Компонент CSP для InstantCMS

ну ребятки я конечно по сравнению с вами полный профан, но развели спор, спасибо конечно что подключились в обсуждение
итог один, проблема существует — это факт, и даже сертификат не спасает
конечно если сайт с небольшой посещаемостью, то есть csp или нет особой роли не играет. Как сказал Саша один-два перехода на сторонний ресурс это чепуха. Но если внедряется код, тем более с ссылками на непонятные сайты, это не есть гуд для сайта в целом. Тем более прогресс у нехороших дядь тоже не стоит на месте, может придумают что то для обхода и ssl и csp. Будем надеяться что нет
Однозначно политика безопасности на сайте должна присутствовать изначально, и если такой функционал появится в интстанте это только на пользу движку.

В общем обращаться нужно к энтузиастам, что бы это воплотить, а так ручками)

ValeraK, у вас то много таких переходов? Интересна просто статистика.

Думаю Евгений не скоро мне даст фактуру, что весь мир использует это, поэтому придётся озаботиться проверкой самому. Вот и данные об использовании, 0.1 % сайтов, как и предполагал. yadi.sk/i/SWtcoxaQ3MoXmf

Теперь к вопросу о бесплатном Lets Encrypt — yadi.sk/i/IsVZsy2N3MoXw5 тоже думаю видно, что использование растёт сильно. Хотя пока он стоит на 2.8% сайтов.

Однозначно политика безопасности на сайте должна присутствовать изначально, и если такой функционал появится в интстанте это только на пользу движку.

Не всё так просто в этом деле. Основная проблема, это как правило спамеры, а это уже никак не движок. Редко очень было, чтобы какой то пробел в безопасности находился и то сразу устранялся. Но если появится CSP думаю будет неплохо, хотя для неопытных веб мастеров трудно будет понять, почему например своя реклама не подтягивается.

ValeraK, у вас то много таких переходов? Интересна просто статистика.

Думаю Евгений не скоро мне даст фактуру, что весь мир использует это, поэтому придётся озаботиться проверкой самому. Вот и данные об использовании, 0.1 % сайтов, как и предполагал. yadi.sk/i/SWtcoxaQ3MoXmf

Теперь к вопросу о бесплатном Lets Encrypt — yadi.sk/i/IsVZsy2N3MoXw5 тоже думаю видно, что использование растёт сильно. Хотя пока он стоит на 2.8% сайтов.

Однозначно политика безопасности на сайте должна присутствовать изначально, и если такой функционал появится в интстанте это только на пользу движку.

Не всё так просто в этом деле. Основная проблема, это как правило спамеры, а это уже никак не движок. Редко очень было, чтобы какой то пробел в безопасности находился и то сразу устранялся. Но если появится CSP думаю будет неплохо, хотя для неопытных веб мастеров трудно будет понять, почему например своя реклама не подтягивается.

ну тоже проскальзывают один-два на сайтах без ssl, но не сказал бы что их посещаемость бешеная к сожалению( честно и не собирал статистику как таковую, обращал просто внимание, но не придавал значения до поры до времени. на защищенных вообще такого не наблюдал. поплевал, где там дерево)

Мы тут о уже внедренных технологиях и работающих во всю. А вскоре будет обязательным для открутки рекламы иметь технологию Ads.txt.
Гугл вписался в первых рядах, рекламодатели в акции бросились

Рекламодатели требуют от площадок ускорить внедрение протокола Ads.txt – решения, которое позволяет искоренить мошенничество и повысить прозрачность в programmatic за счёт регистрации авторизированных продавцов рекламы. Покупатели рекламы недовольны той скоростью, с которой площадки внедряют новое решение. Теперь они близки к ультиматуму: или же издатели добавляют публичный список авторизированных продавцов и реселлеров, или же компании прекращают с ними сотрудничать.

Технология iabtechlab.com/ads-txt/ ( www.searchengines.ru/iab-ads-txt.html ) — тут представление только, анонс. Остальное не трудно найти, как и главенство гугла в этом вопросе и его эксперименты на своих и чужих сервисах, включая ютуб.
Так как гугл выявил кучу вариантов подмен и тд и тп вскоре будет просто обязательным внедрение на сайтах.
Пруфы кидать не буду, найти не сложно в буржунете и гугл блоге. Все технологии обсуждаемые в этом топики, включая последнюю Ads.txt будут обязательны к использованию. И тут тедем! если до сих пор не коммерции было возможно работать без ssl, да собственно как и работали раньше, без серьезной просадки и еще рекламу откручивать. С принятием выше перечисленного даже рекламы не будет, не говоря о варнингах от браузеров.

Помниться с началом внедрения сертификатов мы тут спорили, и часть "да ну его рассосется". И сейчас спорить начнем о нужности или фигня все?
Мое мнение такое, нет готового решения для системы, а обезопасить сайт надо, заказывать у разработчиков. Тестить и выйти на сто проц рабочее, при правильных настройках и реализации, все работает без проблем.

Лучше один раз написать компонент, чем неделю о нем спорить)

@SmartControl, Вы меня поразили, зе бест!
Жаль интересы сейчас не пересекаются мои и заказчиков.

Лучше один раз написать компонент, чем неделю о нем спорить)

Гиковская игрушка скорее. Даже почитал страниц 40 на серче, вдруг думаю ошибаюсь и статистика в 0.01% сайтов которые используют эту технологию не показатель, но увы в теме сплошные проблемы.

Для себя понял, что установка этого влечёт за собой:

— Падение траффика
— Проблемы с соц сервисами
— Проблемы с метриками итд, например вебвизор
— Проблемы с просмотрами страниц
— Настройка кучи правил
— Проблемы с рекламой

Ну и плюс очень низкая эффективность. Как правило вреденосные расширения живут в браузере пользователя и технология защиту от них не даёт. В общем умершая технология на данный момент.

Последние страницы обсуждения на серче) yadi.sk/i/XhVMZOFK3MqNwS так собственно и есть.

Ну и правильно. Adsense как будут настраивать? Поставьте код.

У меня на вордпресс сайтах с CSP и adsense, и реклама от Яндекса (Инстант ничем не хуже, код CSP одинаковый для всех). И тизеры где-то были. технология никак не ограничивает в подключаемых скриптах. Просто нужно их все указать.
Придется поверить на слово, я проверил работоспособность и убрал адсенс. Чтобы гугл не ругался — сайт не соответствует правилам программы. Демо он и есть демо..

— Падение траффика

не понимаю в честь чего трафик должен упасть. Надо фейсбуку с твиттером (и заодно гуглу с яндексом — их почта там же) сообщить, а то они до сих пор с CSP..

— Проблемы с соц сервисами

Никаких. На сайтах и группы ВК, и фейсбук и социальные кнопки… Все настроено и работает несколько лет. Это я для Инстанта только сейчас написал, на всех живых сайтах давно это использую и проблем нет. Настроил и забыл.

— Проблемы с метриками итд, например вебвизор

Можно почитать инструкцию от Яндекса — тут и настроить корректно.

— Проблемы с просмотрами страниц

Сказки)) В чем проблемы то с просмотром фейсбука и твиттера? — может они правда не в курсе?

— Настройка кучи правил

Эхх… сайты вообще сложная штука. Тут не поспоришь. Правила настраиваются один раз.

— Проблемы с рекламой

Яндекс реклама, адсенс, тизеры и тд — все работает, проблем нет.

----------
На 90% все это мифы и сказки, на оставшиеся 10% — кривые руки. Эту технологию внедряют у себя самые продвинутые в технологическом плане компании — Google, Facebook, Twitter. Это не просто чьи-то "гиковские игрульки".

Не хотите в этом разбираться — ваше дело. Но зачем других-то отговаривать)

PS ухожу из темы, ни к чему новому мы уже не придем… А спорить что лучше — счеты или калькулятор смысла мало. На инстанте механизм такой уже есть, кто захочет — настроит у себя.

Последние страницы обсуждения на серче)

Это всего три поста со ста страниц которые в теме есть))
Плюс последнее обновление у гугла от Last updated Август 9, 2017. developers.google.com/web/fundamentals/security/csp/
Плюс развитие в браузерах, поддержка вот тут будет о этом разговор developer.chrome.com/devsummit/
Сейчас нет пруфа на описание поддержки(не правильное слово подобрал) и тд в хроме новых версий, но там обширный документ от гугл.

И конечно, пока все не отладить и не настроить будут косяки, так со всем и опять же куда пойдет и как развитие этого дела или то, что выше привел, нам не угадать))
Но все что мы знаем про гугл, это то, если внедрили что то, то дожмут весь инет, а они в этой теме впереди планеты всей :)

Просто нужно их все указать.

Что правда все придется тыкать?)

Надо фейсбуку с твиттером

Смешно) Тут у всех именно сайты такого уровня.

На 90% все это мифы и сказки, на оставшиеся 10% — кривые руки.

Ваши цифры с потолка. Я уже раз это доказал приведя четкую статистику использования. Роста нет и в итоге вы заявляли что весь мир использует — оказалось что 0.1% сайтов всего)

А как же ответ на:

Как правило вредоносные расширения живут в браузере пользователя и технология защиту от них не даёт.

Да и в других ответах лукавство есть, но думаю надо время. Счас все кто читать не любят, кинутся ставить, вот там будет весело)

Это всего три поста со ста страниц которые в теме есть))

Дак вы почитайте возьмите всю тему. Там четко: проблема после установки, как установить, проблема после установки и потом вообще затихло, ибо дошло что технология просто игрушка.

Но все что мы знаем про гугл, это то, если внедрили что то, то дожмут весь инет :)

Ну без сказок давайте) гугл не обьявлял что это стандарт, как например ssl, просто сделал описание, на то он и гугл.

просто сделал описание, на то он и гугл.

И просто так выпустил валидатор csp-evaluator.withgoogle.com/ и просто так внедряет в браузер не вчера и просто так будет акцентировать на dev summit 2017
:)
Поживем увидим.))

И просто так выпустил валидатор csp-evaluator.withgoogle.com/ и просто так внедряет в браузер не вчера и просто так будет акцентировать на dev summit 2017
:)
Поживем увидим.))

Увидим да. Сама суть: прописывать что разрешено противоречит здравому смыслу. Как вы оба не замечаете то: CSP не защищает от распространенного заражения через расширение в браузере, так как там приоритет выше.

Это как схема орг, тоже поисковики тащили тащили, еще что то приделывали, в итоге никому не нужно оказалось.

Это как схема орг, тоже поисковики тащили тащили, еще что то приделывали, в итоге никому не нужно оказалось.

Но коммент, как и на все дальнейшее в этой теме кроме компонента :)
Компонент представлен его автором, а решать ставить или нет будет каждый для себя исходя из информации и необходимости. На холивар время нет.