LEOnidUKG

Эти сертификаты раздают бесплатно на 1000 доменов. Поэтому ничего не стоит злоумышленникам завести все свои домены на httpS. Вообще ничего не стоит. 🍿

Насчёт защиты, сейчас ещё делаю тесты. Всё упирается в архитектуру самих сайтов. Т.е. всё зло в разрешении вот этого:

script-src 'self' 'unsafe-inline' 'unsafe-eval'

Оно разрешает выполнение <script>JavaScript</script> Рядовому сайту/вебмастеру, например с тизерками или контекстной рекламе нереально всё перелопатить.

Это все парнёрки должны перестать давать свои код в таком виде, и начать уже давать их в отдельном JS файле и перестать их шифров. Но кому это надо, если эти же тизерные системы получают с этого доход и им сливают тоннами такого трафика?

Поэтому это медаль о двух сторонах. Вроде и защита хороша, но всё упирается, что никто не готов к ней. Нигде нет упоминаний, а проблема набирает обороты. Ни один антивирус не сработает на такое расширения браузера т.к. оно ничего плохого по их словам не делает.

Виновники торжества? Нет, это не те, которые вы видите в статистике. А вот кого блокируют:

http://pu.nupiho.ru

http://api.agstat.ru

http://c.am15.net

http://cdn.mecash.ru

http://tds2.mycpm.ru

http://ic.2ed37d85.04e0ca.1.c3821.d.rncdn3.com

http://www.google-analytics.com

http://api.sitestate.ru

http://s3.amazonaws.com

http://mxpopad.com

http://acc.bdzhhjnml.pw

http://ic.b27d20e7.00ef76.1.c3821.d.rncdn3.com

http://pycrenwymt.ru

http://ic.2536f70a.136ac7.1.c3821.d.rncdn3.com

http://ic.d5a97e4d.030621.1.c3821.d.rncdn3.com

http://ic.5b7cd1ec.0f350a.1.c3821.d.rncdn3.com

http://ic.d5a97e4d.043d9d.1.c3821.d.rncdn3.com

http://ic.b279b85d.139e2b.1.c3821.d.rncdn3.com

http://rwqckakqfq.ru

http://gocash01.net

http://ic.bc5c0281.12391e.1.c3821.d.rncdn3.com

http://i.jaxzjs.info/jaxz/javascript.js?channel=jaxzwebtosave&appTitle=WebToSave&hid=US_1411820320110_34458285220

http://www.superfish.com/ws/sf_main.jsp?dlsource=icprkwa&userId=795fce00c820defcfc287&CTID=s07

http://ic.25d42491.0b23ab.1.c3821.d.rncdn3.com

http://ic.b286aeda.0c4cf7.1.c3821.d.rncdn3.com

http://mc.yandex.ru

http://rgeghdwafgfse.info.tm

http://ic.5be6197d.004504.1.c3821.d.rncdn3.com

http://8xi2uwb4o.ru

http://estat-translator.com

http://ic.b279b85d.06757a.1.c3821.d.rncdn3.com

http://ic.1f177e35.105938.1.c3821.d.rncdn3.com

http://dl.metabar.ru

http://asrv-a.akamaihd.net

http://saleclipper-a.akamaihd.net

http://istatic.kingtopdeals.com

http://cds.d7z6w5f5.hwcdn.net

http://hdsrc-a.akamaihd.net

http://ic.b92cd78f.042a2a.1.c3821.d.rncdn3.com

http://ic.1f2b8210.026ab2.1.c3821.d.rncdn3.com

http://ic.591067b2.04dce6.1.c3821.d.rncdn3.com

http://ic.257399b1.0da7db.1.c3821.d.rncdn3.com

http://ic.c287101e.13e270.1.c3821.d.rncdn3.com

http://ic.d56fcc50.01d6d5.1.c3821.d.rncdn3.com

http://i.crbsjs.info

http://cdn.visadd.com

http://clkdeals.com

http://istatic.eshopcomp.com

http://cdncache-a.akamaihd.net

http://api.jollywallet.com

http://a.tfxiq.com

http://cdn.staticwebdom.com

http://cjs.linkbolic.com

http://ic.2e10e4be.0dd3f3.1.c3821.d.rncdn3.com

http://ic.2e10e4be.0296d7.1.c3821.d.rncdn3.com

http://ic.5bcb3f09.0df48e.1.c3821.d.rncdn3.com

http://ic.2e10e4be.10062a.1.c3821.d.rncdn3.com

http://apispecialboxsit-a.akamaihd.net

http://hdapp1003-a.akamaihd.net

http://hdapp1008-a.akamaihd.net

http://srv4pub.com

http://ert.fearfromnone.com

И это только за час работы не весь список. Воры умудряются не только подключать свои скрипты, они ещё без проблем подрубают яндекс.метрику и гугл.аналитик, чтобы ПС явно видели, что происходит на ваше сайте.

Да, приведённая защита не защитит на 100%, но снижает на много вред от скриптов, особенно если вы не хотите сливать данные ПС, а модуля за вас это делают.

Стандарту CSP всего лишь 3-и года, и он появился не на пустом месте. НО как видим обороты из года в год растут в геометрической прогрессии. Что будет дальше, я не знаю. Но делать что-то надо.

Вот как-то так.

У меня как-то так :)

Кому надо в 1 файле: http://yourcommentit.ru/modulCSP.rar

Инструкция:

1. Копируем все папки и файлы в корень сайта

2. На папку csp права на запись 777

3. в файле .htaccess пишем:

<IfModule mod_headers.c>

Header set Content-Security-Policy "default-src 'self';style-src 'unsafe-inline' *;frame-src *;img-src * data:;media-src *;font-src *;script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st ;report-uri /csp.php"

</IfModule>

-------------------------------

И теперь ответ на ваш вопрос: Что это вообще такое?!

Весь код нужно вставлять в 1 строчку, но для удобства понимая я разобью его и распишу, что и как. Этими строчками мы браузеру даём понять, что ему можно, а что нельзя.

Header set Content-Security-Policy - Устанавливает сам запрос

"default-src 'self'; - Все ресурсы (по-умолчанию) мы разрешаем со своего сайта, 'self' = наш текущий домен

style-src 'unsafe-inline' *; - CSS файлы пусть грузятся любые внешние и внутренние и всё что между <style></style>

img-src * data:; - Картинки мы размещаем грузить откуда угодно, всякие счётчики, иконки и т.п.

media-src *; - Видео файлы и аудио мы размещаем грузить откуда угодно, mp4 файлы в плеерах и т.п.

font-src *; - Шрифты разрешаем все

frame-src *; - встраивать iframe могут все, ибо это очень любят тизерки

Теперь самое интересное, JavaScript!

В примере написано:

script-src 'self' 'unsafe-inline' 'unsafe-eval' https://oss.maxcdn.com http://yandex.st http://*.yandex.st

Этим мы РАЗМЕШАЕМ:

1. 'self' - сами себе разрешаем

2. 'unsafe-inline' и 'unsafe-eval' - разрешаем выполнять скрипты внутри страниц нашего сайта т.е., что будет в <script>Ява код</script>

3. далее указаны через пробел домены с которых разрешено грузить JS скрипты. Тут обязательно должен быть домен от WAP партнёрки с которого грузится JS. Далее перечисляются все хосты от тизерок и других парнёрок.

report-uri /csp.php" - Это кто будет обрабатывать отчёты об ошибках. У нас есть два файла csp.php = полные отчёты о срабатывание и csp2.php = Урезанный, которые показывает только урлы, которые заблокировали и ещё часть техническую. Все файлы складываются в папку /csp/ и там хранятся.

По началу достаточно /csp.php, чтобы проверять всё ли нужное разрешено, смотреть логи не забанено ли что-то лишнее и т.п. Потом можно переключить на csp2.php чисто для фана посмотреть сколько урлов ломиться к вам. Или потом вообще убрать эту строчку report-uri /csp2.php

Вот и всё.

Более подробное расписание, что и как и дополнительно тут: http://zabolotskikh.com/tips/content-security-policy/

Получил свои текста. Сначала конечно получилось забавно про количество символов ибо у нас разные цифры были в разы. Но потом разобрались и теперь всё выглядит просто чудесно.

Текст вышел отличный под мою тематику. Поэтому скорее всего закажу ещё, конечно уже за денюжку.

Рекомендую!

Только агрессивный редирект т.е. получается сайт как бы дорвей.

Домены у регистраторов доменов

Хостинг и хостеров

о боже, наверное 1 сквозняк поставили и уже паника. Ну как что делать. На завод работать или сотовыми торговать.

Это вообще должно прописано быть по умолчанию на сервере. Если это не сделано то бить по рукам админа.

В папку кидаете .htaccess

с содержанием:

Order Allow,Deny

Deny from All

Продавать тему за суточную окупаемость?

Школьную линейку пропустили?