Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса - страница 7 - Безопасность сайтов на Joomla

на моем что ли?

на моем что ли?

да ) остальные что-то забросили. Интересно, почему?
Тема старая, интерес был реальный, но так сложилось, что я к ней вернулся только месяца 2 назад. Тогда и заметил, удивился. Сделал свою поделку с плюшками всякими и доп. заголовками, не относящимися к CSP, но к безопасности. Пришлось все инлайн вырезать, свой загрузчик написал.

Интересно, почему?

не знаю меня выручила норм тогда с этими ссылками левыми. что правда я как то к ней тоже особо не возвращался больше, тогда еще настроил, и все. отследить эффективность тоже по сути никак не получается. ссылок нет, то понятно. а вот реально насколько оно на эффективность сыграло, т.е. насколько эти ссылки вредили... тут наверное не узнаешь никак... но думаю что с ними однозначно хуже чем без них

Я думаю, что это был временный глюк Яндекса, и он этот глюк в своих алгоритмах ранжирования уже устранил. Что говорить, если на таких сайтах, как, например, kremlin.ru используется инлайн, сам Яндекс использует инлайн, Google использует инлайн. Из коммерческих проектов — зашёл на Amazon, Komus, Ozon, LaModa, Sotmarket, Связной — и там инлайн, на сайтах крупнейших интернет-магазинов.

как знать, как знать... может просто краски несколько сгущены были, и поскольку все используют инлайн, и так в общей массе никто ничего и не переделал, то все как бы в равнозначных условиях и находятся. и по сути картина в индексе и не поменялась. но те, кто переделал и не использует - чуть чуть лучше становятся для поисковика точно все равно не узнаем.

P.S. а кстати, что вспомнил, еще один момент. я когда смотрел эти ссылки, инлайн использовался для внедрения очень редко. в основном проблема была из-за разрешенной frame-src.

P.P.S. и кстати еще, просто ради интереса. посмотрите у себя в метрике, есть такие ссылки?

но те, кто переделал и не использует - чуть чуть лучше становятся для поисковика Azn точно все равно не узнаем.

Сомневаюсь. Amazon, Komus, Ozon, LaModa, Sotmarket, Связной — эти ребята дерутся за каждую строчку в рейтинге, там поставленные на соответствующие должности люди за это отвечают головой и получают хорошие деньги.

P.P.S. и кстати еще, просто ради интереса. посмотрите у себя в метрике, есть такие ссылки?

Только те, которые есть на сайте.

ну значит вам повезло, и вас это не коснулось. а меня вот коснулось, у меня были уходы непонятно куда, и не мало. и я рассуждал очень просто: как повлияет это на поисковик, и повлияет ли вообще, я понятия не имею. но зачем мне на моем сайте какие то левые баннеры, по которым потенциальные клиенты вместо того чтобы товар купить - уходят, увидев голую тетю или что то типа такого? это мне абсолютно не нужно, независимо от того, как это повлияет на поисковики. настроил CSP, и левые уходы прекратились. я рад. поисковики - понятия не имею

сам Яндекс использует инлайн

ну они же и подняли проблему, и объяснили, почему вынуждены инлайн использовать. В теме где-то на статью ссылка была.
Хотя могли бы watch.js и переписать, не велика работа. Из-за одного скрипта, запретив инлайн, при этом вынужден был разрешить unsafe-eval.[тут всякие слова в их адрес]

Я думаю, что это был временный глюк Яндекса, и он этот глюк в своих алгоритмах ранжирования уже устранил

При чем тут глюк и алгоритмы Яндекса? Мне совсем не нравится мысль, что мой клиент, зайдя на мой сайт через зараженный браузер, видит баннеры с проститутками и увеличением разных органов. Он же считает, что это я разместил. Соответственно, бизнес сливается.
Это же написал dmitry_stas постом выше. Просто с мобильника еще утром прочел, не было возможности ответить.

отследить эффективность тоже по сути никак не получается

А почему отчет не пишите? Вообще его не делали, или есть, но отключили?

не не, я имел в виду другую эффективность. report-uri был, убрал просто со временем. так то все эффективно, все что надо работает, при этом все, что не надо - не работает
я имел в виду, что понять, дали ли мне поисковики за эти танцы какую нибудь плюшку - нет возможности к сожалению.

При чем тут глюк и алгоритмы Яндекса? Мне совсем не нравится мысль, что мой клиент, зайдя на мой сайт через зараженный браузер, видит баннеры с проститутками и увеличением разных органов. Он же считает, что это я разместил. Соответственно, бизнес сливается.

Да я не против и считаю, что это правильный подход, т.к. знаком с подобными вирусами и знаю, что большинству пользователей вычистить их с компьютера вообще не реально! И CSP представляется хорошим инструментом для предотвращения необоснованных отказов, а так же для изменения всего Интернета в лучшую сторону. Если бы большинство вебмастеров думало так же, то вирусописатели бы разорились.

Однако всё же я считаю, что не стоит доходить в этом вопросе до радикализма и блокировать инлайн. Картинки, фреймы, ресурсы — да, согласен, но не инлайн.

Даже без блокировки инлайна результат оказался очень хороший.

Даже без блокировки инлайна результат оказался очень хороший.

На вашем сайте в подписи не нашел CSP. Т.е. вы все же где-то используете? А то все молчат, как партизаны:

В подписи заброшенный блог для экспериментов. Использую на четырёх других сайтах.
Тема актуальна более чем. Например в кругах владельцев интернет-магазинов её используют, чтобы блокировать расширение яндекса, которое сманивает покупателей в другие магазины, подсовывая рекомендации где ещё этот товар можно купить.

Недавно кстати в блоге яндекса, когда была волна банов за кликджекинг, они советовали использовать csp, чтобы контролировать что у вас на сайте откуда может грузиться.

Хотя лично как по мне, реализация csp могла бы быть и попроще, типа как robots.txt файл, а то уж больно они замудрили.

Даже без блокировки инлайна результат оказался очень хороший.

да, так и есть, практически все внедрения были не инлайн скриптами. видимо так сложнее чем просто ифрейм вставлять.