Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Советник Яндекса = Несанкционированная реклама на ваших сайтах!


HyperLabTeam

Recommended Posts

Т.е. она не блокирует всё подряд кроме тех доменов что туда вписаны?

Да.

 

Но с одной оговоркой.

Каждая директива блокирует свое.

connect-src блокирует источники подключения

font-src блокирует внешние шрифты.

frame-src блокирует фреймы.

img-src блокирует изображения

media-src  блокирует аудио и видео .

object-src блокирует Flash .

style-src блокирует стили.

 

Если директива не указана - значит все в ней разрешено.

т.е.  в данном случае мы блокируем только фреймы и разрешаем загрузку левых скриптов (которые тоже вставляют/подменяют рекламу), картининок и шрифтов.

Надіслати
Поділитися на інших сайтах


Да.

Понятно, спасибо, бум думать..

жаль нет возможности всё разом убить..

Надіслати
Поділитися на інших сайтах


system/library/responce.php

 

после

public function output() {

добавляем

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src 'none';");

Радуемся

 

(на серверах с nginx не проверял)

Рано радоваться...

Лично у меня данное решение вызывает проблемы:

1) менеджер изображений в админке перестал отображать папки, следовательно добавлять и редактировать товары невозможно;

2) перестал отображаться виджет онлайн чата;

3) перестала отображаться карта проезда google на странице контактов.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");
Надіслати
Поділитися на інших сайтах


 

Рано радоваться...

Лично у меня данное решение вызывает проблемы:

1) менеджер изображений в админке перестал отображать папки, следовательно добавлять и редактировать товары невозможно;

2) перестал отображаться виджет онлайн чата;

3) перестала отображаться карта проезда google на странице контактов.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

 

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

 

Обратитесь в саппорт хостинга.

 

И кстати, конечное решение, чтобы работал загрузчик изображений выглядит вот так:

        $this->addHeader("Content-Security-Policy: allow " . HTTP_SERVER. "; frame-src " . HTTP_SERVER. " *.youtube.com *.google.com;");
Надіслати
Поділитися на інших сайтах

 

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

 

Обратитесь в саппорт хостинга.

 

И кстати, конечное решение, чтобы работал загрузчик изображений выглядит вот так:

        $this->addHeader("Content-Security-Policy: allow " . HTTP_SERVER. "; frame-src " . HTTP_SERVER. " *.youtube.com *.google.com;");

 

Подскажите, как корректно обозначить проблему для хостера?

Чтобы сервер отдавал заголовки не только NGINX, но и APACHE?

Надіслати
Поділитися на інших сайтах


Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

Проспорите, раз браузер начал блокировать изображения, карты, чаты, то значит заголовок передается нормально.

 

 

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

А вообще настройка CSP штука индивидальная для каждого сайта, делайте файл отчета и смотрите что блочит и правьте правила.

Надіслати
Поділитися на інших сайтах


Sujcnm, по Вашему совету вставил в конце .htaccess строку:

Header set Content-Security-Policy "frame-src 'self' имя_сайта.ru;"

Пока проблем нет, "Советник" не лезет.

Хостинг Beget, ocStore 1.5.5.1.2

Но...
карта сайта google не подгружается, виджет онлайн чата не подгружается...

Змінено користувачем Andris
Надіслати
Поділитися на інших сайтах


карта сайта google не подгружается, виджет онлайн чата не подгружается...

Нужно глядеть ошибки в консоли или в файле отчета, там будет видно что блокирует и добавить в правило.

Надіслати
Поділитися на інших сайтах


  • 1 month later...

Есть решение проблемы с советником, подскажите как внедрить этот заголовок 

Content-Security-Policy:
default-src 'self' *.mysite.ru mysite.ru;
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.mysite.ru mysite.ru *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
frame-src 'self' *.mysite.ru mysite.ru *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com;
connect-src 'self' *.mysite.ru mysite.ru mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
style-src 'self' 'unsafe-inline' 'unsafe-eval *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
font-src 'self' *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
img-src 'self' *.mysite.ru mysite.ru *.vk.me vk.me *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com;
object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;
report-uri /csp-report/report.php

способно решить подобную проблему.
// переносы для удобства. На самом деле все нужно пихать в одну строку (для тех кто далек от этого).
// mysite.ru нужно менять на свой домен. По идее, достаточно 'self', но как где-то прочитал, не все браузеры этот self воспринимают адекватно.

 

На php заголовки отдаются вот так:

 

 

 

header("Content-Security-Policy-Report-Only: ... ");

все в одну строчку.

Сразу скажу - если на сайте используются кнопки соц.сетей, метрика, аналитикс и проч. сторонняя хрень - писать этот заголовок заколебешься.
Поэтому, то что выше, я нашел на просторах сети (на серче, кажется) что-то более менее сносное, и переделал под себя. Поэтому, там есть что-то лишнее, на всякий пожарный.

 

Код файла /csp-report/report.php

<?php
header("HTTP/1.0 204 No Response");
$file = 'report.txt';
if($json_data = json_decode(file_get_contents('php://input'))){
$data = json_encode($json_data)."\n";
file_put_contents($file, $data, FILE_APPEND | LOCK_EX);
}

В эту же папку после пишется файл report.txt, где можно посмотреть, что и как.

 

 

Напишите пожалуйста по порядку какой файл нужно создать или в какой файл нужно этот код вставить, и в какую папку это все скопировать 

Надіслати
Поділитися на інших сайтах


  • 1 month later...

Грядёт новая волна пользователей с установленным Яндекс.Советником. Вчера обнаружил, что friGate — браузерное расширение, рекомендованное как лучший способ обхода будущей блокировки одного известного торен-трекера, принудительно устанавливает Яндекс.Советник. В списке расширений браузера Советника нет, следовательно его и не удалить. У трекера аудитория порядка 80 млн. в месяц. И почти все они будут теперь, хотят они того или нет, сравнивать цены :(

 

Окно на скриншоте показывается уже после автоматической установки Советника.

 

post-699951-0-19193000-1450079369_thumb.png

 

post-699951-0-19193000-1450079369_thumb.png

Надіслати
Поділитися на інших сайтах


Надо нафиг перехват сделать этого советника с надписью Яндекс Говно!
Всем предпринимателем вместе собраться и отсудить у них всё что у них вообще есть за такое!
Всё подряд в ЯМу принимают хоть говно хоть что... лишь бы платили))
Бессовестные голодранцы!
Интересно у них там найти санкционные продукты и на мошонку им наступить))

Надіслати
Поділитися на інших сайтах


да она у тех кто на маркете и нет тож вываливается.
судить надо их каждому в суд написать и норм.
если собрать норм толпу любой Юра возьмется за это
у Яши не мало денег так что встряхнуть их жадность труда не составит.
Главное толпа

Надіслати
Поділитися на інших сайтах


Появилось какое то рабочее решение? достала эта хрень, походу с маркета съезжать придется.

Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

Надіслати
Поділитися на інших сайтах


Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

не везде работает она

лучше https

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Говорю пока судебным процессом по башке яше не вмазать он не успокоится..

он ж как ребенок.. всё ищет грань дозволенного

Змінено користувачем AWARO
Надіслати
Поділитися на інших сайтах


не везде работает она

При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

 

лучше https

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

 

 

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

 

он ж как ребенок.. всё ищет грань дозволенного

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

Надіслати
Поділитися на інших сайтах


При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

Проще потратить чутка времени и забыть о проблеме.

 

Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

Надіслати
Поділитися на інших сайтах


Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

CSP это штука индивидуальная.

На одних сайтах одни политики, на других - другие.

Для составления правильного набора политик нужно внимательно изучить конкретный сайт.

Затем отдать заголовок Content-Security-Policy-Report-Only и поглядеть не блокируется нужные объекты.

И только потом блокировать.

 

Что касается вашего куска кода:

При беглом просмотре я обнаружил следующую политику: https://*.yandex.ru;

Ставя * вы разрешаете любые поддомены с yandex.ru, а именно от туда и грузится советник.

Вот фрагмент отчета:

blocked-uri - https://sovetnik.market.yandex.ru/products?&v=201511111554&transaction_id=ii61sggw4l1hylxntsqeuhr2bu

Иначе говоря - приведенный выше код блокировать советник не будет.

Проведите анализ сайта еще раз и ужесточите политики.

Надіслати
Поділитися на інших сайтах


При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

 

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

 

 

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

 

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

Что мешает МВФ лапшу на уши людям вешать а Мавроди запрешено?

Какой нафиг яндекс?

всё что по теме  описано на страницах

Надіслати
Поділитися на інших сайтах


Что вот тут предлагают, никто не тестил? А то сыкотно :)

Пусть выходит на связь хозяин сайта

Гугл с удовольствиием поможет наступить на машонку яндекса

Надіслати
Поділитися на інших сайтах


Что вот тут предлагают, никто не тестил? А то сыкотно :)

А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

Надіслати
Поділитися на інших сайтах


А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

После заполнения данных мы получаем это:

fS74bTJ.png

Вот та ссылка на минимизированный код.

А это он до минимизации:

var kribleAntiSovetnik = function() {
    var b = function(d) {
        var c = document.querySelectorAll(d);
        if (c.length === 1) {
            return c[0]
        } else {
            if (c.length > 1) {
                return c[c.length - 1]
            } else {
                return null
            }
        }
    };
    var a = setInterval(function() {
        var c = parseInt(b("HTML").style.marginTop);
        if (c > 0) {
            b("BODY > DIV").remove();
            b("BODY > STYLE").remove();
            clearInterval(a);
            setTimeout(function() {
                b("HTML").style.marginTop = "0px"
            }, 500)
        }
        setTimeout(function() {
            clearInterval(a)
        }, 10000)
    }, 10)
};
kribleAntiSovetnik();
Надіслати
Поділитися на інших сайтах

 

Вот та ссылка на минимизированный код.

 

А что помешает авторам данной разработки в определенный момент поменять код у себя на сайте на любой другой, в том числе вредоносный?

Насколько я понял, скрипт содержит ссылку на их ресурс.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.