Sujcnm

Да какая там интеграция! замена формы, с  указанием в моем поиске страницы с результатами.

Это другой поиск, поиск с уклоном на товар (сортировка по характеристикам/категориям/наличию/цене).

Для его работы нужно выложить яндексу YML файл.

https://yandex.ru/blog/webmaster/otkryta-zapis-na-beta-testirovanie-poiska-dlya-internet-magazinov

тотальный контроль))

Не, ваш товар яндекс и так знает.

Это больше похоже на бесплатный сыр в мышеловке.

Люди ставят идеальный поиск от яндекса. Думаю никто не станет оспаривать, что поисковые возможности яндекса на несколько порядков лучше поиска среднестатистического движка интернет магазина.

А потом, когда (года через 2-3) разработчики движков забьют на свой поиск (зачем его развивать, когда проще написать модуль для интеграции с поиском яндекса).

Яндекс начнет вместе с результатами поиска показывать рекламу с своего маркета, прямо в поисковой выдаче сайта.

Не верите, почитайте как яндекс.такси пришло на рынок и установило монополию.

https://roem.ru/13-07-2015/200201/ya-taxi-monopoly/

Прям дежавю.

Все пропало? Рецептов борьбы с новым ЯндексСоветником не будет?

Вот рецепт (там ссылка) - у меня работает.

Не, яндекс тут не приделах.

Похоже это новая пакость и тоже называется "помощник", но от http://promo.supermegabest.com/, там есть видео поглядите. Очень похоже на ваши скрины.

И кстати, этот советник тоже юзает данные яндекс-маркета.

Такие дела...

Не удивлюсь, если скоро можно будет партнерку с яндексом заключить и получать процент, за "дельные советы"

У кого нить есть сайты на https?
Там что?

Все тоже самое.

https не поможет, т.к. это браузерное расширение и оно работает на стороне клиента.

Тут либо CSP (но не для я.браузера, т.к. он игнорит директивы против его советника), либо удаление разметки сразу после загрузки страницы.

Вот скрипт http://searchengines.guru/showpost.php?p=13778874&postcount=15 пробуйте.

Я считаю, что дело не в Яндексе. Не будет Яндекса, это сделает Гугл.

Вот только Гугл себе такого не позволяет.

Я его не приглашал

Самое смешное, что мы играем по его правилам.

Я сейчас напишу чушь, но малая вероятность в ней все-же есть.

1 - Несанкционированная реклама на ваших сайтах? - я так не считаю. Все вполне санкционировано: это браузерное расширение и не владельцам сайтов решать через какие инструменты просматривать их магазины.

И кем это санкционировано? Явно не владельцем сайта.

Кто дал право этому браузерному расширению встраивать свой код на мой сайт?

Я считаю так, если яндекс хочет, что бы его расширение (с коммерческой составляющей) работало на моем сайте, пусть платит мне за рекламу или идет лесом.

Мой сайт, мои правила!

А если завтра яндекс напишет расширение, которое будет подменять код контекстной рекламы которую установил вебмастер, на свой директ, то это тоже нормально?

А яндекс объяснить это заботой о пользователе, мол на сайте агресивная реклама, пусть будет наша, она не очень  агрессивная.

Это дело пользователя, какие инструменты он использует. Ведь так?

Что вот тут предлагают, никто не тестил? А то сыкотно :)

А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

CSP это штука индивидуальная.

На одних сайтах одни политики, на других - другие.

Для составления правильного набора политик нужно внимательно изучить конкретный сайт.

Затем отдать заголовок Content-Security-Policy-Report-Only и поглядеть не блокируется нужные объекты.

И только потом блокировать.

Что касается вашего куска кода:

При беглом просмотре я обнаружил следующую политику: https://*.yandex.ru;

Ставя * вы разрешаете любые поддомены с yandex.ru, а именно от туда и грузится советник.

Вот фрагмент отчета:

blocked-uri - https://sovetnik.market.yandex.ru/products?&v=201511111554&transaction_id=ii61sggw4l1hylxntsqeuhr2bu

Иначе говоря - приведенный выше код блокировать советник не будет.

Проведите анализ сайта еще раз и ужесточите политики.

не везде работает она

При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

лучше https

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

он ж как ребенок.. всё ищет грань дозволенного

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

Появилось какое то рабочее решение? достала эта хрень, походу с маркета съезжать придется.

Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

карта сайта google не подгружается, виджет онлайн чата не подгружается...

Нужно глядеть ошибки в консоли или в файле отчета, там будет видно что блокирует и добавить в правило.

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

Проспорите, раз браузер начал блокировать изображения, карты, чаты, то значит заголовок передается нормально.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

А вообще настройка CSP штука индивидальная для каждого сайта, делайте файл отчета и смотрите что блочит и правьте правила.

Т.е. она не блокирует всё подряд кроме тех доменов что туда вписаны?

Да.

Но с одной оговоркой.

Каждая директива блокирует свое.

connect-src блокирует источники подключения

font-src блокирует внешние шрифты.

frame-src блокирует фреймы.

img-src блокирует изображения

media-src  блокирует аудио и видео .

object-src блокирует Flash .

style-src блокирует стили.

Если директива не указана - значит все в ней разрешено.

т.е.  в данном случае мы блокируем только фреймы и разрешаем загрузку левых скриптов (которые тоже вставляют/подменяют рекламу), картининок и шрифтов.

Постораюсь по проще...

Это мод вебсервера, что бы при помощи htaccess можно было послать заголовок браузеру.

Если на сервере все настроено, то положив эту строчку в htaccess, вебсервер отдаст заголовок, получив который браузер начнет блокировать поторонние фреймы (я про советник).

Вот какие заголовки отдает Ваш сервер.

HTTP/1.1 200 OK
Server: nginx/1.2.1
Date: Tue, 01 Sep 2015 06:25:07 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
X-Powered-By: PHP/5.4.36-0+deb7u3
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: PHPSESSID=962e6350f6e8ef5dd8e467a9f9089e30; path=/
Set-Cookie: language=ru; expires=Thu, 01-Oct-2015 06:25:07 GMT; path=/; domain=test1.tirel.ru
Set-Cookie: currency=RUB; expires=Thu, 01-Oct-2015 06:25:07 GMT; path=/; domain=test1.tirel.ru
Vary: Accept-Encoding

А вот как надо:

HTTP/1.1 200 OK
Server: nginx/1.8.0
Date: Tue, 01 Sep 2015 06:27:56 GMT
Content-Type: text/html
Connection: keep-alive
Vary: Accept-Encoding
X-Powered-By: PHP/5.4.42
Set-Cookie: PHPSESSID=eng0hhgm9u73auh30o3pl5nds4; path=/
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Cache-Control: no-cache
Pragma: no-cache
Set-Cookie: g_id=eng0hhgm9u73auh30o3pl5nds4; expires=Thu, 31-Aug-2017 06:27:56 GMT
Last-Modified: Sun, 26 Apr 2015 21:00:00 GMT
Content-Security-Policy: frame-src 'self' имя домена;

Поглядите на последнюю строчку.

Конечно это очень примитивная политика CSP. В идеале нужно настроить все политики, дабы не только советник, но и куча других пакостей (и поверьте их очень и очень много),  не встраивавла в ваш сайт свой код и не вешала левые банеры.

Вот вам пища для размышлений. http://joomlaforum.ru/index.php/topic,301331.0.html

Если у Вас есть строка в htaccess, а заголовок не отдается - пообщайтесь с сапортом.

Как вариант, поглядите на другой хостинг, например бегет.ру, там все работает (сервер RIO).

У бегета есть 30 днкй теста.

mod залит и всё равно мазила игнорирует..

А я не вижу заголовка http://www.bertal.ru/index.php?a2099251/test1.tirel.ru/fossil-es2829/#h

Строчка в htaccess точно есть?

Видел такие сайты, жуть! За такое Маркет сначала влепит штраф, а потом и отключит. Но если магазин не в Маркете, то, конечно, без разницы.

И он даже не узнает.

еще как вариант отказаться от микроразметки (у ситилинка ее нет и забот не знают), или вычищать ее js, сразу после загрузки страницы. Но это крайности.

а если Советник еще и напишет через стандартное оповещение Chrome или PopUp, добавленный в DOM

Не думаю, что яндекс на это пойдет.

Конечно дополнение может встроить свой js в DOM и подменить заголовки таким образом, что бы встроенный js/iframe начал исполнятся в обход CSP. Но уверен, что производители браузеров сочтут это за нарушение сетевой этики и выпилят такое чудо.

Но и в этом случае возможна борьба, например подменять истинную цену в параметре itemprop='price' https://schema.org/price на более низкую, а саму цену выводить картинкой.

Данный способ не сработал.

А сервер отдает заголовок? http://www.bertal.ru/ И какой браузер?

Вот интересная статья. http://habrahabr.ru/company/yandex/blog/206508/

А вот документация http://www.w3.org/TR/CSP/

У меня проблема решилась использую htaccess (не нужно лезть в код) Браузеры (последние версии) яндекс,хром, мозила - все ок.

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src 'none';");

Так вы перекроете счетчики, скрипты и изображение с посторонних ресурсов.

а т.к. не все браузеры одинаково понимают 'self', то блокироваться может и свой контент.

Лучше все таки так:

$this->addHeader("Content-Security-Policy: frame-src 'self' my_domens.com;");

В этом случае блокируются исключительно фреймы, а именно через этот метод советник и добавляет свою рекламу.

через htaccess выползает 500

непонятно почему....

а вот через php можно поподробнее?

Наверное на хостинг не установлен mod_headers, Обратитесь в саппорт, помогут в 2 счета.

Про php, тут нужно отправить заголовок, но нужно найти то место куда вствить, А вот тут я не помощник.

Судя по всему CSP в виде мета тега обрабатывается не всеми браузерами.

Например Гугл.Хром прекрасно поникает и согласно директиве блокирует яндекс.советник.

Вот скрин, где видно, результат, убедитесь сами. http://verkn.bigbox.info/img/csp_meta.jpg

А Мозила, данный мета тег игнорит. И как следствие вылезает левая реклама.

Для того, что бы на все 100% заблокировать советник, надо послать заголовок. через htaccess или php

header("Content-Security-Policy: frame-src 'self' my_domens.com;");

а можно ссылку на сайт в личку, я погляжу.

Я у себя проблему решил на 2 сайтах.

Очистите кеш. Возможно дело в нем.

ок. План Б.

Можно и мета тег. вставить.

<meta http-equiv="Content-Security-Policy" content="frame-src 'self' Ваши-Домены.ру ;">