Все ясно)))))
И так посмотрим, до кого мы можем донести о проблеме, чтобы те победили корень зла и все были счастливыми.
Донести проблему до браузеров? - done!
-- Они уже предложили CSP как одно и средств, хоть и сложно настраивается. Но они точно не собираются бороться с "рекламой", это совершенно не их задача.
Донести проблему до файлопомоек с расширениями браузеров? - done!
-- Они уже отмечают расширения метками "доверенный", "проверено" + рейтинги, комментарии и прочие писькамеры.
Другой вопрос что пользователь ставит заразу "на глазок" или вообще на фоне и бессознательно (это как с mail.ru Guard, никто специально не ставит а у всех есть =) ).
Донести проблему до ПС? - done!
-- Они просто опускают позиции и мы общаемся с Платоном.
Донести проблему до правительства (ну как вариант)? - done!
-- Они уже используют Роскомнадзор, банан-лист и wi-fi по паспорту.
Донести проблему до веб-разработчиков? - done!
-- Они уже написали тонны статей и везде предлагаю курить логи, мануалы и прописывать индивидуальные политики для каждого сайта. Сплошной гемор и ничему нельзя верить..
ИЛИ забить, ибо 100% невозможно достичь, нужно ждать маны небесной свыше, когда кто-нить зайдет и напишет супер-пупер модуль в 1 кнопку с защитой от всего и вся.
Донести проблему до зараженных юзеров? - done!
-- Они уже поставили касперский/др.веб/comodo/итд (нужное подчеркнуть) и свято верят, что у них все отлично, а левые баннеры и странные ссылки, беда верстки, всплывающая реклама - это беда сайтов, а не их компов. очень многие пользователи даже не подразумевают о adBlock, например. И в силу того что они знают компьютер на уровне как поиграть + зайти в ВК, то уверены (у них же стоит антивирус!),
что странное поведение сайта это проблема именно сайта, а не их компа.
так так так... На кого бы еще переложить ответственность...
хм... пока мы думаем, 1% пользователи смотрит на левые ссылки на наших сайтах и теряет доверие, а ПС "переживает" и опускает сайты.
--
Переход на левый сайт - это как раз следствие. Причина - несанкционированный доступ к DOM.
Почти невозможно переопределить все клики на валидные переходы и сверять с white-list т.к в JS даже alert() можно перегрузить.
Все просто - нужно использовать существующие технологии и не забывать проверять данные, периодически смотреть логи ну и прочее прочее...
Ждать гуру, который зайдет и скажет "как нада" или ждать когда выйдет 100%-е решения - точно не выход. Не бывает 100%.
Мир веба - это хрень, которая меняется каждый день. Через месяц выйдет в свет другая беда, и снова не будет надежного решения, а только кучка мелких рецептов и 2 заумных статьи на весь интернет.
--
PS Чет мы тут размусолили. Есть у кого-нибудь что еще интересного о CSP ? Мне стало интересно поковыряться в кишках браузера на обеде =)