Pada 2015, kami bertanya pada diri sendiri pertanyaan: bagaimana keadaan di situs web otoritas dengan mengunduh sumber daya dari sumber pihak ketiga? Dan kemudian XSS, kebocoran data tentang pengunjung dan itu saja ... Ternyata situasinya sangat banyak: di 92% situs negara, semua orang bahkan tidak memikirkannya dan memuat semuanya secara berurutan - penghitung, font, pustaka JavaScript, widget, informer, iklan ... baru-baru ini tidak ada cryptominers dulu (tapi ini tidak akurat).
Analis menemukan 9 jenis penghitung dan sistem saja, beberapa di antaranya dikumpulkan dengan jelas. Misalnya, situs web Layanan Bea Cukai Federal telah mengumpulkan 7 loket dalam koleksinya, termasuk SpyLog, yang telah mati pada saat itu di Bose selama lima tahun. "Penggantinya" - penghitung Openstat - juga dipasang oleh bea cukai (kami membutuhkan lebih banyak penghitung!)
Tetapi situs web Rosregistratsia menyukai iklan dan mengunduh kode jaringan periklanan Google dan Yandex, Lentainform “sistem rekomendasi konten yang efektif”, yang pada gilirannya mengunduh kode jaringan periklanan MarketGuide dan Tovarro dan sampah sejenis lainnya.
Secara umum, ada banyak yang "enak", tapi tidak cukup menyenangkan. Sepanjang jalan, kami memasuki polemik absensi dengan Roskomnadzor, yang sebelumnya menemukan Google Analytics di 22% situs negara bagian, dan kami menemukan 40%.
Menurut hasil mengumpulkan «XSS-indeks keamanan gossaytov pertama" laporan yang diterbitkan "gossayty Rusia: rahasia di seluruh dunia," mengirimkannya ke media dan administrator Ferris gossaytov. Jurnalis, seperti biasa, membuat keributan dan lagi-lagi keheningan dan kedamaian menguasai Moomin-dol ... atau tidak? Kami memutuskan untuk memeriksa keadaan hari ini, setelah 5 tahun.
Singkatnya, hasil pemantauan baruadalah sebagai berikut: dalam 5 tahun, jumlah situs negara bagian yang tidak memuat sumber daya asing telah meningkat dari 7 (8%) menjadi 8 (10%). Selain itu, jumlah sumber pengunduhan sumber daya eksternal sedikit menurun - dari 55 menjadi 52 - dan orang yang mengontrol sumber ini - dari 40 menjadi 37. Namun selama ini, jumlah badan pemerintah, dan, karenanya, situs mereka - dari 85 menjadi 82. Jadi Jadi, bagian terbesar dari pengurangan unduhan "kiri" disebabkan oleh keberhasilan pemerintah dalam reformasi administrasi, dan bukan karena upaya administrator situs negara.
Dari bagian baru dari "enak" - situs Departemen Perindustrian dan Perdagangan dan Rosarkhiv, di mana 7 dan 6 counter berbeda dan sistem analitik dipasang sekaligus, masing-masing. Kita harus memberi tahu mereka bahwa tarif tertinggi ada pada burung beo. Pada saat yang sama, beri tahu administrator situs web Rosarkhiv dan Direktorat Utama Program Khusus Presiden bahwa penghitung OpenStat tidak berfungsi selama dua tahun. Gossites tidak beruntung dengan counter ini ...
Masalah baru adalah proyek "Internet yang Dapat Diakses" dan jurang-jurang yang telah dilupakan di atas kertas. Misalnya, kami membuka situs "gratis" dari Kementerian Pertahanan, dan operator kami menyertakan lalu lintas yang sesuai di situs berbayar. Kita seperti ini: gimana, Putin tandatangani, kita wajib tidak tarif! Dan kami menjawab: situs web Kementerian Pertahanan itu gratis, tetapi tidak ada yang dikatakan tentang semua sampah yang diambilnya dari situs lain, bayar! Secara umum, ada masalah, tetapi ini bukan masalah administrator situs negara, bukan masalah operator telekomunikasi, bukan masalah Kementerian Telekomunikasi dan Komunikasi Massa, yang mengacaukan proyek yang begitu indah, tetapi masalah pengguna.
Pada saat yang sama, kami memutuskan untuk menyelidiki pengalaman asing, yang biasa diangguk, seolah-olah di garis depan. Tapi tidak! Kami melihat beberapa lusin situs web kementerian pertahanan luar negeri dan menemukan gambaran yang hampir sama: di mana-mana Google Analytics plus loket lokal. Kementerian Pertahanan Tiongkok, tentu saja, tidak mengecewakan: perbatasan dunia maya Tiongkok terkunci, Jerman dan Prancis tidak ketinggalan, dan orang-orang lain yang diteliti - dari Belarusia hingga Jepang - menuangkan data tentang pengunjung mereka ke Beaver Corporation.
Secara umum, tidak ada yang benar-benar berubah dalam lima tahun. Kebijakan Keamanan Konten? Tidak, Anda belum pernah mendengar. Integritas Subresource? Ya, bagaimana Anda bisa melakukan ini di situs negara! Kami memuat sumber daya dari CDN asing, kami menggabungkan data tentang pengunjung ke negara "musuh potensial" tradisional, seolah-olah itu adalah sesuatu yang buruk ...