Российские госсайты: посторонним вход разрешен
В 2015 году мы задались вопросом: как на сайтах органов власти обстоят дела с загрузкой ресурсов из сторонних источников? А то XSS, утечка данных о посетителях и это все… Оказалось, очень даже обстоят: на 92% госсайтов об этом всем даже не задумывались и грузили все подряд — счетчики, шрифты, библиотеки JavaScript, виджеты, информеры, реклама… только что криптомайнеров не было (но это неточно).
Одних только счетчиков и систем аналитики нашли 9 разных видов, причем некоторые их явно коллекционировали. Например, сайт Федеральной таможенной службы собрал в свою коллекцию 7 счетчиков, включая почивший к тому моменту в бозе лет пять как SpyLog. Его «наследника» — счетчик Openstat — таможенники тоже поставили (надо больше счетчиков!)
А вот сайт Росрегистрации увлекался рекламой и загружал код рекламных сетей Google и «Яндекса», «эффективной системы рекомендации контента» Lentainform, который в свою очередь загружал код рекламных сетей «МаркетГид» и Tovarro и прочий подобный мусор.
В общем, «вкусного» нашлось много, веселого — мало. Попутно вступили в заочную полемику с Роскомнадзором, который чуть ранее обнаружил Google Analytics на 22% госсайтов, а мы нашли на 40%.
По итогам составили первый «Индекс XSS-безопасности госсайтов», опубликовали доклад «Российские госсайты: по секрету всему свету», разослали его в СМИ и администраторам обозренных госсайтов. Журналисты, как водится, пошумели и снова тишина и покой воцарились в Муми-доле… или нет? Решили проверить, как обстоят дела сегодня, спустя 5 лет.
Если вкратце, то итоги нового мониторинга таковы: за 5 лет количество госсайтов, которые не загружают посторонние ресурсы, выросло с 7 (8%) аж до 8 (10%). Также немного сократилось количество источников загрузки посторонних ресурсов — с 55 до 52 — и лиц, контролирующих эти источники — с 40 до 37. Но за это время сократилось и количество органов власти, а, соответственно, и их сайтов — с 85 до 82. Таким образом, львиная доля сокращения «левых» загрузок объясняется успехами правительства в административной реформе, а не усилиями администраторов госсайтов.
Из новой порции «вкусного» — сайты Минпромторга и Росархива, на которых установлено сразу по 7 и 6 разных счетчиков и систем аналитики соответственно. Надо бы подсказать им, что самые высокие показатели будут в попугаях. Заодно сообщить администраторам сайтов Росархива и Главного управления специальных программ Президента, что счетчик OpenStat уже два года как не работает. Не везет госсайтам с этим счетчиком…
Новая проблема — проект «Доступный Интернет» и овраги, про которые забыли на бумаге. Вот, скажем, заходим мы на «бесплатный» сайт Минобороны, а наш оператор включает соответствующий трафик в платный. Мы такие: как так, Путин подписал, обязаны не тарифицировать! А нам в ответ: сайт Минобороны — бесплатно, а про весь мусор, который он тянет за собой с других сайтов, ничего не сказано, платите! В общем, проблема есть, но это не проблема администраторов госсайтов, не проблема операторов связи, не проблема Минкомсвязи, замутившей такой замечательный проект, а проблема пользователей.
Заодно решили поисследовать зарубежный опыт, на который принято кивать, как на передовой. А вот и нет! Посмотрели пару десятков сайтов иностранных министерств обороны и обнаружили примерно ту же картину: везде Google Analytics плюс местные счетчики. Минобороны Китая, разумеется, не разочаровало: киберграница Поднебесной на замке, Германия и Франция — не отстают, а остальные изученные — от Белоруссии до Японии — сливают данные о своих посетителях в Корпорацию бобра.
В общем, за пять лет ничего, по сути, не изменилось. Content Security Policy? Не, не слышали. Subresource Integrity? Да разве можно таким на госсайте заниматься! Ну, грузим ресурсы из зарубежной CDN, ну сливаем данные о посетителях в страну традиционного «вероятного противника», как будто это что-то плохое…