Компонент CSP для InstantCMS 2.X

 
Посетитель
no avatar
Медаль
Сообщений: 216
ну ребятки я конечно по сравнению с вами полный профан, но развели спор, спасибо конечно что подключились в обсуждение
итог один, проблема существует - это факт, и даже сертификат не спасает
конечно если сайт с небольшой посещаемостью, то есть csp или нет особой роли не играет. Как сказал Саша один-два перехода на сторонний ресурс это чепуха. Но если внедряется код, тем более с ссылками на непонятные сайты, это не есть гуд для сайта в целом. Тем более прогресс у нехороших дядь тоже не стоит на месте, может придумают что то для обхода и ssl и csp. Будем надеяться что нет
Однозначно политика безопасности на сайте должна присутствовать изначально, и если такой функционал появится в интстанте это только на пользу движку.

В общем обращаться нужно к энтузиастам, что бы это воплотить, а так ручками)
Посетитель
small user social cms
Кубок зрительских симпатийМедальАвторитет форума
Сообщений: 5549
ValeraK, у вас то много таких переходов? Интересна просто статистика.

Думаю Евгений не скоро мне даст фактуру, что весь мир использует это, поэтому придётся озаботиться проверкой самому. Вот и данные об использовании, 0.1 % сайтов, как и предполагал. https://yadi.sk/i/SWtcoxaQ3MoXmf

Теперь к вопросу о бесплатном Lets Encrypt - https://yadi.sk/i/IsVZsy2N3MoXw5 тоже думаю видно, что использование растёт сильно. Хотя пока он стоит на 2.8% сайтов.

ValeraK:
Однозначно политика безопасности на сайте должна присутствовать изначально, и если такой функционал появится в интстанте это только на пользу движку.

Не всё так просто в этом деле. Основная проблема, это как правило спамеры, а это уже никак не движок. Редко очень было, чтобы какой то пробел в безопасности находился и то сразу устранялся. Но если появится CSP думаю будет неплохо, хотя для неопытных веб мастеров трудно будет понять, почему например своя реклама не подтягивается.
Хостинг и ВПС Халява тексты Стартапы UPDS - Instant
Посетитель
no avatar
Медаль
Сообщений: 216
letsgo:

ValeraK, у вас то много таких переходов? Интересна просто статистика.

Думаю Евгений не скоро мне даст фактуру, что весь мир использует это, поэтому придётся озаботиться проверкой самому. Вот и данные об использовании, 0.1 % сайтов, как и предполагал. https://yadi.sk/i/SWtcoxaQ3MoXmf

Теперь к вопросу о бесплатном Lets Encrypt - https://yadi.sk/i/IsVZsy2N3MoXw5 тоже думаю видно, что использование растёт сильно. Хотя пока он стоит на 2.8% сайтов.

ValeraK:
Однозначно политика безопасности на сайте должна присутствовать изначально, и если такой функционал появится в интстанте это только на пользу движку.

Не всё так просто в этом деле. Основная проблема, это как правило спамеры, а это уже никак не движок. Редко очень было, чтобы какой то пробел в безопасности находился и то сразу устранялся. Но если появится CSP думаю будет неплохо, хотя для неопытных веб мастеров трудно будет понять, почему например своя реклама не подтягивается.

ну тоже проскальзывают один-два на сайтах без ssl, но не сказал бы что их посещаемость бешеная к сожалению( честно и не собирал статистику как таковую, обращал просто внимание, но не придавал значения до поры до времени. на защищенных вообще такого не наблюдал. поплевал, где там дерево)
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1692
Мы тут о уже внедренных технологиях и работающих во всю. А вскоре будет обязательным для открутки рекламы иметь технологию Ads.txt.
Гугл вписался в первых рядах, рекламодатели в акции бросились

Рекламодатели требуют от площадок ускорить внедрение протокола Ads.txt – решения, которое позволяет искоренить мошенничество и повысить прозрачность в programmatic за счёт регистрации авторизированных продавцов рекламы. Покупатели рекламы недовольны той скоростью, с которой площадки внедряют новое решение. Теперь они близки к ультиматуму: или же издатели добавляют публичный список авторизированных продавцов и реселлеров, или же компании прекращают с ними сотрудничать.

Технология https://iabtechlab.com/ads-txt/ ( https://www.searchengines.ru/iab-ads-txt.html ) - тут представление только, анонс. Остальное не трудно найти, как и главенство гугла в этом вопросе и его эксперименты на своих и чужих сервисах, включая ютуб.
Так как гугл выявил кучу вариантов подмен и тд и тп вскоре будет просто обязательным внедрение на сайтах.
Пруфы кидать не буду, найти не сложно в буржунете и гугл блоге. Все технологии обсуждаемые в этом топики, включая последнюю Ads.txt будут обязательны к использованию. И тут тедем! если до сих пор не коммерции было возможно работать без ssl, да собственно как и работали раньше, без серьезной просадки и еще рекламу откручивать. С принятием выше перечисленного даже рекламы не будет, не говоря о варнингах от браузеров.

Помниться с началом внедрения сертификатов мы тут спорили, и часть "да ну его рассосется" . И сейчас спорить начнем о нужности или фигня все? smile
Мое мнение такое, нет готового решения для системы, а обезопасить сайт надо, заказывать у разработчиков. Тестить и выйти на сто проц рабочее, при правильных настройках и реализации, все работает без проблем.
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
Медаль
Сообщений: 202
Лучше один раз написать компонент, чем неделю о нем спорить)

Редактировалось: 1 раз (Последний: 12 сентября 2017 в 16:10)
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1692
@SmartControl, Вы меня поразили, зе бест!
Жаль интересы сейчас не пересекаются мои и заказчиков.
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
Кубок зрительских симпатийМедальАвторитет форума
Сообщений: 5549
@SmartControl:
Лучше один раз написать компонент, чем неделю о нем спорить)

Гиковская игрушка скорее. Даже почитал страниц 40 на серче, вдруг думаю ошибаюсь и статистика в 0.01% сайтов которые используют эту технологию не показатель, но увы в теме сплошные проблемы.

Для себя понял, что установка этого влечёт за собой:

- Падение траффика
- Проблемы с соц сервисами
- Проблемы с метриками итд, например вебвизор
- Проблемы с просмотрами страниц
- Настройка кучи правил
- Проблемы с рекламой

Ну и плюс очень низкая эффективность. Как правило вреденосные расширения живут в браузере пользователя и технология защиту от них не даёт. В общем умершая технология на данный момент.

Последние страницы обсуждения на серче) https://yadi.sk/i/XhVMZOFK3MqNwS так собственно и есть.
Редактировалось: 2 раз (Последний: 13 сентября 2017 в 01:01)
Хостинг и ВПС Халява тексты Стартапы UPDS - Instant
Посетитель
small user social cms
Медаль
Сообщений: 202
letsgo:
Ну и правильно. Adsense как будут настраивать? Поставьте код.
У меня на вордпресс сайтах с CSP и adsense, и реклама от Яндекса (Инстант ничем не хуже, код CSP одинаковый для всех). И тизеры где-то были. технология никак не ограничивает в подключаемых скриптах. Просто нужно их все указать.
Адсенс на демо
Придется поверить на слово, я проверил работоспособность и убрал адсенс. Чтобы гугл не ругался - сайт не соответствует правилам программы. Демо он и есть демо..

letsgo:
- Падение траффика
не понимаю в честь чего трафик должен упасть. Надо фейсбуку с твиттером (и заодно гуглу с яндексом - их почта там же) сообщить, а то они до сих пор с CSP..

letsgo:
- Проблемы с соц сервисами
Никаких. На сайтах и группы ВК, и фейсбук и социальные кнопки.. Все настроено и работает несколько лет. Это я для Инстанта только сейчас написал, на всех живых сайтах давно это использую и проблем нет. Настроил и забыл.

letsgo:
- Проблемы с метриками итд, например вебвизор
Можно почитать инструкцию от Яндекса - тут и настроить корректно.

letsgo:
- Проблемы с просмотрами страниц
Сказки)) В чем проблемы то с просмотром фейсбука и твиттера? - может они правда не в курсе?

letsgo:
- Настройка кучи правил
Эхх... сайты вообще сложная штука. Тут не поспоришь. Правила настраиваются один раз.

letsgo:
- Проблемы с рекламой
Яндекс реклама, адсенс, тизеры и тд - все работает, проблем нет.

----------
На 90% все это мифы и сказки, на оставшиеся 10% - кривые руки. Эту технологию внедряют у себя самые продвинутые в технологическом плане компании - Google, Facebook, Twitter. Это не просто чьи-то "гиковские игрульки".

Не хотите в этом разбираться - ваше дело. Но зачем других-то отговаривать)

PS ухожу из темы, ни к чему новому мы уже не придем.. А спорить что лучше - счеты или калькулятор смысла мало. На инстанте механизм такой уже есть, кто захочет - настроит у себя.
Редактировалось: 2 раз (Последний: 13 сентября 2017 в 01:44)
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1692
letsgo:
Последние страницы обсуждения на серче)
Это всего три поста со ста страниц которые в теме есть))
Плюс последнее обновление у гугла от Last updated Август 9, 2017. https://developers.google.com/web/fundamentals/security/csp/
Плюс развитие в браузерах, поддержка вот тут будет о этом разговор https://developer.chrome.com/devsummit/
Сейчас нет пруфа на описание поддержки(не правильное слово подобрал) и тд в хроме новых версий, но там обширный документ от гугл.

И конечно, пока все не отладить и не настроить будут косяки, так со всем и опять же куда пойдет и как развитие этого дела или то, что выше привел, нам не угадать))
Но все что мы знаем про гугл, это то, если внедрили что то, то дожмут весь инет, а они в этой теме впереди планеты всей :)
Редактировалось: 2 раз (Последний: 13 сентября 2017 в 01:38)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
Кубок зрительских симпатийМедальАвторитет форума
Сообщений: 5549
@SmartControl:
Просто нужно их все указать.

Что правда все придется тыкать?)

@SmartControl:
Надо фейсбуку с твиттером

Смешно) Тут у всех именно сайты такого уровня.

@SmartControl:
На 90% все это мифы и сказки, на оставшиеся 10% - кривые руки.

Ваши цифры с потолка. Я уже раз это доказал приведя четкую статистику использования. Роста нет и в итоге вы заявляли что весь мир использует - оказалось что 0.1% сайтов всего)

А как же ответ на:

letsgo:
Как правило вредоносные расширения живут в браузере пользователя и технология защиту от них не даёт.

Да и в других ответах лукавство есть, но думаю надо время. Счас все кто читать не любят, кинутся ставить, вот там будет весело)

garry:
Это всего три поста со ста страниц которые в теме есть))

Дак вы почитайте возьмите всю тему. Там четко: проблема после установки, как установить, проблема после установки и потом вообще затихло, ибо дошло что технология просто игрушка.

garry:
Но все что мы знаем про гугл, это то, если внедрили что то, то дожмут весь инет :)

Ну без сказок давайте) гугл не обьявлял что это стандарт, как например ssl, просто сделал описание, на то он и гугл.
Хостинг и ВПС Халява тексты Стартапы UPDS - Instant
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1692
letsgo:
просто сделал описание, на то он и гугл.
И просто так выпустил валидатор https://csp-evaluator.withgoogle.com/ и просто так внедряет в браузер не вчера и просто так будет акцентировать на dev summit 2017
:)
Поживем увидим.))
Редактировалось: 1 раз (Последний: 13 сентября 2017 в 01:53)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
Посетитель
small user social cms
Кубок зрительских симпатийМедальАвторитет форума
Сообщений: 5549
garry:
И просто так выпустил валидатор https://csp-evaluator.withgoogle.com/ и просто так внедряет в браузер не вчера и просто так будет акцентировать на dev summit 2017
:)
Поживем увидим.))

Увидим да. Сама суть: прописывать что разрешено противоречит здравому смыслу. Как вы оба не замечаете то: CSP не защищает от распространенного заражения через расширение в браузере, так как там приоритет выше.

Это как схема орг, тоже поисковики тащили тащили, еще что то приделывали, в итоге никому не нужно оказалось.
Редактировалось: 1 раз (Последний: 13 сентября 2017 в 02:19)
Хостинг и ВПС Халява тексты Стартапы UPDS - Instant
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1692
letsgo:
Это как схема орг, тоже поисковики тащили тащили, еще что то приделывали, в итоге никому не нужно оказалось.
Но коммент, как и на все дальнейшее в этой теме кроме компонента :)
Компонент представлен его автором, а решать ставить или нет будет каждый для себя исходя из информации и необходимости. На холивар время нет.
Редактировалось: 1 раз (Последний: 13 сентября 2017 в 09:29)
Контент для ваших проектов. Копирайт всех видов от профессионалов. Создание и продвижение сайтов, реклама.
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Страницы: Первая Предыдущая 1 2
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.