теги: 1
теги: 0 теги: 0
теги: 0
теги: 0
теги: 0
IFrame: 0 Flash: 0 Всего ссылок: 2 Всего изображений: 2 Язык сайта: — Количество символов: 302 Doctype: Да Микроформаты: Не используются
теги: 0
теги: 0
теги: 0
теги: 0
HTML верстка и анализ содержания сайта
Размещённая в данном блоке информация используется оптимизаторами для контроля наполнения контентом главной страницы сайта, количества ссылок, фреймов, графических элементов, объёма теста, определения «тошноты» страницы.
Отчёт содержит анализ использования Flash-элементов, позволяет контролировать использование на сайте разметки (микроформатов и Doctype).
IFrame – это плавающие фреймы, которые находится внутри обычного документа, они позволяет загружать в область заданных размеров любые другие независимые документы.
Flash — это мультимедийная платформа компании для создания веб-приложений или мультимедийных презентаций. Широко используется для создания рекламных баннеров, анимации, игр, а также воспроизведения на веб-страницах видео- и аудиозаписей.
Микроформат — это способ семантической разметки сведений о разнообразных сущностях (событиях, организациях, людях, товарах и так далее) на веб-страницах с использованием стандартных элементов языка HTML (или XHTML).
Анализ HTML мета-тегов сайта
Отчёт с анализом содержания размещённых на сайте HTML-мета тегов будет полезен оптимизаторам при контроле наличия ограничений, прописанных в теге robots, поможет установить автора текста, определить кодировку сайта.
Отчёт: география и посещаемость сайта
Отчёт в графической форме показывает объём посещений сайта yandexadexchange.net, в динамике, с привязкой к географическому размещению активных пользователей данного сайта.
Отчёт доступен для сайтов, входящих в TOP-100000 рейтинга Alexa. Для всех остальных сайтов отчёт доступен с некоторыми ограничениями.
Alexa Rank – рейтинговая система оценки сайтов, основанная на подсчете общего количества просмотра страниц и частоты посещений конкретного ресурса. Alexa Rank вычисляется исходя из показателей за три месяца. Число Alexa Rank – это соотношение посещаемости одного ресурса и посещаемости прочих Интернет-порталов, поэтому, чем ниже число Alexa Rank, тем популярнее ресурс.
Объём посещений сайта — совокупность интернет-пользователей, посетивших интернет-сайт; общность людей, формируемая веб-проектом.
Случайный переход в сафари к st.yandexadexchange.net #1
Comments
populius commented Nov 27, 2015
Иногда рандомно открывается в сафари линк на st.yandexadexchange.net. На версии 1.9 обычно сопровождалось крашем вебкита
*** WebKit discarded an uncaught exception in the webView:didFinishLoadForFrame: delegate: NSDictionaryOfVariableBindings failed because either one of the values is nil, or there’s something wrong with the way the macro is being invoked. Cannot assign value nil for key «webView». Keys:( webView )
на текущей beta1 краша в консоле уже вроде нет, но в сафари кидает
The text was updated successfully, but these errors were encountered:
kanstantsin commented Dec 9, 2015
Подскажите, в Сафари кидает без тапа по баннеру, т.е. автоматически?
Удалось ли увидеть баннер, который сопровождается крешем или переходом в Сафари?
populius commented Dec 9, 2015
кидает без тапа, баннер не увидел. Возможно дело было в каком-то конкретном баннере ибо сейчас проблемы не наблюдаю
kanstantsin commented Dec 10, 2015
Спасибо за информацию. Проблему локализовали. Будет исправлена в ближайшее время.
populius commented Dec 17, 2015
Спасибо, а не сориентируйте по срокам? и потребуется ли пересобирать билд с новой версией SDK?
kanstantsin commented Dec 17, 2015
Проблема исправляется как в SDK, так и на серверной стороне. Рекомендуется обновить SDK до новой версии, в которой данная ситуация будет обрабатываться корректно.
Точные сроки, к сожалению, назвать не могу. Скорее всего в этом году.
kanstantsin commented Jan 14, 2016
You can’t perform that action at this time.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session.
Обход CSP при помощи расширений Google Chrome
Не так давно настроил я на своем проекте CSP (content security policy), и решил что жизнь удалась. Ведь теперь невозможно подгрузить скрипты с запрещенных ресурсов, и даже о попытке сделать это, я буду уведомлен соответствующей ошибкой. А если кто-то и подгрузить скрипт, то все равно ничего не сможет передать, ведь ajax запросы отправляются только на мои сервера.
Так я подумал, и был какое-то время спокоен.
А еще я использовал расширение HTTP Headers, которое помогало мне просматривать заголовки ответов сервера в удобном виде. В один прекрасный день, я увидел на своих ресурсах рекламу, которой там никогда не было. Немного просмотрев код и поэкспериментировав, я понял, что именно это расширение добавляло рекламу на все сайты, которые я посещаю. Код расширения, к сожалению, я не скопировал вовремя, и на данный момент оно уже удалено из магазина расширений с пометкой “ содержит вредоносное ПО”. С этого и начну свой рассказ.
Мне стало очень интересно, как так, ведь у меня есть четкие правила для браузера о политике загрузки скриптов и отправки данных с моей страницы, а тут я вижу, что настройки безопасности ну очень слабо повышают безопасность пользователей, если они пользуются расширениями для браузера (в данном случае конкретно Google Chrome). Поэтому я решил воссоздать такое расширение, которое смогло бы загружать скрипты с удаленного сервера в обход CSP.
В качестве примера, был выбран сайт Яндекс музыка по нескольким причинам:
1. Файл manifest.json
2. Создать сам «зловредный» скрипт
Внимательно просмотрев, откуда яндекс разрешает загрузить скрипты
Я решил что в этом списке явно не хватает гугл-аналитики, поэтому в качестве “зловредного” подгружаемого скрипта, я выбираю https://google-analytics.com/analytics.js, тем более что многие называют Google — “корпорацией добра”. Такой выбор обусловлен следующими критериями:
Скрипт беру стандартный, из мануала, только номер счетчика придумываю из головы:
Для начала, пробую выполнить этот скрипт из консоли, чтобы проверить, а работает ли вообще CSP на этом сайте, и вижу следующее:
Теперь попробую добавить все то же самое в расширение, и вот, все работает. Скрипт успешно добавлен на страницу, не сгенерировав ни единой ошибки.
Выводы
Да, многие скажут что выбор расширений это личное дело каждого, да и гугл более или менее оперативно заблокировал расширение (в течении недели с того момента как я сам понял, что оно спамит меня рекламой).
С другой стороны, непонятно сколько оно было вредоносным. Я поясню почему именно вредоносное: добавлялась реклама сомнительных товаров, со ссылками на еще более сомнительные сайты, к тому же, мне к сожалению неизвестно, собирало ли расширение какие-то данные о посещенных мною страницах, и если собирало, то какие, ведь с тем же успехом они могли собирать информацию из форм или просто из посещаемых мною страниц.
Мое мнение таково, что если ресурс сообщает браузеру политику поведения с полученной страницей, то эта политика должна быть абсолютной, и распространяться на всё, в том числе и расширения, а как вы считаете?
Yandexadexchange net что это
Майнинг долларов не выходя из дома каждый час
Онлайн сбережения под 3.5% в день бессрочно
Более 10,000 людей зарабатывают деньги здесь
Надежные вклады под гарантированную страховку
2.5% в день к депозиту на срок 20 и 100 дней
Внимание! Этот сайт не зарегистрирован в каталоге ВебПроверки. Добавить сайт в каталог »
Данный сайт находится в базе новых сайтов. Но это не помешает вам вести полноценное обсуждение. Вы можете подписаться на новости этого сайта, чтобы не пропустить ни одного сообщения в обсуждении. Вы можете следить за новостями этого сайта из раздела «Мои новости».
Если Вы владелец этого сайта, добавьте ваш сайт в один из престижных интернет каталогов сайтов — «ВебПроверка». Зарегистрируйтесь на ВебПроверке, подтвердите права на сайт, получив тип верификации «Владелец сайта» в разделе «Моя верификация», подайте заявку на добавление сайта в каталог ВебПроверки из раздела «Платные услуги», и у вас автоматически активизируется возможность редактирования информации о сайте.
Добавление сайта в каталог ВебПроверки откроет для вас уникальные возможности:
— Полное редактирование информации о сайте (изменение изображения сайта, добавление контактных данных, адресов, профилей в социальных сетях, управление опросами и голосованием и другое).
— Управление категорией сайта, участие в рейтинге ВебПроверки.
— Отображение зеленой панели перехода на сайт с прямой ссылкой (без редиректов и javascript).
— Индексация в поисковых системах Google, Яндекс, Mail.ru и др.
— Добавление участников ВебПроверки в представители сайта.
— Управление переадресациями между вашими сайтами на ВебПроверке (в случае, если у вас несколько сайтов).
— Доступ к статистике активности сайта на ВебПроверке.
— Доверие к сайту со стороны участников сообщества ВебПроверки.
— Отображение информации о сайте на главной странице ВебПроверки при каждом новом сообщении в обсуждении.
— Переключение между режимами обсуждение и новости.
В режиме обсуждения любой пользователь ВебПроверки может оставить отзыв о сайте.
В режиме новостей публиковать новости может только владелец сайта и назначенные представители.
Внимание! В каталог ВебПроверки НЕ принимаются сайты с тематикой для взрослых и сайты на иностранных языках, кроме русско- и англо-язычных. В случае добавления запрещенных сайтов, платная заявка аннулируется, а денежные средства возвращаются на баланс аккаунта. Запрещенные сайты могут находится только в базе новых сайтов без использования уникальных возможностей, перечисленных выше.
Как мы сделали чтение писем безопаснее: Content Security Policy в Яндекс.Почте
Одним из приоритетов для команды Яндекс.Почты всегда была и есть безопасность данных пользователя. Причем это касается не только хранения писем, но и безопасного доступа к ним. Еще в 2011 году мы стали пропускать все изображения в письмах через наши прокси-сервера, перекрыв один из каналов распространения вредоносного кода, а также кешировать их для экономии трафика и обеспечения большей приватности. В ноябре этого года мы внедрили шифрование при приеме и отправке почты, а также и перевели почту в режим HTTPS-only — теперь веб-интерфейс доступен только по безопасному протоколу.
А с недавних пор мы стали поддерживать новый механизм защиты данных пользователя – стандарт Content Security Policy. С его помощью можно запретить скриптам на странице подгружать какие-либо ресурсы с хостов, не указанных в белом списке.
Это пока довольно редкая штука (ни одна крупная известная нам почта этого ещё не применяет), и в этом посте мы поделимся опытом внедрения стандарта.
Content Security Policy (CSP) — новый стандарт, определяющий HTTP-заголовки Content-Security-Policy и Content-Security-Policy-Report-Only, которые сообщают браузеру белый список хостов, с которых он может загружать различные ресурсы.
Текущий статус стандарта — Candidate Recommendation.
Из чего состоит CSP?
Некоторые браузеры также указывают в отчете ссылку и строку JS, которые привели к нарушению политики безопасности.
Если указан заголовок Content-Security-Policy, то браузер блокирует все ресурсы, которые не соответствуют политике. Заголовок Content-Security-Policy-Report-Only также проверяет все ресурсы, но не блокирует их, а только сообщает о нарушениях. Мы рекомендуем его использовать на первых этапах внедрения CSP.
Как мы внедряли
Мы исследовали эту технологию с весны, когда еще не было ни одной стандартной реализации. Сначала аккуратно внедрили заголовок Content-Security-Policy-Report-Only для нашей внутренней почты. Некоторые время мы изучали отчеты и исправляли нашу политику, и уже в мае включили CSP в блокирующем режиме. Во время внутреннего тестирования исследовалось поведение всех заголовков — и стандартных, и нет.
С публичной почтой было несколько труднее, ведь к нам приходили пользователи с неконтролируемым окружением. Несколько месяцев мы разбирались в отчетах, исправляли политики, и, наконец, осенью выкатили их на 100% в блокирующем режиме.
Самое интересное, что мы теперь имеем — несколько миллионов ежедневных отчетов с нарушениями от вирусов, нерадивых плагинов и расширений, которые пытаются вставлять свой код на наши страницы. Мы не можем контролировать содержимое этого кода, а значит не можем гарантировать, что он бережно относится к персональным данным наших пользователей — и довольны тем, что блокируем их исполнение.
Разберем заголовок на примере мобильной Яндекс.Почты