2015年、私たちは自分自身に問いかけました。サードパーティのソースからリソースをダウンロードすることで、当局のWebサイトはどうなっているのでしょうか。そしてXSS、訪問者に関するデータの漏洩、そしてそれだけです...状況は非常に良いことが判明しました:州のサイトの92%はそれについて考えさえせず、すべてを続けてロードしました-カウンター、フォント、JavaScriptライブラリ、ウィジェット、情報提供者、広告...今は暗号マイナーがありませんでした(しかし、これは不正確です)。
アナリストは、9種類のカウンターとシステムだけを発見し、そのうちのいくつかは明確に収集されました。たとえば、連邦税関のサイトは、そのコレクションに7つのカウンターを収集しました。これには、その時点でBoseで5年間死亡したSpyLogが含まれます。その「後継者」であるOpenstatカウンターも税関によって設置されました(もっと多くのカウンターが必要です!)
しかし、Rosregistratsia Webサイトは広告が好きで、GoogleとYandexの広告ネットワークのコードをダウンロードしました。 MarketGuideとTovarroおよび他の同様のゴミ。
一般的に、「おいしい」ものはたくさんありましたが、あまり面白くありませんでした。その過程で、Roskomnadzorと不在地主の論争に巻き込まれました。Roskomnadzorは少し前に州のサイトの22%でGoogle Analyticsを見つけ、40%を見つけました。
まとめられた結果によると、最初の「XSS-security index gossaytov」で公開されたレポート「ロシアのゴッセイティ:世界中の秘密」は、メディアと管理者のFerrisgossaytovに送信されました。ジャーナリストは、いつものように、いくつかの騒ぎを起こし、再び沈黙と平和がムーミンドルに君臨しました...またはそうではありませんか? 5年後の今日の様子をチェックすることにしました。
要するに、新しいモニタリングの結果次のとおりです。5年間で、外部リソースをロードしない州のサイトの数は7(8%)から8(10%)に増加しました。また、外部リソースをダウンロードするためのソースの数は55から52にわずかに減少し、これらのソースを管理する人は40から37に減少しました。したがって、「左」ダウンロードの減少の大部分は、州のサイト管理者の努力ではなく、行政改革における政府の成功によるものです。
「おいしい」の新しい部分から-産業貿易省とRosarkhivのサイト。それぞれ7つと6つの異なるカウンターと分析システムが同時にインストールされています。最高のレートはオウムであると彼らに言うべきです。同時に、Rosarkhivのウェブサイトの管理者と大統領の特別プログラムの主局にOpenStatカウンターが2年間機能していないことを知らせてください。ゴサイトはこのカウンターでは不運です...
新しい問題は、「Accessible Internet」プロジェクトと、紙の上で忘れられていた渓谷です。たとえば、国防省の「無料」サイトにアクセスすると、オペレーターは対応するトラフィックを有料サイトに含めます。私たちはこのようです:それはどうですか、プーチンは署名しました、私たちは関税をかけない義務があります!そして私達は答えました:国防省のウェブサイトは無料です、しかしそれが他のサイトから引っ張るすべてのゴミについては何も言われていません、払ってください!一般的には問題がありますが、これは国営サイトの管理者の問題でも、通信事業者の問題でも、このような素晴らしいプロジェクトを台無しにした通信マス通信省の問題でもありませんが、ユーザーの問題です。
同時に、私たちは、まるで最前線にいるかのように、うなずくのが通例である外国の経験を探求することに決めました。しかし、違います!外国の防衛省の数十のウェブサイトを調べたところ、ほぼ同じ写真が見つかりました。どこでもGoogleAnalyticsとローカルカウンターです。もちろん、中国国防省は失望しませんでした。中国のサイバー国境はロックされており、ドイツとフランスは遅れをとっていません。残りの調査対象(ベラルーシから日本まで)は、訪問者に関するデータをビーバーコーポレーションに注いでいます。
一般的に、5年間で実際に何も変わっていません。コンテンツセキュリティポリシー?いいえ、聞いたことがありません。サブリソースの整合性?はい、州のサイトでこれをどのように行うことができますか?ええと、私たちは外国のCDNからリソースをロードします、ええと、それが何か悪いものであるかのように、訪問者データを伝統的な「ありそうな敵」の国にマージします...