Как защитить сайт от подмены трафика провайдером?

Question

[wwwAlexandr]

Привет. Операторы сотовой связи подменяют трафик на сайтах без ssl и вставляют туда свою рекламу
Пруфы:
https://vc.ru/35975-tele2-stal-pokazyvat-polzovate...
https://meduza.io/shapito/2017/11/22/megafon-nacha...

Недавно заметил такую рекламу на всех сайтах в большом количестве. Сам имею сайт без ssl.

Вопрос: как от этого защититься без https?
CSP? Много мороки и проблем.
Может есть другие способы?

Answer 1

[Fixid]

Никак, ставить SSL.
По факту сейчас данные передаются открытом виде и с ними можно делать что угодно по пути к клиенту.
Для этого и придумали SSL, что бы защитить от изменения посередине

Comments

[wwwAlexandr]

А CSP?

[Fixid]

mmmater, как вариант, но с кучей минусов.
Не все клиенты его поддерживают (опыт 2015 года)
В ваши данные все равно вмешиваются, просто CSP не дает их отобразить
Иногда мешает нормальной работе сайта

В текущих реалиях надо переходить на SSL: такие сайты любит поисковик, браузеры скоро будут показывать что сайт без шифрования не безопасен

[Fixid]

poisons, речь о Content Security Policy

[Александр]

Fixid, даже уже показывают

[Fixid]

Александр, FF 61.0.2 никаких доп значков.
Chrome просто надпись Не защищено

Обещали прям большим значком показывать

[Fixid]

poisons, в общем просто header говорит с каких сайтов можно грузить контент, все остальное браузер будет блочить. Пока вроде как ОпСоС не меняют header, но ничего не мешает. CSP вобще придумали как доп слой защиты, а не как основную

[wwwAlexandr]

poisons, CSP на сервере можно внедрить.

[wwwAlexandr]

Fixid, боюсь потерять позиции, это же переклейка, сайт только трафик начал набирать. К новым сайтам конечно буду подключать ssl в обязательном порядке.

[Fixid]

mmmater, не потеряете, и легко прибавите

[wwwAlexandr]

poisons, вы вообще сути не видите проблемы, зачем отвечать тогда?

[wwwAlexandr]

poisons, я на счёт "Летсенкрипт чем не угодил?"
Да я не могу ставить сейчас ssl, переезд на новый домен - возможет слёт позиций.
Ищу другие способы сейчас. Может есть способ как-то js файлы защитить? Точнее запретить встраивать на сайт js файл у которого хеш не соответствует хешу оригинала и при попытки встроить такой файл чтобы загружалась копия с другого пути. Как-то так.

Answer 2

[Владимир Бобылев]

А в чем морока то? Тот же Reg.ru дает сертификат бесплатно (может конечно была акция, но я брал на один из сайтов). Да и не больших денег он стоит. А прикручивается за пять минут. Да и сайт без https, на сегодняшний день - уже не солидно.

Comments

[wwwAlexandr]

Прочтите вопрос внимательно. Морока с CSP.
По поводу https уже отвечал - могут слететь позиции, это же переклейка сайта на новый домен.

[Fixid]

mmmater, да не слетят позиции

[wwwAlexandr]

Fixid, У меня в этом плане есть опыт. Слетают позиции на каждом 3-5 сайте при переклейки.

[Fixid]

mmmater, так наверное потому что не дождавшись склейки ставите 301. И бонусом наверняка имеются ссылки на http внутри страницы

[wwwAlexandr]

Fixid, нет, я всё делаю как нужно, а вы судя по всему вообще не в теме. Переклейка давно идёт только через 301 редирект, пункт host в robots уже не принимают во внимание.

[wwwAlexandr]

Fixid, а вот цитата из поста на яндекс блоге о смене домена на https

Вопреки расхожему мнению о том, что со сменой протокола для поисковой системы ничего не должно измениться, ведь фактически сайт остается прежним, а его название не меняется, индексирующий робот воспринимает ресурс, передающий данные по двум разным протоколам как два разных сайта. Поэтому при смене протокола на новый, как и вообще при переезде сайта на новый домен, возможно снижение посещаемости сайта, изменение количества его страниц и позиций в поисковой выдаче.

https://yandex.ru/blog/platon/2778

[wwwAlexandr]

Fixid, + мой опыт говорит что каждый 3-5 сайт не возвращает себе трафик при переклейки. Скажу больше, если сайт крупный (от 1000 страниц) то 100% не все страницы вернуться на прежние позиции, если сайт мелкий (до 100 страниц) тогда большинство страниц может вернуться на место. Но это ещё от темы зависит, если конкуренция большая, то всё, считай не видать позиций прежних в ближайшее время, если сайт развивать, то конечно они могут вернуться со временем, но это всё равно большой риск. Поверьте, я не просто так боюсь переклейки.

Answer 3

[Виктор Таран]

https