En 2015, nos hicimos la pregunta: 驴c贸mo van las cosas en los sitios web de las autoridades con la descarga de recursos de fuentes de terceros? Y luego XSS, fuga de datos sobre visitantes y eso es todo ... Result贸 que la situaci贸n es muy buena: el 92% de los sitios estatales ni siquiera lo pensaron y cargaron todo en una fila: contadores, fuentes, bibliotecas de JavaScript, widgets, informadores, publicidad ... ahora mismo no hay criptomineros era (pero esto es inexacto).
Los analistas encontraron solo 9 tipos diferentes de contadores y sistemas, algunos de los cuales fueron recopilados claramente. Por ejemplo, el sitio del Servicio Federal de Aduanas ha recopilado 7 contadores en su colecci贸n, incluido el SpyLog, que para ese momento ha muerto en Bose durante cinco a帽os. Su "sucesor", el mostrador de Openstat, tambi茅n fue instalado por los funcionarios de aduanas (隆necesitamos m谩s mostradores!)
Pero el sitio web de Rosregistration era aficionado a la publicidad y carg贸 el c贸digo de las redes publicitarias de Google y Yandex, el "sistema de recomendaci贸n de contenido efectivo" Lentainform, que a su vez carg贸 el c贸digo de las redes publicitarias. MarketGuide y Tovarro y otras basuras similares.
En general, hubo mucho "sabroso", pero poca diversi贸n. En el camino, entramos en una pol茅mica ausente con Roskomnadzor, que un poco antes encontr贸 Google Analytics en el 22% de los sitios estatales, y encontramos el 40%.
De acuerdo con los resultados compilados el primer 芦铆ndice de seguridad XSS gossaytov" informe publicado "Gossayty ruso: secreto en todo el mundo", lo envi贸 a los medios de comunicaci贸n y administradores Ferris gossaytov. Los periodistas, como de costumbre, hicieron algo de ruido y nuevamente el silencio y la paz rein贸 en Moomin-dol ... 驴o no? Decidimos comprobar c贸mo est谩n las cosas hoy, despu茅s de 5 a帽os.
En resumen, los resultados del nuevo seguimientoson los siguientes: en 5 a帽os, el n煤mero de sitios estatales que no cargan recursos extra帽os ha crecido de 7 (8%) a 8 (10%). Adem谩s, la cantidad de fuentes de descarga de recursos externos ha disminuido levemente, de 55 a 52, y las personas que controlan estas fuentes, de 40 a 37. Pero durante este tiempo, la cantidad de organismos gubernamentales y, en consecuencia, sus sitios, de 85 a 82. Entonces Por lo tanto, la mayor parte de la reducci贸n de descargas "izquierdas" se debe a los 茅xitos del gobierno en la reforma administrativa, y no a los esfuerzos de los administradores de sitios estatales.
De la nueva parte de lo "sabroso" - los sitios del Ministerio de Industria y Comercio y Rosarkhiv, en los que se instalan 7 y 6 contadores y sistemas de an谩lisis diferentes a la vez, respectivamente. Debemos decirles que las tasas m谩s altas estar谩n en los loros. Al mismo tiempo, informe a los administradores de los sitios web de Rosarkhiv y la Direcci贸n Principal de Programas Especiales del Presidente que el contador de OpenStat no ha estado funcionando durante dos a帽os. Los Gossites tienen mala suerte con este contador ...
Un nuevo problema es el proyecto "Internet accesible" y los barrancos que se han olvidado en el papel. Por ejemplo, vamos al sitio "gratuito" del Ministerio de Defensa, y nuestro operador incluye el tr谩fico correspondiente en el pago. Somos as铆: 驴c贸mo es ?, firm贸 Putin, 隆estamos obligados a no arancelar! Y respondimos: la web del Ministerio de Defensa es gratuita, pero no se dice nada de toda la basura que saca de otros sitios, 隆paga! En general, hay un problema, pero este no es un problema de administradores de sitios estatales, no es un problema de operadores de telecomunicaciones, no es un problema del Ministerio de Telecomunicaciones y Comunicaciones Masivas, que enturbi贸 un proyecto tan maravilloso, sino un problema de los usuarios.
Al mismo tiempo, decidimos investigar la experiencia extranjera, a la que se acostumbra asentir, como en la l铆nea del frente. 隆Pero no! Examinamos un par de docenas de sitios web de ministerios de defensa y encontramos aproximadamente la misma imagen: en todas partes, Google Analytics y contadores locales. El Ministerio de Defensa de China, por supuesto, no defraud贸: la frontera cibern茅tica china est谩 cerrada, Alemania y Francia no se est谩n quedando atr谩s, y el resto estudiado, desde Bielorrusia hasta Jap贸n, est谩 vertiendo datos sobre sus visitantes en Beaver Corporation.
En general, nada ha cambiado en cinco a帽os. Pol铆tica de seguridad de contenido? No, no has escuchado. Integridad de los subrecursos? S铆, 驴c贸mo puedes hacer esto en el sitio estatal? Bueno, cargamos recursos de un CDN extranjero, bueno, fusionamos los datos de los visitantes en el pa铆s del tradicional "enemigo potencial", como si fuera algo malo ...