CSP все равно нужен, даже если вы поставили SSL

Зарабатываем!, Мысли

Как бы у меня не бомбило от навязывания поисковиками обязательной теперь, фактически, установки SSL-сертификатов на все сайты без разбора, а делать нечего, на важные сайты прошлось поставить, потому что, ну, сами понимаете, наверное, ситуации, когда в топ-10 выдачи 9 сайтов-конкурентов с SSL, и 1 твой, как типа самый умный без SSL, выглядят уже слишком ненормально, чтобы продолжать выпендриваться.

Ведь и Яндекс, и Гугл говорят, что SSL является одним из факторов ранжирования (пусть даже, как мне лично кажется, его важность и находится на уровне выделения ключевых слов курсивом), так что рядовым вебмастерам в итоге один хрен ничего не остается, кроме как смириться и скрепя зубами установить эти долбанные SSL-сертификаты.

В социальных сетях свои правила - там важными факторами ранжирования являются социальные сигналы от пользователей - лайки, комментарии и репосты. Заставить сейчас пользователей быть активными та еще задача, так что хорошо, что можно просто взять и купить лайки вконтакте, столько, сколько нужно.

О чем, собственно, пост. Не вдаваясь особо в подробности работы SSL, я считал, что после установки SSL отпадет необходимость в настройке CSP, ведь при SSL “все шифруется, блаблабла, никто не сможет добавить в контент (атака MITM) что-то”. Однако, я упустил тут 1 важную деталь - все это так, но только до момента, когда шифрованный контент сайта окажется в твоем браузере и будет им расшифрован для показа.

То есть, до этого момента да, никто не может воткнуть ничего в траффик, например, оборзевшие интернет-провайдеры, которые пихают свою рекламу на HTTP сайтах.

Но вот на стороне браузера уже - может! Знаете, всякие там браузерные дополнения, аддоны, расширения ну и прочие тулбары / адвары / вирусня, которые юзеры часто устанавливают сами себе не от большого ума.

Поэтому, после включения SSL я ожидал увидеть пустующие отчеты блокировок по CSP и, убедившись в этом, хотел убрать их с сайтов, ибо периодическое дописывание правил немного поднадоело. Но увидел, к сожалению, то же самое, что и было - все ту же кучу заблокированных правилами CSP загрузок всякой “левой” херни - трекеров, рекламы и черт знает чего еще.

Так что, если у вас есть сайты с приличной посещаемостью, и вы не хотите, чтобы какие-то “чужие” скрипты, баннеры и трекеры портили им ПФ, то CSP все равно нужно настроить, даже если установлен SSL-сертификат.

Обновленный чекер Яндекс ИКС - теперь банановый!Про инерционность показателя Яндекс ИКС

6 комментов

  1. Петя сказал:

    Спасибо за полезное наблюдение!
    Я всё ещё никак не переведу сайты, до последнего сопротивляюсь =)

  2. Евгений Молдовану сказал:

    Ты когда на блог SSL поставишь?
    А по факту CSP в опу, от адблока не спасет я так понял.

  3. DimaX сказал:

    Ты когда на блог SSL поставишь?

    Блог когда? Хз даже, он у меня в поиске Я и Г вообще почти по нулям, так что на его позиции мне плевать, поэтому и на SSL так же))

    А по факту CSP в опу, от адблока не спасет я так понял.

    А адблок тут причем?) Он же блочит, а не встраивает что-то в HTML-код дополнительно, от чего и охраняет CSP. От адблока спасет только перманентная гонка с изменением форматов и вида рекламы, больше ничего)

  4. DimaX сказал:

    Я всё ещё никак не переведу сайты, до последнего сопротивляюсь =)

    Печальная херня, сопротивляйся не сопротивляйся, а рано или поздно придется, потому что де-факто установка SSL теперь обязательна по умолчанию :(

  5. bro сказал и подписался на новые комментарии по e-mail:

    Им http2 дали - “не хочу, печальная херня”.

  6. DimaX сказал:

    Им http2 дали - “не хочу, печальная херня”.

    Ну, Бро, не все же такие прошаренные в технических деталях, как ты) Так-то ты прав, конечно.

Комментирование доступно только в первые 60 дней после публикации

© 2006-2024 by dimax.biz