1. Ссылки покупок

    Стратегия на турбо опционы

    Обучение по Бинарным Опционам.

    Бизнес по рецепту. продажа женских товаров

    Мануал по добыче бесплатного трафика с поисковика Bing (2016)

    От 6к уникальных посетителей на страницу ВК

    Facebook

    Стратегия Лайв Профит - ставки на футбол

    [Ирина Шмидт] - Церебро Таргет 2016

    Новый дорген.

    Стратегия на спорт.

    Двойной арбитражник по бесплатному трафику (2016)

    Подробная инструкция по Созданию интернет магазина чая с нуля (2016)

    Чертежи солнечного био-вегетария площадью 1200 кв.м. (СБВ-Профи)

    Адский стрим по копирайтингу: то чувство, когда подглядывать - хорошо!

    Видео-Курс - Tехнология быстрого старта в email рассылках (2016)

    Продвижение партнерских программ в одноклассниках (2016)

    Научу грести трафик. Только успевай сервера покупать!

    Трафик из ВК (Схема + Кейсы)

    Пассивный доход со стабильными выплатами.Схема добычи трафика.

    Секрет создания аккаунта яндекс директ без НДС

    Система ставок от проверенного каппера

    Государственный и банковский конфискат +VIP блок (2016)

    Как работать и зарабатывать деньги на продвижении своих проектов (2016)

    Секреты бесплатной рекламы от бывшего сотрудника Вконтакте

    Mobile Арбитраж - Арбитраж мобильного трафика (2016)

    BUSINESS MANUAL - Безопасные схемы заработка

    Как получать 1000-и заказов из CPA сетей (Дм.Ковпак)

    Как зарабатывать удаленно 100 тыс. руб на продвижении в Инстаграме без вложений и жить в Тайланде

    Самонаполняемые Видео-сайты!

    Прибыльная стратегия для бинарных опционов, первый доход через считанные дни + бонус!

    Траф с Вк за копейки

    Профит на онлайн теме от 30к до Неизвестно в месяц

    Легальный высокодоходный бизнес в реале

Spryt | Защищаем сайт с помощью CSP

  1. [Spryt]
    Вы наверное замечали в статитике LI в графе “переходы на другие сайты” кучу непонятных доменов вроде x8k.ru, quick-searcher-sng-v2.com или *.xyz? Причем на сайте ничего такого нет и в помине, никаких вирусов, ничего. Откуда же они все берутся?

    [​IMG]

    Все просто. Помните инсталлы, которые ушлые вебмастера забрасывают юзерам? С ними в систему устанавливаются многочисленные тулбары, малвари и даже целые браузеры. Вы же не думаете, что люди их написавшие просто так платят по 2500 рублей за 1000 установок их софта? Разумеется нет. Но если в открытую красть деньги со счета в сбербанке слишком палевно и подпадает под УК, то просто добавлять на посещаемых сайтах рекламу – совершенно безопасно. Конечно, их возможности ограничены, но они могут на любой сайт встроить свой js, который может делать что угодно – заменять ваш адсенс код тизерам, ставить попап с рекламой, кликандер, что угодно. Не забывайте – в LI лишь палятся те сайты, которые сами используют LI (что глупо). На моем сайте развлекательной тематики 10-30% юзеров оказались заражены такой фигней (на секундочку забудем, кто именно подсовывал им инсталлы).

    Конечно, такой возможностью пользуются не только злоумышленники – есть и вполне “белые” плагины и расширения браузера, которые с помощью такого яваскрипта делают полезные вещи. Например, советник яндекса, или плагин от Evernote. Но в большинстве случаев это именно малвари. И, к сожаелению, SSL тут не спасет – половина этой малвари грузится через https, а внедрение происходит на уровне браузера.

    В идеальном мире сами браузеры должны заниматся защитой пользователей (а грамотные пользователи не попадутся на такие вещи – поэтому на сайтах с более-менее продвинутой аудиторией такой проблемы нет). Но увы, разве что Яндекс.Браузер делает какие-то шаги. В некоторых случах поисковые системы даже накладывают санкции за такие вещи (впрочем, никогда с этим не сталкивался, лишь на основе сообщений на форумах) – особенно если это касается развлекательных сайтов с хорошей аудиторией. Но даже без этого часть пользователей ваших сайтов скорее всего видит не один аккуратненький баннер адсенса, а вакханалию из полурабочего сайта, заваленного шок-тизерам. Что напрямую влияет и на ваш собственный доход, и на отношение пользователей.

    Но что же делать? Все просто – все таки данный софт действует в рамках браузерных ограничений, которые предписывают ему следовать кое-каким правилам. Если сайт указывает, что нельзя загружать любые js файлы, кроме как с собственного домена – то так оно и будет. Тоже самое касается изображений и стилей. Да, всего лишь) Называется данная технология Content Security Policy.

    Первый пациент – это сервис с 5000 уников в сутки довольно развлекательной тематики. Каждый день 150 человек переходили на левые сайты через такие расширения (повторюсь, это только среди тех идиотов, которые использовали LI на своих TDS для перенаправления посетителей). С установкой CSP каждый день блокировалось 10.000 случаев подгрузки левых JS-файлов (во первых, каждый пользователь загружал несколько страниц, каждый раз вызывая блокировку. Во вторых, при просмотре одной странице к ней могли попытаться подгрузится 5-10 файлов – даже не знаю, как они решают конфиликты между собой, если каждый из них будет вешать кликандер :). Вот выборка самых популярных доменов за три дня:

    [​IMG]

    Как видите, полный фарш – и Яндек.Советник (метабар), и маркетгид, и quick-searcher, даже google analytics подгружают (на сайте его нет). И это только вершина айсберга, еще часть скриптов грузится через data:base64 (они тоже блокируются, видны в таблице), и еще часть – инлайны, который увы не блокируются (если запретить – тот же адсенс не разместишь).

    Но переходим к технической части. Для блокирвки всего этого хлама нужно, чтобы сайт отдавал браузеру заголовок “Content-Security-Policy” со списком настроек и разрешенных хостов. Например, вот так (разрешен адсенс, LI, метрика, VK/FB/Twitter), через PHP:

    header("Content-Security-Policy: default-src 'self' data: http://googleads.g.doubleclick.net http://pagead2.googlesyndication.com/ https://pagead2.googlesyndication.com/ http://www.google.com/ http://mc.yandex.ru/ https://mc.yandex.ru/;style-src 'self' 'unsafe-inline' https://vk.com/ https://st.mycdn.me/;frame-src 'self' http://www.facebook.com/ https://www.facebook.com/ http://static.ak.facebook.com/ https://s-static.ak.facebook.com/ https://connect.ok.ru/ http://vk.com/ https://login.vk.com/ https://vk.com/ https://*.doubleclick.net/ http://googleads.g.doubleclick.net/ http://platform.twitter.com/ http://pagead2.googlesyndication.com/ https://pagead2.googlesyndication.com/;img-src 'self' http://counter.yadro.ru/ https://mc.yandex.ru/ http://vk.com/ https://vk.com/ https://syndication.twitter.com/ https://s0.2mdn.net/ https://pagead2.googlesyndication.com/ http://pagead2.googlesyndication.com/ data:;media-src 'self';font-src 'self';script-src 'self' 'unsafe-inline' 'unsafe-eval' https://vk.com/ http://vk.com/ https://queuev4.vk.com/ http://platform.twitter.com/ https://cdn.syndication.twitter.com/ http://pagead2.googlesyndication.com/ https://pagead2.googlesyndication.com/ https://connect.facebook.net/ http://connect.facebook.net/ https://*.doubleclick.net/ http://connect.ok.ru/ https://connect.ok.ru/ https://mc.yandex.ru/ http://mc.yandex.ru/ https://s0.2mdn.net/; report-uri /csp.php");​


    (ВНИМАНИЕ! Этот код указан в качестве примера, его работоспособность и безопасность никак не гарантируется. Более того, тут много лишнего, часть исключений дублируется и т.д. Я не спец, мне главное чтобы ехало)

    Зачем одновременно http и https? Увы, некоторые браузеры не понимают разницы, и если написать только домен (стандарты это разрешают), загрузку через SSL блокируют (это хорошо видно в репортах). Вам же не хочется, чтобы у энного процента посетителей не грузился адсенс? Так же данный заголовок можно добавить через .htaccess, что-то вроде такого (максимально параноидальный – все загрузки вне самого домена блокируются, даже статистика не будет работать):

    Headers set Content-Security-Policy "default-src 'self'"

    Вообще, настройка правил – дело тонкое и слегка муторное. Для начала устанавливаете чистый заголовок (одним из методов выше) с “Content-Security-Policy-Report-Only“. Он предназначен для тестирования, и ничего не блокирует – зато в консоли бразуера (ФФ => Инструменты => Веб разработка => Веб консоль, Shift+Ctrl+K, в хроме аналогично) будет выдавать сообщение о каждом заблокированном ресурсе и какая именно директива нарушена. Добавляем в исключения, запускам опять, правим, и так пока все будет ОК. Очень муторно, учитывая что каждый норовит подгружать свои ресурсы из кучи источников, и нужно разрешение и для фреймов, и для скриптов, и для js. Но чем проще сайт и меньше используется сторонних инструментов – тем проще, на один из сайтов добавил только counter.yadro и всё) И наоборот, для сайтов с UGC-контентом часть придется разрешать на все домены (картинки например). Проверить, установлен ли заголовок, можно в тех же веб-инструментах, вкладка сеть.

    После того, как настроили – убираете “-Report-Only”, и вауля – все ненужное блокируется. Для собирания отчетов – добавляете еще “report-uri /csp.php” (это не обязательно, но желательно – для проверки, не накосячили ли где). Пример такого обработчика, а так же более подробное разъяснение разных директив – http://zabolotskikh.com/tips/content-security-policy/ [RU] (мой пост – лишь введение для новичков, полноценный FAQ выходит за рамки статьи), а всякие полезности и RFC – на http://www.cspplayground.com/ [EN].

    А теперь самое главное – а какой же эффект от всего этого? Хотелось бы конечно сказать, как офигенно увеличился доход/CTR, но этого нет, пока что все в пределах статистической прогрешности. Пользователи тоже не стали от радости строчить хвалебные комменты. Переходы на левые сайты конечно полностью пропали, но профита от этого не прибавилось.

    Тем не менее, один неожиданный эффект все же проявился – трафик с яндекса за три дня увеличился вдвое, на +500 уников в сутки. Мне кажется, тут дело в том, что на сайте установлена метрика, а левые скрипты подгружали в том числе маркетгид и другую нехорошую рекламу. Исчезла реклама – Яндекс убрал фильтры. Возможно, это просто совпадение с недавним АПом, может это краткосрочное явление – кто его знает) В конце месяца узнаем. На двух других сайтах изменений нет (но там и трафика куда меньше, и нет дисбаланса гугла и яндекса). Но все же если у вас сайт с 5к+ уников в сутки, а число переходов на левые сайты зашкаливает – попробуйте использовать CSP. Хуже от этого точно не будет (если правильно настроите и не заблочите что-то важное), а пользователям будет удобней пользоваться сайтом.

    PS. Есть мысль сделать под это дело сервис (автоматическая генерация CSP под нужды пользователя, галочкам напротив установленных скриптов – адсенс/метрика/LI), но решил пока ограничится вводным постом. Во первых, мне еще курить и курить RFC, чтобы понять и найти оптимальные решения, а во вторых – неясно, востребовано ли это. Топик на серче хоть и активен, но в основном единичные энтузиасты, у некоторых весьма хорошие результаты (там же можно найти примеры кода), а сами сайты из категории 30-50к уников в сутки и выше. Сам я про CSP уже давно слышал, но руки дошли прикрутить только сейчас. Если эффект для яндекса подтвердится – буду ставить на все сайты по умолчанию (хотя, например, на блоге или топсапы это почти бесполезно – мало кто будет работать в интернете с расширениями, мешающими этой работе).

    [​IMG]
    [​IMG]
     
Похожие темы
  1. Reader
    Ответов:
    0
    Просмотров:
    686
  2. Reader
    Ответов:
    0
    Просмотров:
    431
  3. Reader
    Ответов:
    0
    Просмотров:
    486
  4. Reader
    Ответов:
    0
    Просмотров:
    43
  5. Reader
    Ответов:
    0
    Просмотров:
    41

Поделиться этой страницей