Как обломить Мегафон с внедрением их рекламы на ваши сайты

Интернет последние несколько дней гудит по поводу охеревшего в край Мегафона, который вдруг решил, что он вправе внедрять свои баннеры в мобильный трафик своих пользователей, и теперь прямо вот поверх любых чужих сайтов показывает свою рекламу. Подробно про всю эту историю можно читнуть, например, на VC.

Чтобы не дать Мегафону и любым другим хитровыдуманным мудакам показывать на ваших сайтах того, чего там быть не должно, есть 2 пути:

1. Установить на сайт SSL-сертификат. Мало того, что это платный, так еще и довольно геморройный путь. Помимо чисто технических заморочек с установкой, потенциально могут возникнуть проблемы со “склейкой” старой версии адреса сайта (на протоколе http://) с новой (на https://) в поисковых системах. Из-за этих проблем вы можете на какое-то время (в некоторых случаях весьма продолжительное, неоднократно читал про это на форумах) потерять какую-то часть поискового трафика, который был до перехода на SSL.

Как бы Гугл не топил за обязательный переход вообще всех сайтов на SSL (они уже несколько раз выпускали всякие мотивирующие сообщения типа “наличие SSL это один из позитивных факторов для ранжирования”, “мы будем помечать все HTTP сайты как небезопасные” и т.п.), для 99% обычных сайтов это на самом деле нахер не нужно, вы просто будете платить еще и за SSL теперь постоянно, только и всего.

Если у вас не банк, не интернет-магазин, который на своем домене проводит транзакции с пластиковыми картами (подавляющее большинство магазинов это делают на сайтах биллингов, у которых всегда есть SSL), не социальная сеть типа Вконтакте и не какой-нибудь почтовый сервис/вебмессенджер - SSL вам вряд ли реально нужен.

Есть мнение, что Гугл так сильно топит за SSL исключительно потому, что в таком случае только он, как основной поставщик всего и вся в современном цифровом мире (ОС Андроид, поиск Гугл, GMail, Google.Maps и т.п.), будет иметь доступ ко всем вашим “следам” в интернете, которые нужны для качественного таргетирования рекламы, чтобы максимально хорошо на ней зарабатывать.

2. Настроить на сайте Content Security Policy (CSP). Это бесплатно и куда менее геморройно, на мой взгляд. В 2-х словах суть CSP такова - в отдельном серверном заголовке вы можете указать, что может загружаться на вашем сайте, а что нет. То есть, все источники, что вы указали - разрешены, а все остальное - в том числе левая реклама Мегафона, как и все что угодно другое от любых других источников (например, из дополнений в браузерах, от тулбаров или вирусов, подменяющих вашу рекламу на свою, и т.п.) - будет запрещено.

В интернете можно найти кучу инструкций как установить CSP, я лично делал это по мануалу от Сани 9SEO, по-моему, там все очень понятно описано.

Чтобы вам было немного проще начать, я подготовил для вас базовый набор правил CSP для русского сайта, на котором есть реклама от Гугл Адсенс и установлены счетчики Яндекс.Метрика и Гугл Аналитикс, берите его отсюда.

* * *

Оказывается, сегодня очередная “черная пятница”. Как всегда в большинстве магазинов заранее цены поднимут, а потом на денек дадут типа крупные скидки. Это называется ~~мошенничество~~ маркетинг Из меня маркетолог дерьмовый, поэтому держите честную скидку 33% на любые PRO-аккаунты ко всем сервисам. Только до конца сегодняшнего дня.

10 комментов

Petruha сказал и подписался на новые комментарии по e-mail:

Есть let’s encrypt, бесплатный, который ставится за 1.5 минуты автоматически. Попробуй - офигеешь. 30% интернета использует.
DimaX сказал:

Есть let’s encrypt, бесплатный, который ставится за 1.5 минуты автоматически. Попробуй - офигеешь. 30% интернета использует.

Бесплатность не отменяет всего остального, CSP все равно много проще.
Ivan сказал и подписался на новые комментарии по e-mail:

SSL нужен всегда, даже если сайт просто на html. Банально чтобы в трафик никто не лез. CSP вообще не спасает, когда ты можешь всё что хочешь с трафиком делать.

Никаких заморочек со склейкой нет, не нужно насильно на https редиректы ставить. В 2018м году сайт без SSL это как раньше сайт без домена.

Вот тут чувак хорошо поясняет за все плюсы:
https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/
DimaX сказал:

SSL нужен всегда, даже если сайт просто на html. В 2018м году сайт без SSL это как раньше сайт без домена.

Ну вот, например, у меня этот блог. Или сайт статейник какой-то с рецептами супов. Зачем им SSL? Больше 25 лет никого не волновало вот это “Банально чтобы в трафик никто не лез”, а теперь волнует.

Вот тут чувак хорошо поясняет за все плюсы:
https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/

Там какая-то слишком здоровая простыня на английском, тяжело осилить, ты если реально читал, вынеси сюда, пожалуйста, основные тезисы, обсудим
Ivan сказал:

> Ну вот, например, у меня этот блог.
Твой блог скоро будут помечать как небезопасный, т.к. на нём есть поля ввода. Уже сейчас можно кликнуть на восклицательный знак слева от поля ввода url и увидеть надпись “Not Secure”, что простого пользователя может ввести в ступор.

Вот короткий список аргументов: https://doesmysiteneedhttps.com/

Для твоего блога многие аргументы будут казаться смешными, но надо понимать, что ssl сейчас ставится очень просто и быстро.

Представь что у тебя порно статейник, не каждому будет приятно знать, что все его запросы в поле поиска на твоём сайте могут быть известны владельцу wi-fi или провайдеру .

Мне вот не нравится, что провайдер видит какие я коменты тебе здесь написал. А вдруг это блог про политику и я ВВП ругаю
DimaX сказал:

Вот короткий список аргументов: https://doesmysiteneedhttps.com/

О, хорошая штука, спасибо)

Для твоего блога многие аргументы будут казаться смешными

Так и есть))

надо понимать, что ssl сейчас ставится очень просто и быстро

Любое “просто и быстро” хуже, чем “делать ничего не надо”.

Представь что у тебя порно статейник, не каждому будет приятно знать, что все его запросы в поле поиска на твоём сайте могут быть известны владельцу wi-fi или провайдеру

Ты вот выше говоришь, что “простого пользователя может ввести в ступор”, так вот эти “простые пользователи” и понятия не имеют, что все их запросы сейчас видны, а при ссл не будут. Это ты и я знаем, а они нет, и не узнают, ибо эта сфера знаний от них далека. Уже 20 лет прошло, а миллионы людей урлы сайтов вводят в строку поиска гугла или яндекса, а не в строку браузера сразу.

Мне вот не нравится, что провайдер видит какие я коменты тебе здесь написал. А вдруг это блог про политику и я ВВП ругаю

Ну, то, что ты немного параноик отлично видно по мылу, которое ты тут оставил в форме коммента))) Любой VPN спасет отца русской демократии, и не надо будет париться, есть у какого-то сайта SSL или нет)
Мантикорич сказал и подписался на новые комментарии по e-mail:

А от советника Яндекс маркета что может спасти, кроме удаления микрорамезкти itemrop=“name” на страницах с товаром?
Пробовал настраивал CSP, не помогло. Может неправильно настраивал, конечно
DimaX сказал:

А от советника Яндекс маркета что может спасти, кроме удаления микрорамезкти itemrop=“name” на страницах с товаром?
Пробовал настраивал CSP, не помогло. Может неправильно настраивал, конечно

Ну если “советник” показывается и у тебя стоит CSP, то значит, что в правилах CSP “советник” разрешен, соответственно, надо найти правило, которое его разрешает и убрать его или изменить)
Филипп сказал и подписался на новые комментарии по e-mail:

Помимо let’s Encrypt можешь использовать CloudFlare с бесплатным планом https://ardua.ru/cyrillic-ssl
Игорь Кабакин сказал и подписался на новые комментарии по e-mail:

Статья в тему для меня… На днях мне сказали, что с мобильника с на один из моих сайтов неудобно заходить, дескать пол экрана из-за рекламы не читаема! Было удивительно слышать, так как одна рекламная строчка была, и то в конце статей. Зашел, оказалась реклама мобильного оператора!.. Не знал, как исправить.