En 2015, nous nous sommes posé la question: comment se passe-t-il sur les sites Internet des autorités avec le téléchargement de ressources provenant de sources tierces? Et puis XSS, fuite de données sur les visiteurs et c'est tout ... Il s'est avéré que la situation est très bonne: 92% des sites d'état n'y ont même pas pensé et ont tout chargé d'affilée - compteurs, polices, bibliothèques JavaScript, widgets, informateurs, publicité ... pour l'instant il n'y a pas de cryptomineurs était (mais ce n'est pas exact).
Les analystes ont trouvé 9 types différents de compteurs et de systèmes seuls, dont certains étaient clairement collectés. Par exemple, le site du Service fédéral des douanes a rassemblé 7 compteurs dans sa collection, y compris le SpyLog, qui est mort à ce moment-là à Bose depuis cinq ans. Son «successeur» - le compteur Openstat - a également été installé par les douaniers (il nous faut plus de compteurs!)
Mais le site Rosregistration adorait la publicité et chargeait le code des réseaux publicitaires Google et Yandex, le «système de recommandation de contenu efficace» Lentainform, qui à son tour chargeait le code des réseaux publicitaires MarketGuide et Tovarro et autres déchets similaires.
En général, il y avait beaucoup de "savoureux", mais peu de plaisir. En cours de route, nous sommes entrés dans une polémique d'absentéisme avec Roskomnadzor, qui a trouvé un peu plus tôt Google Analytics sur 22% des sites étatiques, et nous en avons trouvé 40%.
Selon les résultats compilés le premier «indice de sécurité XSS gossaytov» a publié un rapport «gossayty russe: secret dans le monde entier», l'a envoyé aux médias et aux administrateurs Ferris gossaytov. Les journalistes, comme d'habitude, faisaient du bruit et encore une fois le silence et la paix régnaient à Moomin-dol ... ou pas? Nous avons décidé de vérifier comment sont les choses aujourd'hui, après 5 ans.
En bref, les résultats de la nouvelle surveillancesont les suivantes: en 5 ans, le nombre de sites étatiques ne chargeant pas de ressources étrangères est passé de 7 (8%) à 8 (10%). En outre, le nombre de sources de téléchargement de ressources externes a légèrement diminué - de 55 à 52 - et les personnes qui contrôlent ces sources - de 40 à 37. Mais pendant cette période, le nombre d'autorités et, par conséquent, leurs sites - de 85 à 82. Ainsi, la part du lion de la réduction des téléchargements «de gauche» est due aux succès du gouvernement en matière de réforme administrative, et non aux efforts des administrateurs de sites publics.
De la nouvelle partie du "savoureux" - les sites du ministère de l'Industrie et du Commerce et Rosarkhiv, sur lesquels 7 et 6 différents compteurs et systèmes d'analyse sont installés à la fois, respectivement. Nous devons leur dire que les taux les plus élevés seront chez les perroquets. En même temps, informez les administrateurs des sites Web de Rosarkhiv et la Direction principale des programmes spéciaux du Président que le comptoir OpenStat ne fonctionne plus depuis deux ans. Les Gossites n'ont pas de chance avec ce compteur ...
Un nouveau problème est le projet «Internet accessible» et les ravins qui ont été oubliés sur le papier. Par exemple, nous allons sur le site "gratuit" du ministère de la Défense, et notre opérateur inclut le trafic correspondant dans celui payant. On est comme ça: comment ça va, a signé Poutine, on est obligé de ne pas tarifer! Et nous avons répondu: le site du ministère de la Défense est gratuit, mais rien n'est dit sur toutes les ordures qu'il tire des autres sites, payez! En général, il y a un problème, mais ce n'est pas un problème d'administrateurs de sites étatiques, pas un problème d'opérateurs de télécommunications, pas un problème du ministère des Télécoms et des Communications de masse, qui a brouillé un projet aussi merveilleux, mais un problème d'utilisateurs.
Dans le même temps, nous avons décidé d'explorer l'expérience étrangère, à laquelle il est habituel de hocher la tête, comme en première ligne. Mais non! Nous avons examiné quelques dizaines de sites Web des ministères des Affaires étrangères de la Défense et avons trouvé à peu près la même image: partout, Google Analytics et les guichets locaux. Le ministère chinois de la Défense, bien sûr, n'a pas déçu: la cyber-frontière chinoise est verrouillée, l'Allemagne et la France ne sont pas à la traîne, et le reste des personnes étudiées - de la Biélorussie au Japon - versent des données sur leurs visiteurs dans la Beaver Corporation.
En général, en cinq ans, rien, en fait, n'a changé. Politique de sécurité du contenu? Non, tu n'as pas entendu. Intégrité des sous-ressources? Oui, comment pouvez-vous faire cela sur le site de l'État! Eh bien, nous chargeons des ressources à partir d'un CDN étranger, eh bien, nous fusionnons les données sur les visiteurs du pays de «l'ennemi potentiel» traditionnel, comme si c'était quelque chose de mauvais ...