Форум Сайтостроение Безопасность

Настройка CSP - Content Security Policy

1... 282930313233343536 ...101
C
На сайте с 07.05.2010
Offline
238
ctit ctit
#311
Ladycharm:
chromenull: - это какой-то расширение Хрому заблочено. Я смотрю по этому же IP и ЮзерАгенту что ещё было в это же время. Там обычно есть что-либо вроде chrome-extension://nhgcieglcpdegkhamigiokdphfhhnlhh, где nhgcieglcpdegkhamigiokdphfhhnlhh - уникальный ID расширения. Проверяю этот ID поиском по Хроме Вебсторе - если там такого нет - расширение нелегальное, фтоппку его.

Скорее всего, это аналог null для FireFox (about:blank), запрос, посылаемый скриптами jquery для проверки связи (используют рекламные сети). Разбирался долго, но вроде это так.

Ladycharm:

blocked-uri data - смотрите по полю "violated directive" в какой директиве вызвана блокировка

Здесь речь идет по чистом "data" без всего, я так понял, что это данные скриптов (типа {data}), поскольку остальные указываются явно "data:text", а этот тип именно так: blocked-uri "data".

Удобство разработки Adsense загружается медленнее страницы защита от копирования. Внедрить
pavel419
На сайте с 03.05.2006
Offline
313
pavel419
#312

Redslon, не всё закрыли, еще переходят по нечисти все равно)

У меня вообще остались только переходы по моим банерам и моим же внешним ссылкам.

@RuSeoBot (http://s419.ru/ruseobot/)- первый seo-бот в Twitter, а теперь - и канал в Telegram (http://s419.ru/servisy/pervyj-poiskovyj-seo-kanal-v-telegram/) Мой сайт про виртуальную реальность (http://vr419.ru/) Как правильно покупать на Алиэкспресс (http://4ali.ru/)
C
На сайте с 12.07.2008
Offline
49
catl
#313

Я не программист, но первое что приходит в голову с файлом csp.php, это заменить все точки в названии создаваемого файла по домену, на скажем нижнее подчеркивание "_" и тогда файл не будет исполняем сервером как php скрипт в случае с вариантом если будут подсовывать injection.php или другие файлы с расширением php

у меня строка 36 37 

                

 if($var_array[2]) {$var_array[2]=str_replace('.','_' , $var_array[2]); file_put_contents($_SERVER['DOCUMENT_ROOT'].'/csp/'.date("dmY").'/'.$var_array[2], 'violated-directive: '.$url1[1]."\nUSER_AGENT: ".$_SERVER['HTTP_USER_AGENT']."\nIP: ".$_SERVER['REMOTE_ADDR']."\n\r#---------------------------------------------------------------~\n", FILE_APPEND | LOCK_EX);} 

                 else {file_put_contents($_SERVER['DOCUMENT_ROOT'].'/csp/'.date("dmY").'/'.date("H").'-csp-report.txt', $print_data."\n".$_SERVER['HTTP_USER_AGENT']."\n".$_SERVER['REMOTE_ADDR']."\n----------------------------------------\n", FILE_APPEND | LOCK_EX); }
Помогите написать условие для Хакеры на free-lance.ru Запрет к индексации
R
На сайте с 15.04.2009
Offline
57
Redslon
#314
pavel419:
Redslon, не всё закрыли, еще переходят по нечисти все равно)
У меня вообще остались только переходы по моим банерам и моим же внешним ссылкам.

[ATTACH]140881[/ATTACH]

Свежий скрин.

Судя по нему - все хорошо. В скрине вырезал легальные переходы - домены на которые есть ВС на сайте. Остальное, видимо, грузится из кэша.

Для сравнения - вчерашний скрин

[ATTACH]140882[/ATTACH]

jpg 12.jpg
jpg 123.jpg
pavel419
На сайте с 03.05.2006
Offline
313
pavel419
#315

Redslon, если из кеша, то ок, а то там прямо первый джвикверис ру - это уже гавно-лпагин)

L
На сайте с 07.12.2007
Offline
351
Ladycharm
#316
catl:
Я не программист, но первое что приходит в голову с файлом csp.php, это заменить все точки в названии создаваемого файла по домену, на скажем нижнее подчеркивание "_" и тогда файл не будет исполняем сервером как php скрипт в случае с вариантом если будут подсовывать injection.php или другие файлы с расширением php
у меня строка 36 37 

                
if ($var_array[2]) {
  $var_array[2]=str_replace('.','_' , $var_array[2]);
  file_put_contents($_SERVER['DOCUMENT_ROOT'].'/csp/'.date("dmY").'/'.$var_array[2], 'violated-directive: '.$url1[1]."\nUSER_AGENT: ".$_SERVER['HTTP_USER_AGENT']."\nIP: ".$_SERVER['REMOTE_ADDR']."\n\r#---------------------------------------------------------------~\n", FILE_APPEND | LOCK_EX);
  } 
  else {
    file_put_contents($_SERVER['DOCUMENT_ROOT'].'/csp/'.date("dmY").'/'.date("H").'-csp-report.txt', $print_data."\n".$_SERVER['HTTP_USER_AGENT']."\n".$_SERVER['REMOTE_ADDR']."\n----------------------------------------\n", FILE_APPEND | LOCK_EX);
  }

str_replace('.', '_', ...) - достаточно всеобъемлющее решение. Если если на сервере не включено принудительное исполнение php типа:

ForceType application/x-httpd-php

народ любит включать исполнение скриптов в файлах .css и .js для "удобства".

Есть базовые правила безопасности:

- Во всех папках, предназначенных для загрузки файлов, исполнение всех скриптов должно быть запрещено по-умолчанию. Это же не лишне делать для папок со стилями, js-скриптами и файлами, подключаемыми по include.

- Если папка не предназначена для доступа через web-интерфейс - она выносится за пределы DocumentRoot.

У меня статический IP и я делаю проще: все папки, не предназначенные для "паблика", имеют универсальный htaccess с Deny All и Allow Moй_IP. Он линкуется симлинком с одного места во все нужные папки сервера, поэтому смена IP - не вопрос.

ломают сайт Насколько критично отсутствие файлов Хостинг m-hoster.com - хороший
samimages
На сайте с 31.05.2009
Offline
427
samimages
#317

catl, или не писать... целесообразность записей, при завершенной настройке, имеет исключительно научный смысл. Прямой необходимости, для работы CSP, в ней нет.

ЗЫ: для PHP лучше # использовать, тогда траблов с [] не будет 

$var['1']

$var['1']
Опыт как иммунитет — приобретается в муках! Хостинг: экономия до 1300 руб + домен в подарок ( https://clck.ru/XLscf ) / Аудит семантики от 15К [долго] - ЛС
S
На сайте с 14.05.2003
Offline
165
Sla
#318
pavel419:
Так вы показы сравните, я писал уже, что число показов, как и доход, не изменилось, только пропали переходы на левые сайты. По большому счету, в этом и есть смысл установки CSP - чтоб на ваших сайтах треш не откручивали.
А на клики по адсенс оно и вовсе может не влиять...

Посещаемость, цена клика и ещё куча параметров может отличаться в разные дни. Так вы можете +-20% не заметить легко. Нужно делать A/B тестирование чтоб показы шли параллельно в одно время - половина показов с CSP, половина без.

Пока ясно одно - часть показов сторонних сетей гугл крутит так, что они будут резаться CSP. Это однозначно должно снижать доходность AdSense. Но какое количество таких показов - черт его знает. Возможно незначительное, а возможно значительное.

Вот список сторонних сетей в adexchange https://support.google.com/3pascertification/table/4570113?hl=en

Я у себя в логах CSP (не сильно стараясь) обнаружил с десяток сетей из этого списка.

Одновременно CSP должно и в плюс влиять для адсенса - меньше мусора на сайте - больше кликают на адсенс. Возможно одно другое компенсирует.

Короче надо тестить, но тестить правильно ☝

Повышаем заработки на рекламе Чужой adsense на моем Рекламная сеть Youlamedia -официальный
Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#319
Sla:
Пока ясно одно - часть показов сторонних сетей гугл крутит так, что они будут резаться CSP. Это однозначно должно снижать доходность AdSense. Но какое количество таких показов - черт его знает.

Возможно, имеет смысл отключить все рекламные сети в adsense аккаунте, чтобы они зря не блокировались.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
pavel419
На сайте с 03.05.2006
Offline
313
pavel419
#320

Sla, для России, я думаю процент сторонних сетей очень мал. Там в том списке есть что-то русское?

1... 282930313233343536 ...101

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий