Перейти к публикации
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...

Советник Яндекса = Несанкционированная реклама на ваших сайтах!


HyperLabTeam
 Поделиться

Рекомендованные сообщения

Т.е. она не блокирует всё подряд кроме тех доменов что туда вписаны?

Да.

 

Но с одной оговоркой.

Каждая директива блокирует свое.

connect-src блокирует источники подключения

font-src блокирует внешние шрифты.

frame-src блокирует фреймы.

img-src блокирует изображения

media-src  блокирует аудио и видео .

object-src блокирует Flash .

style-src блокирует стили.

 

Если директива не указана - значит все в ней разрешено.

т.е.  в данном случае мы блокируем только фреймы и разрешаем загрузку левых скриптов (которые тоже вставляют/подменяют рекламу), картининок и шрифтов.

Ссылка на комментарий
Поделиться на других сайтах


Да.

Понятно, спасибо, бум думать..

жаль нет возможности всё разом убить..

Ссылка на комментарий
Поделиться на других сайтах


system/library/responce.php

 

после

public function output() {

добавляем

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src 'none';");

Радуемся

 

(на серверах с nginx не проверял)

Рано радоваться...

Лично у меня данное решение вызывает проблемы:

1) менеджер изображений в админке перестал отображать папки, следовательно добавлять и редактировать товары невозможно;

2) перестал отображаться виджет онлайн чата;

3) перестала отображаться карта проезда google на странице контактов.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");
Ссылка на комментарий
Поделиться на других сайтах


 

Рано радоваться...

Лично у меня данное решение вызывает проблемы:

1) менеджер изображений в админке перестал отображать папки, следовательно добавлять и редактировать товары невозможно;

2) перестал отображаться виджет онлайн чата;

3) перестала отображаться карта проезда google на странице контактов.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

 

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

 

Обратитесь в саппорт хостинга.

 

И кстати, конечное решение, чтобы работал загрузчик изображений выглядит вот так:

        $this->addHeader("Content-Security-Policy: allow " . HTTP_SERVER. "; frame-src " . HTTP_SERVER. " *.youtube.com *.google.com;");
Ссылка на комментарий
Поделиться на других сайтах

 

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

 

Обратитесь в саппорт хостинга.

 

И кстати, конечное решение, чтобы работал загрузчик изображений выглядит вот так:

        $this->addHeader("Content-Security-Policy: allow " . HTTP_SERVER. "; frame-src " . HTTP_SERVER. " *.youtube.com *.google.com;");

 

Подскажите, как корректно обозначить проблему для хостера?

Чтобы сервер отдавал заголовки не только NGINX, но и APACHE?

Ссылка на комментарий
Поделиться на других сайтах


Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

Проспорите, раз браузер начал блокировать изображения, карты, чаты, то значит заголовок передается нормально.

 

 

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

А вообще настройка CSP штука индивидальная для каждого сайта, делайте файл отчета и смотрите что блочит и правьте правила.

Ссылка на комментарий
Поделиться на других сайтах


Sujcnm, по Вашему совету вставил в конце .htaccess строку:

Header set Content-Security-Policy "frame-src 'self' имя_сайта.ru;"

Пока проблем нет, "Советник" не лезет.

Хостинг Beget, ocStore 1.5.5.1.2

Но...
карта сайта google не подгружается, виджет онлайн чата не подгружается...

Изменено пользователем Andris
Ссылка на комментарий
Поделиться на других сайтах


карта сайта google не подгружается, виджет онлайн чата не подгружается...

Нужно глядеть ошибки в консоли или в файле отчета, там будет видно что блокирует и добавить в правило.

Ссылка на комментарий
Поделиться на других сайтах


  • 1 месяц спустя...

Есть решение проблемы с советником, подскажите как внедрить этот заголовок 

Content-Security-Policy:
default-src 'self' *.mysite.ru mysite.ru;
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.mysite.ru mysite.ru *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
frame-src 'self' *.mysite.ru mysite.ru *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com;
connect-src 'self' *.mysite.ru mysite.ru mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
style-src 'self' 'unsafe-inline' 'unsafe-eval *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
font-src 'self' *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
img-src 'self' *.mysite.ru mysite.ru *.vk.me vk.me *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com;
object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;
report-uri /csp-report/report.php

способно решить подобную проблему.
// переносы для удобства. На самом деле все нужно пихать в одну строку (для тех кто далек от этого).
// mysite.ru нужно менять на свой домен. По идее, достаточно 'self', но как где-то прочитал, не все браузеры этот self воспринимают адекватно.

 

На php заголовки отдаются вот так:

 

 

 

header("Content-Security-Policy-Report-Only: ... ");

все в одну строчку.

Сразу скажу - если на сайте используются кнопки соц.сетей, метрика, аналитикс и проч. сторонняя хрень - писать этот заголовок заколебешься.
Поэтому, то что выше, я нашел на просторах сети (на серче, кажется) что-то более менее сносное, и переделал под себя. Поэтому, там есть что-то лишнее, на всякий пожарный.

 

Код файла /csp-report/report.php

<?php
header("HTTP/1.0 204 No Response");
$file = 'report.txt';
if($json_data = json_decode(file_get_contents('php://input'))){
$data = json_encode($json_data)."\n";
file_put_contents($file, $data, FILE_APPEND | LOCK_EX);
}

В эту же папку после пишется файл report.txt, где можно посмотреть, что и как.

 

 

Напишите пожалуйста по порядку какой файл нужно создать или в какой файл нужно этот код вставить, и в какую папку это все скопировать 

Ссылка на комментарий
Поделиться на других сайтах


  • 1 месяц спустя...

Грядёт новая волна пользователей с установленным Яндекс.Советником. Вчера обнаружил, что friGate — браузерное расширение, рекомендованное как лучший способ обхода будущей блокировки одного известного торен-трекера, принудительно устанавливает Яндекс.Советник. В списке расширений браузера Советника нет, следовательно его и не удалить. У трекера аудитория порядка 80 млн. в месяц. И почти все они будут теперь, хотят они того или нет, сравнивать цены :(

 

Окно на скриншоте показывается уже после автоматической установки Советника.

 

post-699951-0-19193000-1450079369_thumb.png

 

post-699951-0-19193000-1450079369_thumb.png

Ссылка на комментарий
Поделиться на других сайтах


Надо нафиг перехват сделать этого советника с надписью Яндекс Говно!
Всем предпринимателем вместе собраться и отсудить у них всё что у них вообще есть за такое!
Всё подряд в ЯМу принимают хоть говно хоть что... лишь бы платили))
Бессовестные голодранцы!
Интересно у них там найти санкционные продукты и на мошонку им наступить))

Ссылка на комментарий
Поделиться на других сайтах


да она у тех кто на маркете и нет тож вываливается.
судить надо их каждому в суд написать и норм.
если собрать норм толпу любой Юра возьмется за это
у Яши не мало денег так что встряхнуть их жадность труда не составит.
Главное толпа

Ссылка на комментарий
Поделиться на других сайтах


Появилось какое то рабочее решение? достала эта хрень, походу с маркета съезжать придется.

Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

Ссылка на комментарий
Поделиться на других сайтах


Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

не везде работает она

лучше https

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Говорю пока судебным процессом по башке яше не вмазать он не успокоится..

он ж как ребенок.. всё ищет грань дозволенного

Изменено пользователем AWARO
Ссылка на комментарий
Поделиться на других сайтах


не везде работает она

При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

 

лучше https

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

 

 

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

 

он ж как ребенок.. всё ищет грань дозволенного

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

Ссылка на комментарий
Поделиться на других сайтах


При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

Проще потратить чутка времени и забыть о проблеме.

 

Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

Ссылка на комментарий
Поделиться на других сайтах


Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

CSP это штука индивидуальная.

На одних сайтах одни политики, на других - другие.

Для составления правильного набора политик нужно внимательно изучить конкретный сайт.

Затем отдать заголовок Content-Security-Policy-Report-Only и поглядеть не блокируется нужные объекты.

И только потом блокировать.

 

Что касается вашего куска кода:

При беглом просмотре я обнаружил следующую политику: https://*.yandex.ru;

Ставя * вы разрешаете любые поддомены с yandex.ru, а именно от туда и грузится советник.

Вот фрагмент отчета:

blocked-uri - https://sovetnik.market.yandex.ru/products?&v=201511111554&transaction_id=ii61sggw4l1hylxntsqeuhr2bu

Иначе говоря - приведенный выше код блокировать советник не будет.

Проведите анализ сайта еще раз и ужесточите политики.

Ссылка на комментарий
Поделиться на других сайтах


При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

 

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

 

 

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

 

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

Что мешает МВФ лапшу на уши людям вешать а Мавроди запрешено?

Какой нафиг яндекс?

всё что по теме  описано на страницах

Ссылка на комментарий
Поделиться на других сайтах


Что вот тут предлагают, никто не тестил? А то сыкотно :)

Пусть выходит на связь хозяин сайта

Гугл с удовольствиием поможет наступить на машонку яндекса

Ссылка на комментарий
Поделиться на других сайтах


Что вот тут предлагают, никто не тестил? А то сыкотно :)

А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

Ссылка на комментарий
Поделиться на других сайтах


Ссылка на комментарий
Поделиться на других сайтах


А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

После заполнения данных мы получаем это:

fS74bTJ.png

Вот та ссылка на минимизированный код.

А это он до минимизации:

var kribleAntiSovetnik = function() {
    var b = function(d) {
        var c = document.querySelectorAll(d);
        if (c.length === 1) {
            return c[0]
        } else {
            if (c.length > 1) {
                return c[c.length - 1]
            } else {
                return null
            }
        }
    };
    var a = setInterval(function() {
        var c = parseInt(b("HTML").style.marginTop);
        if (c > 0) {
            b("BODY > DIV").remove();
            b("BODY > STYLE").remove();
            clearInterval(a);
            setTimeout(function() {
                b("HTML").style.marginTop = "0px"
            }, 500)
        }
        setTimeout(function() {
            clearInterval(a)
        }, 10000)
    }, 10)
};
kribleAntiSovetnik();
Ссылка на комментарий
Поделиться на других сайтах

 

Вот та ссылка на минимизированный код.

 

А что помешает авторам данной разработки в определенный момент поменять код у себя на сайте на любой другой, в том числе вредоносный?

Насколько я понял, скрипт содержит ссылку на их ресурс.

Ссылка на комментарий
Поделиться на других сайтах


Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Поделиться

×
×
  • Создать...

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.