Как запретить Яндекс.Советник воровать ваших покупателей через frigate

Статья обязательна к ознакомлению всем веб-студиям, разработчикам интернет-магазинов, e-commerce рынка участникам, digital_студиям. В конце приведен краткий мануал по блокировке Яндекс.Советника и ссылки на подробные инструкции

Случалось ли вам при посещении сайтов интернет-магазинов сталкиваться с надоедливой всплывашкой Яндекс.Маркета, наподобии этой?

Если вы это видели или у вас собственный интернет-магазин, то примите поздравления: вас нагнул Яндекс. Дело в том, что если вы не устанавливали так называемый плагин Яндекс.Макрета или Яндекс.Советника, то подобно вторжение в ваше пространство осуществляется через код других разрешений в вашем браузере. Система считывает данные просматриваемой страницы, шерстит кеш и куки вашего браузера, а затем по простому алгоритму подбирает вам предложение в поп-ап.

Опасно ли это? Для рядового покупателя это всего-лишь сбор персональных данных без его ведома и просто надоедает своим существованием. Для интернет-магазина - это потеря покупателей. Разберем почему.

1. Покупателю априори будет показано предложение выгоднее, даже не смотря на то, что при переходе по ссылки он увидит кучу дополнительной информации, которая на эту сумму влияет.

2. Крайне малое количество интернет-магазинов может похвастаться настолько лояльным трафиком, что покупатели, даже увидив цену в 5-6 раз ниже предложенной на сайте, спокойно закроют окно Маркета и будут продолжать покупки на сайте.

3. Маркет является проверенным местом совершения покупок у многих пользователей. И предложения от него воспринимаются в большей степени лояльно , хоть и многие ненавидят его назойливость.

4. Каждый пиарщик, маркетолог, рекламщик и прочий спец по работе с массовым сознанием знает, как сложно удержать внимание покупателя, особенно если вы используете систему многоуровневого убеждения у себя на сайте. И тут пред взором пользователя возникает огромное окно на весь экран, сбивая с настроя что-то купить или изучить. И так, наша воронка становится все грустнее и грустнее. И прежде чем давать вам совет, по выходу из ситуации, давайте разберемся, как это работает и кто видит Яндекс.Советник.

Браузер по своей сути - это программа (код), которая создана для считывания закодированной информации, расположенной на удаленном хранилище и доступной по определенному адресу - URL. Те диалоговом окне браузер показывает вам все, что ему отдает URL. Сейчас все технари начинают ржать, но а простые смертные поймут, почему их сайт не застрахован от таких «хакерских атак», и почему в этом совершенно (или почти) не виноваты разработчики.

Едем дальше.

Программа по имени браузер при всех прочих условиях имеет возможность расширять и интегрировать свой код с различными надстройками - расширениями, плагинами, приложениями и тд. Это может быть все, что угодно - встроенный переводчик, приложение для скачивания песен в ВКонтакте, отслеживание роста валют и миллионы других программ (которые тоже по сути совей представляют код). И вот она из таких программ - плагин frigate, созданный изначально для блокировки всплывающей рекламы и вредоносных программ. При простате назначения, данный плагин представлял из себя «мощное» технологическое решение, способное как бы проникать в коды мелки программ. В 2014 году разработчики плагина заключили партнерское соглашение (читать - продались со всеми потрохами) с Yandex. Таким образом только набирающая силу разработка Яндекс.Советник получила неограниченный доступ к браузерам пользователей со всех уголков страны. Можно ли назвать это хакерской атакой: в здравом смысле да, по закону спорно, тк кибер-законодательство в России развито крайне слабо. В настоящий момент frigate уже проник в большинство «популярно-развлекательных» расширений. И при запуске такого расширения, Яндекс.Советник получает возможность управлять отображаемым для пользователя контентом в браузере. То есть, браузер принимает «сигналы» от установленной пользователем программы (а значит разрешенной) и выводить код Советника на экран. Бинго! И самое интересное в этой авантюре, что мало кто вообще будет заморачиваться и разбираться в ситуации. Именно поэтому уже 3 года поп-апы Маркета терроризируют пользователей интернет-магазинов. Я, например, недавно открыла приложение Rabbit (графический редактор) у себя в CHROM, и буквально спустя 10 минут у меня уже красовался поп-ап на экране. Я конечно написала жалобу в гугл, но не знаю, насколько эффективной она будет.

А теперь - как с этим бороться.

Зовите своих прогеров к экрану!

В файле .htaccess добавлен следующий заголовок (можно добавить этот заголовок и другими способами):

<IfModule mod_headers.c>
    Header set Content-Security-Policy "default-src 'self' *.televizor-x.ru data: 'unsafe-inline' https://yandex.ru/ https://mc.yandex.ru/ https://yastatic.net/ 'unsafe-eval'"
</IfModule>

Всё, текущая реализация Яндекс.Советника заблокирована (они постоянно его изменяют, поэтому работа этого способа в будущем не гарантируется).

Собственно, разберём составляющие этой строки:

• Header set — назначение заголовка.
• Content-Security-Policy — тип назначаемого заголовка.
• default-src — тип контента (в данном случае любой), для которого будет применён белый список доменов. Правильнее было бы использовать конкретные типы (script-src, img-src и т. д.), но тогда настройка сильно усложнится. Указывая только default-src, мы «говорим» браузеру, что можно загружать любые типы контента с перечисленных далее доменов.
• 'self' — разрешаем домен, с которого загружается сама страница (т. е. основной).
• *.televizor-x.ru — разрешаем все поддомены домена televizor-x.ru (* — любые символы).
• data: — разрешаем загрузку контента в виде base64 и подобном (без явного указания этого слова он перестаёт загружаться).
• 'unsafe-inline' — если не указать эту директиву, то весь встроенный в код страницы (inline) JS и CSS перестанет работать.
• 'unsafe-eval' — разрешает динамически исполняемый код, вроде eval().
• https://yandex.ru/, https://mc.yandex.ru/, https://yastatic.net/ — разрешённые домены других сайтов. В данном случае нужны для того, чтобы загружалось видео с YouTube и нормально работала Яндекс.Метрика.

Применять этот способ нужно аккуратно. После добавления базового правила "default-src 'self'" большинство сайтов просто перестанет нормально работать. Придётся отслеживать (например, в инструментах разработчика), что именно перестало грузиться, и добавлять это в список. Т. е. нужно будет проверить абсолютно весь функционал сайта на всех внешних и внутренних страницах. Особенно болезненно это будет для проектов, использующих массу сторонних скриптов.