Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 16.09.2019, 16:26   #1
Дипломник
 
Регистрация: 11.11.2013
Сообщений: 53
Репутация: 10

По умолчанию Content Security Policy при https

Добрый день! После перехода на https какие параметры лучше установить в csp? На сайте установлена rtb реклама и часто встречаются картинки по протоколу http. Логично установить upgrade-insecure-requests. Или лучше отлавливать http домены и добавлять их в исключения одновременно с block-all-mixed-content ? Спасибо.

В старую тему по CSP уже нельзя добавить сообщения...
lobol вне форума   Ответить с цитированием

Реклама
Старый 17.09.2019, 10:30   #2
Оптимизайка
Академик
 
Аватар для Оптимизайка
 
Регистрация: 11.03.2012
Адрес: 127.0.0.1
Сообщений: 4,368
Репутация: 601309

По умолчанию Re: Content Security Policy при https

После перехода на https я вообще убрал CSP, т.к. устанавливал его в основном для борьбы с "левой" рекламой. Теперь таковой и так нет, а также нет затруднений с поддержанием актуального списка доменов рекламодателей.

А вы с какой целью CSP использовать хотите?
__________________
BotGuard ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Оптимизайка вне форума   Ответить с цитированием
Старый 17.09.2019, 15:53   #3
webliberty
Я не волшебник
 
Аватар для webliberty
 
Регистрация: 30.10.2010
Сообщений: 252
Репутация: 37098
Социальные сети

По умолчанию Re: Content Security Policy при https

Оптимизайка, думаете на HTTPS нет смысла устанавливать CSP? Я после переезда его оставил, может тоже стоит убрать? В отчетах встречаются до сих пор разные сайты, влияния которых не хотелось бы испытывать на себе...
webliberty вне форума   Ответить с цитированием
Старый 17.09.2019, 16:36   #4
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 22,900
Репутация: 2015264
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: Content Security Policy при https

При https не нужен при CSP.

CSP это полумера была т.к. по сути кто может проксировать трафик, тот просто добавляет свой CSP куда надо. Как пример мобильные провайдеры.
LEOnidUKG на форуме   Ответить с цитированием
Сказали спасибо:
Старый 17.09.2019, 17:20   #5
lobol
Дипломник
 
Регистрация: 11.11.2013
Сообщений: 53
Репутация: 10

ТопикСтартер Re: Content Security Policy при https

Когда в каком-либо рекламном коде есть картинка по протоколу http, и параметр block-all-mixed-content не установлен, хром убирает замочек возле адресной строки и пишет, что сайт не защищён, так на странице присутствует смешанный контент. По крайней мере так было где-то пол года назад.

Если блокировать смешанный контент, то получается, что показ рекламы по http не будет учтен. Это мои предположения. Поэтому видимо лучше установить upgrade-insecure-requests.

Просто хотелось услышать чей-либо опыт в данном вопросе.
lobol вне форума   Ответить с цитированием
Старый 18.09.2019, 08:52   #6
ezon
Профессор
 
Регистрация: 29.02.2012
Сообщений: 782
Репутация: -2666
Отправить сообщение для ezon с помощью Skype™
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Content Security Policy при https

Допустим у вас есть сайт, на котором вы показываете рекламу пользователям и честно зарабатываете деньги. И всё идёт хорошо, пока к вам не начнут ходит пользователи с заражёнными браузерами. Заражённый браузер будет подменять рекламу на вашем сайте на свою и показывать её пользователю. Как следствие — пессимизация со стороны поисковиков и падение дохода. Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке.
По сути Content Security Policy — это заголовок, который сервер отправляет браузеру. CSP лучше всего использовать в качестве углубленной защиты.
__________________
Кластеризатор ключевых слов - Группировка 20,000 слов за 1 минуту.
Калькулятор качества Title - Калькулятор качества заголовков
Генератор объявлений Google Ads - Генерируй сотни объявлений
ezon вне форума   Ответить с цитированием
Старый 18.09.2019, 12:59   #7
webliberty
Я не волшебник
 
Аватар для webliberty
 
Регистрация: 30.10.2010
Сообщений: 252
Репутация: 37098
Социальные сети

По умолчанию Re: Content Security Policy при https

ezon, для этого я как раз и устанавливал CSP несколько лет назад, но выше пишут, что на HTTPS можно обойтись.

Вопрос: могут ли зараженные браузеры пользователей подменять рекламу, если сайт на HTTPS?
webliberty вне форума   Ответить с цитированием
Старый 18.09.2019, 13:05   #8
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 22,900
Репутация: 2015264
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: Content Security Policy при https

Цитата:
Сообщение от webliberty Посмотреть сообщение
Вопрос: могут ли зараженные браузеры пользователей подменять рекламу, если сайт на HTTPS?
Могут. Но они и CSP правила тоже могут менять
LEOnidUKG на форуме   Ответить с цитированием
Старый 18.09.2019, 21:53   #9
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 18,341
Репутация: 1509260

По умолчанию Re: Content Security Policy при https

Цитата:
Сообщение от ezon Посмотреть сообщение
Если же вы введёте политику CSP на своём сайте, то чужая реклама уже не покажется конечному пользователю, потому что сервер с которого реклама будет пытаться загрузиться находится не в белом списке.
"Зараженные браузеры" в твоей страшилке плевать хотели и на CSP и на всё другое.
__________________
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Сказали спасибо:
Старый 26.09.2019, 01:03   #10
Alex Agent
Академик
 
Аватар для Alex Agent
 
Регистрация: 07.04.2011
Сообщений: 2,901
Репутация: 186937

По умолчанию Re: Content Security Policy при https

По моему опыту от CSP больше геморроя, чем пользы. Я активно внедрял CSP после того, как мне дважды ломали один из трафиковых сайтов и подключали JS-клоаку для слива мобильного трафика, а я месяц не мог найти дыру, через которую эти гады ходили, и настроил CSP, чтобы хотя бы Google с Яшей в поиске не банили. В конце-концов нашел (кривой устаревший модуль для WP), однако паранойя не давала отказаться от CSP.

Но на информационном сайте, который монетизируется тем же AdSense, РСЯ, товарными виждетами или тизерами часто возникает ситуация, что рекламная сеть подключает новый скрипт или CDN с картинками, а CSP дает им грузится и в итоге это приводит к снижению дохода. А мониторить это в логе ошибок CSP никакого времени не хватит.
__________________
Всему свое время. Все сами принесут и все сделают.
Быстрый и выгодный перевод денег Россия ↔ Украина онлайн.
Alex Agent вне форума   Ответить с цитированием
Сказали спасибо:
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны