Поговорим о безопасности: почему не стоит загружать JavaScript через SSL от сторонней CDN?

Предположим, вы владеете онлайн-магазином, где предлагаете новейшие гаджеты, и пользователям нужно предоставлять номера кредиток для совершения покупок. Вы цените их безопасность, а потому потратили кучу денег на SSL сертификат, подтвержденный одним из самых лучших центров сертификации ключей. Пользователи могут быть уверены, что они передают свою личную информацию исключительно вашему сайту, а не какой-то другой организации.

Чтобы создать свой сайт, некоторые разработчики используют FooLib, библиотеку JavaScript с открытым доступом. Это отличное решение, которое предоставляет компания FooCo – один из лидеров в сфере Интернет-технологий. Компания даже предлагает версии FooLib на своей безупречной сети доставки данных (CDN), что позволяет каждому пользователю размещать свой  JavaScript код на одном из их серверов.

Поскольку браузеры выдают посетителям предупреждения, что они открывают страницу со смешанным HTTP и HTTPS контентом, большинство предпочитают пользоваться FooLib через SSL сертификаты. Никому не хочется отпугивать пользователей надоедливыми и устрашающими предупреждениями системы безопасности. Начнем с хорошей новости: сеть доставки контента от FooCo CDN работает с SSL сертификатами, так что больше вашим посетителям не придется смотреть на эти сообщения безопасности.

А теперь плохая новость: используя такой метод, вы будете не до конца честны со своими пользователями, и ваш дорогой SSL сертификат от авторитетного центра станет бесполезен. Почему? Потому что теперь FooCo может исполнять любой JavaScript код на вашем сайте. Разумеется, JavaScript будет передаваться с помощью SSL протокола, и браузер не будет высвечивать предупреждения, но пользователям придется взаимодействовать с cdn.foolib.com, который выполняет код на вашем сайте. Это означает, что посетитель сможет получить информацию о том, что другие пользователи читали и вводили на ваших страницах.

Не стоит винить в этом FooCo: это уважаемая и надежная компания, которая не станет красть номера кредитных карт клиентов. Они предоставляют ценные услуги обществу, не преследуя корыстные и нечестные цели. Но все-таки вы обманываете ваших посетителей. Наличие SSL сертификата предполагает, что информация пользователя шифруется и не передается посторонним.

Но когда вы загружаете FooLib из сети FooCo, вы непреднамеренно приглашаете третьего лишнего. У FooCo есть свой SSL сертификат, который тоже подтвержден надежным центром, но вашим пользователям не хочется делиться своими данными с третьими лицами – информация должна быть доступна исключительно вашему сайта. Таким образом, внедряя FooCo в процесс интеракции, вы фактически рвете контракт, заключаемый с вашим SSL центром. Пользователь видит иконку замка в адресной строке и даже не догадывается, что его обманывают.

Разумеется, можно выйти сухим из воды, если пользовательская информация не будет использована мошенниками и хакерами. Но никто не застрахован от утечки данных и других бед в таком случае. Если вы по-настоящему цените своих клиентов, не загружайте JavaScript из сторонних CDN-сервисов, даже если они поддерживают SSL-сертификаты от доверенных центров. 

По правде говоря, безопасность – это всегда компромис. Нам приходится жертвовать деньгами или удобством, чтобы ее обеспечить. Некоторые сайты готовы делиться пользовательскими данными с CDN сетями как FooCo, потому что это удобнее, чем размешать код в своей инфраструктуре. Но такое решение будет лежать на вашей совести.

Поставьте себя на место пользователя и решите: смиритесь ли вы с тем фактом, что вашу информацию дают другим компаниям без вашего согласия? Даже если это никому не причиняет вреда, некий риск все-таки остается.

18.08.2017

Комментарии:


Добавить коментарий

Авторизоваться:
Анонимно

Также Вам может быть интересно!

Что такое CDN? Кому он необходим? Как правильно выбрать CDN провайдера? Откровение ведущего специалиста компании INXY.COM - маркетплейса хостинговых услуг.

CDN сервисы появились уже очень давно, но у большинства пользователей часто возникают вопросы:  как это работает? какие есть различия и особенности у разных CDN провайдеров? Я  работаю в сфере хостинга уже 15 лет и в этой статье мы вместе рассмотрим принципы работы CDN, а...

Влияние CDN на улучшение ранжирования результатов поиска

Одной из главных задач любой компании, у которой есть свой интернет-ресурс, является повышение рейтинга в результатах поиска. И, хотя Google постоянно изменяет алгоритм расчёта и увеличивает значение рекламы, эффективность и значимость поискового трафика по-прежнему...

Оптимизация CDN – 5 способов увеличить производительность

Оптимизация CDN является жизненно важной задачей для обеспечения наилучшей эффективности любого сервиса. Как результат, пользователи получат максимальную удовлетворенность, что поможет привлечь больше трафика на сайт. Несмотря на то, что сеть доставки контента по сути...

10 Способов Улучшить CDN Стратегию

Хотя CDN решения являются продвинутыми, вы можете сделать свою сеть лучше, подстроив ее под требования своего бизнеса. Идеальная сеть доставки контента делает производительность безупречной, и сегодня мы постараемся лучше понять, как ее оптимизировать.  Обычно...

Бесплатная консультация эксперта

Поддержка 24x7x365

Получите качественную поддержку от нашей опытной команды прямо сейчас.
1
Подробнее о нас
В социальных сетях