дисклеймер номер раз
Все, что тут написано сделано исключительно ради самореализации автора и тщетной попытки навести порядок в голове у этого самого автора.
дисклеймер номер два
Мне нравится писать, от этого в голове становится приятно пусто, а искать темы для своих творений не так-то просто в этом мире безумного количества информации, поэтому в статье не будет ничего нового, внезапного и сильно инновационного, статья носит исключительно образовательный характер и структурирует все мои поиски найденную информацию в тырнетике с надеждой получить валидацию, обратную связь или идеи, куда я еще не посмотрела и что не учла.
Так как последнее время меня все больше волнует вопрос поиска и главное ВАЛИДАЦИИ информации, добытой на просторах необъятной (и в этот раз даже не Москвы, а паутины), то последние пару дней меня заинтересовало такое явление, как Content-Security-Policy.
И так, начнем с легкого поиска в гугле и изучении вопроса: КАК ВСЕ НАЧИНАЛОСЬ? (самое неприятное еще в том, что все что найдено, надо бы ПРОЧИТАТЬ И ВНИКНУТЬ, что мне, как дитю быстрого доступа к информации категорически сложно. Хочется, чтобы ты открыл первую вкладку и стало все сразу понятно без этих ваших мам, пап, кредитов и смс).
Из основного, гугл достаточно хорошо отвечает на такие вопросы с помощью ИИшки и даже, что приятно, дает конкретные ссылки на источники. При поиске, например, информации о взломах, она завуалирована отвечает, что взяла информацию с официальных источников, если спрашиваешь про эти источники, ссылается на РИА новости, РБК и иже с ними, но конкретных ссылок не дает. Более того, если пытаться по ключевым словам найти желаемое именно на этих ресурсах, то меня так же постигала неудача и получалась, что ответ ИИшки есть, а доказательств в интернете не найти.
Здесь же он ссылается на достаточно конкретные статьи достаточно достоверных источников. То есть понятно, что "верить никому нельзя, а мне можно" (с), но тем не менее это 2 крупных ресурсов с ДОСТАТОЧНО хорошей репутацией)
Например, для проверки информации в той же вики - часть источников, на которые она ссылается открывается исключительно через впн (что в целом понимаемо), а часть уже не открывается совсем =(. Например в статье от 2013 года пишут, что стандарт был разработан в Mozilla Foundation, а уже на момент написания статьи (то бишь через 2 года) полную поддержку обеспечивали более 60 процентов браузеров по всему миру. Когда как в современных источниках создание стандарта присваивают Роберту Хансену (и нет, не тому, который серийный убица, а тот который работал (скорее всего) в корпорации Mozilla Foundation. Потому что если искать на русском, как такого блога или статей Роберта Хансена я так и не нашла возможно я правда не старалась, только его упоминания в чужих статьях, как эксперта по информационной безопасности без дополнительных ссылок на источник).
А вот при поиске на англицком (да, да, я знаю, это было логично с самого начала, но я не всегда быстро соображаю) Роберт Хансен нашелся, а так же и пару статей от лохматых годов, которые так же как я углублялись в истории появление CSP (возможно не очень необходимого, но тем не менее). Из статей я так и не поняла работал ли он в самой корпорации или просто с ней, но на этом этапе я решила закончить в этот раз мои самокопания в некрофилии.
Потому что наверное для понимания самой концепции и как она работает не так важна история создания, так что на этом мои изыскания в наведении порядка исторических взаимосвязей были закончены, а я для себя решила, что мне достаточно примерный год 2010-е для примерного понимания в каких условиях она была разработана.
Поэтому я перешла к следующему интересующему меня шагу: ГДЕ НАЙТИ ПЕРВОИСТОЧНИК и с чего начать. Тут все источники сходятся в одном - первый (и все последующие) стандарты CSP (все еще content-security-policy, а не КриптоПРО ЦСП, который так упорно лезет в мозг после работы в сфере российской ИБ) были разработаны и опубликованы в рамках W3C(еще одно модное словечко Консорциум Всемирной паутины World Wide Web Consortium - специальная организация, разрабатывающая и внедряющая технологические стандарты для тырнетика). И вот они как раз вполне себе доступны во всех своих версиях и изменениях на сайте организации и тут уже можно проследить, как менялся стандарт и что изменялось. (что меня радует, потому что в этом непростом мире я всегда радуюсь, когда находится достаточно надежный ресурс, на который можно опираться).
Теперь к главному: КАК ЖЕ ЭТО РАБОТАЕТ?
И так, если верить русскоязычным источникам (да, да, по-хорошему надо гуглить на английском языке), а именно энциклопедии касперского и вики (которого тоже походу нет на русском языке, только автоматический перевод самой платформы) это стандарт по информационной безопасности, который описывает политики, ограничивающие список источников, из которых можно загружать скрипты и элементы оформления при открытии сайта в браузере. Состоит он из очередного поля в Headers(а там их много) запросов к сайтам и содержит ограниченное количество настроек, которое как раз прописано в стандарте.
А если быть конкретнее, то вот тут наглядный список всего того, что можно там прописывать и что это даст.
А сами политики проверяют на стороне пользователя в браузере, то есть если у Вас устаревший браузер или вообще какой-нибудь модный, который игнорирует это поле в хедере запроса, то соответственно, даже если политика будет прописана выполняться она не будет.
А МОЖНО КАК-ТО ПОТРОГАТЬ?
Сам заголовок запроса МОЖЕТ содержать поле с Content-Security-Policy, а может и не содержать =Ь Это совсем не обязательный параметр для работы непосредственно сайта. И мои жалкие попытки посмотреть, какие политики бывают, закончились грустным осознанием, что далеко не везде ее прописывают.
Например, при загрузке поисковика ya.ru в запросах CSP нет, а вот при аутентификации в учетной записи есть. Что наверное логично, но тем не менее.
А вот при попытках найти хоть один запрос с CSP бродя по просторам контактика, я так ни одного не нашла. Были два с прописанными Content-Security-Policy-Report-Only (который отличается от предыдущего, что не запрещает, а только оповещает о попытках ее (то бишь политики) нарушениях) и то на абсолютно дополнительные запросы на gstatic.com за неким cast_sender.js, что непосредственно к работе контакта никакого отношения соответственно не имеет.
На этом я устала заниматься исследованиями и пошла наконец-то работать!
Мои маленькие выводы этого большого количество букв:
забавно, что когда начинаешь структурировать и записывать свои действия и изыскания, то автоматически получается лучше концентрироваться и вникать
я начала почти автоматически искать дату и автора любой публикации, которую читаю в тырнетике =D
Теперь я лучше понимаю, что такое CSP и откуда оно взялось)