Поговорим о безопасности: почему не стоит загружать JavaScript через SSL от сторонней CDN?

Предположим, вы владеете онлайн-магазином, где предлагаете новейшие гаджеты, и пользователям нужно предоставлять номера кредиток для совершения покупок. Вы цените их безопасность, а потому потратили кучу денег на SSL сертификат, подтвержденный одним из самых лучших центров сертификации ключей. Пользователи могут быть уверены, что они передают свою личную информацию исключительно вашему сайту, а не какой-то другой организации.

Чтобы создать свой сайт, некоторые разработчики используют FooLib, библиотеку JavaScript с открытым доступом. Это отличное решение, которое предоставляет компания FooCo – один из лидеров в сфере Интернет-технологий. Компания даже предлагает версии FooLib на своей безупречной сети доставки данных (CDN), что позволяет каждому пользователю размещать свой  JavaScript код на одном из их серверов.

Поскольку браузеры выдают посетителям предупреждения, что они открывают страницу со смешанным HTTP и HTTPS контентом, большинство предпочитают пользоваться FooLib через SSL сертификаты. Никому не хочется отпугивать пользователей надоедливыми и устрашающими предупреждениями системы безопасности. Начнем с хорошей новости: сеть доставки контента от FooCo CDN работает с SSL сертификатами, так что больше вашим посетителям не придется смотреть на эти сообщения безопасности.

А теперь плохая новость: используя такой метод, вы будете не до конца честны со своими пользователями, и ваш дорогой SSL сертификат от авторитетного центра станет бесполезен. Почему? Потому что теперь FooCo может исполнять любой JavaScript код на вашем сайте. Разумеется, JavaScript будет передаваться с помощью SSL протокола, и браузер не будет высвечивать предупреждения, но пользователям придется взаимодействовать с cdn.foolib.com, который выполняет код на вашем сайте. Это означает, что посетитель сможет получить информацию о том, что другие пользователи читали и вводили на ваших страницах.

Не стоит винить в этом FooCo: это уважаемая и надежная компания, которая не станет красть номера кредитных карт клиентов. Они предоставляют ценные услуги обществу, не преследуя корыстные и нечестные цели. Но все-таки вы обманываете ваших посетителей. Наличие SSL сертификата предполагает, что информация пользователя шифруется и не передается посторонним.

Но когда вы загружаете FooLib из сети FooCo, вы непреднамеренно приглашаете третьего лишнего. У FooCo есть свой SSL сертификат, который тоже подтвержден надежным центром, но вашим пользователям не хочется делиться своими данными с третьими лицами – информация должна быть доступна исключительно вашему сайта. Таким образом, внедряя FooCo в процесс интеракции, вы фактически рвете контракт, заключаемый с вашим SSL центром. Пользователь видит иконку замка в адресной строке и даже не догадывается, что его обманывают.

Разумеется, можно выйти сухим из воды, если пользовательская информация не будет использована мошенниками и хакерами. Но никто не застрахован от утечки данных и других бед в таком случае. Если вы по-настоящему цените своих клиентов, не загружайте JavaScript из сторонних CDN, даже если они поддерживают SSL-сертификаты от доверенных центров. 

По правде говоря, безопасность – это всегда компромис. Нам приходится жертвовать деньгами или удобством, чтобы ее обеспечить. Некоторые сайты готовы делиться пользовательскими данными с CDN сетями как FooCo, потому что это удобнее, чем размешать код в своей инфраструктуре. Но такое решение будет лежать на вашей совести.

Поставьте себя на место пользователя и решите: смиритесь ли вы с тем фактом, что вашу информацию дают другим компаниям без вашего согласия? Даже если это никому не причиняет вреда, некий риск все-таки остается.

18.08.2017

Комментарии:


Добавить коментарий

Авторизоваться:
Анонимно

Также Вам может быть интересно!

10 Способов Улучшить CDN Стратегию

Хотя CDN решения являются продвинутыми, вы можете сделать свою сеть лучше, подстроив ее под требования своего бизнеса. Идеальная сеть доставки контента делает производительность безупречной, и сегодня мы постараемся лучше понять, как ее оптимизировать.  Обычно...

Подходит ли ваша CDN-сеть для онлайн-игр?

Можно подумать, что любая сеть доставки контента (CDN) подходит для передачи игрового контента, но на самом деле это не так. Теоретически любая CDN-сеть может доставить ваш контент с сервера на браузер, но эффективность не всегда будет одинаковой. Позитивный пользовательский...

Как эффективно организовать хранение файлов в CDN?

Поскольку CDN – это гибкое и масштабируемое решение, большинство запросов с пограничных серверов обрабатываются без соединения с главным сервером или приложениями. Но прежде чем стать доступным в кэше, данные должны попасть в главное хранилище, ведь если они не будут...

Как снизить риски в случае взлома CDN?

Если вы уже используете CDN (сеть доставки контента), вы знаете, что это ценный сервис, позволяющий ускорить доставку статичного контента (изображения, скрипты и текст). CDN-провайдеры предлагают огромный выбор сетей с серверами, стратегически расположенными по всему миру,...

Бесплатная консультация эксперта

Поддержка 24x7x365

Получите качественную поддержку от нашей опытной команды прямо сейчас.
Подробнее о нас
В социальных сетях