10 лет веб-безопасности: уроки прошлого и грабли, на которые мы всё ещё наступаем
Десять лет веб-безопасности: чему мы научились и где всё ещё буксуем
Веб 2016 года — это как другая эпоха. Instagram только запустил Stories. Pokémon Go заполонил все смартфоны. А если ты шифровал свой сайт через HTTPS — тебя считали параноиком, который зря тратит деньги.
Десять лет спустя вопрос звучит иначе: «Почему вы не используете HTTPS?» Но вот в чём штука — прогресс не останавливается и постоянно подбрасывает новые задачи.
Цифры, которые говорят сами за себя
Глядя на миллион самых популярных сайтов, показатели выглядят впечатляюще:
- HTTPS: рост с жалких 6% в 2015 до 65%+ сегодня
- HSTS-заголовки: взлёт с 11 000 до 252 000 сайтов — рост в 22 раза
- Content Security Policy (CSP): космический рост с 1 365 до 170 000 сайтов — в 125 раз
Когда в 2017 году Chrome начал помечать HTTP-сайты как «Не защищено», началась лёгкая паника. Но это сработало. Сейчас работать без HTTPS — это уже скорее исключение, чем правило, особенно на верхушке рейтингов, где каждый посетитель на счету.
Хорошие новости: базовый уровень стал по-настоящему базовым
Главное достижение за эти годы — базовая безопасность наконец стала базой. Десять лет назад заголовки вроде X-Content-Type-Options и X-Frame-Options использовали меньше 5% топовых сайтов. Сейчас — 30-35%.
И это не какие-то модные фишки. Никто не пишет восторженные посты про X-Frame-Options. Это «сантехника» веб-безопасности — неприметные вещи, которые защищают от clickjacking, MIME-type sniffing и прочей гадости. Что они стали нормой — показатель зрелости индустрии.
CSP заслуживает отдельного внимания. Наблюдать за его ростом от 1 365 до 170 000 сайтов — всё равно что смотреть, как стартап из гаража становится индустриальным стандартом. CSP реально сложно внедрить правильно: нужно разобраться со всеми источниками контента, сторонними скриптами, инлайн-кодом. Что столько команд взялись за это — говорит о серьёзном сдвиге в мышлении.
Плохие новости: рост замедлился, а что-то и вовсе откатилось
Тут оптимизм сталкивается с реальностью. Кривая HTTPS-адаптации последние годы заметно уплощается. Мы взяли «лёгкие» цели — сайты, которые легко переключить, блоги с Let's Encrypt, компании, понимающие репутационные риски.
Остались упрямые случаи. Legacy-приложения, требующие серьёзного рефакторинга. Внутренние инструменты, которые никто не хочет трогать. Сайты, где безопасность — это «проблема кого-то другого». Это не критика прогресса — просто последние 10% любого графика всегда самые тяжёлые.
Ещё тревожнее история с EV-сертификатами. Когда-то их продавали как золотой стандарт доверия (помните зелёную строку в браузере?). Сейчас они практически мертвы. Браузеры убрали визуальное выделение EV-сертификатов, и без этой видимости нет смысла платить premium-цены. С пиковых 15 600 до 4 000 в 2026 году. Классный кейс о том, как UX формирует экономику безопасности.
Новые игроки: безопасность 2026 и дальше
Интересные данные идут не от старых стандартов — а от того, что будет дальше.
Пост-квантовая криптография уже开始在 реальных проектах. Пока не массово, но первые внедрения появились. Индустрия готовится к эпохе, когда квантовые компьютеры смогут взламывать текущее шифрование. Это security-мир в своём стиле — готовится к угрозам до того, как они станут реальностью.
Cross-origin isolation, ECH (Encrypted Client Hello) и другие технологии сохранения приватности тоже в ранней фазе. Это строительные блоки веба, устойчивого к слежке и манипуляциям.
Cookie-безопасность получила свежий взгляд. С третьесторонними cookies, которые наконец депрекейтят (после years of delays), гигиена first-party cookies стала критически важной. Secure, SameSite-aware cookies пять лет назад были low priority для многих. Сейчас — must have.
Что это значит для ваших проектов
Запускаете новый сайт или приложение? Послание от десятилетия данных однозначное: безопасность — это инфраструктура, а не надстройка. HTTPS не опционален. Security-заголовки не опциональны. Инструменты созрели, стоимость упала, а последствия игнорирования выросли.
Но не останавливайтесь. Фронтир веб-безопасности сдвинулся. Обратите внимание на:
- Пост-квантовую готовность: продумайте, как ваша инфраструктура будет эволюционировать
- Cookie-миграцию: проверьте использование cookies до того, как ограничения станут болезненными
- Приватностьные альтернативы: ECH и похожие технологии уже в пути
Веб 2026 года несравнимо безопаснее, чем в 2016. Но безопасность — это не пункт назначения, а постоянный диалог между защитниками и атакующими, стандартизаторами и браузерными вендорами, разработчиками и пользователями. Что мы всё ещё ведём этот диалог, всё ещё измеряем, всё ещё улучшаем? Это и есть главная победа десятилетия.
Вперёд — к следующим десяти годам безопасного веба, одному заголовку, одному сертификату и одной правильно настроенной конфигурации за раз.
Нужна помощь с фундаментами безопасности? NameOcean предлагает бесплатные SSL-сертификаты, автоматическое управление DNS и хостинговые окружения, настроенные под современные стандарты. Лучшее время защитить сайт — десять лет назад. Второе лучшее время — сейчас.