Ho impostato l'intestazione Content-Security-Policy-Report-Only e sto a report-uri ottenendo un numero relativamente elevato (diverse centinaia al mese) di richieste non riuscite su img-src
per URL sospetti:
https://netanalytics.xyz/metric/
https://netanalitics.space/metric/
https://glganltcs.space
ce ne sono anche alcuni che sembrano ancora più compromessi:
script-src on https://etgfsiwxsbxr.ru/d6safundjenk6af/29915.js
connect-src on http://gj.track.uc.cn/collect
e persino alcuni supposti accessi di stile per i caratteri?!
{
"csp-report": {
"blocked-uri": "https://fonts.googleapis.com",
"document-uri": "https://biciklijade.com/",
"original-policy": "default-src 'none'; manifest-src https://biciklijade.com; script-src https://biciklijade.com; style-src https://biciklijade.com; connect-src https://biciklijade.com; form-action https://biciklijade.com; img-src https://biciklijade.com https://*.tile.openstreetmap.org https://*.tile.osm.org data:; report-uri https://biciklijade.report-uri.com/r/d/csp/reportOnly",
"violated-directive": "style-src"
}
}
Nota che al massimo posso specificare CSS body { font: 16px/21px Arial, "Helvetica Neue", Helvetica, sans-serif; }
senza mai specificare src
per scaricare i font da google (o da chiunque altro), quindi i browser IMHO non dovrebbero mai connettersi a google per ottenerli, giusto?
Ho controllato il codice e i database per assicurarmi che non siano stati incrinati, e sembrano tutti a posto. Anche l'esplorazione del sito da Firefox e Chromium con la console di sviluppo aperta non sembra attivare alcuna violazione CSP. Il sito è per lo più fatto a mano e non dovrebbe utilizzare alcuna analisi.
Domanda 1: qualcuno di quelli ti sembra legittimo? Non lo fanno a me; e mi piacerebbe spostare CSP dal solo rapporto al blocco reale
Domanda 2: Se questi sono in realtà accessi non legittimi, è possibile che vengano tutti da client crackizzati, invece che da un sito Web infetto? Ho già controllato, e il sito web sembra pulito, ma vorrei alcune rassicurazioni che anche altre persone vedessero cose del genere.