Включаем Content-Security-Policy в Joomla или улетаем с позиций по новому алгоритму Яндекса - страница 2 - Безопасность сайтов на Joomla

yandex.ru
yastatic.net
vk.com
vkontakte.ru
Google.com
googlesyndication.com
googleapis.com
twitter.com
facebook.net
facebook.com
ok.ru
youtube.com
youtube-nocookie.com

первое что пришло в голову)) возможно надо еще что-то добавить))

А как узнать, что все работает нормально после установки плагина? Только по статистике? Если у меня нет заражения в браузере и мне не увидеть картинки этих воришек?
И да, еще - поля справа, что в них должно быть прописано, чтобы плагин работал правильно? Или смотреть туда не нужно? Просто установить плагин и все?

После установки плагина перестали показываться блоки РСЯ и Adsense. Что нужно сделать, чтобы они появились?

P.S. денежку скинул.

Ну да, по статистике.
Или установить себе этот вирус.
Кстати, скиньте его ктонить на тесты :-)

Ну да, по статистике.
Или установить себе этот вирус.
Кстати, скиньте его ктонить на тесты :-)

После установки пропали Адсенс и РСЯ. Как их вернуть??

Вообще - лог в инспекторе Хрома показывает что заблокировано, там виден адрес домена.

В Chrome - правая кнопка - просмотр кода элемента, далее идем на вкладку Network, жмем F5 и смотрим что заблокировано внизу, вписываем через пробел домены в script параметр плагина.

Вообще - лог в инспекторе Хрома показывает что заблокировано, там виден адрес домена.

В Chrome - правая кнопка - просмотр кода элемента, далее идем на вкладку Network, жмем F5 и смотрим что заблокировано внизу, вписываем через пробел домены в script параметр плагина.

Я извиняюсь, а на русский это как перевести? К огромному сожалению, не все являются веб-программистами, некоторые, типа меня, в этом мало что понимают. Можете сказать - что и где прописать, чтобы адсенс и рся снова появились? Все остальное вроде работает.

Я ж по русски написал! Даже смотрел точные названия!

Подписался

не хотите описать проблему в Joomla ? чтобы все инлайн-скрипты(стили) в отдельные файл(ы) вынесли. заодно хороший повод совсем мутулз похоронить.
+чтобы донесли про инлайн-скрипты до всех, кто хочет на JED размещаться

Прощу на 1.5. У меня еще комментарии от cackle.ru с авторизацией во всех соцсетях, от жж и до твиттера, Google плюса, моего мира и прочего. Директ тоже как-то надо в исключения добавить, наверное.

Ах да, а через PayPal благодарность отослать кнопочки нету? 

Вот и скидывай пожертвования на развитие, чтобы тебе потом вот так объяснили (((...печально...
Из тех, кто делает сайты на Joomla, таких как я плохо разбирающихся во всех этих скриптах, думаю большинство.
Зачем плагин, если он отключает адсенс и рся, а на вопрос что делать от тебя просто вежливо отмахиваются.
Приложите какие-нибудь разъяснения к нему тогда чтоль. Или на сайте своем напишите пару строчек.

Стоп-стоп стоп!
Я бесплатно посвятил одному вашему сайту в аське минут 10-15.. несколько часов на написание плагина, сейчас хочу поставить на виртуалку винду, заразить и поизучать, уйдет еще много часов, а вы (по своему желанию) скинули 100 рублей, это меньше 10 минут по моей таксе и хотите чтоб я еще один сайт настроил, более того, не видя его - отыскивать в Google у кого же там стоит РСЯ и сколько вариантов кода...

Плагин (пока) для тех кто понимает что делает, вот соберу статистику, добавлю популярные домены, сделаю инструкцию - будет проще, но всему своё время.. И да, пока и со стимулами всё плохо.

Прощу на 1.5. У меня еще комментарии от cackle.ru с авторизацией во всех соцсетях, от жж и до твиттера, Google плюса, моего мира и прочего. Директ тоже как-то надо в исключения добавить, наверное.

Ах да, а через PayPal благодарность отослать кнопочки нету? 

Под 1.5 - только после тестирования эффективности версии под 2.5, окажется полезной - сделаю
А можно исключения в виде списка доменов?
PayPal можно отправить на sales@webstudio.pro, у Яндекса видимо нет такого.

не хотите описать проблему в Joomla ? чтобы все инлайн-скрипты(стили) в отдельные файл(ы) вынесли. заодно хороший повод совсем мутулз похоронить.
+чтобы донесли про инлайн-скрипты до всех, кто хочет на JED размещаться

Ага, отличная мысль!

Не понимаю о каком сайте вы там в аське с кем-то говорили )) явно какая-то ошибка
Если на отладку требуется время, это стоило также указать.

Пока отключу плагин, буду следить за темой. Надеюсь вскоре будет понятно что и как настраивать. чтобы все работало. Спасибо за ваш труд и желание помочь сообществу джумловодов справиться с напастью.

Не понимаю о каком сайте вы там в аське с кем-то говорили )) явно какая-то ошибка
Если на отладку требуется время, это стоило также указать.

Пока отключу плагин, буду следить за темой. Надеюсь вскоре будет понятно что и как настраивать. чтобы все работало. Спасибо за ваш труд и желание помочь сообществу джумловодов справиться с напастью.

Уппс.. значит перепутал, извиняюсь.

Да, вскоре будет подробная инструкция, но нужны домены для разрешения, если не получается по инструкции выше, то можно в личку кидать адрес сайта.
Но не ждите ответа сразу

@voland плагин пока не смотрел, но есть идея - а почему бы не вынести домены в параметры плагина? Или это там есть?

@voland плагин пока не смотрел, но есть идея - а почему бы не вынести домены в параметры плагина? Или это там есть?

Есть конечно, поэтому и задержался с написанием плагина.. вот только по дефолту пока мало значений прописано.

Есть конечно, поэтому и задержался с написанием плагина.. вот только по дефолту пока мало значений прописано.

Тогда понятно. Спасибо.

Кстати, механизм автообновления работает? Кто нить его тестил?

Отослала материальные благодарности. Жду и надеюсь. А то у меня сейчас не доход с сайта, а прям и смотреть не хочется, чтобы не огорчаться зазря.    Что б этим аферистам-глобалистам  интернет на веки вечные  отрубили и так никогда и не врубили!

Спасибо, пока надеемся, надо плотнее изучить алгоритм, возможно придется убирать тэг unsafe-inline, а шанс что большой сайт без переделок заработает - не так велик, админка стандартная точно не работает, но на админку можно будет и другие параметры сделать (сейчас плагин работает и на фронте и в админке).

Ребята, вот небольшой список который я подготовил! ВНИМАНИЕ РСЯ НЕТ!
*.vk.com *.uptolike.ru *.facebook.com *.googlesyndication.com *.googleapis.com *.userapi.com *.yandex.ru *.addthis.com *.uptolike.com *.google.com *.gstatic.com  *.odnoklassniki.ru  *.yandex.net *.mail.ru *.google-analytics.com *.svkament.ru *.apis.google.com *.googleads.g.doubleclick.net *.ya.ru *.yadro.ru *.fbstatic-a.akamaihd.net *.vk.me *.googleusercontent.com *.twitter.com *.delicious.com *.pinterest.com

о, прогресс!
Но зачем со звездочками, на том же ya.ru были блоги, а значит всякая гадость может быть

админка стандартная точно не работает

ИМХО, там ничего такого, что нужно ограничивать. Плагин нужен только на фронте.

Плагин нужен только на фронте.

фигню написал. можно удалить

ИМХО, там ничего такого, что нужно ограничивать. Плагин нужен только на фронте.

Ну это, как минимум повышает безопасность. Другое дело, что в след версии надо будет для админки сделать фиксированные параметры, а уж на фронте играться с ними.

Установил плагин, разрешил только vk и youtube, переходы на ***бонго нет, но появились аж 17 переходов на vkuserspy.net

Нужно на виртуалке заразить комп, включить плагин и потестировать. Особенно мне интересно с разрешенными inline-скриптами. Киньте ссылку на вирус этот.

Вы тут плачете про inline скрипты, но чтобы adsense заработал тоже нужно inline скрипты разрешать. Либо зверски ухищряться и выносить их скрипт в отдельный файл и не факт ещё, что это работает.
У меня вот например нет adsense и рся рекламы, а удобное решение нужно. Так что нечего на человека наезжать. Это не тот случай, когда включаешь и оно должно заработать само.
Вы же фаервол на комп ставите, а там ещё нужно все програмки добавлять в разрешенные. так и тут.

voland, надо им сразу побольше добавить разрешенных.

http://rghost.ru/58212917 - это ссылка на вирус, аддон для Opera
Я уже потестил на виртуалке, вместе с zikkuratvk, вроде все хорошо, unsafe-inline не мешает

И да, доступна версия 1.0.4 - убрана защита в админке, добавлены несколько сайтов в скрипты и адсенсы во фреймы. При обновлении, впрочем, дефолтные значения не подгрузятся, нужно удалить\установить заново.

Да, я зря наехал, уже извинился, вопрос потихоньку решаю :-)

Поправь пожалуйста ссылку тут: http://www.joomla15.ru/files/plugins/item/plugins-for-joomla15/consecpolicy-joomla.html
Я в 1 пост добавлю