LINUX.ORG.RU

куки стаффинг и воровство кэшбэка lor'ом.

 


0

6

Это щас тренд такой, что кукистаффингом начали заниматься такие крупные ресурсы? на главной странице lor висит банер рекламирующий xiaomi на aliexpress. выше банера подгрузка js script'а

https://aliexpress-internet.ru/js/lb6ht9io.js
если посмотреть внутрь, то там
var url = 'https://s.click.aliexpress.com/e/yjq3vrZ?dp=linuxorgru';
var period = 300000;
banners = [];
banners.push(['https://aliexpress-internet.ru/banners/690x90/1.jpg', 'https://s.click.aliexpress.com/e/jiMbAMvfY?dp=linuxorgru']);
banners.push(['https://aliexpress-internet.ru/banners/690x90/2.jpg', 'https://s.click.aliexpress.com/e/jiMbAMvfY?dp=linuxorgru']);
banners.push(['https://aliexpress-internet.ru/banners/690x90/3.jpg', 'https://s.click.aliexpress.com/e/jiMbAMvfY?dp=linuxorgru']);
banners.push(['https://aliexpress-internet.ru/banners/690x90/4.jpg', 'https://s.click.aliexpress.com/e/jiMbAMvfY?dp=linuxorgru']);
var id = 0;
var maxid = banners.length;

function setuser() {
    id = getrandom(0, maxid - 1);
    document.getElementById('ali').src = url;
    document.getElementById('banner34er45tg56').src = banners[id][0];
    document.getElementById('banner34er45tg56link').href = banners[id][1];
    window.setTimeout('setuser();', period)
}

function getrandom(min, max) {
    var res = Math.floor(Math.random() * (max - min + 1)) + min;
    return res
}

function ready() {
    id = getrandom(0, maxid - 1);
    document.getElementById('banner34er45tg56block').innerHTML = '<a id="banner34er45tg56link" target="_blank"><img id="banner34er45tg56" style="max-width:90%;"></a>';
    document.getElementById('banner34er45tg56').src = banners[id][0];
    document.getElementById('banner34er45tg56link').href = banners[id][1];
    window.setTimeout('setuser();', period)
}
var ifr = document.createElement('iframe');
ifr.src = url;
ifr.id = 'ali';
ifr.height = '0';
ifr.width = '0';
ifr.scrolling = 'no';
ifr.style = 'display: none;';
document.body.appendChild(ifr);
document.addEventListener('DOMContentLoaded', ready);

как видно каждые 300 сек обновляется урл iframe'а -> происходит обращение по этому урлу -> вешаются реферальные куки aliexpress.

В итоге «кто-то» ворует кэшбэк и обогащается за чужой счет. Вопрос - доколе.


В итоге «кто-то» ворует кэшбэк и обогащается за чужой счет.

За чей «чужой»? У тебя что-то украли?

Вопрос - доколе.

Пока не начнёшь платить за доступ к лору. Очень рекомендую пакет premium, с ним даже не банят, вон хоть на мой аккаунт посмотри.

al-kasch ()
Ответ на: комментарий от al-kasch

Это ты, что ли, рекламу эту заказал, угадав, что Максим скриптов не читает?

proud_anon ★★★★★ ()

Как воруется кешбек твой я не понял. А левые мутные скрипты это говно — полностью согласен.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Ну вот смотри. перешел ты по кэшбэк ссылке на алиэкспресс. Лазиешь там лазиешь, там висит «твоя» кука и ты уверен, что сделаешь покупочку и тебе часть денег сервис вернет. Но у тебя в фоне открыт ЛОРчик, во второй вкладке, в котором делается запрос из iframe, кука уже не твоя а ЛОРчика и все твои денежки уходят лорчику и ты наезжаешь на кэшбэк сервис что он гавно и платить тебе не хочет.

Хочешь узнать детали? Открываешь главную лора, жмешь F12(chrome,firefox), открываешь вкладку сеть и смотришь что переодически идут запросы

https://s.click.aliexpress.com/e/yjq3vrZ?dp=linuxorgru
https://best.aliexpress.com/?aff_platform=link-c-tool&cpt=1529468238668&sk=yjq3vrZ&aff_trace_key=80f2f7eb77e14e5294475219a774589d-1529468238668-01298-yjq3vrZ&terminal_id=57bb4301bf4a4d23a56ac1000242934f
второй запрос меняет тебе куку.

а параллельно с этим у тебя открыт aliexpress, и тамв панели разреботчиков(F12) открыта вкладка application и ты мониторишь кукочку aeu_cid(отвечает за кэшбэк)

За чей «чужой»? У тебя что-то украли?

В том числе и у меня, как описал выше.

Пока не начнёшь платить за доступ к лору.

Ты знаешь почему ркламодатель(алиэкспресс) платит платит комисиию за привлечение? отевт - за ПРИВЛЕЧЕНИЕ, куки стаффинг запрещен у всех, потомучто это нифига не привлечение клиента, это «наживемся на горяченьком клиенте», не считая того, что кэшбэк могут украсть мой.

swelf ()
Последнее исправление: swelf (всего исправлений: 1)

Скрипт делает сомнительные вещи. Однако я не думаю что им удается то что ты описываешь - на aliexpress стоит 'X-Frame-Option: Deny' и iframe не отображается и куки не выставляются.

maxcom ★★★★★ ()
Ответ на: комментарий от swelf

Так понятнее, спасибо. Второй и третий пункт не мне, если отвечаешь нескольким людям в одной мессаге то кастуй их отдельно, они же не увидят ответ.

mandala ★★★★ ()
Ответ на: комментарий от maxcom

Еще как выставляет, куку я назвал, зайди проверь. Она же совпадает с параметром aff_trace_key из второго запроса.

А чей скрипт?

'X-Frame-Option: Deny

Ты же из iframe делаешь запрос, а не напрямую со странички.

И зачем вешать скрипты, которые делают сомнительные вещи?

swelf ()
Последнее исправление: swelf (всего исправлений: 2)
Ответ на: комментарий от maxcom

Ифрейму и не надо оторбражаться, только запрос сделать, зачем он еще нужен невидимый

swelf ()
Ответ на: комментарий от swelf

Рекламодатель такой хитрый попался. Повисит до понедельника, потом уберём это творчество. Интересно можно ли зарубить возможность вставлять iframe через content security policy? Завтра попробую.

maxcom ★★★★★ ()

Рекламодатель вообще странный: по ссылке я не увидел тот товар что на баннере, просто перекинуло в каталог. Ну и у них там календарь сломался http://i.imgur.com/lLej91e.png

mandala ★★★★ ()
Ответ на: комментарий от maxcom

А кто, серкрет? я просто уже не первый раз вижу такую фигню. Не очень это хорошо со всех точек зрения.

Я так понимаю норм платит, раз ты зная что «скрипт делает сомнительные вещи» повесил его.

swelf ()
Ответ на: комментарий от mandala

Цель рекламодателя подцепить на себя готового клиента, а не привлечь, банер для галочки. кто по нему кликает, 1 из 1000? а ифрейм каждого первого цепляет.

swelf ()
Ответ на: комментарий от swelf

Работу сайта это не нарушает. Если тут есть нарушение правил партнерской программы aliexpress то думаю им и нужно жаловаться.

maxcom ★★★★★ ()
Ответ на: комментарий от swelf

Ну я не в курсе как там али работает, может это банер-замануха, а линк на конкретного поставщика ширпотреба.

Про скрипт я понял, но я помню при мне брат заказ делал и кешбек он там выкручивал вообще через какую-то партнерку на стронней площадке, куки с али для этого не достаточно точно. Сам я кешбеками и прочими хренями наигрался еще 10 лет назад (малина всякая и прочие накопиловки, чисто кешбека как щас тогда не было).

mandala ★★★★ ()
Ответ на: комментарий от mandala

Достаточно куки с али. видишь параметр

https://s.click.aliexpress.com/e/yjq3vrZ?dp=linuxorgru
dp=linuxorgru

али, когда даст посреднику информацию о заказах, даст и эту метку, и посредник этот заказ свяжет с лорчиком. и лорчик получит свою комиссию.

Все «сторонние площадки» именно так и работают.

Не думал что лорчик будет поддерживать и оправдывать такие вещи как кукистаффинг, видать хороший процент идет, раз моральными принципами позволяет поступиться. Нарушение партнерки конечно есть, но это уже не мое дело.

Ладно, давайте вобще всю это ветку удалим, раз лорчик занимается атким гавном, причем сознательно, то это его дело.

swelf ()
Последнее исправление: swelf (всего исправлений: 1)
Ответ на: комментарий от swelf

Так куда кешбек то упадет? На твой акк?

Вангую кука это для проверки конверсии, а не для плохих вещей. Отставь панику уже.

mandala ★★★★ ()
Ответ на: комментарий от maxcom

Это на что конкретно ответ, что нарушения, с которыми вы помогаете делая запросы из кода своего сайта вас не касаются? Убери ифрейм, который не несет функционала и я поверю что ты не участвуешь в этом

swelf ()
Ответ на: комментарий от maxcom

Вангую кука это для проверки конверсии, а не для плохих вещей.

Я тут вспомнил, на соседнем айтишном ресурсе жаловались на такой же скрипт, но там была еще и ошибка: он лепился не только к банерам, а ко всем ссылкам на странице. В тред пришел представителдь рекламодателя и объяснил что это для учета конверсии, не более.

mandala ★★★★ ()
Ответ на: комментарий от mandala

По секрету, я знаю механизм изнутри, кука для кэшбэка)

Ты о чем конкретно? Все посредники работают с али по таким ссылкам как выше, а дальше каждый по своему разбирается с конечным потребителем.

swelf ()
Ответ на: комментарий от swelf

Кука для проверки покупок твоих. С нее можно и кешбек считать, и конверсию, и контекстную рекламу, да вообще много чего. Заблокируй uMatrix-ом выполнение сторонних скриптов и спи спокойно — ведь такая хрень на каждом втором сайте в интернете. Или ты ходишь по всему интернету и анализирууешь каждый скрипт на каждом посещенном сайте?

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Я подозреваю две вещи:

- ТС прав в том, что это может оказаться злонамеренность рекламодателя (обновляющийся ифрейм на сайте точно не нужен)

- ТС не прав в том, что это умысел администрации (этот баннер вместе со скриптом, первым же отключается в профиле)

Deleted ()
Ответ на: комментарий от Deleted

Мне вот не нравится вся эта петрушка — я давно все это режу и не парюсь.

А уж как там партнер али с этим али взаимодействует — это проблемы их партнерского соглашения.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Партнер шмартнер, да.но я во втором посте описал, что оно и кэшбэк так же ворует. И макскома не волнует, что это происходит с пользователями его сайта.

swelf ()
Ответ на: комментарий от swelf

У тебяя кешбек увели? Тогда давай доказуху и Максу, и ваяй абузу в поддержку али — иначе я не вижу причин дял паники. А то что теоритически там что-то кто-то может — дык может, для этого адблоки и прочие уматриксы и придумали.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Думаешь он бы терпел и не озвучивал это аж 25 комментов? Поклеп 100%.

t184256 ★★★★★ ()
Ответ на: комментарий от mandala

Странная позиция.

Еще раз, если бы это был полезный скрипт, который случайно приводит к потери кэшбэка пользователями, это было бы одно. Но единственная цель этого скрипта, сделать каждого посетителя лорчика своим рефералом на али эксперсс, независимо от того, перешел пользователь на али эксперсс с этого сайта, или у него уже была открыта вкладка алиэкспресс до того как он зашел на лорчик.

мне надо провести эксперимент который покажет, что кэшбэк ко мне не пришел?) ну так я могу по шагам сказать, что делать и сам можешь проверить.

Куки стаффинг это плохо, как называют людей которе им занимаются в приличном обществе говорить не хорошо)

swelf ()
Последнее исправление: swelf (всего исправлений: 1)
Ответ на: комментарий от Deleted

(этот баннер вместе со скриптом, первым же отключается в профиле)

(доступна пользователям начиная с одной зеленой звезды)

Singularity ★★★★ ()
Ответ на: комментарий от ozz_is_here

Наклонись и подними раз уронил. или спина болит?

mandala ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.