ctit ctit

Рейтинг
243
Регистрация
07.05.2010
Настройка CSP - Content Security Policy
burunduk:
вообще-то, проблема решается только полным контролем над dom :)

Да, видимо. Сейчас проверяю, как это скажется. Проверка идет правда только на <script>, <iframe>, <div>.

Кстати, у некоторых пользователей стоит полный набор вирусных плагинов. С одной стороны, они могли их поставить, чтобы заработать денежку (плагины подмены рекламы и ссылок), с другой стороны, могли получить задание на бирже, установить именно эти плагины, и ходить по указанным сайтам и валить трастовость.

Настройка CSP - Content Security Policy
ctit:
Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему.

Резюме прошлой темы:
1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код.
2) Защита возможна через CSP (но не на 100%) и через javascript.

Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess):



При этом код файла отчета может иметь следующий вид:

Настройки приведены с учетом тестирования в течение месяца. При других настройках падает CTR, при данных настройках - сохраняется на высоком уровне.

Настройка CSP - Content Security Policy

'unsafe-inline' 'unsafe-eval'

Позволяют внедрять код сриптами. Поэтому дополнительно можно использовать защиту на js, либо вынести код AdSense отдельно и рискнуть получить бан.

Однако защита есть еще и в секции frame-src

Настройка CSP - Content Security Policy

Когда я пишу, что подзагружается чем-то, то имеется в виду, что в секции original-uri: указан googleads.g.doubleclick.net

Например, так указаны 192.92.92.100 и googleads.g.4zw.pw

Настройка CSP - Content Security Policy

В отчетах можно видеть следующие результаты (от Оптимизайка):

Ответы браузера или плагинов

1) mx://res/reader-mode/reader.html

Это режим "Reader" в MacOS Safari, который вырезает все и оставляет один текст

2) https://localhost

null

Это мобильные браузеры в iPhone/iPad. Они знатно глючат с CSP, поэтому для части их проще отключить CSP.

3) about;data;safari-resource;ybnotification;webviewprogressproxy;chromenull;chromeinvoke;chromeinvokeimmediatewyciwyg;safari-extension;asset;mbinit;command

Сами вирусы

например,

asabor.ruretargetpro.net;frotalmost.ruscreentoolkit.com;5.149.255.132superfish.com

И плагины пользователя, например

admuncher.com;adtrustmedia.com;metabar.ru

Для меня, например, так и не понятно куда отнести *.akamaihd.net, поскольку в Интернет он известен как вирус, но его пропускают facebook и twitter.

Самый вредоносный пока остается server381.com, который грузит кучу data:text/javascript;arteta.ru и другие. И зачем-то http://yandex.sc/v4/ci.iframe (вероятно по заказу - возможно это скрипт Яндекс, который зафиксирует факт наличия вредоносного кода и понизит рейтинг сайта).

---------- Добавлено 24.10.2014 в 14:02 ----------

Оптимизайка:
*.akamaihd.net - вирусня
http://10.20.2.42:15871 - вообще не интернет-адрес
data: - вирусня
http://yandex.sc - это не домен яндекса если что
blocking.stat - не домен а фигня какая-то
http://*.whisla.com - никаким боком к adsense

в целом - фарш :D С такими правилами, дейстительно не на 100% :D

С самого начала заявлял, что *.akamaihd.net вирус, но по данным зарубежных источников (блогеров), некоторые поддомены могут использоваться как датацентры cookie, которые используют рекламные площадки. До недавнего времени сам блокировал этот ресурс.

Например, вот содержимое одного из скрипта:


!function(t){for(var e=t.getElementsByTagName("script"),r=0;r<e.length;r++){var s=e[r];if(s&&s.src&&!s.getAttribute("data-processed")&&s.src.match(/-a\.akamaihd\.net\/sub\//)){s.setAttribute("data-processed","1");var a=s.src.split("?")[1];a=a?a.split("&"):[],a.push("zoneid="+encodeURIComponent("518313"));var c=s.src.match(/[&?]?pid=(\d+)/)[1];if(c){var i=t.createElement("script");return i.src="//"+s.src.split("/")[2]+"/loaders/"+c+"/l.js?"+a.join("&"),void t.body.appendChild(i)}}}}(document);

10.20.2.42:15871 - наткнулся на статью, что это какой-то глобальный прокси-сервер (по крайне мере код подзагружается именно из pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

yandex.sc - редиректит на yandex.ru и служит видимо для каких-то технических задач.

blocking.stat - генерируется youtube.com

http://*.whisla.com - позагружается скриптами pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

Re: Резкое падение позиций в Яндексе, есть ответ Платона 2ч
asd75:
Вы, ребята, как хотите, а я принял твёрдое решение. Энергию, многомесячных затрат которой Яша от меня сейчас вновь требует, я лучше потрачу на то, чтобы доказывать посетителям моего сайта: поисковик Гугл надо безоговорочно и при всех условиях предпочитать Яндексу.

Очень эмоционально, но суть верна. Три года назад, когда начались проблемы с неадекватностью ПС Яндекс (точнее, как выяснилось с пионерами-ассесорами, которые чуть ли не специально понижали рейтинг сайта), проанализировав затраты, пришли к выводу о переходе на Google. Это и так понятно: читая соответствующие ветки этого форума, диву даешься: кто заново переписывает статьи, кто-то хороший читаемый текст меняет до неузнаваемости, что его читать нельзя, кто-то снимает или закупает ссылки... В общем, сплошные затраты и лишние телодвижения.

P.S. Траф с Яндекса пока не вернулся, но и не уменьшился, но пока это не столь важно.

Глубина просмотра 5. Средняя длительность 3.7. мин.

Soloway - работает с ними кто?
SSA.RU:
за август не пришли документы на оплату и форма авторизации пропала с ихнего сайта. Никто не в курсе что случилось?
Баннеры я так понял тоже пропали с сайта.

Уже задавали вопрос на этом форуме. Форма авторизации у них поменялась.

http://media.soloway.ru/auth

Платят исправно по безналу.

---------- Добавлено 23.10.2014 в 17:21 ----------

Оптимизайка:
правда CPM упал до неприлично низких величин за последний месяц

Аналогично. Правда я это связывал с установкой CSP. Как только снимаю CSP - Доход прежний, как только устанавливаю - снова падает. Тестировал с 26 сентября.

Re: Резкое падение позиций в Яндексе, есть ответ Платона 2ч

Забыли указать *.doubleclick.net

P.S. Уже ранее писал, что доход падает со всех рекламных площадок. Поэтому проблема системная, не только для AdSense. По крайней мере у меня так. Разница в доходах примерно 40-50%. А это существенно.

Re: Резкое падение позиций в Яндексе, есть ответ Платона 2ч

По поводу AdSense И CSP. Экспериментировал три недели. Пришлось пока убрать CSP - слишком низкий доход.

Например, очень много блокировок

original-uri:"http://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

blocked-uri:"http://10.0.7.14:3128

Проскакивают и другие. Я правильно, понимаю, не достаточно просто установить разрешения для скриптов AdSense, надо прописывать все домены, с которых он грузит?

Просел доход на адсенс

Убрал CSP. Доходы вернулись. Экспериментировал 3 недели. Каждый раз при отключении CSP Доход возвращался к прежним показателям.

1... 909192939495969798 ...128
Всего: 1276