- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Прочитал почти всю тему. Так и не понял, что это за переходы и как лечить свои сайты.
Вот как.. но у меня разрешен hash, в этом значит ничего страшного?
Страшно или нет - надо смотреть какие "фичи" используются злоумышленниками.
Под конкретных врагов достаточно просто в секции header определить и проинициировать мусором некоторые переменные на яваскрипте - те, которые использует вражеский скрипт.
Если правильно выбрать такие переменные - вражеский скрипт "сломается" и вылетит по ошибке.
PS: Плохо, что надо под каждый вражеский скрипт искать его уязвимые местапеременные, это допустимо только как временная мера.
Скорее всего потому что отключен mod_headers для Апача.
Дааааа... попробовал на другом сайте на другом хостинге, поставилось, сайт деревяный, половина кнопок не работает, в строке поиска перестал исчезать дефолтный текст, в админку вообще не получилось зайти через кнопку, только вручную ...
Но админка как не странно работает более менее нормально, конечно, визуальные редакторы возможно не будут работать, но у меня обычный бб отлично работает, разделы работают ...
Х3 что делать, переезжать на этот хостинг и изучать директивы или ждать с моря по морде от яндекса ...
Вот пример кода для .htaccess:
Запрещены инлайновые скрипты, разрешены инлайновые стили, коды счетчиков лайвинтернет, яндекс метрики и гугл аналитики.
Дополните по необходимости адреса (виджиты от соц сетей, cdn и тд)
'self' - это значит разрешено со своего домена.
script-src - разрешенный список скриптов
style-src - разрешенный список стилей
img-src - разрешенный список картинок
object-src - разрешенный список объектов (флеш и тд)
media-src - разрешенный список медиа (видео и аудио)
font-src - разрешенный список шрифтов
connect-sr - разрешенный список подключений
Смотрите на логи в консоли браузера (F12) на наличие ошибок и предупреждений.
Обращение к тем, кто хорошо разбирается во всем этом, может напишите инструкцию к популярным разрешенным сайтам? ☝
Ну например:
Счетчики Яндекс Метрика, Гугл Аналитика, Рамблер топ, LI
Контекст Директ, Adsense
Виджеты Твиттера, Вконтакте, Facebook
А как использовать Content Security Policy когда коды некоторых рекламных тизерных сетей постоянно меняются и их не возможно отследить?
По поводу CSP - есть вроде какой-то древний плагин под Wordpress https://wordpress.org/plugins/content-security-policy/
Может кто с прямыми руками потестирует под современную заразу его? Или этот плагин совсем не из той области? Судя по скриншотам - оно самое.
Заразил свой браузер, установил этот плагин. Плагин отлично режет всю левую рекламу. Только не получается настроить его так, чтобы он не резал Adsense, Метрику, счётчики. Жаль, что не нашлось людей с прямыми руками, кто мог бы доработать его. Придётся заказывать доработку у программистов.
Не забывайте еще про этих товарищей с попапами /ru/forum/841983
Таких "умников" много развелось в последнее время.
Вот только что CSP отловил на сайте "свежачок": fluxx.crazytall.com, с мая 2014 начал "светиться".
Да проблема конечно глобальная))) И как с ней эффективно может бороться google или яндекс не понятно….
1) Убрать наказание сайтов за подобные переходы можно.
2) А вот как защитить рекламу? Версий браузеров и плагинов тысячи, выпустит обновленный защищённый браузер можно, НО сколько человек их не обновлят годами?((
У меня траф упал. Написал Платону. Пришел ответ:
"Мы в курсе данной ситуации. Такие перенаправления вызваны заражением браузеров посетителей сайта, и действительно могли повлиять на те или иные решения наших алгоритмов. Однако мы уже внесли в алгоритмы соответствующие изменения, и в ближайшее время влияние таких редиректов сойдет на нет. Что касается Вашего сайта, то на него указанные редиректы никак не повлияли."
напишите инструкцию к популярным разрешенным сайтам? ☝
Ну например:
Счетчики Яндекс Метрика, Гугл Аналитика, Рамблер топ, LI
Контекст Директ, Adsense
Виджеты Твиттера, Вконтакте, Facebook
Все делается просто - в CSP штатно предусмотрен отладочный режим
Сначала ставите на сайт CSP-заголовок с добавкой -Report-Only, он включает CSP, но ничего не запрещает, а только шлёт диагностику вам на сервер по указанному в report-uri скрипту:
Настраиваете скрипт csp.php на приём json-объектов, которые браузеры будут слать методом POST, см http://www.w3.org/TR/CSP/#report-uri. Их надо писать в "файл репортов".
Далее - прописываете в заголовок CSP желаемые правила и домены "белого списка"(это мой отладочный пример для Я и G карт, метрики и Директа с Адсенсом, инлайн скпипты - разрешены, тк пока не могу быстро убрать их в файл):
http://*.yandex.ru http://yandex.ru http://*.yandex.net mc.yandex.ru, an.yandex.ru
http://*.googleapis.com http://*.gstatic.com http://gstatic.com http://*.yandex.ru http://*.googlesyndication.com;
style-src 'self'
'unsafe-inline'; report-uri http://ваш_сайт/csp.php;
и смотрите, в "файле репортов" что браузеры запретили из того, что надо разрешить. Вносите поправки в свой "белый список".
Если после тестирования пару дней ничего заблокированного из "нужного" в "репортах" не появилось - убираете от CSP-заголовка добавку -Report-Only, и Content Secure Police начинает работать. Репорты в файл будут продолжать писаться, его надо периодически чекать.
PS: Под все браузеры надо давать 3 заголовка "Content-Security-Policy", на PHP это делается так:
// Set a sample rule
$csp_rules = "script-src 'self' cdnjs.cloudflare.com; style-src 'self'"; // Ваши правила и белый список доменов
foreach (array("X-WebKit-CSP", "X-Content-Security-Policy", "Content-Security-Policy") as $csp) // Chrome, IE, Mozilla
{
header($csp . ": " . $csp_rules);
}
? >
Неплохо убрать Метрику и коды Директ/адсенс в отдельный js-файл и полключать его через <script src='/metrics.js' type='text/javascript'></script>. Тогда CSP не будет блокировать запускаемое из этого файла.