Поговорим о безопасности: почему не стоит загружать JavaScript через SSL от сторонней CDN?

Предположим, вы владеете онлайн-магазином, где предлагаете новейшие гаджеты, и пользователям нужно предоставлять номера кредиток для совершения покупок. Вы цените их безопасность, а потому потратили кучу денег на SSL сертификат, подтвержденный одним из самых лучших центров сертификации ключей. Пользователи могут быть уверены, что они передают свою личную информацию исключительно вашему сайту, а не какой-то другой организации.

Чтобы создать свой сайт, некоторые разработчики используют FooLib, библиотеку JavaScript с открытым доступом. Это отличное решение, которое предоставляет компания FooCo – один из лидеров в сфере Интернет-технологий. Компания даже предлагает версии FooLib на своей безупречной сети доставки данных (CDN), что позволяет каждому пользователю размещать свой  JavaScript код на одном из их серверов.

Поскольку браузеры выдают посетителям предупреждения, что они открывают страницу со смешанным HTTP и HTTPS контентом, большинство предпочитают пользоваться FooLib через SSL сертификаты. Никому не хочется отпугивать пользователей надоедливыми и устрашающими предупреждениями системы безопасности. Начнем с хорошей новости: сеть доставки контента от FooCo CDN работает с SSL сертификатами, так что больше вашим посетителям не придется смотреть на эти сообщения безопасности.

А теперь плохая новость: используя такой метод, вы будете не до конца честны со своими пользователями, и ваш дорогой SSL сертификат от авторитетного центра станет бесполезен. Почему? Потому что теперь FooCo может исполнять любой JavaScript код на вашем сайте. Разумеется, JavaScript будет передаваться с помощью SSL протокола, и браузер не будет высвечивать предупреждения, но пользователям придется взаимодействовать с cdn.foolib.com, который выполняет код на вашем сайте. Это означает, что посетитель сможет получить информацию о том, что другие пользователи читали и вводили на ваших страницах.

Не стоит винить в этом FooCo: это уважаемая и надежная компания, которая не станет красть номера кредитных карт клиентов. Они предоставляют ценные услуги обществу, не преследуя корыстные и нечестные цели. Но все-таки вы обманываете ваших посетителей. Наличие SSL сертификата предполагает, что информация пользователя шифруется и не передается посторонним.

Но когда вы загружаете FooLib из сети FooCo, вы непреднамеренно приглашаете третьего лишнего. У FooCo есть свой SSL сертификат, который тоже подтвержден надежным центром, но вашим пользователям не хочется делиться своими данными с третьими лицами – информация должна быть доступна исключительно вашему сайта. Таким образом, внедряя FooCo в процесс интеракции, вы фактически рвете контракт, заключаемый с вашим SSL центром. Пользователь видит иконку замка в адресной строке и даже не догадывается, что его обманывают.

Разумеется, можно выйти сухим из воды, если пользовательская информация не будет использована мошенниками и хакерами. Но никто не застрахован от утечки данных и других бед в таком случае. Если вы по-настоящему цените своих клиентов, не загружайте JavaScript из сторонних CDN-сервисов, даже если они поддерживают SSL-сертификаты от доверенных центров. 

По правде говоря, безопасность – это всегда компромис. Нам приходится жертвовать деньгами или удобством, чтобы ее обеспечить. Некоторые сайты готовы делиться пользовательскими данными с CDN сетями как FooCo, потому что это удобнее, чем размешать код в своей инфраструктуре. Но такое решение будет лежать на вашей совести.

Поставьте себя на место пользователя и решите: смиритесь ли вы с тем фактом, что вашу информацию дают другим компаниям без вашего согласия? Даже если это никому не причиняет вреда, некий риск все-таки остается.

18.08.2017

Комментарии:


Добавить коментарий

Авторизоваться:
Анонимно

Также Вам может быть интересно!

Что такое видео CDN? 10 лучших сетевых поставщиков видеоконтента

В то время как растущая популярность потокового видео в целом была довольно очевидной в течение нескольких лет, глобальный переход к удаленной работе и общей изоляции в целях здоровья привел, среди прочего, к тому, что гораздо больше видеоконтента потребляется на...

Что такое CDN и как он помогает с потоковым видео?

С ростом популярности потокового видео CDN (сети доставки контента) стали чрезвычайно востребованы. Давайте выясним, что это такое, и почему CDN рекомендуется для потокового видео высокого качества.   Что такое CDN? Во-первых, давайте перейдем к основной теме. Что такое...

Уменьшение пропускной способности CDN — как CDN может уменьшить пропускную способность?

Введение Базовое определение CDN описывает ее как сеть взаимосвязанных серверов, которая используется для хранения контента из исходного источника посредством кэширования и доставки его конечным пользователям с меньшей задержкой и большей скоростью. Он предлагает ряд...

Что такое CDN? Кому он необходим? Как правильно выбрать CDN провайдера? Откровение ведущего специалиста компании INXY.COM - маркетплейса хостинговых услуг.

CDN сервисы появились уже очень давно, но у большинства пользователей часто возникают вопросы:  как это работает? какие есть различия и особенности у разных CDN провайдеров? Я  работаю в сфере хостинга уже 15 лет и в этой статье мы вместе рассмотрим принципы работы CDN, а...

Бесплатная консультация эксперта

Отправить

Поддержка 24x7x365

Получите качественную поддержку от нашей опытной команды прямо сейчас.
1
Читайте о нас
в социальных сетях