このブログに過去、Content Security Policy を reports-only で適用しました。
前回 ポリシーを変更してから5-6ヶ月が経過しましたので、再度レポートを集計し、定義を見直していきます。
結果を以下に記載します。
前回変更時の記事
Content Security Policy 適用後の経過を観察する 2017年11月 | Monotalk
現在のポリシー定義
現在のポリシー定義は以下の通りです。
2018年の1月に VPS サーバを移行しており、その影響で、前回変更後とは定義が一致していないかもしれません。
Content-Security-Policy-Report-Only:
font-src 'self' fonts.gstatic.com *.monotalk.xyz;
object-src pagead2.googlesyndication.com;
default-src 'self';
child-src 'self' googleads.g.doubleclick.net staticxx.facebook.com *.disqus.com kemsakurai.github.io *.ampproject.net syndication.twitter.com platform.twitter.com www.googletagmanager.com rcm-fe.amazon-adsystem.com;
connect-src 'self' *.disqus.com uh0.nakanohito.jp www.google-analytics.com pagead2.googlesyndication.com syndication.twitter.com 3p.ampproject.net www.googletagmanager.com; style-src 'self' 'unsafe-inline' *.disquscdn.com *.google.com *.googleapis.com *.monotalk.xyz platform.twitter.com ton.twimg.com ;
script-src 'self' 'unsafe-inline' 'unsafe-eval' pagead2.googlesyndication.com www.google-analytics.com *.disqus.com c.disquscdn.com disqus.com *.googletagmanager.com *.google-analytics.com *.ampproject.org adservice.google.com tagmanager.google.com adservice.google.co.jp uh.nakanohito.jp platform.twitter.com cdn.syndication.twimg.com tagmanager.google.com googleads.g.doubleclick.net;
img-src 'self' *.disqus.com *.disquscdn.com *.googleusercontent.com *.google.com *.googledrive.comgoogledrive.com data: googledrive.com drive.google.com www.gstatic.com www.monotalk.xyz ssl.gstatic.com ir-jp.amazon-adsystem.com ssl.google-analytics.com;
report-uri /report/
CSP のレポートデータの収集と、集計について
MongoDB に レポートデータは登録しています。
収集、集計方法については以下をご確認ください。
Content Security Policy (CSP) の report を 10 日くらい集計して、ポリシーを見直す(の途中) | Monotalk
集計と、修正の方針
violated-directive ごとのblocked-uri を集計、その結果を元にポリシー定義を修正しています。
集計には、AMP HTML を作成後に、Content Security Policy (CSP) の report を 集計して、ポリシーを見直す | Monotalk に記載している MongoDB のクエリ を使用しています。
TOP10 以下も存在しますが、ほとんどのアクセスが TOP10以内に含まれていたため、TOP10以下は除外しています。
violated-directive ごとの blocked-uri の集計結果
violated-directive : script-src での 集計
- 結果
-
各ドメインごとの設定要否
-
cdn.mxpnl.com
最近、Mixpanel の設定をしたのですが、Mixpanl のドメインの外部スクリプトでの警告です。許可します。 -
adservice.google.co.kr Google ads 関連のドメインです。
Mixpanel と data 以外、Google ads の関連ドメインです。
関連ドメインを許可します。 -
data
script-srcで data 属性というのがよくわかりません。これは、無視して様子をみます。
-
violated-directive : style-src での 集計
- 結果
- 各ドメインごとの設定要否
style-srcについては、前回の設定で大分警告が抑えられています 。
tkx-224-2xxxx.vs.sakura.ne.jpはこの VPS の ドメインで、VPS 移行時に記録されているものです。
数も少ないので、無視して陽数を見ます。
violated-directive : frame-src での 集計
child-src、frame-src での集計結果を添付します。
- 結果 child-src での集計結果
前回集計時は、1件も記録されていなかったのですが、今回は記録されています。
| count | blocked-uri |
|---|---|
| 1767 | https://disqus.com |
| 1592 | https://disqusads.com |
| 7 | data |
| 4 | http://notify.bluecoat.com |
| 1 | https://securepubads.g.doubleclick.net |
- 結果 frame-src での集計結果
| count | blocked-uri |
|---|---|
| 34425 | https://disqus.com |
| 8834 | https://disqusads.com |
| 2205 | |
| 143 | data |
| 90 | https://api.weblio.jp |
| 40 | chrome-error |
| 27 | https://securepubads.g.doubleclick.net |
| 16 | http://rcm-fe.amazon-adsystem.com |
| 16 | https://disqus.com/ |
| 14 | https://cdn.ritekit.com |
-
各ドメインごとの設定要否
-
disqus.com
disqus の ドメインです。前に設定した気がしますが、設定漏れが あったのかもしれません。許可します。 -
disqusads.com
最近、disqus の広告欄が表示されるようになったのです、 -
notify.bluecoat.com
Webセキュリティ・WAN最適化アプライアンス「Blue Coat」(ブルーコート):株式会社日立システムズ 関連の ドメイン でしょうか。無視します。 -
securepubads.g.doubleclick.net
削除する方法 Securepubads.g.doubleclick.net :Securepubads.g.doubleclick.net をアンインストールするための完全なとpossilbe方法 – 取り外すPC マルウェア ウイルス という記事を見つけました。無視します。 -
api.weblio.jp
Weblio の extention で警告が出ているのかと思います。無視します。 -
rcm-fe.amazon-adsystem.com
Amazon の ads 関連の domain のようです。使用しているため、許可します。 -
cdn.ritekit.com
RiteKit の関連のドメインのようです。ads 関連で出力されていそうですが、数が少ないので無視して様子を見ます。
-
violated-directive : font-src での集計
- 結果
-
各ドメインごとの設定要否
-
data
これは、自ドメインの font ファイル Webpack で JavaScript に展開するようにした? ことにより発生しています。
許可します。 -
webfonts.zohostatic.com
font 関連の cdn? かと思いますが、使用している覚えがありません。無視します。 -
c.disquscdn.com
これは、disqus の CDN かと思います。数が少ないので無視します。 -
cdn.emojidex.com
emojidex-web/README.ja.md at master · emojidex/emojidex-web です。
ブックマークレットかなにかで出ているのかと思います。 無視します。
-
violated-directive = object-src での 集計
- 結果
| count | blocked-uri |
|---|---|
0件です。
violated-directive = connect-src での 集計
- 結果
| count | blocked-uri |
|---|---|
0件です。
violated-directive = img-src での 集計
img-src は チェックしていなかったようで、大量の警告が登録されておりました。
直近1ヶ月分のみの 集計を撮りました。
- 結果
-
各ドメインごとの設定要否
-
stats.g.doubleclick.net
dobleclick のドメインです。許可します。 -
bcp.crwdcntrl.net
DMP Provider | Data Management Platform & Solutions | Lotame です。DMP 関連の企業のドメインのようです。
広告関連でアクセスが発生していそうです。無視して様子をみます。 -
tags.rd.linksynergy.com
linksynergy.comはどこのアフィリエイト会社でしょうか? -click.links- インターネットビジネス | 教えて!goo これも広告関連でアクセスが発生していそうです。無視して様子をみます。 -
magnetic.t.domdex.com
Magnetic AI Platform | AI-Powered Advertising Solutions 関連のドメインのようです。
アクセスが発生していそうです。無視して様子をみます。 -
viglink.com
非アフィリリンクを自動でアフィリリンクへ変換!知って得するVigLinkのサービス 関連のドメインのようです。これも広告関連ですね。無視して様子をみます。 -
www.google-analytics.com
Google Anlaytics のドメインです。許可します。 -
pagead2.googlesyndication.com
SSL 対応の AdSense 用広告コード - AdSense ヘルプ
Google ads 関連のドメインです。許可します。 -
drive.google.com
Google Drive のドメインです。画像の配置先として、Google Drive を使用しているのですが、それで出力されるようです。
許可します。
-
まとめ
Content Security Policy の report を集計し、定義を修正しました。以下、まとめます。
-
Google アドセンス。 アドセンスを入れている限りは、警告を完全に除去するのは難しい。
広告プロバイダの導入しているサービスで警告が出ていそうにも思います。
CSP でもう一つ設定ができたりするといいのかもしれません。許可しているドメインが許可しているポリシーは警告を出さないとかできないですかね。 -
外部サービスのタグを埋め込む場合も、見直しは必要。
同じことの繰り返しですが、タグを仕込むたびに警告が出力されます。 -
MongoDB での集計、レポートが現状の仕組みだとつらい。
MongoDB から 何かのグラフツールに連携、異常検知 ができるようにしたいです。
以上です。
コメント