В мобильной выдаче: "Возможна подписка на платные услуги без подтверждения"

Softg
На сайте с 19.09.2012
Offline
105
#731
xoxol4uk22:
Погорячился. Просто в ВМ исчезла метка, но фильтр на сайте так и висит, если заходить через ЯБ (красный экран).

красный экран в ЯБ сняли? если да, то сколько времени на это ушло?

PF
На сайте с 30.11.2016
Offline
83
#732

Могут ли платные подписки мобильных операторов (как из рекламы в Адсенс) быть вызваны пуш-подписками? На днях словил фильтр за мобильные подписки, Адсенс с сайта убрал, но в тех поддержке Яндекса сказали что проблема ещё не устранена. На сайте остался только код РСЯ и отдельный файл js-воркер Offergate (в коде сайта js-кода Offergate нет, работает рассылка только по ранее подписанным пользователям). Всё равно говорят, что проблема осталась, я уже не знаю из-за чего это может быть.

Бахин
На сайте с 26.05.2017
Offline
76
#733
D.iK.iJ #:

Поискать вирусы и редиректы для мобильных. Например, через .htaccess

(попробовать перейти с выдачи)

Еще я бы проверил - куда уходят пользователи с сайта. Может где-то есть ссылка или редирект на вредоносный сайт.

Ну и какие объявления Гугл показывает. Там тоже может быть что-то такое.

Достаточно настроить CSP и все, ничего подобного не будет, это у пользователей в браузерах, а еще сами злоумышленники подобным образом сайты топят — проверено на собственных сайтах.

Думай о будущем, но не забывай, что этот день может стать последним!
Brat_Sergij
На сайте с 26.11.2015
Offline
355
#734
bahinnn #:

Достаточно настроить CSP и все, ничего подобного не будет, это у пользователей в браузерах, а еще сами злоумышленники подобным образом сайты топят — проверено на собственных сайтах.

Что есть csp? 

Бахин
На сайте с 26.05.2017
Offline
76
#735
Brat_Sergij #:

Что есть csp? 

не думал, что все так плохо :(

https://developer.mozilla.org/ru/docs/Web/HTTP/CSP

единственное, есть проблема, если на сайте крутиться реклама адсенса надо вылавливать все его домены, а их немеряно. Если РСЯ, то у яндекса есть готовый список:

для метрики

для РСЯ

Content Security Policy (CSP)
Content Security Policy (CSP)
  • 2020.06.17
  • developer.mozilla.org
Content Security Policy (CSP) - это дополнительный уровень безопасности, позволяющий распознавать и устранять определенные типы атак, таких как Cross Site Scripting (XSS) и атаки внедрения данных. Спектр применения этих атак включает, но не ограничивается кражей данных, подменой страниц и распространением зловредного ПО. CSP разрабатывался с...
PF
На сайте с 30.11.2016
Offline
83
#736
bahinnn #:

не думал, что все так плохо :(

https://developer.mozilla.org/ru/docs/Web/HTTP/CSP

единственное, есть проблема, если на сайте крутиться реклама адсенса надо вылавливать все его домены, а их немеряно. Если РСЯ, то у яндекса есть готовый список:

для метрики

для РСЯ

Какой смысл в CSP если есть https?

Бахин
На сайте с 26.05.2017
Offline
76
#737
PendalF89 #:

Какой смысл в CSP если есть https?

🤣 Вы явно не в теме. Приведу пример, чтобы не было иллюзий

у Вас в коде есть инлайн или скрипт файлом скажем:

<script https://my_site/script.js></script>

или

<script>

myfunction() {

bla bla bla

}


</script>

без указания в CSP домена, то есть разрешения на исполнения скриптов на Вашем сайте, его могут подменить. А если в CSP еще добавить  nonce:

<script nonce="@random-nonce">

myfunction() {

bla bla bla

}


</script>

то скрипт не выполниться вообще, даже если домен разрешен, но для этого скрипта не сгенерирован nonce и наличие https тут вообще не играет ни какой роли. nonce можно добавить и к стилям...

PF
На сайте с 30.11.2016
Offline
83
#738
bahinnn #:

🤣 Вы явно не в теме. Приведу пример, чтобы не было иллюзий

у Вас в коде есть инлайн или скрипт файлом скажем:

или

без указания в CSP домена, то есть разрешения на исполнения скриптов на Вашем сайте, его могут подменить. А если в CSP еще добавить  nonce:

то скрипт не выполниться вообще, даже если домен разрешен, но для этого скрипта не сгенерирован nonce и наличие https тут вообще не играет ни какой роли. nonce можно добавить и к стилям...

И как же подменят контент, если соединение по https?

Бахин
На сайте с 26.05.2017
Offline
76
#739
PendalF89 #:

И как же подменят контент, если соединение по https?

Вы реально думаете, что перейдя на https полностью защищены? Яркий пример (если пользовались Алиэкспресс) - ставите в браузер какое-то приложение, типа этого которое вытягивает историю по ценам и т.д. и к товару от этого расширения на странице появляются дополнительные кнопки и т.д.

Alitools помощник в покупках
Alitools помощник в покупках
  • chrome.google.com
История цен за 6 месяцев, похожие товары, поиск по картинке, рейтинг продавцов.
PF
На сайте с 30.11.2016
Offline
83
#740
bahinnn #:

Вы реально думаете, что перейдя на https полностью защищены? Яркий пример (если пользовались Алиэкспресс) - ставите в браузер какое-то приложение, типа этого которое вытягивает историю по ценам и т.д. и к товару от этого расширения на странице появляются дополнительные кнопки и т.д.

Если речь идёт о подмене контента на стороне клиента (через браузер), то нет никакой разницы как загружен контент, тут я с вами согласен. Но если подмена контента идёт "на пути" к клиенту, то через https это сделать почти невозможно. Например, при посещении http сайтов через wifi в кафе или ещё где-то, вполне может висеть какой-нибудь баннер или типа того, который встроили в код сайта "по дороге" к клиенту.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий