Турбо-страницы: вопросы к Яндексу
garry69 #:
Роман, здравствуйте. Вскоре состоится принудительные перевод всех в гугл аналитике на GA4. Уже и счетчик вывесили с оставшимися днями. Появится ли возможность использовать GA4 на турбо страницах?
garry69 #:
Роман, здравствуйте. Нет информации по использованию GA4 на турбо страницах? Остался один день и данные прекратят собираться со старой версии. Если пока нет информации, надо ли удалять из панели вебмастера номер старого счетчика или пусть висит и это не создаст проблем?
Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.
Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4.
На сайте с 12.07.2007
3 июля 2023, 13:48
Роман Кузьминский #:
Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.
Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4.
Здравствуйте, спасибо за ответ и функцию.
Заменил в вебмастере на идентификатор ga4, постараюсь проверить.
На сайте с 12.07.2007
3 июля 2023, 14:12
Роман Кузьминский #:
Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.
Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4
После смены на идентификатор в панеле вебмастера. Не вижу в статистике.
На сайте с 12.07.2007
3 июля 2023, 15:23
Роман Кузьминский #:
Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.
Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4.
Роман, перепроверил на новой статье. Данные не поступают. 1. Заменил в вебмастере номер старого счетчика на идентификатор ga4
2. На сайте ga4 и показывает стату.
3. Новый пост попал в турбо.
4. Данные не поступают в стату.
Старый счетчик уже не вернуть по быстрому, что подскажете?
РСЯ и AdFox. Вопросы к Яндексу
Luka172 #:
Сегодня во время посещения пенсионного фонда я был весьма удивлён тем, что я числюсь у них как работник Яндекса. По датам я понял что это произошло после регистрации в РСЯ. Действительно ли что все кто вступил в РСЯ являются сотрудниками Яндекса?
Dambo #:
Да, у меня тоже там стоит место работы ООО Яндекс или типа того.
Добрый день! Партнеры РСЯ не являются сотрудниками Яндекса, сотрудничество осуществляется в рамках гражданско-правового договора на оказание технических услуг. До заключения договора мы рекомендуем партнерам уточнить в органах или организациях страны, резидентом которой является партнер, информацию о том, сохранятся ли выплаты (пенсий, пособий, субсидий и т.п.), если партнер начнет получать вознаграждение по договору. Эта информация есть в разделе «Льготы и пособия» Справки РСЯ. Посмотрите, пожалуйста: https://yandex.ru/support/partner2/payments/with-individuals.html#with-individuals__compensations-and-benefits
- yandex.ru
Заполните анкету: Форма сотрудничества — физическое лицо. Данные для регистрации в РСЯ После заполнения анкеты вы получите доступ в интерфейс РСЯ. Вы сможете создавать и размещать рекламные блоки. Как только мы рассмотрим вашу анкету, вы получите уведомление по электронной почте. С этого момента начнется учет кликов и показов на вашей площадке.
Turbopages org что такое
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Бесит turbopages.org
Обсуждение ПО и его настройки
4 сообщения • Страница 1 из 1
Ghostmasters Сообщения: 2 Зарегистрирован: 15 ноя 2021, 00:17
Доброго времени суток форумчане.
Лично меня раздражает, что тындекс направляет не на найденный сайт, а на турбо страницу turbopages.org.
Когда заходишь с телефона подключённого через вайвай.
Типо он экономит трафик и загружается быстрее. Но нафига это делать если я захожу с через вайвай домашний.
Скорости хватает в разы, экономить безлимитный интернет глупо.
Я вижу тут только одну причину: тындекс тупо ворует рекламу у владельцев сайтов.
В связи с этим возник вопрос: а можно средствами микротик при обнаружении направления на сайт турбо резать URL и перенаправлять на целевой сайт?
https://*.turbopages.org/turbo/адрес страницы.
Заранее спасибо.
В настройках микротика новичок, так что прошу попроще отвечать.
Ghostmasters Сообщения: 2 Зарегистрирован: 15 ноя 2021, 00:17
Странно я думал тема будет актуальнее.
Ca6ko Сообщения: 1484 Зарегистрирован: 23 ноя 2018, 11:08 Откуда: Харкiв
13 янв 2022, 12:02
меня раздражает, что тындекс направляет не на найденный сайт,
Вывод — не надо пользоваться тындексом
1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
podarok66 Модератор Сообщения: 4316 Зарегистрирован: 11 фев 2012, 18:49 Откуда: МО
17 янв 2022, 23:49
Странно я думал тема будет актуальнее.
Да как бы сложно даже понять, что вы хотите. Представьте, вы с мобилы заходите на яндекс, делаете запрос. Яндекс определяет, что запрос сделан с мобилы, и перенаправляет загрузку контента через турбопейдж. Где тут в цепочке Микрот как-то участвует? Он же не может Яндексу запретить что либо делать у себя на серверной стороне?
Нужно либо выключить ускорение загрузки в браузере ( вроде как есть такая галочка в них), либо попробовать грузить не мобильную версию страницы, а полную, либо сменить поисковик ( что предпочтительнее). Если же Микроту запретить загрузку с ресурса тербопейдж, вероятнее всего вы вообще ничего не загрузите.
Как-то так.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.
4 сообщения • Страница 1 из 1
- Общие правила форума и полезная информация
- FAQ (Для начинающих)
- MikroTik RouterOS
- ↳ Готовые конфигурации Mikrotik
- ↳ Готовые скрипты Mikrotik
- ↳ Обсуждение RouterOS
- MikroTik RouterBOARD
- ↳ Помощь в выборе оборудования
- ↳ Примеры решений на оборудовании Mikrotik
- MikroTik Dude
- Платные услуги
- ↳ Исполнители
- ↳ Задания
- Общие вопросы
- ↳ РАБОТА
- ↳ ВАКАНСИИ
- ↳ РЕЗЮМЕ
- ↳ НОВОСТИ
- ↳ ИНСТРУМЕНТЫ И ПРИБОРЫ
- ↳ КУРИЛКА
- Барахолка
- ↳ Куплю
- ↳ Продам
- ↳ Услуги
- КОРЗИНА
Open Redirect на Яндексе. Часть вторая
Здравствуйте, дорогие хабровчане. Это вторая часть статьи про уязвимость Open Redirect страницы аутентификации Яндекса. Первая часть здесь.
На этот раз я расскажу, как получилось сделать честный редирект на внешний ресурс.
Важное примечание: я спросил разрешения у службы информационной безопасности Яндекса на описание этой потенциальной уязвимости, и получил на это разрешение.
Яндекс всё таки признал, что этот метод можно использовать в зловредных целях. Однако решил, что с точки зрения безопасности подобный баг не представляет большой угрозы. Про аргументы и причины можно прочитать под катом, также как и про доводы автора. По этому поводу добавил опрос в конце поста, любопытно узнать мнение сообщества.
Вкратце напомню, что было в первой части. Я исследовал на уязвимости редирект страницы аутентификации https://passport.yandex.ru/auth/welcome?retpath=. и заметил, что переменную retpath можно использовать для редиректа на внешний ресурс, если проксировать запрос через яндекс-переводчик.
Суть в том, что retpath реагирует только на доменные имена Яндекса — yandex.ru , dzen.ru , kinopoisk.ru и т.д., однако это ограничение можно обойти, если использовать переход на страницу с капчей, которая как раз находится в нужном нам домене https://translate.yandex.ru/showcaptcha?mt=. . Таким образом, мне удалось добиться перехода на домен translated.turbopages.org , который и является прокси-сервером через переводчик, retpath его также отбраковывает как внешний ресурс.
Хорошо заметен баннер переводчика сверху и отличная от загруженной ссылки адресная строка в браузере.
После того, как я описал это службе безопасности Яндекса, получил ответ, что переход на translated.turbopages.org это не круто и Open Redirect не входит в скоуп программы bug bounty. Денег мы вам не заплатим, но если сможете сделать честный редирект на внешний ресурс, то так уж и быть, добавим вас в зал славы.
Тут нужно сделать небольшое отступление. Не так давно, буквально полмесяца назад от публикации этой статьи, злоумышленники взломали телеграм известного дизайнера и блогера Артемия Лебедева, о чём он сам и сообщил в своём видео (осторожно, ненормативная лексика!).
Самое примечательное, это как он описывает сам процесс, а именно:
- Сперва пришла ссылка в письме с просьбой выгрузить статистику канала;
- Он её проверил(!) и посмотрел, что ссылка с известного и правильного домена, который он хорошо знал;
- Далее, уже после перехода по этой ссылке, его попросили ввести логин/пароль, мобильный телефон, код из смс и т.д.
Не то, чтобы я точно знал, но можно предположить с большой долей уверенности, что это и был фишинг. А теперь представьте на секунду, что вам приходит ссылка с предложением чего-нибудь с домена passport.yandex.ru и просьбой аутентификации… дальше продолжать не буду, как видно, это вполне рабочий метод. Вот тут у меня и возникает вопрос, почему в Яндексе подобную уязвимость не считают существенной (текст ответного письма будет опубликован далее).
И так продолжу разбирать саму уязвимость. То, что было описано в первой части — это по сути первый шаг, т.е. возможность с домена yandex.ru перейти на прокси-сервер переводчика.
Оставалось ещё сделать второй и третий шаги, т.е. — выйти за пределы переводчика (прокси-сервера) и связать переход со страницы аутентификации с этим выходом.
Второй шаг решился довольно просто, как известно в интернете есть очень популярный сайт, который делает честный редирект, это google.com.
Обратите внимание, что в ссылке домен google.com , но ведёт она на ru.wikipedia.org
Посмотреть полную google ссылку…
Шаг третий — оказался очень простым. В сущности, всё, что описывается в первой части статьи нужно проделать, только в качестве внешнего ресурса — использовать нашу google ссылку.
В итоге получаем чистый переход на внешний ресурс!
Посмотреть полную Open Redirect ссылку.
Итак, как это можно использовать? Будь я чёрной шляпой, скорее всего, создал бы клон страницы аутентификации. После того, как жертва ввела бы правильные логин/пароль, retpath перевёл бы пользователя на мою фейковую страницу, на которой красными буквами было бы написано — “пароль не правильный, пожалуйста, введите его снова”. Частенько такое бывает, что пароль или логин не вводят правильно, думаю, что это не вызовет сильного подозрения.
Первый бонус: через какое-то время, примерно сутки, вводить капчу не требуется, т.е. можно сразу перевести пользователя на сайт злоумышленника.
Второй бонус: есть случай, когда регистрация на самом деле не нужна, т.к. на нашей странице аутентификации появляется ссылка “стрелочка назад”, которая сразу делает редирект.
Причём, эта стрелка появляется только тогда, года в retpath подставлен домен Яндекса.
Третий бонус: как только пользователь прошёл по Open Redirect ссылке, как бы он не регистрировался, любым из множества способов, он будет перенаправлен на сайт злоумышленника.
Более подробное описание шагов можно посмотреть в этом видео:
Письмо с ответом из Яндекса:
Мы решили добавить Вас в Зал Славы за этот месяц. Нас вдохновил Ваш исследовательский дух, однако стоит уточнить, что полноценным Open Redirect мы данную уязвимость всё ещё не считаем, и добавляем в зал славы Вас в качестве исключения. На это есть несколько причин.
Во-первых, для реализации этого сценария требуется 3 клика от пользователя (1 по самой ссылке, 1 на экране регистрации и 1 на капче), в то время как Open Redirect — это почти всегда 1 клик (иногда бывает и 0). Чем больше требуется user-interaction с пользователем, тем меньше значимость это уязвимости. Возвращаясь к текущему функционалу злоумышленнику будет проще воспользоваться укротителем ссылок и убедить пользователя, что он сделал это для его удобства, чем объяснять как и зачем ему нужно тыкать в текущем сценарии.
Во-вторых, этот функционал мы не будем исправлять. По крайней мере пока не понятно, как это сделать. Наша команда смогла придумать ещё один способ выхода за пределы домена translated.turbopages.org. А именно, использовать простенький javascipt-код, который бы делал document.location = “https://attacker.com/“ .
Тем не менее, благодарим Вас за проделанное исследование и ждём от Вас ещё репортов!
P.S. меня добавили в зал славы за июль 2023 года, и на том спасибо.