Цель нашей сегодняшней статьи - разобраться в механизмах работы крупнейшей поисковой системы России и узнать, за что Яндекс блокирует сайты.
В частности, мы хотим разобраться, насколько безопасен сервис от компании , которая насчитывает более 130 представительств по России и СНГ. Компания быстро растет и очень агрессивно предлагает подключение своего продукта, поэтому наша редакция с завидной периодичностью начала получать вопросы относительно безопасности сотрудничества с данным сервисом.
Вначале давайте в принципе зайдем на основную страницу Яндекса, посвященную всем причинам, из-за чего Яндекс проводит блокировку сайтов: https://yandex.ru/support/webmaster/threats.html
Как видим, причин, из-за чего сайт могут заблокировать, существует довольно много, но нас интересует пункт, связанный с получением персональных данных - “Кликджекинг”.
Более подробным описание, что такое “Кликджекинг”, Яндекс делится в своем блоге - https://yandex.ru/promo/safesearch/clickjacking
Что такое кликджекинг?
В переводе на русский кликджекинг означает буквально «воровство кликов». Пользователя обманом заставляют нажать на какой-то элемент на странице, часто невидимый, который запускает нужное мошенникам действие. Это немного похоже на ситуацию, в которой человека просят оставить автограф и подсовывают на подпись важный документ.
Пример мошеннической схемы
Часто кликджекинг используется для того, чтобы воровать личные данные пользователей из соцсетей. Для этого на мошеннической странице помещается невидимый элемент управления из популярной соцсети. Нажав на него, пользователь может незаметно для себя подписаться на какую-нибудь группу и таким образом дать доступ к своим личным данным — например, к номеру телефона.
Иногда кнопка-невидимка не прикреплена ни к какому элементу страницы, а перемещается вслед за курсором — получается, что для авторизации действия, нужного злоумышленникам, достаточно вообще любого клика на странице, даже на как будто бы пустое поле.
Какие санкции накладывают поисковые системы?
Поисковые системы вычисляют страницы с кликджекингом и понижают их в результатах поиска. Однако на такие сайты можно попасть не только из поиска, но и по прямой ссылке — поэтому Яндекс.Браузер предупреждает пользователей об опасности, если при сборке страницы замечает на ней невидимый слой.
Пример сайтов, на которые наложены санкции
Чтобы лучше разобраться в том, как выглядит сайт с наложенными санкциями, предлагаем вам посмотреть на пример сайта, заблокированного в поисковой выдаче. Как мы видим, такой сайт изначально помечается серым блеклым шрифтом. Более того, при попытке нажать на этот сайт появляется предупреждение:
Посещение этого сайта может привести к выполнению нежелательных действий на других сайтах без вашего ведома (кликджекинг).
Что делать, если опасаетесь за судьбу своего сайта?
У вас на сайте стоит код стороннего сервиса, и вы не уверены, что это не приведет к последствиям? Яндекс рекомендует смотреть, делает ли сервис обращение к социальным сетям во время работы или нет.
Как проверить? Заходите на сайт, кликаете правой кнопкой мыши, и из выпавшего списка выбираете «исследовать элемент» (Firebug). В открывшимся окне выбираете вкладку «сети» (network) и в формирующемся списке окна проверяем, чтобы не было обращения к соцсетям:
Как определить, что мой сайт под санкциями?
Для этого существует достаточно простой алгоритм:
1. Зайти в новый вебмастер Яндекса.
2. Выбрать интересующий сайт.
3. На странице "Общая информация" посмотреть на количество фатальных ошибок:
4. Перейти в раздел "Фатальные ошибки" и еще раз убедиться, что есть проблемы.
5. Нажать на "Подробнее" и понять, что проблема именно в кликджекинге:
Как понять - использует сайт кликджекинг или нет?
Здесь Яндекс дает отличную возможность для любого разработчика, следуя инструкции из своего блога: https://yandex.ru/support/webmaster/threats/clickjacking.html
Для программистом понятно, но речь идет про простых пользователей, владельцев небольших интернет-магазинов. Как же им самостоятельно можно проверить, безопасен или небезопасен для подключения сервис? Это уже задачка посложнее)
Влияние кликджекинга на ранжирование: блог Яндекса
Например, если прочитать комментарии к одной из статей о “Клиджекинге”, мы увидим следующий комментарий:
Причем, такое происходит даже, например, с официальным сайтом Вконтакте. Яндекс напрямую ничего не говорит про код из ВК:
Как говорит Яндекс - блокировка происходит по факту реального использования кликджекинга.
Как же понять, использует ли кликджекинг компания WantResult?
К сожалению, получить от Яндекса такую информацию через официальные каналы не представляется возможным, так что мы решили заняться собственным детальным анализом.
Мы знаем, что среди наших читателей находится множество людей с критическим мышлением, поэтому максимально подробно описываем алгоритм действий, чтобы подобную проверку вы могли провести самостоятельно, лично убедившись в описанных в статье фактах.
Вот что из этого получилось.
Первый и, наверное, самый главной по надежности способ узнать, будут ли санкции при использовании сервиса WantResult - это посмотреть на список сайтов клиентов, которые уже поставили себе код технологии WantResult и оценить, нет ли у них проблем с продвижением. (Выше мы с вами уже разбирали как выглядит сайт, заблокированный за кликджекинг.)
На запрос редакции в головной офис нам был предоставлен достаточно увесистый список действующих клиентов (доступен по ссылке https://crm.wantresult.ru/site/public-categories ).
Список разбит по категориям и составляет более 5,000 сайтов в различных сферах бизнеса.
Дополнительно к нему был направлен список “крупных клиентов” (доступен по ссылке https://docs.google.com/spreadsheets/d/1f4z0zePJgpCsbsLCQl16C6NeveFn-4Jfl9ccty0QS6s/edit#gid=0).
Нас особенно заинтересовали именно крупные клиенты, поскольку сам факт работы с крупным клиентом уже говорит о многом. Очевидно, что любая крупная компания просто “не имеет права на ошибку”, а значит перед подключением любого “скрипта” 10 раз проверит перед тем, как подобное подключение произвести.
Одно дело, если проблема будет у компании “Бабкины тапочки из Самары” и совсем другое - проблемы у 2 в России банка.
Итак, как же можно проверить, подключен ли код продукта?
Для этого необходимо выбрать сайт, например https://www.vtb.ru/malyj-biznes/promo/tarif/
Затем нажать правой кнопкой мыши “Посмотреть код”.
После чего открывается сайт так, как он написан технически.
Теперь мы можем выбрать поиск, нажав на сочетание клавиш Ctrl и кнопку F (одновременно), и ввести в появившемся окне данные из столбца “Код”, в данном случае “leo-crm”.
В результате мы найдем то, что данный код действительно был установлен на сайте ВТБ.
Все, что нам остается сделать дальше - открыть leo-crm.ru в поисковой строке, и здесь мы можем убедиться в том, что домен действительно принадлежит компании WantResult.
Такую операцию можно также проделать и с другими сайтами, указанными в таблице. Проведя проверку более 50 сайтов, мы не нашли ни 1 нарушения/ограничения использования, что, конечно же, крайне позитивно свидетельствует об отсутствии использования кликджекинга.
Шаг проверки номер два.
Мы постарались реализовать все предложенные Яндексом алгоритмы поиска кликджекинга и не нашли ничего, чтобы было бы похоже на технологию кликджекинг.
Шаг номер три.
Мы видели, что Яндекс не дает прямых ответов на вопрос в техническую поддержку, но у нас существует способ связи со специальным отделом, который работает напрямую с рекламными агентствами. Задав в этой форме вопрос, мы получили достаточно интересный ответ:
Вот здесь и кроется интересное решение.
Действительно, Яндекс не комментирует деятельность компании, но дает инструкцию, как по факту можно проверить, используется ли кликджекинг или нет.
Для этого рекомендуется:
1) Взять отдельное доменное имя (благо сейчас на рынке полно вариантов, начиная с 64 рублей на reg.ru).
2) Привязать сайт к Яндекс.Вебмастеру (куда, в случае нарушений, приходят уведомления).
3) Взять код от сервиса WantResult и попробовать разместить на сайте.
4) Блокировка сайта за кликджекинг применяется сразу, значит, в случае наличия кликджекинга, мы сразу увидим соответствующее уведомление о блокировке.
5) Это означает, что данный код безопасен и его можно использовать на основном сайте.
Мы попробовали провести алгоритм с собственным сайтом, но специально дали сайту “полежать” 2 недели, чтобы, в случае если подобная бы блокировка произошла, мы могли бы это увидеть. Результат через 2 недели - отсутствие каких-либо предупреждений или ограничений сайта.
Следующий пункт, который нас заинтересовал и который мы видели уже неоднократно (и в качестве ответа сотрудника Яндекса в Блоге и в качестве ответа через форму для рекламных агентств) - это то, что Яндекс рекомендует прописать ограничение на использование кликджекинга в договоре.
Мы задали соответствующий запрос в головной офис компании ООО “Вонтрезалт”, на что получили ответ, что такая практика используется, компания уверена в своем продукте и готова прописать юридически, что, конечно же, также является большим плюсом в сторону компании.
“Исполнитель гарантирует, что на момент заключения настоящего договора предоставляемый сервис соответствует всем предъявленным основными поисковыми системами требованиям и не использует технологию "кликджекинг". В случае понижения в рейтинге или внесении сайта Клиента в блок-лист по вине Исполнителя, Исполнитель обязуется выплатить штраф в размере 200 000 (двести тысяч) рублей.”
Резюме
- Кликджекинг - действительно очень опасная технология, из-за которой ваш сайт можно сильно пострадать.
- Ни в коем случае нельзя подключать различные сторонние сервисы, не проведя полноценную проверку (даже те, кто заявляют, что не используют кликджекинг, по факту могут его использовать).
- Обязательно проверяйте информацию, делайте собственный анализ сервисов, которые предлагают вам поставить тот или иной код.
- Сервис компании WantResult безопасен, вы можете спокойно подключать технологию к себе на сайт.
- Мы написали детальный процесс, который позволяет вам повторить последовательность действий и самостоятельно убедиться в описанных в статье фактах для принятия обоснованных решений.
Надеемся, что эта статья принесет вам пользу и множество новых продаж :)
