Настройка CSP - Content Security Policy - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 24.10.2014, 12:43   #1
Профессор
 
Регистрация: 07.05.2010
Сообщений: 699
Репутация: 66434
Отправить сообщение для ctit с помощью ICQ

Exclamation Настройка CSP - Content Security Policy

Тема http://searchengines.guru/showthread.php?t=866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему.

Резюме прошлой темы:
1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код.
2) Защита возможна через CSP (но не на 100%) и через javascript.

Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess):

Цитата:
<ifModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php"
</IfModule>
При этом код файла отчета может иметь следующий вид:
Цитата:
function spam($data)
{
$mas[]=Array(список для игнора);

$kol=count($mas);
$result=0;
for ($i=0; $i<$kol; $i++)
{
if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol;
}

return $result;

}

header("HTTP/1.0 204 No Response");

$data = file_get_contents('php://input');
if ($data = json_decode($data))
{
$data = json_encode($data)."\n\r";
if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX);
}
ctit на форуме   Ответить с цитированием
Сказали спасибо 4 пользователей:

Реклама
Старый 24.10.2014, 12:51   #2
Оптимизайка
Академик
 
Аватар для Оптимизайка
 
Регистрация: 11.03.2012
Адрес: 127.0.0.1
Сообщений: 3,005
Репутация: 471684

По умолчанию Re: Настройка CSP - Content Security Policy

*.akamaihd.net - вирусня
http://10.20.2.42:15871 - вообще не интернет-адрес
data: - вирусня
http://yandex.sc - это не домен яндекса если что
blocking.stat - не домен а фигня какая-то
http://*.whisla.com - никаким боком к adsense

в целом - фарш С такими правилами, дейстительно не на 100%
Оптимизайка вне форума   Ответить с цитированием
Сказали спасибо:
Старый 24.10.2014, 12:51   #3
ctit
Профессор
 
Регистрация: 07.05.2010
Сообщений: 699
Репутация: 66434
Отправить сообщение для ctit с помощью ICQ

ТопикСтартер Re: Настройка CSP - Content Security Policy

В отчетах можно видеть следующие результаты (от Оптимизайка):
Ответы браузера или плагинов
1) mx://res/reader-mode/reader.html
Это режим "Reader" в MacOS Safari, который вырезает все и оставляет один текст
2) https://localhost
null
Это мобильные браузеры в iPhone/iPad. Они знатно глючат с CSP, поэтому для части их проще отключить CSP.
3) about;data;safari-resource;ybnotification;webviewprogressproxy;chromenull;chromeinvoke;chromeinvokeimmediatewyciwyg;safari-extension;asset;mbinit;command

Сами вирусы
например,
asabor.ruretargetpro.net;frotalmost.ruscreentoolkit.com;5.149.255.132superfish.com

И плагины пользователя, например
admuncher.com;adtrustmedia.com;metabar.ru


Для меня, например, так и не понятно куда отнести *.akamaihd.net, поскольку в Интернет он известен как вирус, но его пропускают facebook и twitter.


Самый вредоносный пока остается server381.com, который грузит кучу data:text/javascript;arteta.ru и другие. И зачем-то http://yandex.sc/v4/ci.iframe (вероятно по заказу - возможно это скрипт Яндекс, который зафиксирует факт наличия вредоносного кода и понизит рейтинг сайта).

---------- Добавлено 24.10.2014 в 14:02 ----------

Цитата:
Сообщение от Оптимизайка Посмотреть сообщение
*.akamaihd.net - вирусня
http://10.20.2.42:15871 - вообще не интернет-адрес
data: - вирусня
http://yandex.sc - это не домен яндекса если что
blocking.stat - не домен а фигня какая-то
http://*.whisla.com - никаким боком к adsense

в целом - фарш С такими правилами, дейстительно не на 100%
С самого начала заявлял, что *.akamaihd.net вирус, но по данным зарубежных источников (блогеров), некоторые поддомены могут использоваться как датацентры cookie, которые используют рекламные площадки. До недавнего времени сам блокировал этот ресурс.
Например, вот содержимое одного из скрипта:
Цитата:
!function(t){for(var e=t.getElementsByTagName("script"),r=0;r<e.length;r++){var s=e[r];if(s&&s.src&&!s.getAttribute("data-processed")&&s.src.match(/-a\.akamaihd\.net\/sub\//)){s.setAttribute("data-processed","1");var a=s.src.split("?")[1];a=a?a.split("&"):[],a.push("zoneid="+encodeURIComponent("518313"));var c=s.src.match(/[&?]?pid=(\d+)/)[1];if(c){var i=t.createElement("script");return i.src="//"+s.src.split("/")[2]+"/loaders/"+c+"/l.js?"+a.join("&"),void t.body.appendChild(i)}}}}(document);
10.20.2.42:15871 - наткнулся на статью, что это какой-то глобальный прокси-сервер (по крайне мере код подзагружается именно из pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

yandex.sc - редиректит на yandex.ru и служит видимо для каких-то технических задач.
blocking.stat - генерируется youtube.com
http://*.whisla.com - позагружается скриптами pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

Последний раз редактировалось ctit; 24.10.2014 в 15:44..
ctit на форуме   Ответить с цитированием
Старый 24.10.2014, 13:11   #4
lonelywoolf
Профессор
 
Аватар для lonelywoolf
 
Регистрация: 23.12.2013
Сообщений: 625
Репутация: 28668
Отправить сообщение для lonelywoolf с помощью ICQ

По умолчанию Re: Настройка CSP - Content Security Policy

akamai это вообще-то cdn, которой в том числе beeline и microsoft пользуются. Ну и не тлько они . Я б забанил к чертям.

---------- Добавлено 24.10.2014 в 16:15 ----------

yandex.sc
Цитата:
Registrant Name:Andrey Volzhak
Registrant Organization:Andrey Volzhak
Registrant Street1:7 kirpichnyy z-d d.9 kv.1 Voljaku Andreyu Sidorovichu
Registrant Street2:
Registrant Street3:
Registrant City:Omsk
Registrant State/Province:Omskaya obl.
Registrant Postal Code:644047
Registrant Country:RU
Registrant Phone:+7.4952551235
Registrant Phone Ext.:
Registrant FAX:+7.4952551235
Registrant FAX Ext.:
Registrant Email:scanids@gmail.com
Вы уверены, что это яша? Мне что-т так не кажется.

по поводу 10.x.x.x
Цитата:
NetRange: 10.0.0.0 - 10.255.255.255
CIDR: 10.0.0.0/8
NetName: PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED
Где-то кого-то пытаются наколоть. Это внутренние IP-адреса, не предназначенные для выхода в интернет, т.е. это для локальных сетей больших организаций.
lonelywoolf вне форума   Ответить с цитированием
Сказали спасибо:
Старый 24.10.2014, 13:31   #5
ctit
Профессор
 
Регистрация: 07.05.2010
Сообщений: 699
Репутация: 66434
Отправить сообщение для ctit с помощью ICQ

ТопикСтартер Re: Настройка CSP - Content Security Policy

Когда я пишу, что подзагружается чем-то, то имеется в виду, что в секции original-uri: указан googleads.g.doubleclick.net

Например, так указаны 192.92.92.100 и googleads.g.4zw.pw
ctit на форуме   Ответить с цитированием
Старый 24.10.2014, 14:19   #6
Nam3D
россефорП
 
Регистрация: 29.04.2014
Сообщений: 1,311
Репутация: 68655

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от ctit Посмотреть сообщение
'unsafe-inline' 'unsafe-eval'
После этих строк можно настройку CSP больше не продолжать ибо смысла от него ровно ноль.
__________________
Неискоренимо нежелание пользоваться поисковыми системами - даже находясь на форуме о поисковых системах © Cell
Влазить напрямую в базу — это невозможно © Игорь Белов, mchost.ru
Если SeoPult купил ссылку - значит она "рабочая" © Nat_SeoPult
Nam3D вне форума   Ответить с цитированием
Старый 24.10.2014, 15:47   #7
ctit
Профессор
 
Регистрация: 07.05.2010
Сообщений: 699
Репутация: 66434
Отправить сообщение для ctit с помощью ICQ

ТопикСтартер Re: Настройка CSP - Content Security Policy

'unsafe-inline' 'unsafe-eval'
Позволяют внедрять код сриптами. Поэтому дополнительно можно использовать защиту на js, либо вынести код AdSense отдельно и рискнуть получить бан.
Однако защита есть еще и в секции frame-src
ctit на форуме   Ответить с цитированием
Старый 24.10.2014, 16:07   #8
foxi
Особый статус
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 7,713
Репутация: 920224
Социальные сети

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от Nam3D Посмотреть сообщение
После этих строк можно настройку CSP больше не продолжать ибо смысла от него ровно ноль.
ну не преувеличивайте. поставьте в браузер всякого говна, в смысле тулбаров таких мутных, типа мюзиксиг вконтактовский и т.п. внешних js и фреймов грузится немерянно. если нельзя на 100% защититься - это не значит что 99 процентная защита не нужна.
foxi вне форума   Ответить с цитированием
Старый 24.10.2014, 16:09   #9
burunduk
Super Moderator
 
Аватар для burunduk
 
Регистрация: 09.01.2007
Сообщений: 16,359
Репутация: 2216336

По умолчанию Re: Настройка CSP - Content Security Policy

Цитата:
Сообщение от foxi Посмотреть сообщение
если нельзя на 100% защититься - это не значит что 99 процентная защита не нужна.
скажем так, CSP 25-30% всего режет
__________________
По многочисленным просьбам шаблон для сайта оптимизированный для продвижения
правильный конструктор сайтов
burunduk на форуме   Ответить с цитированием
Старый 24.10.2014, 16:10   #10
foxi
Особый статус
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 7,713
Репутация: 920224
Социальные сети

По умолчанию Re: Настройка CSP - Content Security Policy

burunduk, +30% к заработку, разве этого мало?
foxi вне форума   Ответить с цитированием
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 21:12. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны