10 лет веб-безопасности: уроки прошлого и грабли, на которые мы всё ещё наступаем

10 лет веб-безопасности: уроки прошлого и грабли, на которые мы всё ещё наступаем

Июл 10, 2026 web-security ssl-certificates https security-headers dns-security

Десять лет веб-безопасности: чему мы научились и где всё ещё буксуем

Веб 2016 года — это как другая эпоха. Instagram только запустил Stories. Pokémon Go заполонил все смартфоны. А если ты шифровал свой сайт через HTTPS — тебя считали параноиком, который зря тратит деньги.

Десять лет спустя вопрос звучит иначе: «Почему вы не используете HTTPS?» Но вот в чём штука — прогресс не останавливается и постоянно подбрасывает новые задачи.

Цифры, которые говорят сами за себя

Глядя на миллион самых популярных сайтов, показатели выглядят впечатляюще:

  • HTTPS: рост с жалких 6% в 2015 до 65%+ сегодня
  • HSTS-заголовки: взлёт с 11 000 до 252 000 сайтов — рост в 22 раза
  • Content Security Policy (CSP): космический рост с 1 365 до 170 000 сайтов — в 125 раз

Когда в 2017 году Chrome начал помечать HTTP-сайты как «Не защищено», началась лёгкая паника. Но это сработало. Сейчас работать без HTTPS — это уже скорее исключение, чем правило, особенно на верхушке рейтингов, где каждый посетитель на счету.

Хорошие новости: базовый уровень стал по-настоящему базовым

Главное достижение за эти годы — базовая безопасность наконец стала базой. Десять лет назад заголовки вроде X-Content-Type-Options и X-Frame-Options использовали меньше 5% топовых сайтов. Сейчас — 30-35%.

И это не какие-то модные фишки. Никто не пишет восторженные посты про X-Frame-Options. Это «сантехника» веб-безопасности — неприметные вещи, которые защищают от clickjacking, MIME-type sniffing и прочей гадости. Что они стали нормой — показатель зрелости индустрии.

CSP заслуживает отдельного внимания. Наблюдать за его ростом от 1 365 до 170 000 сайтов — всё равно что смотреть, как стартап из гаража становится индустриальным стандартом. CSP реально сложно внедрить правильно: нужно разобраться со всеми источниками контента, сторонними скриптами, инлайн-кодом. Что столько команд взялись за это — говорит о серьёзном сдвиге в мышлении.

Плохие новости: рост замедлился, а что-то и вовсе откатилось

Тут оптимизм сталкивается с реальностью. Кривая HTTPS-адаптации последние годы заметно уплощается. Мы взяли «лёгкие» цели — сайты, которые легко переключить, блоги с Let's Encrypt, компании, понимающие репутационные риски.

Остались упрямые случаи. Legacy-приложения, требующие серьёзного рефакторинга. Внутренние инструменты, которые никто не хочет трогать. Сайты, где безопасность — это «проблема кого-то другого». Это не критика прогресса — просто последние 10% любого графика всегда самые тяжёлые.

Ещё тревожнее история с EV-сертификатами. Когда-то их продавали как золотой стандарт доверия (помните зелёную строку в браузере?). Сейчас они практически мертвы. Браузеры убрали визуальное выделение EV-сертификатов, и без этой видимости нет смысла платить premium-цены. С пиковых 15 600 до 4 000 в 2026 году. Классный кейс о том, как UX формирует экономику безопасности.

Новые игроки: безопасность 2026 и дальше

Интересные данные идут не от старых стандартов — а от того, что будет дальше.

Пост-квантовая криптография уже开始在 реальных проектах. Пока не массово, но первые внедрения появились. Индустрия готовится к эпохе, когда квантовые компьютеры смогут взламывать текущее шифрование. Это security-мир в своём стиле — готовится к угрозам до того, как они станут реальностью.

Cross-origin isolation, ECH (Encrypted Client Hello) и другие технологии сохранения приватности тоже в ранней фазе. Это строительные блоки веба, устойчивого к слежке и манипуляциям.

Cookie-безопасность получила свежий взгляд. С третьесторонними cookies, которые наконец депрекейтят (после years of delays), гигиена first-party cookies стала критически важной. Secure, SameSite-aware cookies пять лет назад были low priority для многих. Сейчас — must have.

Что это значит для ваших проектов

Запускаете новый сайт или приложение? Послание от десятилетия данных однозначное: безопасность — это инфраструктура, а не надстройка. HTTPS не опционален. Security-заголовки не опциональны. Инструменты созрели, стоимость упала, а последствия игнорирования выросли.

Но не останавливайтесь. Фронтир веб-безопасности сдвинулся. Обратите внимание на:

  • Пост-квантовую готовность: продумайте, как ваша инфраструктура будет эволюционировать
  • Cookie-миграцию: проверьте использование cookies до того, как ограничения станут болезненными
  • Приватностьные альтернативы: ECH и похожие технологии уже в пути

Веб 2026 года несравнимо безопаснее, чем в 2016. Но безопасность — это не пункт назначения, а постоянный диалог между защитниками и атакующими, стандартизаторами и браузерными вендорами, разработчиками и пользователями. Что мы всё ещё ведём этот диалог, всё ещё измеряем, всё ещё улучшаем? Это и есть главная победа десятилетия.

Вперёд — к следующим десяти годам безопасного веба, одному заголовку, одному сертификату и одной правильно настроенной конфигурации за раз.


Нужна помощь с фундаментами безопасности? NameOcean предлагает бесплатные SSL-сертификаты, автоматическое управление DNS и хостинговые окружения, настроенные под современные стандарты. Лучшее время защитить сайт — десять лет назад. Второе лучшее время — сейчас.

Read in other languages:

BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN