ema.europa.eu
Регулятор лекарственных препаратов ЕС — 71 запрос, 2 домена, оба europa.eu. Ноль внешних трекеров, ноль cookies. CSP разрешает *.s3.amazonaws.com — потенциальная точка расширения.
Хронология утечки
Контекст
European Medicines Agency (EMA) — агентство ЕС по оценке и надзору за лекарственными препаратами. Регулирует допуск медикаментов на рынок ЕС, ведёт базы данных клинических испытаний и фармаконадзора. Регулируется Regulation (EU) 2018/1725. HAR: 71 запрос, 2 домена.
Что показал HAR
Два домена — www.ema.europa.eu и webtools.europa.eu. Тот же паттерн что у Европола и EDPS: собственная инфраструктура плюс централизованный webtools.europa.eu (21 запрос — CSS темы ЕС, иконки флагов, глобальный баннер, социальные иконки). Ноль внешних трекеров, ноль Set-Cookie ответов.
CSP — одна оговорка
Content-Security-Policy EMA разрешает загрузку с *.s3.amazonaws.com в дополнение к стандартному *.europa.eu. В HAR этой сессии запросы к S3 не зафиксированы — но политика разрешает их потенциально для любого поддомена Amazon S3. Это означает что при определённых сценариях (загрузка документов, медиафайлов) данные могут проходить через американскую инфраструктуру. В отличие от ЕЦБ где CSP ограничен только собственным доменом.
webtools.europa.eu — полный набор
EMA активно использует компоненты webtools: тема EU, глобальный баннер (webtools.globan.js), общий блок cookie-согласия (webtools.cck.js), иконки флагов всех государств ЕС, иконки социальных сетей, панель языкового переключателя (webtools.sbkm). Это стандартная интеграция централизованной инфраструктуры Европейской комиссии.
Вывод
EMA соблюдает стандарт europa.eu: ноль внешних трекеров, ноль cookies, только европейская инфраструктура. Единственная потенциальная точка расширения — разрешение *.s3.amazonaws.com в CSP при отсутствии фактических запросов к S3 в этой сессии.