Черный кликджекинг с полным его разоблачением
В декабре 2015 года Яндекс внедрил алгоритм, понижающий в результатах поиска сайты, которые используют технологию кликджекинг. Мы получили много вопросов о том, как работает этот алгоритм, и сегодня хотим подробнее о нем рассказать:
1. Алгоритм принимает решение на основе анализа данных о сайте, которые он получает в течение ограниченного промежутка времени. Таким образом, срабатывание алгоритма не может быть связано с действиями на сайте, которые производились 2 недели или, тем более, месяц назад — решение принимается только по актуальным данным.
2. Выявление кликджекинга происходит исключительно по факту его реального использования на сайте, а не по наличию соответствующего неактивного кода. Если сайт использует сторонний сервис с этой технологией, то ограничений стоит опасаться только после активации кода кликджекинга.
На графике ниже можно увидеть, что после анонса ограничений на многих сайтах код кликджекинга был отключен, но затем, увы, вебмастера начали пробовать включать его обратно.
3. Многие веб-сайты не сами реализуют технологию кликджекинга, а получают ее в составе сторонних сервисов, например по «улучшению продаж». Зачастую вебмастер даже не подозревает, что его сайт использует кликджекинг. Обратите внимание: понижены в результатах поиска будут именно сайты, которые применили кликджекинг, а не сайты сервисов, которые предоставили им данную обманную технику.
4. Всего за время работы алгоритма было обнаружено более 15 тысяч сайтов, использовавших кликджекинг, и около 50 сервисов, которые предоставляли такие возможности сайтам клиентов.
Что нужно учитывать, чтобы не попасть в неприятную ситуацию:
Внимательно относитесь к выбору сервиса, код которого вы планируете разместить на сайте. Особые подозрения должны вызывать:
— идентификация пользователя в социальных сетях;
— предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;
— звонки пользователю без явного запроса номера телефона и т.п.
Практика показывает, что сервисы, утверждающие, будто они не применяют кликджекинг, на самом деле могут широко использовать его на сайтах своих клиентов. Ниже приведена доля сайтов-клиентов одного из таких сервисов, на которых алгоритмами Яндекса был обнаружен работающий кликджекинг.
Если сервис вызывает подозрения, можно воспользоваться инструментами для разработчиков в современных браузерах, чтобы проверить, делает ли сервис обращение к социальным сетям при работе с сайтом.
Если ваш сайт не интегрирован с соцсетями, можно использовать механизм Content Security Policy (CSP), ограничивающий использование сайтом внешних ресурсов. Подробнее об этом механизме читайте на страницах:
o https://developer.mozilla.org/ru/docs/Web/Security/CSP
o http://habrahabr.ru/company/yandex/blog/206508/
o https://en.wikipedia.org/wiki/Content_Security_Policy
o http://www.html5rocks.com/en/tutorials/security/content-security-policy/
В ближайшее время в сервисе Яндекс.Вебмастер в разделе «Нарушения» появятся предупреждения об использовании технологии кликджекинга на сайтах.
© Яндекс