Как обломить Мегафон с внедрением их рекламы на ваши сайты

Зарабатываем!, Мысли

Интернет последние несколько дней гудит по поводу охеревшего в край Мегафона, который вдруг решил, что он вправе внедрять свои баннеры в мобильный трафик своих пользователей, и теперь прямо вот поверх любых чужих сайтов показывает свою рекламу. Подробно про всю эту историю можно читнуть, например, на VC.

Чтобы не дать Мегафону и любым другим хитровыдуманным мудакам показывать на ваших сайтах того, чего там быть не должно, есть 2 пути:

1. Установить на сайт SSL-сертификат. Мало того, что это платный, так еще и довольно геморройный путь. Помимо чисто технических заморочек с установкой, потенциально могут возникнуть проблемы со “склейкой” старой версии адреса сайта (на протоколе http://) с новой (на https://) в поисковых системах. Из-за этих проблем вы можете на какое-то время (в некоторых случаях весьма продолжительное, неоднократно читал про это на форумах) потерять какую-то часть поискового трафика, который был до перехода на SSL.

Как бы Гугл не топил за обязательный переход вообще всех сайтов на SSL (они уже несколько раз выпускали всякие мотивирующие сообщения типа “наличие SSL это один из позитивных факторов для ранжирования”, “мы будем помечать все HTTP сайты как небезопасные” и т.п.), для 99% обычных сайтов это на самом деле нахер не нужно, вы просто будете платить еще и за SSL теперь постоянно, только и всего.

Если у вас не банк, не интернет-магазин, который на своем домене проводит транзакции с пластиковыми картами (подавляющее большинство магазинов это делают на сайтах биллингов, у которых всегда есть SSL), не социальная сеть типа Вконтакте и не какой-нибудь почтовый сервис/вебмессенджер - SSL вам вряд ли реально нужен.

Есть мнение, что Гугл так сильно топит за SSL исключительно потому, что в таком случае только он, как основной поставщик всего и вся в современном цифровом мире (ОС Андроид, поиск Гугл, GMail, Google.Maps и т.п.), будет иметь доступ ко всем вашим “следам” в интернете, которые нужны для качественного таргетирования рекламы, чтобы максимально хорошо на ней зарабатывать.

2. Настроить на сайте Content Security Policy (CSP). Это бесплатно и куда менее геморройно, на мой взгляд. В 2-х словах суть CSP такова - в отдельном серверном заголовке вы можете указать, что может загружаться на вашем сайте, а что нет. То есть, все источники, что вы указали - разрешены, а все остальное - в том числе левая реклама Мегафона, как и все что угодно другое от любых других источников (например, из дополнений в браузерах, от тулбаров или вирусов, подменяющих вашу рекламу на свою, и т.п.) - будет запрещено.

В интернете можно найти кучу инструкций как установить CSP, я лично делал это по мануалу от Сани 9SEO, по-моему, там все очень понятно описано.

Чтобы вам было немного проще начать, я подготовил для вас базовый набор правил CSP для русского сайта, на котором есть реклама от Гугл Адсенс и установлены счетчики Яндекс.Метрика и Гугл Аналитикс, берите его отсюда.

* * *

Оказывается, сегодня очередная “черная пятница”. Как всегда в большинстве магазинов заранее цены поднимут, а потом на денек дадут типа крупные скидки. Это называется мошенничество маркетинг pizdec.gif Из меня маркетолог дерьмовый, поэтому держите честную скидку 33% на любые PRO-аккаунты ко всем сервисам. Только до конца сегодняшнего дня.

9 комментов

  1. Petruha сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Есть let’s encrypt, бесплатный, который ставится за 1.5 минуты автоматически. Попробуй - офигеешь. 30% интернета использует.

  2. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Есть let’s encrypt, бесплатный, который ставится за 1.5 минуты автоматически. Попробуй - офигеешь. 30% интернета использует.

    Бесплатность не отменяет всего остального, CSP все равно много проще.

  3. Ivan сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    SSL нужен всегда, даже если сайт просто на html. Банально чтобы в трафик никто не лез. CSP вообще не спасает, когда ты можешь всё что хочешь с трафиком делать.

    Никаких заморочек со склейкой нет, не нужно насильно на https редиректы ставить. В 2018м году сайт без SSL это как раньше сайт без домена.

    Вот тут чувак хорошо поясняет за все плюсы:
    https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/

  4. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    SSL нужен всегда, даже если сайт просто на html. В 2018м году сайт без SSL это как раньше сайт без домена.

    Ну вот, например, у меня этот блог. Или сайт статейник какой-то с рецептами супов. Зачем им SSL? Больше 25 лет никого не волновало вот это “Банально чтобы в трафик никто не лез”, а теперь волнует.

    Вот тут чувак хорошо поясняет за все плюсы:
    https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/

    Там какая-то слишком здоровая простыня на английском, тяжело осилить, ты если реально читал, вынеси сюда, пожалуйста, основные тезисы, обсудим :)

  5. Ivan сказал:

    Цитировать: весь комментарий | выделенный текст

    > Ну вот, например, у меня этот блог.
    Твой блог скоро будут помечать как небезопасный, т.к. на нём есть поля ввода. Уже сейчас можно кликнуть на восклицательный знак слева от поля ввода url и увидеть надпись “Not Secure”, что простого пользователя может ввести в ступор.

    Вот короткий список аргументов: https://doesmysiteneedhttps.com/

    Для твоего блога многие аргументы будут казаться смешными, но надо понимать, что ssl сейчас ставится очень просто и быстро.

    Представь что у тебя порно статейник, не каждому будет приятно знать, что все его запросы в поле поиска на твоём сайте могут быть известны владельцу wi-fi или провайдеру :) .

    Мне вот не нравится, что провайдер видит какие я коменты тебе здесь написал. А вдруг это блог про политику и я ВВП ругаю :D

  6. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Вот короткий список аргументов: https://doesmysiteneedhttps.com/

    О, хорошая штука, спасибо)

    Для твоего блога многие аргументы будут казаться смешными

    Так и есть))

    надо понимать, что ssl сейчас ставится очень просто и быстро

    Любое “просто и быстро” хуже, чем “делать ничего не надо”.

    Представь что у тебя порно статейник, не каждому будет приятно знать, что все его запросы в поле поиска на твоём сайте могут быть известны владельцу wi-fi или провайдеру :)

    Ты вот выше говоришь, что “простого пользователя может ввести в ступор”, так вот эти “простые пользователи” и понятия не имеют, что все их запросы сейчас видны, а при ссл не будут. Это ты и я знаем, а они нет, и не узнают, ибо эта сфера знаний от них далека. Уже 20 лет прошло, а миллионы людей урлы сайтов вводят в строку поиска гугла или яндекса, а не в строку браузера сразу.

    Мне вот не нравится, что провайдер видит какие я коменты тебе здесь написал. А вдруг это блог про политику и я ВВП ругаю :D

    Ну, то, что ты немного параноик отлично видно по мылу, которое ты тут оставил в форме коммента))) Любой VPN спасет отца русской демократии, и не надо будет париться, есть у какого-то сайта SSL или нет)

  7. Мантикорич сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    А от советника Яндекс маркета что может спасти, кроме удаления микрорамезкти itemrop=“name” на страницах с товаром?
    Пробовал настраивал CSP, не помогло. Может неправильно настраивал, конечно

  8. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    А от советника Яндекс маркета что может спасти, кроме удаления микрорамезкти itemrop=“name” на страницах с товаром?
    Пробовал настраивал CSP, не помогло. Может неправильно настраивал, конечно

    Ну если “советник” показывается и у тебя стоит CSP, то значит, что в правилах CSP “советник” разрешен, соответственно, надо найти правило, которое его разрешает и убрать его или изменить)

  9. Филипп сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Помимо let’s Encrypt можешь использовать CloudFlare с бесплатным планом https://ardua.ru/cyrillic-ssl

Комментарии тех, кто оставляет в поле "Ваш блог" ссылку куда-либо, кроме своего ЛИЧНОГО нормального блога, либо вместо ника/имени пишет ключевые слова или урл - БУДУТ УДАЛЕНЫ!

Добавить комментарий

Comments for this post will be closed on 23 January 2018.

© 2006-2017 by dimax.biz