Настроив CSP, думал можно расслабиться - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

171

Vin_cent

26 марта 2016, 07:07

#871

Настроив CSP, думал можно расслабиться. Включил, спустя много месяцев, показ анимированной рекламы в adsense.

И вот, спустя неделю, хожу по своему сайту, загружается реклама про призыв в армию сша, и бац (!), тут же открывается без каких либо моих действий новое окно, и в нём открывается этот сайт для призывников.

Вывод - как воровали трафик через дырку в адсенс, так и продолжают воровать. И никакой CSP не поможет в истории с адсенс. Только запрет анимированной рекламы даёт гарантию, что не будет происходить это г*вно.

Вот эта реклама: http://tpc.googlesyndication.com/pagead/imgad?id=CI6EreOzwPSZtAEQrAIY-gEyCDTN30TcM657SAQ&isRtbCreative=True

В браузере если не запрещены открытия новых окон, при загрузке делается редирект (f5 понажимать, когда появится баннер с текстом "Marines are made in 12 weeks" будет редирект.).

Если видишь Бургер Кинг В Яндекс.Вебмастере появилась проверка Яндекс.Браузер начал фильтровать раздражающую

P

192

promosite

28 марта 2016, 04:19

#872

tyapuhy:
Ladycharm, спасибо.

От AdLabs пришел вот такой список доменов, которые они советуют добавить в CSP.

Да и если весь этот мусор не добавишь, то будет серьёзная просадка у Адлабса по показам баннеров (имеется ввиду их партнёрка с Гуглом). Я уже писал в их теме, но вот эти мусорные домены, которые в том числе и зловредители используют, не хотел добавлять, потому что тогда могут идти левые показы злоумышленников из тизерной сети Адлабс, а я хотел оставить только рекламу Гугла. Все потому что тизерки неразборчивы в своих клиентах и если льешь траф, то им пофиг откуда, хоть из левых браузерных приложений пользователей, нет чтобы жестко привязать клиентов по доменам, приходится использовать проверенные тизерки.

Идеальная тизерка - какой Почему не кликают по Рекламная сеть AdLabs -

S

108

samouschka

29 марта 2016, 18:24

#873

Подскажите, что прописать, чтобы плагины вордпресс обновлялись автоматически. Сейчас при нажатии обновить белый экран и все. Или при открытии этой возможности появляется дыра?:)

-

56

-pax-

30 марта 2016, 07:48

#874

У меня Firebug в консоли стал писать: "Content Security Policy: Директива 'frame-src' устарела. Пожалуйста, вместо неё используйте директиву 'child-src'."

Пробую на некоторых сайтах менять проблем вроде нет, как считаете стоит начать на всех сайтах использовать child-src?

Вредители ad-tizer.net Влияние блокировки "Яндекс советника" Резкое падение позиций в

291

NCom

14 апреля 2016, 20:24

#875

Ladycharm, огромнейшее спасибо за составление правил для моего сайта. Сам никак не мог собрать мысли в кучу и понять, что к чему.

141

Webliberty

20 апреля 2016, 05:24

#876

Валидатор HTML стал ругаться на заголовок CSP:

Content-Security-Policy HTTP header: Bad content security policy: Unrecognised directive-name: "reflected-xss".

Что ему надо? Использую reflected-xss block - взято где-то в этой теме...

✅ https://webliberty.ru | Подпись заверена нотариусом ©️

AJ

121

alexey_jc

20 апреля 2016, 06:11

#877

валидатор также стал ругаться на тот же frame-src, просит заменить на child-src. Но у меня сомнения в целесообразности. Если frame-src прекрасно понимается, а child-src возможно не будет пониматься старыми браузерами, то зачем трогать то, что работает?

Резкое падение позиций в Вредители ad-tizer.net Партнерка ломает фрейм -

141

Webliberty

20 апреля 2016, 06:58

#878

Свой вопрос выше снимаю, заменил на

Header set X-XSS-Protection "1; mode=block"

И присоединяюсь к вопросу о frame-src и child-src.

54

AlexGRR

20 апреля 2016, 08:50

#879

Я бы еще добавил вопрос про директиву "report-to", которую требует заменять валидатор validator.w3.org вместо директивы "report-uri".

Спрашивал здесь, но ответа не получил.

На заметку: сколько можно зарабатывать на партнерках (http://avtoforex.ru/affiliate-program/439-skolko-mozhno-zarabotat-na-partnerkah-foreks.html)?

-

133

-Dima-

21 апреля 2016, 17:30

#880

samouschka:
Подскажите, что прописать, чтобы плагины вордпресс обновлялись автоматически. Сейчас при нажатии обновить белый экран и все. Или при открытии этой возможности появляется дыра?:)

Если вопрос еще актуален для Вас, то для нормальной работы WordPress в админ панели нужно включать unsafe-eval. Иначе, режется часть скриптов, которые отвечают за обновления и загрузку изображений.(это то что я заметил, может где-то еще влияет)

Если в админку только у Вас доступ, можете вообще отключить CSP для админки.(я себе именно так и сделал)

1

Re: Резкое падение позиций Статический сайт на https Резкое падение позиций в

Open AI тестирует память для ChatGPT

Зачем быть уникальным в мире, где все можно скопировать

Настройка CSP - Content Security Policy