *.facebook.com *.datamind.ru http://www.google.com.ua *.rutarget.ru *.kavanga.ru *.revsci.net *.republer.com;font-src 'self' *.мой сайт.ru *;connect-src 'self' https://static.siteheart.com ws://client.siteheart.com http://w.uptolike.com https://www.youtube.com http://www.alpari.ru https://translate.googleapis.com http://mc.yandex.ru *.googlevideo.com https://*.gstatic.com;report-uri http://www.мой сайт.ru/csp.php"
</IfModule>

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий