Советник Яндекса = Несанкционированная реклама на ваших сайтах!

[Sujcnm]

Т.е. она не блокирует всё подряд кроме тех доменов что туда вписаны?

Да.

 

Но с одной оговоркой.

Каждая директива блокирует свое.

connect-src блокирует источники подключения

font-src блокирует внешние шрифты.

frame-src блокирует фреймы.

img-src блокирует изображения

media-src  блокирует аудио и видео .

object-src блокирует Flash .

style-src блокирует стили.

 

Если директива не указана - значит все в ней разрешено.

т.е.  в данном случае мы блокируем только фреймы и разрешаем загрузку левых скриптов (которые тоже вставляют/подменяют рекламу), картининок и шрифтов.

[HyperLabTeam]

Да.

Понятно, спасибо, бум думать..

жаль нет возможности всё разом убить..

[Andris]

system/library/responce.php

 

после

public function output() {

добавляем

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src 'none';");

Радуемся

 

(на серверах с nginx не проверял)

Рано радоваться...

Лично у меня данное решение вызывает проблемы:

1) менеджер изображений в админке перестал отображать папки, следовательно добавлять и редактировать товары невозможно;

2) перестал отображаться виджет онлайн чата;

3) перестала отображаться карта проезда google на странице контактов.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

[snastik]

 

Рано радоваться...

Лично у меня данное решение вызывает проблемы:

1) менеджер изображений в админке перестал отображать папки, следовательно добавлять и редактировать товары невозможно;

2) перестал отображаться виджет онлайн чата;

3) перестала отображаться карта проезда google на странице контактов.

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

 

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

 

Обратитесь в саппорт хостинга.

 

И кстати, конечное решение, чтобы работал загрузчик изображений выглядит вот так:

        $this->addHeader("Content-Security-Policy: allow " . HTTP_SERVER. "; frame-src " . HTTP_SERVER. " *.youtube.com *.google.com;");

[Andris]

 

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

 

Обратитесь в саппорт хостинга.

 

И кстати, конечное решение, чтобы работал загрузчик изображений выглядит вот так:

        $this->addHeader("Content-Security-Policy: allow " . HTTP_SERVER. "; frame-src " . HTTP_SERVER. " *.youtube.com *.google.com;");

 

Подскажите, как корректно обозначить проблему для хостера?

Чтобы сервер отдавал заголовки не только NGINX, но и APACHE?

[Sujcnm]

Могу спорить у вас заголовки сервера отдает NGINX, который не транслирует заголовки APACHE.

Проспорите, раз браузер начал блокировать изображения, карты, чаты, то значит заголовок передается нормально.

 

 

Даже такая строка вышеназванных проблем не решила:

$this->addHeader("Content-Security-Policy: allow 'self'; frame-src *youtube.com *google.com;");

А вообще настройка CSP штука индивидальная для каждого сайта, делайте файл отчета и смотрите что блочит и правьте правила.

[Andris]

Sujcnm, по Вашему совету вставил в конце .htaccess строку:

Header set Content-Security-Policy "frame-src 'self' имя_сайта.ru;"

Пока проблем нет, "Советник" не лезет.

Хостинг Beget, ocStore 1.5.5.1.2

Но...
карта сайта google не подгружается, виджет онлайн чата не подгружается...

Змінено 2 вересня 2015 користувачем Andris

[Sujcnm]

карта сайта google не подгружается, виджет онлайн чата не подгружается...

Нужно глядеть ошибки в консоли или в файле отчета, там будет видно что блокирует и добавить в правило.

[IgorSorits]

Есть решение проблемы с советником, подскажите как внедрить этот заголовок 

Content-Security-Policy:
default-src 'self' *.mysite.ru mysite.ru;
script-src 'self' 'unsafe-inline' 'unsafe-eval' *.mysite.ru mysite.ru *.mail.ru mail.ru *.imgsmail.ru imgsmail.ru *.google.ru google.ru *.google-analytics.com google-analytics.com *.vk.com vk.com *.facebook.net facebook.net *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net *.google.com google.com *.twitter.com twitter.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://api-maps.yandex.ru https://*.google.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
frame-src 'self' *.mysite.ru mysite.ru *.mail.ru mail.ru https://*.google.com *.twitter.com twitter.com https://*.twitter.com *.facebook.com facebook.com *.vk.com vk.com https://*.facebook.com https://vk.com *.yandex.ru yandex.ru *.yandex.net yandex.st *.yandex.st *.googleapis.com *.gstatic.com gstatic.com *.googlesyndication.com *.doubleclick.net youtube.ru youtube.com *.youtube.ru *.youtube.com https://youtube.ru https://youtube.com https://*.youtube.ru https://*.youtube.com apis.google.com https://*.googleapis.com https://*.gstatic.com https://gstatic.com https://*.googlesyndication.com https://*.doubleclick.net https://apis.google.com;
connect-src 'self' *.mysite.ru mysite.ru mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com https://*.yandex.ru;'>https://*.yandex.ru;
style-src 'self' 'unsafe-inline' 'unsafe-eval *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
font-src 'self' *.mysite.ru mysite.ru *.googleapis.com *.gstatic.com *.yandex.ru https://*.googleapis.com https://*.gstatic.com https://*.yandex.ru data:;
img-src 'self' *.mysite.ru mysite.ru *.vk.me vk.me *.yastatic.net yastatic.net *.cackle.me cackle.me *.addthis.com addthis.com *.vk.com vk.com *.google.ru google.ru *.yandex.net *.yandex.ru yandex.ru yandex.st *.googlesyndication.com *.doubleclick.net *.googleapis.com *.gstatic.com https://*.yandex.net https://*.yandex.ru https://*.googlesyndication.com https://*.doubleclick.net https://*.googleapis.com https://*.gstatic.com data: *.google-analytics.com google-analytics.com https://*.google-analytics.com https://google-analytics.com;
object-src 'self' *.gstatic.com *.googlevideo.com googlevideo.com *.youtube.com youtube.com an.yandex.ru https://*.gstatic.com https://an.yandex.ru;
report-uri /csp-report/report.php

способно решить подобную проблему.
// переносы для удобства. На самом деле все нужно пихать в одну строку (для тех кто далек от этого).
// mysite.ru нужно менять на свой домен. По идее, достаточно 'self', но как где-то прочитал, не все браузеры этот self воспринимают адекватно.

 

На php заголовки отдаются вот так:

 

 

 

header("Content-Security-Policy-Report-Only: ... ");

все в одну строчку.

Сразу скажу - если на сайте используются кнопки соц.сетей, метрика, аналитикс и проч. сторонняя хрень - писать этот заголовок заколебешься.
Поэтому, то что выше, я нашел на просторах сети (на серче, кажется) что-то более менее сносное, и переделал под себя. Поэтому, там есть что-то лишнее, на всякий пожарный.

 

Код файла /csp-report/report.php

<?php
header("HTTP/1.0 204 No Response");
$file = 'report.txt';
if($json_data = json_decode(file_get_contents('php://input'))){
$data = json_encode($json_data)."\n";
file_put_contents($file, $data, FILE_APPEND | LOCK_EX);
}

В эту же папку после пишется файл report.txt, где можно посмотреть, что и как.

 

 

Напишите пожалуйста по порядку какой файл нужно создать или в какой файл нужно этот код вставить, и в какую папку это все скопировать 

[silenzushka]

Грядёт новая волна пользователей с установленным Яндекс.Советником. Вчера обнаружил, что friGate — браузерное расширение, рекомендованное как лучший способ обхода будущей блокировки одного известного торен-трекера, принудительно устанавливает Яндекс.Советник. В списке расширений браузера Советника нет, следовательно его и не удалить. У трекера аудитория порядка 80 млн. в месяц. И почти все они будут теперь, хотят они того или нет, сравнивать цены :(

 

Окно на скриншоте показывается уже после автоматической установки Советника.

 

 

[HyperLabTeam]

Надо нафиг перехват сделать этого советника с надписью Яндекс Говно!
Всем предпринимателем вместе собраться и отсудить у них всё что у них вообще есть за такое!
Всё подряд в ЯМу принимают хоть говно хоть что... лишь бы платили))
Бессовестные голодранцы!
Интересно у них там найти санкционные продукты и на мошонку им наступить))

[Miomy]

Появилось какое то рабочее решение? достала эта хрень, походу с маркета съезжать придется.

[HyperLabTeam]

да она у тех кто на маркете и нет тож вываливается.
судить надо их каждому в суд написать и норм.
если собрать норм толпу любой Юра возьмется за это
у Яши не мало денег так что встряхнуть их жадность труда не составит.
Главное толпа

[Sujcnm]

Появилось какое то рабочее решение? достала эта хрень, походу с маркета съезжать придется.

Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

[HyperLabTeam]

Конечно появилось, называется CSP.

Те кто хотел решить проблему, уже давно заблокировали советник и проблем не знают.

И да, советник, это не единственный плагин ворующий клиентов.

Существует масса других плагинов и вирусов, которые вставляют на ваши сайты левую рекламу (банеры, всплывающие окна, мобильные редиректы и прочие прелести)

не везде работает она

лучше https

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Говорю пока судебным процессом по башке яше не вмазать он не успокоится..

он ж как ребенок.. всё ищет грань дозволенного

Змінено 15 грудня 2015 користувачем AWARO

[Sujcnm]

не везде работает она

При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

 

лучше https

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

 

 

и то где гарантия что воровитые ручки под названиями советники яндексоидов и туда не доберутся.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

 

он ж как ребенок.. всё ищет грань дозволенного

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

[IgorSorits]

При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

Проще потратить чутка времени и забыть о проблеме.

 

Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

[Sujcnm]

Подскажите пожалуйста как настроить, я потратил уже очень много времени и все равно он выскакивает не смотря на csp

пост с кодом я уже писал чуть выше, но не помогает. 

CSP это штука индивидуальная.

На одних сайтах одни политики, на других - другие.

Для составления правильного набора политик нужно внимательно изучить конкретный сайт.

Затем отдать заголовок Content-Security-Policy-Report-Only и поглядеть не блокируется нужные объекты.

И только потом блокировать.

 

Что касается вашего куска кода:

При беглом просмотре я обнаружил следующую политику: https://*.yandex.ru;

Ставя * вы разрешаете любые поддомены с yandex.ru, а именно от туда и грузится советник.

Вот фрагмент отчета:

blocked-uri - https://sovetnik.market.yandex.ru/products?&v=201511111554&transaction_id=ii61sggw4l1hylxntsqeuhr2bu

Иначе говоря - приведенный выше код блокировать советник не будет.

Проведите анализ сайта еще раз и ужесточите политики.

[HyperLabTeam]

При правильной настройке везде. Но нужно потратить 30-60 минут на то, что бы все сделать грамотно.

С одной оговоркой: древние браузеры могут не поддерживать CSP

 

И как это поможет?

https защищает от перехвата и вставки "посередине", а т.к. дополнения браузеров выполняются в браузере пользователя, то ваш hhtps эффекта не даст.

 

 

Если настроено грамотно, то яндекс идет лесом.

И кстати, яндекс уже изменил алгоритм работы советника, раньше в отчетах ыло frame-src, а сейчас script-src

 

Вот в этом и проблема, это не запрещено законом, какой нафиг суд?

Проще потратить чутка времени и забыть о проблеме.

Что мешает МВФ лапшу на уши людям вешать а Мавроди запрешено?

Какой нафиг яндекс?

всё что по теме  описано на страницах

[Miomy]

Что вот тут предлагают, никто не тестил? А то сыкотно :)

[HyperLabTeam]

Что вот тут предлагают, никто не тестил? А то сыкотно :)

Пусть выходит на связь хозяин сайта

Гугл с удовольствиием поможет наступить на машонку яндекса

[Sujcnm]

Что вот тут предлагают, никто не тестил? А то сыкотно :)

А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

[HyperLabTeam]

http://vk.com/club100528081

 

[OldAine]

А вы получите и выложите их js код.

В теории можно написать скрипт, который будет блочить всплывающее окно советника, но не факт, что это будет работать во всех браузерах.

А может это развод и вам вставят левую рекламу или вирусняк.

После заполнения данных мы получаем это:

Вот та ссылка на минимизированный код.

А это он до минимизации:

var kribleAntiSovetnik = function() {
    var b = function(d) {
        var c = document.querySelectorAll(d);
        if (c.length === 1) {
            return c[0]
        } else {
            if (c.length > 1) {
                return c[c.length - 1]
            } else {
                return null
            }
        }
    };
    var a = setInterval(function() {
        var c = parseInt(b("HTML").style.marginTop);
        if (c > 0) {
            b("BODY > DIV").remove();
            b("BODY > STYLE").remove();
            clearInterval(a);
            setTimeout(function() {
                b("HTML").style.marginTop = "0px"
            }, 500)
        }
        setTimeout(function() {
            clearInterval(a)
        }, 10000)
    }, 10)
};
kribleAntiSovetnik();

[Andris]

 

Вот та ссылка на минимизированный код.

 

А что помешает авторам данной разработки в определенный момент поменять код у себя на сайте на любой другой, в том числе вредоносный?

Насколько я понял, скрипт содержит ссылку на их ресурс.