[Информационная безопасность] Российские госсайты: посторонним вход разрешен
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В 2015 году мы задались вопросом: как на сайтах органов власти обстоят дела с загрузкой ресурсов из сторонних источников? А то XSS, утечка данных о посетителях и это все… Оказалось, очень даже обстоят: на 92% госсайтов об этом всем даже не задумывались и грузили все подряд – счетчики, шрифты, библиотеки JavaScript, виджеты, информеры, реклама… только что криптомайнеров не было (но это неточно).
Одних только счетчиков и систем аналитики нашли 9 разных видов, причем некоторые их явно коллекционировали. Например, сайт Федеральной таможенной службы собрал в свою коллекцию 7 счетчиков, включая почивший к тому моменту в бозе лет пять как SpyLog. Его «наследника» – счетчик Openstat – таможенники тоже поставили (надо больше счетчиков!)
А вот сайт Росрегистрации увлекался рекламой и загружал код рекламных сетей Google и «Яндекса», «эффективной системы рекомендации контента» Lentainform, который в свою очередь загружал код рекламных сетей «МаркетГид» и Tovarro и прочий подобный мусор.
В общем, «вкусного» нашлось много, веселого – мало. Попутно вступили в заочную полемику с Роскомнадзором, который чуть ранее обнаружил Google Analytics на 22% госсайтов, а мы нашли на 40%.
По итогам составили первый «Индекс XSS-безопасности госсайтов», опубликовали доклад «Российские госсайты: по секрету всему свету», разослали его в СМИ и администраторам обозренных госсайтов. Журналисты, как водится, пошумели и снова тишина и покой воцарились в Муми-доле… или нет? Решили проверить, как обстоят дела сегодня, спустя 5 лет.
Если вкратце, то итоги нового мониторинга таковы: за 5 лет количество госсайтов, которые не загружают посторонние ресурсы, выросло с 7 (8%) аж до 8 (10%). Также немного сократилось количество источников загрузки посторонних ресурсов – с 55 до 52 – и лиц, контролирующих эти источники – с 40 до 37. Но за это время сократилось и количество органов власти, а, соответственно, и их сайтов – с 85 до 82. Таким образом, львиная доля сокращения «левых» загрузок объясняется успехами правительства в административной реформе, а не усилиями администраторов госсайтов.
Из новой порции «вкусного» – сайты Минпромторга и Росархива, на которых установлено сразу по 7 и 6 разных счетчиков и систем аналитики соответственно. Надо бы подсказать им, что самые высокие показатели будут в попугаях. Заодно сообщить администраторам сайтов Росархива и Главного управления специальных программ Президента, что счетчик OpenStat уже два года как не работает. Не везет госсайтам с этим счетчиком…
Новая проблема – проект «Доступный Интернет» и овраги, про которые забыли на бумаге. Вот, скажем, заходим мы на «бесплатный» сайт Минобороны, а наш оператор включает соответствующий трафик в платный. Мы такие: как так, Путин подписал, обязаны не тарифицировать! А нам в ответ: сайт Минобороны – бесплатно, а про весь мусор, который он тянет за собой с других сайтов, ничего не сказано, платите! В общем, проблема есть, но это не проблема администраторов госсайтов, не проблема операторов связи, не проблема Минкомсвязи, замутившей такой замечательный проект, а проблема пользователей.
Заодно решили поисследовать зарубежный опыт, на который принято кивать, как на передовой. А вот и нет! Посмотрели пару десятков сайтов иностранных министерств обороны и обнаружили примерно ту же картину: везде Google Analytics плюс местные счетчики. Минобороны Китая, разумеется, не разочаровало: киберграница Поднебесной на замке, Германия и Франция – не отстают, а остальные изученные – от Белоруссии до Японии – сливают данные о своих посетителях в Корпорацию бобра.
В общем, за пять лет ничего, по сути, не изменилось. Content Security Policy? Не, не слышали. Subresource Integrity? Да разве можно таким на госсайте заниматься! Ну, грузим ресурсы из зарубежной CDN, ну сливаем данные о посетителях в страну традиционного «вероятного противника», как будто это что-то плохое…
===========
Источник:
habr.com
===========
Похожие новости:
- [Разработка веб-сайтов, 1С-Битрикс, Резервное копирование] Инкрементальный бэкап VDS с сайтом на 1С-Битрикс в Яндекс.Облако
- [Разработка веб-сайтов, JavaScript, Программирование, Node.JS] Руководство по Express.js. Часть 1 (перевод)
- [Информационная безопасность, Математика] Death Note, анонимность и энтропия (перевод)
- [Информационная безопасность, Совершенный код, Управление продуктом] Уязвимости в коде. Как отличить опасную брешь от незначительной ошибки?
- [Разработка веб-сайтов, JavaScript, Программирование] Изучаем Parcel — альтернативу Webpack для небольших проектов
- [Разработка веб-сайтов, Программирование, Java] Пишем чат с использованием Spring Boot и WebSockets (перевод)
- [Поисковая оптимизация, Разработка веб-сайтов] Ленивая загрузка для карт
- [DevOps, Информационная безопасность, Разработка веб-сайтов, Разработка мобильных приложений] DevSecOps: принципы работы и сравнение SCA. Часть первая
- [Информационная безопасность, Проектирование и рефакторинг, Развитие стартапа, Законодательство в IT] Privacy Accelerator: приглашаем на прокачку проекты в сфере прайваси и доступа к информации
- [Информационная безопасность, Системное администрирование, Сетевые технологии] 5. Check Point SandBlast Agent Management Platform. Logs, Reports & Forensics. Threat Hunting
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_sajt (сайт), #_xss, #_utechka_dannyh (утечка данных), #_analiz_trafika (анализ трафика), #_gosudarstvennye_sajty (государственные сайты), #_bezopasnost_dannyh (безопасность данных), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 21:04
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В 2015 году мы задались вопросом: как на сайтах органов власти обстоят дела с загрузкой ресурсов из сторонних источников? А то XSS, утечка данных о посетителях и это все… Оказалось, очень даже обстоят: на 92% госсайтов об этом всем даже не задумывались и грузили все подряд – счетчики, шрифты, библиотеки JavaScript, виджеты, информеры, реклама… только что криптомайнеров не было (но это неточно). Одних только счетчиков и систем аналитики нашли 9 разных видов, причем некоторые их явно коллекционировали. Например, сайт Федеральной таможенной службы собрал в свою коллекцию 7 счетчиков, включая почивший к тому моменту в бозе лет пять как SpyLog. Его «наследника» – счетчик Openstat – таможенники тоже поставили (надо больше счетчиков!) А вот сайт Росрегистрации увлекался рекламой и загружал код рекламных сетей Google и «Яндекса», «эффективной системы рекомендации контента» Lentainform, который в свою очередь загружал код рекламных сетей «МаркетГид» и Tovarro и прочий подобный мусор. В общем, «вкусного» нашлось много, веселого – мало. Попутно вступили в заочную полемику с Роскомнадзором, который чуть ранее обнаружил Google Analytics на 22% госсайтов, а мы нашли на 40%. По итогам составили первый «Индекс XSS-безопасности госсайтов», опубликовали доклад «Российские госсайты: по секрету всему свету», разослали его в СМИ и администраторам обозренных госсайтов. Журналисты, как водится, пошумели и снова тишина и покой воцарились в Муми-доле… или нет? Решили проверить, как обстоят дела сегодня, спустя 5 лет. Если вкратце, то итоги нового мониторинга таковы: за 5 лет количество госсайтов, которые не загружают посторонние ресурсы, выросло с 7 (8%) аж до 8 (10%). Также немного сократилось количество источников загрузки посторонних ресурсов – с 55 до 52 – и лиц, контролирующих эти источники – с 40 до 37. Но за это время сократилось и количество органов власти, а, соответственно, и их сайтов – с 85 до 82. Таким образом, львиная доля сокращения «левых» загрузок объясняется успехами правительства в административной реформе, а не усилиями администраторов госсайтов. Из новой порции «вкусного» – сайты Минпромторга и Росархива, на которых установлено сразу по 7 и 6 разных счетчиков и систем аналитики соответственно. Надо бы подсказать им, что самые высокие показатели будут в попугаях. Заодно сообщить администраторам сайтов Росархива и Главного управления специальных программ Президента, что счетчик OpenStat уже два года как не работает. Не везет госсайтам с этим счетчиком… Новая проблема – проект «Доступный Интернет» и овраги, про которые забыли на бумаге. Вот, скажем, заходим мы на «бесплатный» сайт Минобороны, а наш оператор включает соответствующий трафик в платный. Мы такие: как так, Путин подписал, обязаны не тарифицировать! А нам в ответ: сайт Минобороны – бесплатно, а про весь мусор, который он тянет за собой с других сайтов, ничего не сказано, платите! В общем, проблема есть, но это не проблема администраторов госсайтов, не проблема операторов связи, не проблема Минкомсвязи, замутившей такой замечательный проект, а проблема пользователей. Заодно решили поисследовать зарубежный опыт, на который принято кивать, как на передовой. А вот и нет! Посмотрели пару десятков сайтов иностранных министерств обороны и обнаружили примерно ту же картину: везде Google Analytics плюс местные счетчики. Минобороны Китая, разумеется, не разочаровало: киберграница Поднебесной на замке, Германия и Франция – не отстают, а остальные изученные – от Белоруссии до Японии – сливают данные о своих посетителях в Корпорацию бобра. В общем, за пять лет ничего, по сути, не изменилось. Content Security Policy? Не, не слышали. Subresource Integrity? Да разве можно таким на госсайте заниматься! Ну, грузим ресурсы из зарубежной CDN, ну сливаем данные о посетителях в страну традиционного «вероятного противника», как будто это что-то плохое… =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 21:04
Часовой пояс: UTC + 5