Форум русской поддержки Joomla!® CMS
03.12.2016, 17:46:46 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3 4 5 6 7   Вниз
  Добавить закладку  |  Печать  
Автор

Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса

 (Прочитано 11108 раз)
0 Пользователей и 1 Гость смотрят эту тему.
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4378



« : 25.09.2014, 00:00:04 »

Предыстория такая:

- Пару недель назад на одном моём сайте полностью пропал трафик с Яндекса, все позиции в Яндексе упали в -20 -30.

- Техподдержка Яндекса сообщила, что произошло это по причине "На Вашем сайте нашими алгоритмами были зафиксированы перенаправления пользователей на сайты, связанные с смс-мошенничеством. Вероятнее всего источником подобных перенаправлений послужили реклама или ссылки, установленные на Вашем сайте. Возможно, страницы-дорвеи с подобными элементами были размещены на сайте без Вашего ведома."

- Сайт чист, вирусов нет, дорвеев нет, странных ссылок нет, проверено 10 раз! Уж я на этом деньги зарабатывал, фрилансив.

- Однако в Метрике в отчете Содержимое - Внешние ссылки есть непонятные переходы на всякие разводиловки вроде покера, cityadspix.com, gobongo. Проверьте у себя, и у вас они будут Wink



- Далее выясняется, что сайты вылетают с позиций в Яндексе и теряют посещаемость у многих: searchengines.guru/showthread.php?t=866823. Вылетают сайты с высокой посещаемостью, с рекламой и без, но чаще с рекламой. Все сайты чистые, ссылок этих (по которым переходят) на сайтах нет!

- Откуда же тогда берутся эти переходы, если на сайтах нет вирусов и нет ссылок? А переходы эти берутся с зараженных троянами и псевдо-дополнениями к браузерам компьютеров посетителей. Например ставит себе человек какой-нибудь vk-saver или Magic Player и вместо рекламы adsense и РСЯ он начинает видеть на всех сайтах голых женщин и покер, а если рекламы нет, то встраивается их ***-реклама прямо в футер или верхушку сайта. Примерно вот так:


И кто-то на этом зарабатывает миллионы...

Ходят эти зараженные посетители по вашему сайту, им троян подменяет вашу рекламу или срипты на тизеры, а эти товарищи кликают на них. А ваш сайт по новому алгоритму Яндекса http://webmaster.ya.ru/replies.xml?item_no=19327 улетает в бан до того времени пока клики и переходы не исчезнут. Ну то есть вы поняли - до навсегда.

Почему нужно с этим бороться?
1) Ваш сайт рискует получить санкции от Яндекса
2) Подменяя ваши блоки Adsense и РСЯ они крадут ваши деньги, которые вы не получаете с рекламы. А для многих - это единственных доход с сайта.

Как бороться с этим? Решение нашлось. Нужно указать в заголовке страницы, что ваш сайт должен грузить все скрипты с вашего домена и ниоткуда более. Для этого поможет директива Content-Security-Policy, к счастью она уже поддерживается всеми современными браузерами, а для WP и Drupal я даже нашел плагины, включающие ее на сайте. Эту директиву уже начали использовать всякие Facebook и Twitter, так чем мы хуже?

Плагин для Joomla от внедрения вредоносных скриптов в код страницы Content Security Policy для Joomla 2.5
http://www.joomla15.ru/files/plugins/item/plugins-for-joomla15/consecpolicy-joomla.html

Второй способ вручную через .htaccess:

Пример. Мы хотим запретить браузерам на нашем сайте загружать скрипты со сторонних сайтов, картинки разрешить с любых, frame и object - ни с каких.
Код:
Content-Security-Policy allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'

Вот генератор директивы: http://cspisawesome.com

Код для .htaccess:
Код:
# Security improvements
<ifModule mod_headers.c>
Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"
</IfModule>

В техподдержке хостинга узнавайте есть ли у них mod_headers, иначе может не работать.

Строку нужно модифицировать под себя, иначе сразу отрубаются всякие виджеты вконтакте, счетчики посещаемости и скорее всего CAPTCHA. Например, чтобы разрешить inline скрипты, нужно прописать script-src 'self' 'unsafe-inline', но это снижает безопасность.

p.s. это пока написано на скорую руку, будет дорабатываться.
« Последнее редактирование: 12.10.2014, 10:28:59 от ChaosHead » Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #1 : 25.09.2014, 00:15:22 »

Интересная тема. Можно через php добавить. Пока с мобилки, сложно гуглить
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4378



« Ответ #2 : 25.09.2014, 00:34:10 »

Ага, нашел поиском ссылку: http://php.net/manual/ru/function.header.php

Вот ещё нашлась полезная статья. http://habrahabr.ru/company/yandex/blog/206508/ Оказывается нюансов там очень много. Со всякими inline-скриптами и собственным пониманием как это работает у некоторых браузеров
« Последнее редактирование: 25.09.2014, 02:21:55 от ChaosHead » Записан
deadproof
Осваиваюсь на форуме
***

Репутация: +0/-0
Offline Offline

Сообщений: 33


« Ответ #3 : 25.09.2014, 03:51:53 »

Спасибо большое за статью. А как сделать, чтобы мою рекламу показывали? Также соц.сети, закладки? Я в этом вообще ничего не понимаю( Может платная консультация есть по отдельных сайтах?
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #4 : 25.09.2014, 04:06:32 »

Сайт киньте, плагин делаю.
Записан
daddy
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 117


« Ответ #5 : 25.09.2014, 08:53:49 »

Плагин - это было бы просто отлично! Потому что не все понимают как все это работает. А защититься от этой дряни хотелось бы.
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4378



« Ответ #6 : 25.09.2014, 14:07:36 »

Вот хорошая статья http://habrahabr.ru/company/yandex/blog/206508/, там разбираются некоторые нюансы работы этой штуки.
Записан
daddy
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 117


« Ответ #7 : 25.09.2014, 15:47:33 »

Еще лучше было бы разработчикам браузеров заранее предусматривать защиту от таких манипуляций злоумышленников. Возможно скоро выпустят обновления, в которых это станет невозможно делать. Главное чтобы все пользователи интернета своевременно обновились после выхода заплаток.

А эту тему закрепить не мешало бы на самом видном месте форума.
Записан
fsv
Практически профи
*******

Репутация: +330/-2
Offline Offline

Пол: Мужской
Сообщений: 2235


« Ответ #8 : 25.09.2014, 17:00:36 »

http://romka.eu/blog/vvedenie-v-content-security-policy
Цитировать
Однако, белые списки источников не защищают от инлайн скриптов — важнейшей угрозы от XSS-атак. Если атакующему удается внедрить в страницу тэг script со зловредным содержимым (<script>sendMyDataToEvilDotCom();</script>), то у браузера не будет механизма чтобы отличить его от легитимного тэга script. CSP решает эту проблему полным запретом inline-скриптов, это единственный надежный способ решить проблему.
......
Если вам действительно нужны инлайновые скрипты и стили, то вы можете разрешить их использование добавив 'unsafe-inline' в список разрешенных источников в директивы script-src и style-src. Но, пожалуйста, не делайте этого. Запрет инлайн скриптов это важнейшая мера защиты, предоставляемая CSP. Запрет инлайн стилей также делает ваше приложение более надежным. Потребуется немного усилий для избавления от инлайн скриптов, но эффект будет значительным.
J3.3 проверил тоталом вхождение «addScriptDeclaration» - 81 вхождение, из них:
сторонние – 28
дефолтные – 53 !

Joomla переписывать всю надо. Или забить на инлайн-скрипты, как Яндекс:

http://habrahabr.ru/company/yandex/blog/206508/
Цитировать
К сожалению, нам пока не удалось отказаться от unsafe-inline….Хоть такое правило и позволяет исполнять любой инлайн javascript на странице, мы можем обезопасить себя тем, что разрешаем соединение только с проверенными ресурсами.
Что-то как-то сомневаюсь насчет "можем обезопасить".
Записан
annushka
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Женский
Сообщений: 123


Joomla!


« Ответ #9 : 25.09.2014, 17:02:06 »

Плагин - это было бы просто отлично! Потому что не все понимают как все это работает. А защититься от этой дряни хотелось бы.
Присоединяюсь и замерла в скорбном ожидании.
Мою красу и гордость, кормильца, поильца  масла на дарницкий хлеб намазывателя из поиска вообще выкинули, а раньше в топ 5 по ключевым ниже четвертой позиции не опускался. На остальных, не столь хлебно-масленых сайтах, переходы на гобонго тоже имеются, только Яндекс до них еще не добрался. Но это, скорее всего, вопрос времени.
Общение же с Яндексом, как и всегда, сводится к получению стандартных отмазок от робота-копипастера.
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4378



« Ответ #10 : 25.09.2014, 17:29:13 »

Мне удалось поговорить там с человеком. Он говорит, что этот алгоритм работает автоматически, чтобы алгоритм пересмотрел позиции необходимо до двух недель, но возможно быстрее. Он говорит, что вручную они не могут ускорить этот процесс.
Записан
Rival
Осваиваюсь на форуме
***

Репутация: +16/-0
Offline Offline

Пол: Мужской
Сообщений: 189



« Ответ #11 : 25.09.2014, 17:32:49 »


Можно подробнее что куда писать.
Добавил в .htaccess
<ifModule mod_headers.c>
   Content-Security-Policy: "default-src 'none'"
</IfModule>

Но все работает, соц кнопки и CAPTCHA, что еще надо править?
Записан
annushka
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Женский
Сообщений: 123


Joomla!


« Ответ #12 : 25.09.2014, 17:40:46 »

Мне удалось поговорить там с человеком. Он говорит, что этот алгоритм работает автоматически, чтобы алгоритм пересмотрел позиции необходимо до двух недель, но возможно быстрее. Он говорит, что вручную они не могут ускорить этот процесс.

Ну они хоть проблему осознали? Поняли, что напортачили? Мне, правда, после нескольких дней копи-паста ответили, что проанализируют мой сайт и, если надо, внесут изменения в алгоритм. Жду вот.  Sad
Записан
ChaosHead
Профи
********

Репутация: +381/-10
Offline Offline

Пол: Мужской
Сообщений: 4378



« Ответ #13 : 25.09.2014, 17:43:06 »

Генерируй вот этим: http://cspisawesome.com
Эту директиву, как всегда, для разных браузеров по разному нужно прописывать. Этот генератор генерирует для всех возможных. Но я уже читал отзывы, что в Opera не работает.

В Default нужно разрешить Self и можно туда сразу писать все разрешенные хосты, чтобы слишком не мудрить, прописывая скрипты в одно, я стили в другое. Разрешенным - я решил разрешить всё. Google Api, виджеты контакта и счетчики посещаемости мне не будут ничего лишено встраивать, мне с ним бороться не надо.
Картинки - либо self если они только со своего сайта, либо all если с любого.
Скрипты, для Joomla нужно разрешить Inline, иначе половина не работает к сожалению Sad А это сразу снижает эффективность решения, но у меня нет возможности оценить на сколько.
Для стилей, зависит от шаблона. Если там стили прописаны в коде, то тоже нужно разрешить Inline.
Дальше зависит от сайта. Если вставляете что-то с YouTube, то и YouTube нужно разрешать.

Потом нужно посмотреть в FireBug заработало ли оно


Потому как на хостинге в Apache может быть не подключен mod_headers, который это решение использует.

Ну они хоть проблему осознали? Поняли, что напортачили? Мне, правда, после нескольких дней копи-паста ответили, что проанализируют мой сайт и, если надо, внесут изменения в алгоритм. Жду вот.  Sad

Даже если осознали, то их политика не позволяет разглашать им подобные вещи. Мне тоже такое писали, спецы по SEO говорят, что это хороший знак, но с этим апом результата пока нет, буду ждать и встраивать вот попутно всякие директивы)
« Последнее редактирование: 25.09.2014, 18:13:14 от ChaosHead » Записан
daddy
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Пол: Мужской
Сообщений: 117


« Ответ #14 : 25.09.2014, 23:37:16 »

Камрады, есть какие-нибудь подвижки в поиске противоядия от этой дряни? На серче вон уж за 100 рублей скрипт какой-то продают. Думаете туфта? Или может что-то стоящее? Может списаться с автором? И узнать, что он там придумал.
Записан
wishlight
Профи
********

Репутация: +200/-1
Online Online

Пол: Мужской
Сообщений: 3476


skype aqaus.com


« Ответ #15 : 26.09.2014, 08:50:45 »

А Яндекс тупит однако... Так и не научился отличать виновных от не виновных.
Записан
zikkuratvk
Профи
********

Репутация: +256/-2
Offline Offline

Пол: Мужской
Сообщений: 3929


Разрабатываем для Joomla


« Ответ #16 : 26.09.2014, 11:23:32 »

Свистните, если серега плагин не напишет... )) через htaccess хорошо конечно, но не всегда возможно
Записан
b2z
Support Team
*****

Репутация: +707/-0
Offline Offline

Пол: Мужской
Сообщений: 7517


Разраблю понемногу


« Ответ #17 : 26.09.2014, 12:19:58 »

Подписался Wink
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #18 : 26.09.2014, 12:59:58 »

Написал, сейччас опубликую
Записан
b2z
Support Team
*****

Репутация: +707/-0
Offline Offline

Пол: Мужской
Сообщений: 7517


Разраблю понемногу


« Ответ #19 : 26.09.2014, 13:17:26 »

Написал, сейччас опубликую

Ссылку не забудь оставить Wink
Записан
shurakana
Живу я здесь
******

Репутация: +48/-6
Offline Offline

Сообщений: 859



« Ответ #20 : 26.09.2014, 13:32:40 »

А по идее, я это уже давно замечал, приходишь к кому нибудь, а у него в конторе голые телки и покер.. Я говорю меняй браузер мол реклама неправильная.. ответ: это ты Неправильный - всегда такая была..))))

Как вы думаете, на всех сайтах работает? или смогли сделать только на популярные сайты и шаблоны? Ведь по сути, это скрипт, которому надо указать где появиться, а не просто "там" или "тут"..
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #21 : 26.09.2014, 13:34:45 »

Такс, статья недописана, нужны комментарии, тут или там...
Ссылка на загрузку - эх, надеюсь форум дорос до donateware
Записан
arma
Живу я здесь
******

Репутация: +61/-2
Offline Offline

Сообщений: 1247


« Ответ #22 : 26.09.2014, 13:43:33 »

Not Found
поправьте...
Если пойдёт на пользу и donate, и восславим Wink
Записан
zikkuratvk
Профи
********

Репутация: +256/-2
Offline Offline

Пол: Мужской
Сообщений: 3929


Разрабатываем для Joomla


« Ответ #23 : 26.09.2014, 13:49:50 »

правильная ссылка: http://www.joomla15.ru/files/plugins/plg_consecpolicy_102.zip
Записан
int-sam
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 10



« Ответ #24 : 26.09.2014, 13:52:52 »

voland, скажите данный плагин будет работать на Joomla 1.5.
Записан
zikkuratvk
Профи
********

Репутация: +256/-2
Offline Offline

Пол: Мужской
Сообщений: 3929


Разрабатываем для Joomla


« Ответ #25 : 26.09.2014, 13:53:01 »

стоит по дефоту добавить сразу:
Яндекс (сам Яндекс, и хостинг библиотек яндекс)
Google
YouTube
Вконтакте
Твиттер
Facebook
одноклассники
еще что-то что общеупотребительно для внешних подключаемых скриптов.
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #26 : 26.09.2014, 13:53:32 »

Not Found
поправьте...
Если пойдёт на пользу и donate, и восславим Wink
А что именно не найдено?
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #27 : 26.09.2014, 13:54:11 »

voland, скажите данный плагин будет работать на Joomla 1.5.
Нет, попозже сделаю для 3,0 и 1,5 если будет прок от плагина (и донаты ).
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #28 : 26.09.2014, 13:58:02 »

правильная ссылка: http://www.joomla15.ru/files/plugins/plg_consecpolicy_102.zip
Уже нет, кавычка не там стояла.. актуальная версия уже 1,0,3, кто установил - обновляйтесь стандартным механизмом
Записан
voland
Профи
********

Репутация: +487/-86
Offline Offline

Пол: Мужской
Сообщений: 8694


любит наш народ всякое гавно...


« Ответ #29 : 26.09.2014, 14:12:01 »

Отпишите список разрешенных доменов для скриптов, кто уже настраивал - включу в дефолт в след версию
Записан
Страниц: [1] 2 3 4 5 6 7   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet