Comments 14
Не могли бы вы заодно проверять, какие из сайтов государственной власти перешли на свободную лицензию и, стало быть, позволяют налогоплательщикам использовать оплаченный государственный контент в своём бизнесе?
Спасибо!
Это совсем не заодно, а большой объем работы, который никак не автоматизировать. Но ч.6 ст.1259 ГК РФ намекает, что официальные документы госорганов не являются объектами авторских прав.
Признак там простой. В подвале сайта (или на странице условий использования) должна быть указана лицензия.
На сайтах органов власти находятся не только официальные документы, но и — биографические справки, макеты изданий, новостные заметки, планы, рисунки, статьи, схемы, фотографии, чертежи.
Например, на сайте правительства Москвы размещены журналы, которые это правительство издавало.
Учитывая множество успешных терактов в отношении представителей госорганов новых территорий, вам не кажется что про крокодилов и кашалотов это ирония на грани статьи и срока добра и зла? Ну и чисто по человечески это действительно так забавно?
В методичку можно ещё добавить такие штуки, о которых я когда-то давно писал, будучи продактом в одной B2B компании, хотя я не думаю, что у гос. сайтов когда-нибудь дойдут до таких высот руки:
1. Комбо ограничительных COEP + COOP = Среда с изоляцией между источниками: использование этих заголовков в ограничительном режиме создает изолированное пространство для веб-страницы, снижая риски атак побочного канала, таких как Spectre. В этом режиме COEP можно установить в значение «credentialless», что позволяет обойти проблемы с авторизацией при взаимодействии с другими источниками, сохраняя при этом высокий уровень безопасности и изоляции - правда это доступно было только в Сhrome.
2. Permissions-Policy — этот заголовок позволяет веб-сайтам задать политику для разрешений, которые они запрашивают у пользователей. С его помощью сайты могут информировать браузер о том, какие функции, такие как геолокация или доступ к камере, необходимы для полноценной работы ресурса. Устанавливая этот заголовок, владельцы сайтов могут предотвращать случайное предоставление лишних разрешений пользователями.
3. Trusted Types API в рамках Content-Security-Policy (CSP) — для меня это как дополнение к CSP для Chrome и браузеров на основе Chromium. Этот заголовок — новая мера безопасности, разработанная для предотвращения атак межсайтового скриптинга в Document Object Model (DOM XSS). Он позволяет сайтам задать политику для типов значений, которые можно использовать в определенных API, например, при создании DOM-элементов или выполнении JavaScript-кода.
Вы правы, на пп.2 и 3 не стандартизированы и их нельзя включить в методику, а по п.1 надо очень глубоко копать, чтобы был объективный результат. Не имея доступа к кишкам сайта этого сделать не получится: сегодня там одно грузится, завтра другое. И получаем в итоге необъективную картину, если смотреть снаружи.
Где вы берете список *.gov.ru ? Я не шпион, мне просто интересно.
Я всякие там рушки и сушки забираю с nic.ru ( https://www.nic.ru/help/poluchenie-spiskov-domennyh-imen_3626.html ), но там у них нет gov.ru (ну или я чего-то недопонял). Я нашел какой-то список на гитхабе, но он явно собран вручную каким-то энтузиастом, так что скорее всего список неполный.
Как региональные госсайты оказались защищены лучше федеральных