
Em 2015, nos perguntamos: como andam as coisas nos sites das autoridades com o download de recursos de fontes terceirizadas? E então XSS, vazamento de dados sobre visitantes e pronto ... Descobriu-se que a situação é muito grande: em 92% dos sites estaduais, ninguém nem pensava nisso e carregava tudo em uma linha - contadores, fontes, bibliotecas JavaScript, widgets, informes, publicidade ... agora não há criptominadores era (mas isso é impreciso).
Os analistas encontraram 9 tipos diferentes de contadores e sistemas sozinhos, alguns dos quais claramente coletados. Por exemplo, o site do Federal Customs Service coletou 7 fichas em sua coleção, incluindo o SpyLog, que já havia morrido naquela época em Bose há cinco anos. Seu “sucessor” - o contador Openstat - também foi instalado pelos funcionários alfandegários (precisamos de mais contadores!)
Mas o site Rosregistration gostava de publicidade e carregou o código das redes de publicidade Google e Yandex, o “sistema de recomendação de conteúdo eficaz” Lentainform, que por sua vez carregou o código das redes de publicidade MarketGuide e Tovarro e outras porcarias semelhantes.
Em geral, havia muito "gostoso", mas pouca diversão. Ao longo do caminho, entramos em uma polêmica ausente com Roskomnadzor, que um pouco antes encontrou o Google Analytics em 22% dos sites estaduais, e encontramos 40%.
De acordo com os resultados compilados o primeiro «XSS-security index gossaytov" relatório publicado "gossayty russo: segredo em todo o mundo", enviou-o para a mídia e administradores Ferris gossaytov. Os jornalistas, como sempre, fizeram barulho e novamente o silêncio e a paz reinaram em Moomin-dol ... ou não? Decidimos verificar como as coisas estão hoje, depois de 5 anos.
Em suma, os resultados do novo monitoramentosão as seguintes: em 5 anos, o número de sites estaduais que não carregam recursos externos cresceu de 7 (8%) para 8 (10%). Além disso, o número de fontes para baixar recursos externos diminuiu ligeiramente - de 55 para 52 - e as pessoas que controlam essas fontes - de 40 para 37. Mas durante esse tempo, o número de autoridades e, consequentemente, seus sites - de 85 para 82. Assim, a maior parte da redução nos downloads da "esquerda" se deve aos sucessos do governo na reforma administrativa, e não aos esforços dos administradores de sites estaduais.
A partir da nova parte do "saboroso" - os sites do Ministério da Indústria e Comércio e Rosarkhiv, nos quais 7 e 6 contadores e sistemas analíticos diferentes estão instalados ao mesmo tempo, respectivamente. Devemos dizer a eles que as taxas mais altas ocorrerão em papagaios. Ao mesmo tempo, informe os administradores dos sites da Rosarkhiv e da Diretoria Principal de Programas Especiais do Presidente que o balcão do OpenStat não funciona há dois anos. Gossites não têm sorte com este contador ...
Um novo problema é o projeto "Internet acessível" e as ravinas que ficaram esquecidas no papel. Por exemplo, vamos ao site "gratuito" do Ministério da Defesa, e nossa operadora inclui o tráfego correspondente no pago. Somos assim: como é, Putin assinou, somos obrigados a não tarifar! E respondemos: o site do Ministério da Defesa é gratuito, mas nada se fala sobre todo o lixo que ele puxa de outros sites, pague! Em geral, há um problema, mas não é um problema de administradores de sites do Estado, não é um problema de operadoras de telecomunicações, não é um problema do Ministério das Telecomunicações e Comunicações de Massa, que atrapalhou um projeto tão maravilhoso, mas um problema de usuários.
Ao mesmo tempo, decidimos investigar a experiência estrangeira, para a qual costumamos acenar com a cabeça, como primeira linha. Mas não! Examinamos algumas dezenas de sites de ministérios de defesa estrangeiros e encontramos quase a mesma imagem: o Google Analytics em todos os lugares mais os contadores locais. O Ministério da Defesa da China, é claro, não decepcionou: a fronteira cibernética do Império Celestial está trancada, a Alemanha e a França não estão ficando para trás e o restante dos estudados - da Bielo-Rússia ao Japão - estão despejando dados sobre seus visitantes na Beaver Corporation.
Em geral, nada mudou em cinco anos. Política de segurança de conteúdo? Não, você não ouviu. Integridade de sub-recursos? Sim, como você pode fazer isso no site do estado! Bem, carregamos recursos de um CDN estrangeiro, bem, nós mesclamos dados de visitantes no país do tradicional "inimigo em potencial", como se fosse algo ruim ...