2015 haben wir uns die Frage gestellt: Wie läuft es auf den Websites von Behörden, wenn Ressourcen aus Quellen von Drittanbietern heruntergeladen werden? Und dann XSS, Datenverlust über Besucher und das ist alles ... Es stellte sich heraus, dass die Situation sehr ähnlich ist: Auf 92% der staatlichen Websites haben nicht alle darüber nachgedacht und alles hintereinander geladen - Zähler, Schriftarten, JavaScript-Bibliotheken, Widgets, Informanten, Werbung ... im Moment gibt es keine Kryptominierer war (aber das ist ungenau).
Analysten fanden allein 9 verschiedene Arten von Zählern und Systemen, von denen einige eindeutig erfasst wurden. Zum Beispiel hat die Website des Bundeszolldienstes 7 Schalter in ihrer Sammlung gesammelt, einschließlich des SpyLog, der zu diesem Zeitpunkt in Bose seit fünf Jahren gestorben ist. Sein „Nachfolger“ - der Openstat-Schalter - wurde ebenfalls von Zollbeamten installiert (wir brauchen mehr Schalter!).
Die Rosregistration-Website war jedoch sehr werbebegeistert und lud den Code von Google- und Yandex-Werbenetzwerken, das „effektive Inhaltsempfehlungssystem“ Lentainform, das wiederum den Code des Werbenetzwerks lud MarketGuide und Tovarro und andere ähnliche Abfälle.
Im Allgemeinen gab es viel "lecker", aber nicht genug Spaß. Unterwegs haben wir mit Roskomnadzor eine Abwesenheitspolemik abgeschlossen, bei der Google Analytics etwas früher auf 22% der staatlichen Websites und 40% gefunden wurden.
Den erstellten Ergebnissen zufolge hat der erste «XSS-Sicherheitsindex gossaytov ' veröffentlichte Bericht" Russische Gossayty: Geheimnis in der ganzen Welt "an die Medien und Administratoren Ferris gossaytov gesendet. Journalisten machten wie immer Lärm und wieder herrschte Stille und Frieden in Moomin-dol ... oder nicht? Wir haben uns entschlossen, nach 5 Jahren zu überprüfen, wie es heute ist.
Kurz gesagt, die Ergebnisse der neuen Überwachungsind wie folgt: In 5 Jahren ist die Anzahl der staatlichen Standorte, die keine fremden Ressourcen laden, von 7 (8%) auf 8 (10%) gestiegen. Auch die Anzahl der Quellen zum Herunterladen externer Ressourcen ist leicht gesunken - von 55 auf 52 - und der Personen, die diese Quellen kontrollieren - von 40 auf 37. In dieser Zeit hat sich die Anzahl der Behörden und dementsprechend ihrer Websites von 85 auf 82 verringert. Somit ist der Löwenanteil der Reduzierung der "linken" Downloads auf die Erfolge der Regierung bei der Verwaltungsreform zurückzuführen und nicht auf die Bemühungen der staatlichen Site-Administratoren.
Aus dem neuen Teil des "lecker" - den Standorten des Ministeriums für Industrie und Handel und Rosarkhiv, auf denen 7 bzw. 6 verschiedene Zähler und Analysesysteme gleichzeitig installiert sind. Wir sollten ihnen sagen, dass die höchsten Raten bei Papageien liegen werden. Informieren Sie gleichzeitig die Administratoren der Websites von Rosarkhiv und der Hauptdirektion für Sonderprogramme des Präsidenten darüber, dass der OpenStat-Schalter seit zwei Jahren nicht mehr funktioniert. Gossites haben Pech mit diesem Zähler ...
Ein neues Problem ist das Projekt "Barrierefreies Internet" und die auf dem Papier vergessenen Schluchten. Zum Beispiel gehen wir zur "freien" Seite des Verteidigungsministeriums, und unser Betreiber nimmt den entsprechenden Verkehr in den bezahlten auf. Wir sind so: Wie ist es, Putin unterschrieb, wir sind verpflichtet, nicht zu tarifieren! Und wir antworteten: Die Website des Verteidigungsministeriums ist kostenlos, aber es wird nichts über den Müll gesagt, den es von anderen Websites zieht. Zahlen Sie! Im Allgemeinen gibt es ein Problem, aber dies ist kein Problem der Administratoren staatlicher Standorte, kein Problem der Telekommunikationsbetreiber, kein Problem des Ministeriums für Telekommunikation und Massenkommunikation, das ein so wunderbares Projekt durcheinander gebracht hat, sondern ein Problem der Benutzer.
Gleichzeitig haben wir uns entschlossen, ausländische Erfahrungen zu erkunden, auf die man normalerweise wie an vorderster Front nickt. Aber nein! Wir haben uns ein paar Dutzend Websites ausländischer Verteidigungsministerien angesehen und ungefähr das gleiche Bild gefunden: überall Google Analytics und lokale Zähler. Das chinesische Verteidigungsministerium hat natürlich nicht enttäuscht: Die chinesische Cybergrenze ist gesperrt, Deutschland und Frankreich bleiben nicht zurück, und der Rest der Studierenden - von Weißrussland bis Japan - gibt Daten über ihre Besucher an die Beaver Corporation weiter.
Im Allgemeinen hat sich in fünf Jahren nichts geändert. Inhaltssicherheitsrichtlinie? Nein, du hast es nicht gehört. Subressourcenintegrität? Ja, wie können Sie dies auf der staatlichen Website tun! Nun, wir laden Ressourcen von einem ausländischen CDN, nun, wir führen Daten über Besucher in das Land des traditionellen "potentiellen Feindes", als wäre es etwas Schlimmes ...