CSP все равно нужен, даже если вы поставили SSL

Зарабатываем!, Мысли

Как бы у меня не бомбило от навязывания поисковиками обязательной теперь, фактически, установки SSL-сертификатов на все сайты без разбора, а делать нечего, на важные сайты прошлось поставить, потому что, ну, сами понимаете, наверное, ситуации, когда в топ-10 выдачи 9 сайтов-конкурентов с SSL, и 1 твой, как типа самый умный без SSL, выглядят уже слишком ненормально, чтобы продолжать выпендриваться.

Ведь и Яндекс, и Гугл говорят, что SSL является одним из факторов ранжирования (пусть даже, как мне лично кажется, его важность и находится на уровне выделения ключевых слов курсивом), так что рядовым вебмастерам в итоге один хрен ничего не остается, кроме как смириться и скрепя зубами установить эти долбанные SSL-сертификаты.

О чем, собственно, пост. Не вдаваясь особо в подробности работы SSL, я считал, что после установки SSL отпадет необходимость в настройке CSP, ведь при SSL “все шифруется, блаблабла, никто не сможет добавить в контент (атака MITM) что-то”. Однако, я упустил тут 1 важную деталь - все это так, но только до момента, когда шифрованный контент сайта окажется в твоем браузере и будет им расшифрован для показа.

То есть, до этого момента да, никто не может воткнуть ничего в траффик, например, оборзевшие интернет-провайдеры, которые пихают свою рекламу на HTTP сайтах.

Но вот на стороне браузера уже - может! Знаете, всякие там браузерные дополнения, аддоны, расширения ну и прочие тулбары / адвары / вирусня, которые юзеры часто устанавливают сами себе не от большого ума.

Поэтому, после включения SSL я ожидал увидеть пустующие отчеты блокировок по CSP и, убедившись в этом, хотел убрать их с сайтов, ибо периодическое дописывание правил немного поднадоело. Но увидел, к сожалению, то же самое, что и было - все ту же кучу заблокированных правилами CSP загрузок всякой “левой” херни - трекеров, рекламы и черт знает чего еще.

Так что, если у вас есть сайты с приличной посещаемостью, и вы не хотите, чтобы какие-то “чужие” скрипты, баннеры и трекеры портили им ПФ, то CSP все равно нужно настроить, даже если установлен SSL-сертификат.

6 комментов

  1. Петя сказал:

    Цитировать: весь комментарий | выделенный текст

    Спасибо за полезное наблюдение!
    Я всё ещё никак не переведу сайты, до последнего сопротивляюсь =)

  2. Цитировать: весь комментарий | выделенный текст

    Ты когда на блог SSL поставишь?
    А по факту CSP в опу, от адблока не спасет я так понял.

  3. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Ты когда на блог SSL поставишь?

    Блог когда? Хз даже, он у меня в поиске Я и Г вообще почти по нулям, так что на его позиции мне плевать, поэтому и на SSL так же))

    А по факту CSP в опу, от адблока не спасет я так понял.

    А адблок тут причем?) Он же блочит, а не встраивает что-то в HTML-код дополнительно, от чего и охраняет CSP. От адблока спасет только перманентная гонка с изменением форматов и вида рекламы, больше ничего)

  4. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Я всё ещё никак не переведу сайты, до последнего сопротивляюсь =)

    Печальная херня, сопротивляйся не сопротивляйся, а рано или поздно придется, потому что де-факто установка SSL теперь обязательна по умолчанию :(

  5. bro сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Им http2 дали - “не хочу, печальная херня”.

  6. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Им http2 дали - “не хочу, печальная херня”.

    Ну, Бро, не все же такие прошаренные в технических деталях, как ты) Так-то ты прав, конечно.

Комментарии тех, кто оставляет в поле "Ваш блог" ссылку куда-либо, кроме своего ЛИЧНОГО нормального блога, либо вместо ника/имени пишет ключевые слова или урл - БУДУТ УДАЛЕНЫ!

Добавить комментарий

Comments for this post will be closed on 26 January 2020.

© 2006-2019 by dimax.biz