Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса - страница 5 - Безопасность сайтов на Joomla

имхо, вся эта защита сводится на нет только лишь потому, что не получится отказаться от инлайн скриптов.

+ да.
пока и не смотрел на плагин, толку то время нет.
Было в теме "спасибо касперу". За что? Речь то не о наших компах, а о клиентских, если они фигню всякую на наших сайтах показывают, не будет на них каспера.
Также было "нужны инлан, без них реклама не пашет". Мне лично ... на эти сервисы. Понимаю, что тут много людей этим зарабатывает, но:
- %% использующих эти сервисы мал по сравнению со всеми сайтовладельцами, а вопрос то глобальный;
- при изменении возможностей движков эти все сервисы очень гибко и быстро подстроятся под "текущий момент", изменив свой код, клиентов никто терять не будет

b2z , Jooml'у будем переписывать ?

имхо, вся эта защита сводится на нет только лишь потому, что не получится отказаться от инлайн скриптов. соответственно, вирусы будут продолжать баловаться это должно решаться не на уровне сервера.

верно, можно на уровне сервера, но опять же потерей пользователей т.е. прямым запретом для таких, а в движке решение практически нулевое, решать надо на уровне клиентских машин

После не нужно, нужно до загрузки страницы сказать браузеру, чтобы он лишнего не грузил. Когда браузер уже всё загрузит, ему бесполезно будет об этом говорить.

Я бы вам советовал API Joomla изучить))) как раз такие вещи там легко реализованы с помощью JApplication

НО даже если вы будете до последнего тянуть отправку, то заголовку ничего не помещает, потому что любой вывод собирается с помощью ob_start() функции (или подобной)
а это значит, что контент раньше времени не перебьет http-заголовки.

имхо, вся эта защита сводится на нет только лишь потому, что не получится отказаться от инлайн скриптов. соответственно, вирусы будут продолжать баловаться это должно решаться не на уровне сервера.

Детские вторжения можно убрать (а это уже много), а для inline есть в протоколе 1.1 есть атрибут nonce.
Другой вопрос что его нужно генерировать аккуратно и уникально. Это можно, но сложно.

Сейчас пробую на своем пучке сайтов собирать логи репортов и для одного из сайтов добавил nonce на уровне плагина (just for fun)
Посмотрим что получится. Уже только за сегодня набрался более менее нормальный список исключений.

Детские вторжения можно убрать (а это уже много)

это да, это конечно. основная часть уйдет, по крайней мере на какое то время.

а для inline есть в протоколе 1.1 есть атрибут nonce.
Другой вопрос что его нужно генерировать аккуратно и уникально. Это можно, но сложно.

ну получить токен и внедрить js с ним тоже не особо сложно но я даже не о том. просто... ведь даже если предположить, что весь этот замес с CSP получится, то все равно есть вирусы, которые делают подмену перехода по ссылкам. т.е. не рекламный блок, на который пользователь кликает осознано, как в данном случае, а вполне себе обычная внутренняя ссылка. только при клике на нее открывается немного не то, что планировалось имхо, эта проблема не может быть решена на уровне сервера. это должен быть комплекс мер от всех участников цепочки - поисковиков, браузеров и т.д.

это да, это конечно. основная часть уйдет, по крайней мере на какое то время.

ну получить токен и внедрить js с ним тоже не особо сложно но я даже не о том. просто... ведь даже если предположить, что весь этот замес с CSP получится, то все равно есть вирусы, которые делают подмену перехода по ссылкам. т.е. не рекламный блок, на который пользователь кликает осознано, как в данном случае, а вполне себе обычная внутренняя ссылка. только при клике на нее открывается немного не то, что планировалось имхо, эта проблема не может быть решена на уровне сервера. это должен быть комплекс мер от всех участников цепочки - поисковиков, браузеров и т.д.

До этих времен еще жить и жить, и ваша идея довольно мутна. Как раз браузеры ничего лучше для разработчиков не предложат (их сдерживают w3c спеки, например, итд). Хорошо, что CSP есть.
Если ничего не делать, то 0.5-1% пользователей (что довольно таки дохрена в масштабах интернетов) думают что ваш сайт - это кучка рекламных ссылок с возможно убитой версткой.

Откуда я взял этот процент? посмотрел статистику левых кликов на jbzoo.ru за месяц в метрике.
Это при том что сайт ориентирован на веб-разработчиков, которые вроде как следят за своими браузерами и держат вирусов в узде.

А что происходит на сайтах где целевая аудитория мамаши?  

---

Еще интересный факт. Я тут малеха по изучал вопрос заражения браузера.
Так вот, понятия не имею как, но в последнем почти в пустом Chrome 37 показывается реклама, если в IE11 стоит левое расширение. Как это связано, не понятно. это писец...
На компе стоит последний win7 + comodo. В касперский (да и в принципе в антивирусы) я особо не верю, после некоторых эпикфейлов с ним. Не видят очевидные заражения...

+ забавно что рекламные ссылки подбираются тематические (50 / 50). Например на jbzoo.ru мелькают левые ссылки на студии по созданию сайтов (включая английские).
эти ссылки я собрал уже за сегодня-вчера по репортам CSP.

---
Яндекс скорее всего видит внешние клики и негодует.
Но не смотря на ажиотаж вокруг всего этого на форумах, проблеме уже года 1,5 и как бы все что тут говорим - это ни разу нонсенс.
Просто у кого-то недавно прорвало и тему подхватили другие.

---
в перспективе то есть о чем поразмыслить на досуге

Да такими темпами дойдёт до того, что будут полностью фейковые сайты людям показываться. Заходит человек на какую-нибудь веб-студию в контакты, а ему они подменяются от другой студии. Теневой интернет.
А прорвало от того, что Яндекс многим понизил сайты, вот и начали вебмастера придумывать как с этим бороться.
Тема теперь ушла в широкие массы и таких ушлых появится ещё раз в десять больше. Каждый производитель плагина подумает а чего бы тоже не навариться, как другие.

Да такими темпами дойдёт до того, что будут полностью фейковые сайты людям показываться. Заходит человек на какую-нибудь веб-студию в контакты, а ему они подменяются от другой студии. Теневой интернет.
А прорвало от того, что Яндекс многим понизил сайты, вот и начали вебмастера придумывать как с этим бороться.
Тема теперь ушла в широкие массы и таких ушлых появится ещё раз в десять больше. Каждый производитель плагина подумает а чего бы тоже не навариться, как другие.

Помню в школе, когда я первый раз в жизни вышел в диалапный интернет, увидел рекламный сайт с желтыми заголовками.
Я на полном серьезе думал что этот сайт - это случайность пучины интернета, какое-то автоматическое детище "скайнета", образованное без какого-либо вмешательства человека.
Частично я оказался прав))))

---
А если по теме, то подмена ссылок это уже тоже не ново.
Это уже было в симпсонах на хабре - http://habrahabr.ru/company/kidsreview/blog/224797/

До этих времен еще жить и жить, и ваша идея довольно мутна. Как раз браузеры ничего лучше для разработчиков не предложат (их сдерживают w3c спеки, например, итд). Хорошо, что CSP есть.

так а я и не имею в виду, чтобы браузеры придумали что то новое для разработчиков. понятия не имею, кого там что сдерживает, но 99% рекламных баннеров в браузерах - это не вирусы, которыми браузер заразился, и сам уже ничего не может с этим поделать, а такие вполне себе обыкновенные дополнения под браузер, которые сам же браузер разрешил поставить. и разработчика сайта разве задача влиять на то, что устанавливает пользователь, и как он этим пользуется? если браузер разрешает подмену контента на странице, то как может повлиять на это разработчик сайта? ровным счетом никак абсолютно. так что я и не жду вовсе, что они предложат что то новое мне. они должны предложить это себе.

Если ничего не делать, то 0.5-1% пользователей (что довольно таки дохрена в масштабах интернетов) думают что ваш сайт - это кучка рекламных ссылок с возможно убитой версткой.

не мой, а все, которые они просматривают.

Яндекс скорее всего видит внешние клики и негодует.

ссылок он не видит. ибо зараженным браузером Яндекс не пользуется он видит переходы по ссылкам. и если уж и пытаться решить эту проблему, то мне кажется решать ее именно в этом направлении - блокировать переходы. ибо вся эта свистопляска с CSP ни о чем. ради интереса посмотрел статистику переходов с сайтов, у которых нет ни рекламы, ни партнерок, ничего такого. так вот, переходы на левые ссылки все равно есть. откуда? да элементарно: как я уже говорил, есть достаточное количество вирусов/баннеров, которые подменяют ссылки. а есть такие, которые добавляют в хеадер/футер сайта обыкновенные текстовые ссылки по тематике сайта, только опять таки ведущие не туда. и пользователь по ним кликая ожидает увидеть абсолютно другое. а есть еще подмена днс, когда юзер переходя на сайт на самом деле попадает туда через прокси, и видит уже несколько другой контент... как эту проблему решает CSP? никак. так что... без согласованной общей работы над этим вопросом браузеров, поисковиков и прочая 100% победить нифига не получится

Мой, ваш, все... игра слов. Меня лично волнует только мой сайт и не хочется чтобы на нем вылазила зараза, даже если пользователь "привык"

Про Яндекс я метафорой сказал, что он "видит". Конечно же через счетчики, та же метрика итд. Думаю вы это поняли и просто докапываетесь до слов

А знаете ли вы что не обязательно зараженный браузер показывает это как расширение и не обязательно установка требует подтверждения пользователя
Вообще я думал мы тут о тех вещах говорим, которые DOM меняют (подмена ссылок и прозрачные дивы, например), а не статической картинке в уголке.

А причем тут DNS и прочее ? CSP не решает все проблемы подряд, только управляет политикой загрузки внешней статики.
100% защиты нет, не было и никогда не будет. На каждую изумительную защиту найдется более хитрый взлом, который будет закрыт еще более изощренной зашитой. И так до бесконечности.

НО это не значит что нужно забивать на один из инструментов защиты, только потому что он не закрывает от того что в принципе не должен.

Мой, ваш, все... игра слов.

я не о том, чей именно. я о том, что это будет на всех сайтах, и если пользователь "привык", то разработчик сайта повлиять на это не сможет.

Думаю вы это поняли и просто докапываетесь до слов

опять я не о том вы не поняли я имел в виду, что поскольку он не видит самих ссылок (т.е. эту проблему мы не решаем), а видит только переходы, то и решать надо проблему именно с переходами. а не с запретом показа ссылок.

Вообще я думал мы тут о тех вещах говорим, которые DOM меняют

так я об этом и говорю. причем тут статичная картинка? на переход с нее яндексу параллельно

НО это не значит что нужно забивать на один из инструментов защиты, только потому что он не закрывает от того что в принципе не должен.

так в том то и проблема, что в контексте обсуждаемой проблемы он особо ни от чего не закрывает. плагин браузерный имеет доступ к заголовкам. он вполне может их подменить. плюс плагин не попадает в принципе под действие CSP. при желании он может делать с DOM все, что ему захочется. а исходя из распределения процентов, приходящихся на плагин и вирус - смысла в CSP мягко говоря не много это имхо.

Сансей, мы ждем ваших предложений

ps что-нить конкретного, без общих слов

осталось вот только сэнсэя дождаться если вы меня имеете в виду, то 100% решения на стороне разработчика сайта я не знаю. знал бы - уже сказал бы но к сожалению...

вы все верно сказали -  конечно же не нужно пренебрегать CSP. он прекрасно справляется с XSS-атаками в чистом виде. но вот реклама... надо бороться с причиной, а не с ее следствием. пытаться донести проблему до производителей браузеров. до поисковиков. только их консолидированное и адекватное поведение может побороть эту напасть. все остальное - временно и не 100%.

по поводу блокировки внешних переходов - можно подумать. т.е. пойти от обратного - белый список, куда можно переходить. но навскидку я тоже не могу сказать решения.

Все ясно)))))
И так посмотрим, до кого мы можем донести о проблеме, чтобы те победили корень зла и все были счастливыми.

Донести проблему до браузеров? - done!
 -- Они уже предложили CSP как одно и средств, хоть и сложно настраивается. Но они точно не собираются бороться с "рекламой", это совершенно не их задача.

Донести проблему до файлопомоек с расширениями браузеров? - done!
 -- Они уже отмечают расширения метками "доверенный", "проверено" + рейтинги, комментарии и прочие писькамеры.
Другой вопрос что пользователь ставит заразу "на глазок" или вообще на фоне и бессознательно (это как с mail.ru Guard, никто специально не ставит а у всех есть =) ).

Донести проблему до ПС? - done!
 -- Они просто опускают позиции и мы общаемся с Платоном.

Донести проблему до правительства (ну как вариант)? - done!
 -- Они уже используют Роскомнадзор, банан-лист и wi-fi по паспорту.

Донести проблему до веб-разработчиков? - done!
 -- Они уже написали тонны статей и везде предлагаю курить логи, мануалы и прописывать индивидуальные политики для каждого сайта. Сплошной гемор и ничему нельзя верить..
ИЛИ забить, ибо 100% невозможно достичь, нужно ждать маны небесной свыше, когда кто-нить зайдет и напишет супер-пупер модуль в 1 кнопку с защитой от всего и вся.

Донести проблему до зараженных юзеров? - done!
 -- Они уже поставили касперский/др.веб/comodo/итд (нужное подчеркнуть) и свято верят, что у них все отлично, а левые баннеры и странные ссылки, беда верстки, всплывающая реклама - это беда сайтов, а не их компов. очень многие пользователи даже не подразумевают о adBlock, например. И в силу того что они знают компьютер на уровне как поиграть + зайти в ВК, то уверены (у них же стоит антивирус!),
что странное поведение сайта это проблема именно сайта, а не их компа.


так так так... На кого бы еще переложить ответственность...
хм... пока мы думаем, 1% пользователи смотрит на левые ссылки на наших сайтах и теряет доверие, а ПС "переживает" и опускает сайты.

--
Переход на левый сайт - это как раз следствие. Причина - несанкционированный доступ к DOM.
Почти невозможно переопределить все клики на валидные переходы и сверять с white-list т.к в JS даже alert() можно перегрузить.

Все просто - нужно использовать существующие технологии и не забывать проверять данные, периодически смотреть логи ну и прочее прочее...
Ждать гуру, который зайдет и скажет "как нада" или ждать когда выйдет 100%-е решения - точно не выход. Не бывает 100%.

Мир веба - это хрень, которая меняется каждый день. Через месяц выйдет в свет другая беда, и снова не будет надежного решения, а только кучка мелких рецептов и 2 заумных статьи на весь интернет.

--
PS Чет мы тут размусолили. Есть у кого-нибудь что еще интересного о CSP ? Мне стало интересно поковыряться в кишках браузера на обеде =)

Все ясно)))))

это же здорово и мне тоже

Переход на левый сайт - это как раз следствие. Причина - несанкционированный доступ к DOM.

а я о чем? я ж об этом и говорю. только как в этой борьбе поможет CSP - ума не приложу не считая конечно XSS в чистом виде из-за дыр в безопасности.

только как в этой борьбе поможет CSP - ума не приложу не считая конечно XSS в чистом виде из-за дыр в безопасности.

А что делать? Тестить нужно.
Посмотрю логи за неделю-две, потом может полезный пост накидаю.

Появилась идея снизить порог вхождения в CSP.
Все разрешенные вынести в default-src, а изображениям разрешить img-src *
Строка приобретает более простой вид:

Content-Security-Policy   default-src 'self' moydomen.ru 'unsafe-inline' 'unsafe-eval' data *.googleapis.com *.yandex.ru *.zopim.com *.yastatic.net *.google.com *.googlesyndication.com *.googleapis.com *.twitter.com *.facebook.net *.facebook.com *.youtube.com *.youtube-nocookie.com getdirect.ru *.mail.ru *.twitter.com *.facebook.com *.cloudflare.com yastatic.net vk.com *.vk.com https://vk.com *.rambler.ru *.yastatic.net *.gstatic.com *.yandex.st *.googlesyndication.com *.youtube.com *.mail.ru *.google-analytics.com https://www.google-analytics.com googleads.g.doubleclick.net; img-src *;

И становится куда удобней для редактирования и как я предполагаю не теряет в безопасности т.к. мы ничего не потеряем, если разрешим что-то лишнее яндексам-твиттерам и доверенным сайтам. Нужно только протестировать в разных браузерах. Так мне кажется хотя бы есть шанс, что больше людей с этим разберется.

Заметил что популярные сервисы, которым доверяем, лучше добавлять в 2 строки

Ибо первая строка подразумевает именно 80 порт

Именно, а вконтакте оказался самый заковырястый. Ему пришлось разрешить и домен и поддомены и https. Это чтобы работал встраиваемый виджет сообщества и соц кнопки.

vk.com *.vk.com https://vk.com

Именно, а вконтакте оказался самый заковырястый. Ему пришлось разрешить и домен и поддомены и https. Это чтобы работал встраиваемый виджет сообщества и соц кнопки.

Как вы определили "заковыристость" ? =)

По количеству того, что ему понадобилось разрешить)))

По количеству того, что ему понадобилось разрешить)))

Лучше смотрите отчеты, которые отправит браузер на request-uri

Лучше смотрите отчеты, которые отправит браузер на request-uri

да, там много интересного

а как думаете, что в отчете означает сие:

[blocked-uri] => http://tvintegrationlb-1934379260.us-west-1.elb.amazonaws.com
[source-file] => http://code.jquery.com

? так же не предусмотришь всего. и зачем мне интересно jQuery пытается грузить с левых сайтов?

P.S. кстати вынужден признать, что вероятно был не прав в утверждении о соотношении вирусов и рекламных браузерных плагинов. по крайней мере применение CSP даже без инлайновых скриптов очень положительно отражается на статистике переходов на левые ссылки. они конечно не исчезли совсем, но их количество значительно снизилось. хотя может мало времени прошло, и так просто совпало...

Даже jQuery лучше у себя держать. К тому же недавно их cdn ломали.

А грузится вообще ужас что и это только кусочек лога за сутки =)


Поэтому нужно сначала все запретить, а потом разрешить только нужное.
Хороший пример у yandex почты

мне надоело разбираться в этой длинной строчке чужих хостов и я накидал скрипт на коленке http://jbdump.org/tools/index.php?page=csp

Кстати, может кто-нить знает популярные сайты где можно посмотреть примеры?
К моему удивлению это большая редкость, что наталкивает на мысли...

Хороший пример у yandex почты

Гугля не хватает яндексу Google не друг

У Google свой подход))
Если Яндекс сначала банит, а потом разрешает, то Google просто разрешает.

кстати вот подумал, что на основе report-uri можно юзера оповещать о том, что у него подозрительные звери живут. мало ли, вдруг сознательный попадется и отреагирует может еще потом и сайтовладельца отблагодарит

кстати вот подумал, что на основе report-uri можно юзера оповещать о том, что у него подозрительные звери живут. мало ли, вдруг сознательный попадется и отреагирует может еще потом и сайтовладельца отблагодарит

А вот это интересная идея!

Рискуете отпугнуть пользователей

никак не могу понять. вот из лога:

[blocked-uri] => http://awaps.yandex.ru
[source-file] => http://mc.yandex.ru

т.е. я просто про сам принцип - надо указывать и разрешенные для разрешенных? или как? понятно, что в данном случае можно указать *.yandex.ru. но а если он решит обратится не на свой домен?

по поводу

Заметил что популярные сервисы, которым доверяем, лучше добавлять в 2 строки
Код:
*.google.com
https://*.google.com

Ибо первая строка подразумевает именно 80 порт

можно попробовать вот такую конструкцию:

*.google.com:*