Поговорим о безопасности: почему не стоит загружать JavaScript через SSL от сторонней CDN?

Предположим, вы владеете онлайн-магазином, где предлагаете новейшие гаджеты, и пользователям нужно предоставлять номера кредиток для совершения покупок. Вы цените их безопасность, а потому потратили кучу денег на SSL сертификат, подтвержденный одним из самых лучших центров сертификации ключей. Пользователи могут быть уверены, что они передают свою личную информацию исключительно вашему сайту, а не какой-то другой организации.

Чтобы создать свой сайт, некоторые разработчики используют FooLib, библиотеку JavaScript с открытым доступом. Это отличное решение, которое предоставляет компания FooCo – один из лидеров в сфере Интернет-технологий. Компания даже предлагает версии FooLib на своей безупречной сети доставки данных (CDN), что позволяет каждому пользователю размещать свой  JavaScript код на одном из их серверов.

Поскольку браузеры выдают посетителям предупреждения, что они открывают страницу со смешанным HTTP и HTTPS контентом, большинство предпочитают пользоваться FooLib через SSL сертификаты. Никому не хочется отпугивать пользователей надоедливыми и устрашающими предупреждениями системы безопасности. Начнем с хорошей новости: сеть доставки контента от FooCo CDN работает с SSL сертификатами, так что больше вашим посетителям не придется смотреть на эти сообщения безопасности.

А теперь плохая новость: используя такой метод, вы будете не до конца честны со своими пользователями, и ваш дорогой SSL сертификат от авторитетного центра станет бесполезен. Почему? Потому что теперь FooCo может исполнять любой JavaScript код на вашем сайте. Разумеется, JavaScript будет передаваться с помощью SSL протокола, и браузер не будет высвечивать предупреждения, но пользователям придется взаимодействовать с cdn.foolib.com, который выполняет код на вашем сайте. Это означает, что посетитель сможет получить информацию о том, что другие пользователи читали и вводили на ваших страницах.

Не стоит винить в этом FooCo: это уважаемая и надежная компания, которая не станет красть номера кредитных карт клиентов. Они предоставляют ценные услуги обществу, не преследуя корыстные и нечестные цели. Но все-таки вы обманываете ваших посетителей. Наличие SSL сертификата предполагает, что информация пользователя шифруется и не передается посторонним.

Но когда вы загружаете FooLib из сети FooCo, вы непреднамеренно приглашаете третьего лишнего. У FooCo есть свой SSL сертификат, который тоже подтвержден надежным центром, но вашим пользователям не хочется делиться своими данными с третьими лицами – информация должна быть доступна исключительно вашему сайта. Таким образом, внедряя FooCo в процесс интеракции, вы фактически рвете контракт, заключаемый с вашим SSL центром. Пользователь видит иконку замка в адресной строке и даже не догадывается, что его обманывают.

Разумеется, можно выйти сухим из воды, если пользовательская информация не будет использована мошенниками и хакерами. Но никто не застрахован от утечки данных и других бед в таком случае. Если вы по-настоящему цените своих клиентов, не загружайте JavaScript из сторонних CDN, даже если они поддерживают SSL-сертификаты от доверенных центров. 

По правде говоря, безопасность – это всегда компромис. Нам приходится жертвовать деньгами или удобством, чтобы ее обеспечить. Некоторые сайты готовы делиться пользовательскими данными с CDN сетями как FooCo, потому что это удобнее, чем размешать код в своей инфраструктуре. Но такое решение будет лежать на вашей совести.

Поставьте себя на место пользователя и решите: смиритесь ли вы с тем фактом, что вашу информацию дают другим компаниям без вашего согласия? Даже если это никому не причиняет вреда, некий риск все-таки остается.

18.08.2017
Поделитесь ссылкой в соц сетях:

Комментарии:

Комментариев нет

Добавить коментарий

Авторизоваться:
Анонимно

Нет времени ждать. Закажите выделенный сервер сейчас.

Благодаря нашей сети суммарной пропускной способностью свыше 1400 Gbps вы сможете узнать, что такое по-настоящему быстрый отклик. Мы следим за шириной канала провайдеров, точками обмена трафиком и инфраструктурой сети, что позволяет избежать даже минимальных прерываний в работе.
Надежность работы обеспечивается качественными аппаратными решениями Dell и Supermicro - ведущими производителями серверов.


Получить 2 месяца по цене 1 Консультация эксперта
Наши дата-центры подключены к сетям:
  • 20 x 10GE Level3
  • 22 x 10GE GlobalCrossing
  • 20 x 10GE Telia
  • 3 x 10GE Deutsche Telecom
  • 20 x 10GE Tata Communications
  • 60 x 10GE IPTransit

Также Вам может быть интересно!

CDN и традиционный веб-хостинг: как сделать выбор?

Несколько лет назад обычный хостинг был единственным способом запустить свой сайт в Сеть. Было несколько хостинговых компаний, которые сотрудничали с частными и корпоративными веб-сайтами, использующими по большей части статичные файлы маленького размера. Со временем...

Когда вам нужен управляемый сервер?

Чтобы опережать своих конкурентов, вам нужна либо надежная и сильная IT-команда, либо эффективный веб-хостинг. Некоторые компании тратят слишком много денег и времени на сервисы, которые им на самом деле не нужны. Не повторяйте их ошибок: выбирайте управляемый сервер для...

10 нужных функций CDN-сети

Как понять, какую CDN (сеть доставки контента) стоит заказать, а на какую нет смысла тратить деньги? Пришла пора узнать, какие функции обязательны для достойных CDN-сервисов. Сети, которые предлагает SpaceCDN, представлены точками присутствия во всех шести континентах, и обладают...

5 Советов по выбору названия домена

Возможно, вы не догадывались, но выбор сервера и использование CDN далеко не единственные вещи, которые важны для хостинга. Правильно выбранное название домена – ключ к успеху вашего сайта. Почему? Хороший домен не только отлично запоминается, но и привлекает внимание к...

Networks Connected