2015年,我们问了自己一个问题:从第三方来源下载资源后,当局网站上的情况如何?然后是XSS,有关访问者的数据泄漏等等……事实证明情况非常好:92%的州网站甚至都没有考虑它,而是连续加载了所有内容-计数器,字体,JavaScript库,小部件,告密者,广告...现在没有加密矿工是(但这是不准确的)。
分析人员仅发现9种不同类型的计数器和系统,其中一些已被清楚地收集。例如,联邦海关总署的网站已收集了7个柜台,其中包括SpyLog,当时SpyLog在Bose死亡了五年。海关也安装了它的“继任者”-Openstat计数器(我们需要更多的计数器!),
但Rosregistratsia网站喜欢广告,并下载了Google和Yandex广告网络的代码,“有效内容推荐系统” Lentainform,后者又下载了广告网络的代码。 MarketGuide和Tovarro等类似垃圾。
通常,有很多“美味”,但很少有乐趣。在此过程中,我们与Roskomnadzor缺席了一场辩论,后者早些时候在22%的州网站上找到了Google Analytics(分析),而在40%的州网站上找到了。
根据汇编的结果,第一个«XSS-安全性索引gossaytov”发表了报告“俄罗斯的gossayty:全世界的秘密”,将其发送给媒体和管理员Ferris gossaytov。像往常一样,记者在穆明多尔(Moomin-dol)发出了一些喧闹声,并再次保持了沉默与和平……还是没有?五年后,我们决定检查今天的状况。
简而言之,新监控的结果如下所示:在5年中,不加载外部资源的州网站数量已从7个(8%)增长到8个(10%)。同样,用于下载外部资源的资源的数量也从55个减少到52个,控制这些资源的人员从40个减少到37个。但是,在此期间,授权机构及其站点的数量从85个减少到了82个。因此,减少“左”下载量的最大原因是政府在行政管理改革方面的成功,而不是州政府网站管理员的努力。
从“美味”的新部分开始-工业贸易部和罗萨尔科夫(Rosarkhiv)的站点上分别安装了7个和6个不同的柜台和分析系统。我们应该告诉他们,最高的比率将是鹦鹉。同时,将罗萨尔霍夫(Rosarkhiv)网站和总统特别计划总局的管理员告知OpenStat计数器已经使用两年了。 Gossites不幸与此计数器...
一个新的问题是“无障碍互联网”项目和在纸面上被遗忘的沟壑。例如,我们转到国防部的“免费”站点,我们的运营商将相应的流量包含在付费站点中。我们是这样的:怎么回事,普京签署了,我们有义务不加关税!我们的回答是:国防部的网站是免费的,但没有提及它从其他站点提取的所有垃圾,请付费!总的来说,这是有问题的,但这不是国家站点管理员的问题,不是电信运营商的问题,也不是电信和大众传播部的问题,这使如此出色的项目陷入泥潭,而是用户的问题。
同时,我们决定调查外国的经验,这是我们习惯点头的习惯,就像在第一线一样。但不是!我们查看了外国国防部的数十个网站,发现的情况大致相同:到处都是Google Analytics(分析)和本地柜台。当然,中国国防部并没有令人失望:天帝国的网络边界被锁定,德国和法国也没有落后,其余被研究者-从白俄罗斯到日本-正在将其访问者的数据注入比弗公司。
总体而言,五年中实际上没有任何变化。内容安全政策?不,你没有听说。子资源完整性?是的,您如何在国家网站上做到这一点!好吧,我们从国外CDN加载资源,好吧,我们将有关访问者的数据合并到传统“潜在敌人”的国家/地区中,好像是不好的事情...