Архив метки: безопасность

Простой способ настроить Content Security Policy (CSP) для сайта

Зачем?

Настройка Content Security Policy для сайта — не мелочь, а необходимость. Мы не можем знать, что на той стороне у клиента, а это вполне может быть зараженный браузер, зараженные плагины и, в общем, что угодно. Выглядеть это может так: клиент открывает сайт, а вместо ваших рекламных блоков там чужие. Или клиент хочет куда-то нажать, но подгруженный кликандер злоумышленника перехватывает клик и отправляет клиента на левый сайт (возможно, вы найдете переходы на такие сайты в своей статистике LiveInternet).

Content Security Policy защищает пользователя от подобных атак, в явном виде указывая браузеру, откуда разрешено загружать тот или иной контент. Уже два года назад более половины используемых браузеров поддерживали CSP. Сейчас доля поддержки CSP 1.0 приближается к 90% (см. статистику тут).

Читать далее 

А не вредоносный ли у вас сайт?

В наше время неизбежно приходится следить за тем, не попал ли сайт в базы антивирусов со статусом «вредоносный», «фишинговый» и тому подобное. Такое может произойти по двум причинам:

  1. Сайт реально был взломан и на нем размещен вредоносный код (одна из уязвимых точек — FTP). Когда сайт попадет в базы антивирусов, доступ к нему для пользователей будет блокироваться, и вы неизбежно будете нести потери.
  2. Сайт в порядке, но по тем или иным причинам антивирус считает его вредоносным. Это могут быть происки доброжелателей, чьи-то подозрения или ошибочное поведение эвристики (последнее характерно для антивируса Касперского, который может определять сайт как «фишинговую ссылку»).

На недавней видеовстрече сотрудники Google порекомендовали два сервиса для проверки сайтов:

  1. virustotal.com/ru/ — сканирует, используя базы разных антивирусных движков. Касперского здесь нет (на этот момент), по нему придется проверять отдельно.
  2. unmaskparasites.com.

Что делать, если в отчете будет отмечена вредоносность сайта по мнению того или иного антивируса? Связываться с разработчиками. Например, на VirusTotal я обнаружил, что Websense ThreatSeeker считает один из сайтов «malicious». На этот случай есть почтовый адрес suggest@websense.com. Они достаточно быстро реагируют, просматривают сайт и снимают статус вредоносности, если все нормально.

У Касперского есть форма обратной связи для запроса в вирусную лабораторию. Если оказалось, что Касперский считает ваш сайт фишинговым, можно написать через нее (тип запроса — «ложное срабатывание на веб-ресурс»). Разумеется, сначала нужно проверить, а нет ли на сайте вредоносного кода, о котором вы пока не знаете.

По опыту можно сказать, что ответа придется подождать, и есть риск его не дождаться. Еще у Касперского есть сообщество в Фейсбуке, где они реагируют быстрее — публичность способствует.