К сожалению, редиректоры на сайте сами зачастую приводят к уязвимости CWE-938/CWE-601 ( www.owasp.org/index.php/Top_10_2013-A10-Unvalidated_Redirects_and_Forwards ), для избавления от которой опять же требуется вести белый список доверенных хостов или придумывать кастомную логику в стиле криптоподписи ссылок. И к тому же это не очень честно с сеошной точки зрения. Хотя конечно если бы хоть какая-то часть обсужденных нами способов была массово реализована, то веб стал бы чище.
Проблема усугубляется тем, что если раньше вредоносные действия имели локальный эффект (показать рекламный баннер или подменить текст на партнерскую ссылку), то в 2014 году начали действовать трояны, которые сразу проводят комплекс атак: одновременно инъектируются скрипты metabar, показывающие рекламные баннеры; скрипты cpatext, рандомно подменяющие текст на ссылки; появляются фишинговые ложные виджеты-формы входа в FB, VK, OK и т.п.
При этом многие схемы лавируют на грани легальной рекламы и вредоносного кода, поэтому далеко не все из них определяются и лечатся пользовательскими антивирусами.
По нашей статистике в среднем из 1000 внешних кликов 50 приходятся на подмененные спам-линки. И это только клики, а не факты инъекции js. А ведь эти скрипты в любой момент могут начать снифать платежные данные банковских карт или просто выступить в роли XSS-прокси для доступа к защищенной внутренней инфраструктуре организаций…
Большинству сайтов все-таки требуется иногда показывать полезные внешние ссылки, а ведение глобального белого списка их хостов выливается в многие тысячи элементов… Соответственно, придется реализовывать сильно усложненную логику вайтлистинга хостов внешних ссылок для каждой отдельной страницы. Хотя можно конечно попробовать фильтр, криптоподписывающий все внешние ссылки из серверного ответа, и применять ваш скрипт только для всех неподписанных.
В системах, подобных metabar, по задумке предполагается, что пользователь сознательно поставит предлагаемый экстеншн. С другой стороны, есть подтверждения о троянах, которые вызывают подобные эффекты. В большинстве случаев, правда, их все-равно в том или ином виде требуется установить вручную
>Нет. Adblock как пример
К счастью, на нашем сайте нет баннерной рекламы :) Если же говорить точнее, то с помощью CSP в аспекте джаваскрипта возможно ограничить только обработку скриптов из «штатных» недоверенных источников (с доменов не из белого списка, инлайновых скриптов страницы). Непосредственный код плагинов браузера считается доверенным контентом и не подлежит ограничениям со стороны CSP. Срабатывания блокировок вылезают только когда расширения манипулируют DOM страницы и, например, инъектируют подгрузку внешнего js. Конкретно Adblock поэтому будет работать нормально.
Например, первый кто поделится постом с друзьями и правильно ответит на вопрос — получит главный приз, а еще 20 человек, выполнивших все условия конкурса (поделиться и правильно ответить) — получат скидку 50% на что-то. Люди получают приз за быстроту реакции и правильность ответа — все понятно.
А вот конкурсы, где основанием для присуждения призов является открытое голосование или чье-то мнение — то тут огромное пространство для «нечестности».
По нашему опыту, кстати, количество лайков и репостов может совсем не соответствовать количеству людей, которые придут на мероприятие или купят услугу. Многие кто лайкают — не приходят и многие, кто не лайкает — покупают тихо :)
На самом деле платежные шлюзы между двух огней — бывают недобросовестные магазины и мошенники-покупатели. Так что они как и банки, пытаются выработать четкие правила и процессы, и нам, нестандартным — тяжко :) А так, если переводить магазин оффлайн в онлайн, думаю, все будет ок! Только с тестированием поосторожней надо быть :)
Мы стараемся «ходить» на тестирование группами по два-три человека. Два человека — оптимально, у нас третьим часто был оператор.
Тестирование оказалось таким полезным, что мы решили сделать его постоянной практикой. Наиболее интенсивно мы тестируем юзабильность после запуска новой функциональности на сайте или каких-то интерфейсных изменений.
Денег потратили сначала на призы — нарисовали и заказали партию корпоративных подарочных чашек. Ну и с учетом рабочего времени, потраченного всей командой, на тестирование ушло около 100 000 рублей.
Календарь — это самое, пожалуй, полезное во всем сайте. Это Афиша, ежедневная, очень удобно, для планирования досуга с детьми. Виджеты соцсетей тоже поставили недавно, буквально пару недель назад, что очень помогло с привлечением пользователей в группу ВКонтакте, например. За 2 недели прирост реальных пользователей — примерно 1500 человек. Когда на месте виджетов был контент (тематические новости), то их не читали, а вот виджеты соцсетей пришлись пользователям по вкусу, на них кликают.
И самое главное, все что тут сейчас обсуждается — это замечания скорее по стилю сайта, поиск багов и ошибок, а не изучение его юзабилити. Для того чтоб оценить структуру размещения контента, надо иметь цель конкретную. Например, найти бассейн для ребенка 4 лет в Красногвардейском районе.
Потому нам и нужны осознанные пользователи для юзабилити тестирования, которым есть дело до размещенной на сайте информации.
Красота и длинна правой колонки может не иметь ничего общего с ее читаемостью. Все дело может быть банально в привычке пользователя видеть в правом баре только рекламу в виде баннеров или блоков контекстной рекламы от Яндекса или Гугля. Интересно, насколько можно сломить этот сложившийся стереотип.
Дизайн строки поиска только что был изменен, и я боюсь что дело тут не в ее внешнем виде, а именно в навыках и привычках пользователей. Большинство «простых обывателей» поиском не надеятся найти полезное. Поиск же на KidsReview.ru — Гугль поиск, он хорошо ищет контент сайта.
При этом многие схемы лавируют на грани легальной рекламы и вредоносного кода, поэтому далеко не все из них определяются и лечатся пользовательскими антивирусами.
По нашей статистике в среднем из 1000 внешних кликов 50 приходятся на подмененные спам-линки. И это только клики, а не факты инъекции js. А ведь эти скрипты в любой момент могут начать снифать платежные данные банковских карт или просто выступить в роли XSS-прокси для доступа к защищенной внутренней инфраструктуре организаций…
К счастью, на нашем сайте нет баннерной рекламы :) Если же говорить точнее, то с помощью CSP в аспекте джаваскрипта возможно ограничить только обработку скриптов из «штатных» недоверенных источников (с доменов не из белого списка, инлайновых скриптов страницы). Непосредственный код плагинов браузера считается доверенным контентом и не подлежит ограничениям со стороны CSP. Срабатывания блокировок вылезают только когда расширения манипулируют DOM страницы и, например, инъектируют подгрузку внешнего js. Конкретно Adblock поэтому будет работать нормально.
А вот конкурсы, где основанием для присуждения призов является открытое голосование или чье-то мнение — то тут огромное пространство для «нечестности».
А про честное голосование в Сети мы писали чуть раньше: habrahabr.ru/company/kidsreview/blog/137548/
Клиент пока что есть только для iOS, будет позже для Android.
Тестирование оказалось таким полезным, что мы решили сделать его постоянной практикой. Наиболее интенсивно мы тестируем юзабильность после запуска новой функциональности на сайте или каких-то интерфейсных изменений.
Денег потратили сначала на призы — нарисовали и заказали партию корпоративных подарочных чашек. Ну и с учетом рабочего времени, потраченного всей командой, на тестирование ушло около 100 000 рублей.
И самое главное, все что тут сейчас обсуждается — это замечания скорее по стилю сайта, поиск багов и ошибок, а не изучение его юзабилити. Для того чтоб оценить структуру размещения контента, надо иметь цель конкретную. Например, найти бассейн для ребенка 4 лет в Красногвардейском районе.
Потому нам и нужны осознанные пользователи для юзабилити тестирования, которым есть дело до размещенной на сайте информации.
Дизайн строки поиска только что был изменен, и я боюсь что дело тут не в ее внешнем виде, а именно в навыках и привычках пользователей. Большинство «простых обывателей» поиском не надеятся найти полезное. Поиск же на KidsReview.ru — Гугль поиск, он хорошо ищет контент сайта.
За ссылку на сервис — спасибо!