Vergiliy

Vergiliy
Рейтинг
204
Регистрация
30.05.2006
Резкое падение позиций в Яндексе, есть ответ Платона
venomius:
Еще вопрос, Ace Stream утверждает, что программа безвредная. а виноват только магик плеер, я не устанавливал саму программу, но в опере установил плагин магик плеер, и пробовал получить замену рекламы, посещая сайты, у меня не получилось, все правильно транслировалось.

А у меня стоит магик плеер в Firefox но не стоит Ace Stream, а также стоит обновленный Касперский, но при этом никаких предупреждений у меня не высвечивается, а реклама по прежнему подменяется!

Резкое падение позиций в Яндексе, есть ответ Платона
MStern:
Сделал во всех вариантах, в результате исправление второй ошибки пофиксило 112 ошибок, возникающих при исправлении первой и выдало все теже 4 ошибки:
Refused to load the font 'data:application/x-font-woff;charset=utf-8;base64,d09GRgABAAAAAFk8AA4AAAAAk…+rr9vzFf+/FPdR3EdxH8V9FHdR3EVxF8VdFHdRqmrImBHjh4+eMHbk3xoQhjkAAAFTtF6HAAA=' because it violates the following Content Security Policy directive: "font-src 'self' http://fonts.gstatic.com:*".

Измените:

font-src 'self' http://fonts.gstatic.com:*

На:

font-src 'self' data: http://fonts.gstatic.com:*

Должно помочь...

Резкое падение позиций в Яндексе, есть ответ Платона
promosite:
Стоит именно это, но все равно показывает ошибку

Уточните, какая точно ошибка высвечивается, при использовании конструкции

img-src 'self' data: http://yastatic.net:*;

У меня также стоит поиск от Яндекс - проблем нет.

Резкое падение позиций в Яндексе, есть ответ Платона
MStern:
Уже пытался так делать, выдало 112 ошибок

У вас два разных типа ошибок.

Первая:

Refused to load the stylesheet 'http://fonts.googleapis.com/css?family=Open+Sans%3A300italic%2C400italic%2C…300%2C400%2C600&subset=latin%2Clatin-ext%2Ccyrillic%2Ccyrillic-ext&ver=4.0' because it violates the following Content Security Policy directive: "style-src 'self' 'unsafe-inline'".

Решение: style-src 'self' 'unsafe-inline' fonts.googleapis.com;

Если не поможет, то можно поставить маску на порт и указать протокол:

Решение: style-src 'self' 'unsafe-inline' http://fonts.googleapis.com:*;

Вторая:

Refused to load the font 'http://fonts.gstatic.com/s/opensans/v10/PRmiXeptR36kaC0GEAetxlG2YASMDG4K4_XuakzasE8.woff2' because it violates the following Content Security Policy directive: "font-src 'self'".

Решение: font-src 'self' fonts.gstatic.com;

Если не поможет, то можно поставить маску на порт и указать протокол:

Решение: font-src 'self' http://fonts.gstatic.com:*;

Резкое падение позиций в Яндексе, есть ответ Платона
vladimirseomas:
Смысл в этом скрипте если там разрешены 'unsafe-inline' 'unsafe-eval' ?

Процитирую вам настройки CSP ведущих сайтов:

https://twitter.com/

content-security-policy-report-only: default-src https:; connect-src https:; font-src https: data:; frame-src https: http://*.twimg.com http://itunes.apple.com about: javascript:; img-src https: data:; media-src https:; object-src https:; script-src 'unsafe-inline' 'unsafe-eval' about: https:; style-src 'unsafe-inline' https:; report-uri https://twitter.com/i/csp_report?a=NVQWGYLXFVZXO2LGOQ%3D%3D%3D%3D%3D%3D&ro=true;

https://www.facebook.com/

Content-Security-Policy: default-src *;script-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.google-analytics.com *.virtualearth.net *.google.com 127.0.0.1:* *.spotilocal.com:* 'unsafe-inline' 'unsafe-eval' https://*.akamaihd.net http://*.akamaihd.net *.atlassolutions.com chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl;style-src * 'unsafe-inline';connect-src https://*.facebook.com http://*.facebook.com https://*.fbcdn.net http://*.fbcdn.net *.facebook.net *.spotilocal.com:* https://*.akamaihd.net wss://*.facebook.com:* ws://*.facebook.com:* http://*.akamaihd.net https://fb.scanandcleanlocal.com:* *.atlassolutions.com http://attachment.fbsbx.com https://attachment.fbsbx.com;report-uri https://www.facebook.com/csp.php

https://mail.yandex.ru/

Content-Security-Policy-Report-Only: default-src 'none';connect-src 'self' mc.yandex.ru yastatic.net;font-src yastatic.net;frame-src 'none';img-src 'self' data: mc.yandex.ru www.tns-counter.ru yastatic.net;media-src 'none';object-src 'none';script-src 'self' 'unsafe-eval' 'unsafe-inline' mc.yandex.ru social.yandex.ru yastatic.net;style-src 'unsafe-inline' yastatic.net;report-uri /neo2/csp.jsx?from=host-root

Как видите, ни у кого из них не получилось избавить от директив 'unsafe-inline' 'unsafe-eval'. Конечно эффективность CSP с этими директивами понижается, но не на столько чтобы отказаться от идеи. Сомневаюсь что разработчики вышеуказанных систем глупы.

Резкое падение позиций в Яндексе, есть ответ Платона
Деймос:
Так что нужно придумать лекарство через Content-Security-Policy или каким нибудь другим способом. Тем более подвижки есть...

Проблема лишь в том, что CSP спасает лишь немного. Например, у меня достаточно много подключенных сервисом (Яндекс.Карты, Гугл.API, Директ, плагины соц. сетей, возможность добавления видео и многое другое), и отключить директивы 'unsafe-inline' 'unsafe-eval' нереально, так как эти сервисы перестают работать. А при включенных директивах эффективность CSP падает.

По делу... по моей статистике ежедневно CSP блокирует порядка 5 000 попыток встраивания, но при этом переходов на "левые сайты" стало где-то всего процентов на 20-30 меньше. Так что, CSP в принципе помогает, но не для всех сайтов ее можно настроить идеально.

Плагины - TS Magic Player и www.acestream.org/ru/ это далеко не полный список. Судя по блокируемым сайтам, подобных плагинов десятки, а то и сотни. Эту проблему можно решить быстро - запретить плагины в браузерах (или как-то сильно их ограничить в правах), но никто этого делать не будет.

И на последок... наши потери настолько незаметны по сравнению с потерями того же Вконтакте, Яндекса, Ютуба, Гугла но при этом, они (как минимум Яндекс и Гугл) никак не хотят решать эту проблему, хотя, по сути, два бразуера им подотчетно. Да и влияния у этих компаний гораздо больше. Поддержка CSP подключена только у twitter, facebook, Яндекс.Почты. Причем, они также не смогли избавить от директив 'unsafe-inline' 'unsafe-eval'

Как мне кажется, CSP - это как из пушки по воробьям... но пока у нас других средств воздействия нет.

Резкое падение позиций в Яндексе, есть ответ Платона

Деймос, попробуйте проанализировать ответы CSP и добавлять в ваш список исключений CSP необходимые сайты. Вот тут писали про анализатор: /ru/forum/comment/13150813

Резкое падение позиций в Яндексе, есть ответ Платона
nailek:
а при поиске, например, по запросу купить квартиру и т.д., чтобы реклама оторажалсь : https://www.google.ru/ - вредоносный код срабатывает у гугла?

Отображается и реклама гугла и добавляется еще рекламный блок от плеера.

Скриншот: http://easycaptures.com/fs/uploaded/870/0900387501.png

У Яндекса примерно та же ситуация: http://easycaptures.com/fs/uploaded/870/8857428852.png

---------- Добавлено 27.09.2014 в 12:06 ----------

Кстати, от Torrent Stream Magic Player технология Content Security Policy спасает на отлично. Своя реклама при этом тоже отображается корректно.

НО, после включения Content Security Policy в статистике по-прежнему много переходов на сайты, ссылки на которые отсутствуют на моем сайте и отсутствуют и в Директе. Но при этом у меня все-же включены директивы 'unsafe-inline' 'unsafe-eval'.

За сегодня уже заблокировано 5500 попыток встраивания. Пока лидируют следующие сайты:

https://dl.metabar.ru
http://www.superfish.com
http://arteta.ru
http://api.cpatext.ru
http://retargetpro.net
http://screentoolkit.com
http://api.jollywallet.com
http://storegid.com
Резкое падение позиций в Яндексе, есть ответ Платона
nailek:
Думаю, проще всех будет тем, у кого сайты работают через https://*.*:443
Или это тоже не спасёт?

Проверил. Эта зараза не обходит и сайты на https://

---------- Добавлено 27.09.2014 в 11:44 ----------

nailek:
Посмотрите, через какую биржу тизеров эти рекламы откручиваются. По utm меткам вчера замечал, что сливают на KADAM.
А может не только они принимают такой траф.

Вот ссылка баннера (если вы о ней):

http://go.aceadsys.net/fwdf.html#Bj0eAg5VfWsHGycZESYEURwYHS9ZbmJ-XBtQGh0mWwAGMDNRWXgGUU40Uw4jCAVZPQIdDX9lbV1wLTU4ID9dAC4GHRFZY1lRcBk1EiAnc38vNTU-YWYFY3AqUh5UMwZzAgc2M0djc2NxIjUsMD1gXTkZJC9aY3B-fSI2TzMIBVk9Ah0NeGVYXVYuUjsfJGF7PwYlGWBhcF4GHA8kCDtafzwOQytkYQRvQSw2Mx8-Y28CGRw-Q2dwc0UqCDxUMHNvLzBBP2JiX3t4LCYCIghxADwCHg1_ZnFzWC1SJBQnYXMzASVYcG1iDGQZDxIUMAZ-KQUlGWVhT39kLAgSID5afzsHND9GYgdBcSI1LDEzBnM5GSQ-dGN9UVYuCEIdJGFBOTY4DV9hWWwHLTU-HwtxczMxNhl_YHBeBhoPHiAwBkUvDkI7ZWJyQUQiJSQgPl1ZJwc0P0diclFAIQ8RHz5bYz41QlB5ZgdBcC4PNC4kYQQ-DkAjeWUGXVYuUiQgCHBnPA5CHX1tYXdWHFMSVDtbey4wQCN0ZgVwAylTJAknc1kHNRtZAGJZY0UiNTAUO2NBIzY1M1picG9kLTZHMzB_fzIGJAVhY3F-eCI1Mx8wBgAzBScBX2FwUXgiUzgUDgd3PDY2GWFicX9ALVM4NTtaRToDNRlBY3NjdStTMCU-Wns-BhoFX2Nwf20sDjAuCAVRLwIkBX9hYkFgIjU4VDpiBVdyFBpDVUBQU0VSQlZbDgVdYEVdAgcACg9PU0VTXQUETCcDGV5bCAoZQVtEVlIHcEdgVhpARFhQCkhNRkEORUULPRRUAgYADwRKW1ADGUZAAzBNWxVQRklEARBLVkxFRhohGQ0OABNKRAgBHwNXBAFaYElRFUdGSUQBEEtUTFJGGiAAVAIEE11ECAAXE1cHBVxmVg1AREFYUEVTUAMZRkcPM01QFUdGSV4cXkdX
Резкое падение позиций в Яндексе, есть ответ Платона
psolovev:
Поставил этот скрипт себе на тестовый сайт. Посмотрите, выскакивает ли реклама с этим плеером
http://free-math.ru/

Проверил. Реклама вставленная плеером Torrent Stream Magic Player не отображается, но при этом реклама AdSense тоже не отображается (вместо ее - пустые места)!

Скриншот: http://easycaptures.com/fs/uploaded/870/3618495015.png

А вот как выглядят сайты при просмотре браузером с плеером Torrent Stream Magic Player:

http://easycaptures.com/fs/uploaded/870/9422060584.jpg

http://easycaptures.com/fs/uploaded/870/8138259007.jpg

http://easycaptures.com/fs/uploaded/870/0738255298.jpg

http://easycaptures.com/fs/uploaded/870/0796473761.jpg

http://easycaptures.com/fs/uploaded/870/7443113167.jpg

http://easycaptures.com/fs/uploaded/870/1227272841.jpg

и т.д.

1... 111213141516171819 ...81
Всего: 804