Полулегальное воровство печеньками

    Часть хабралюдей честные и бескорыстные и привлекают их всякие техническия штучкэ. Но кое-кто кое-где у нас порой и не столь бескорыстен. Честно жить не хочет. Я расскажу вам о том, как можно по сути воровать, но при этом не выходя за рамки уголовного кодекса. Эдак с $15,000,000.

    Сразу: речь пойдет про cookie stuffing. Если вы это все знаете, то дальше можно не читать. Описание рассчитано и на не сильно технически подкованного пользователя. Что бы люди от бизнеса тоже поняли. Подкованым текст может показаться затянутым. Прыгайте сразу на «Техническая реализация».

    Организационный аспект

    Тут многие в курсе как работает обычная аффилиатская программа. Есть сайт магазина. В нем товар. Тут хозяин обнаруживает, что недурно бы еще и посетителей в этом магазине увидеть. Помимо очевидностей типа поисковиков его посещает здравая мысль: а что если за небольшую долю от выручки попросить людей приводить покупателей в магазин? Вот привел Вася покупателя в магазин, оставил покупатель в кассе 100 долларов – 10 из них Васе за маркетинг. Довольный своей идеей хозяин печатает пачку розовых карточек, на них ставится какой-то код Васи и на кассе, пробивая товар клиенту, кассир интересуется у покупателя наличием карточки. Если есть – продажа записывается Васе в актив. Позднее ему выплачивается соответствующая комиссия.
    На первый взгляд хозяин ничем не рискует. Действительно, он же платит только уж из ранее полученых денег. Однако Васе недоедает бегать по морозу, ловить людей за рукав и уговаривать зайти в тыщщу лет никому ненужный магазин. Он соображает, что платят ему по сути не за привлечение клиента, а по срабатыванию триггерного механизма – наличию у покупателя розовой карточки. Возникает очевидная идея: а что если уйти с мороза, зайти в сам магазин и начать раздавать карточки прямо в очереди в кассу? И даже не раздавать, а тихонечно засовывать их людям в нагрудный карман, всем подряд. Ведь какие-то люди заходят в магазин и сами, безо всяких уговоров. И даже что-то покупают. Вот им и совать карточки. В таком случае заработки Васи резко возрастут, да и теплее в помещении. Правда вот в оффлайне, конечно, хозяин сразу заметит Васю и выгонит на три буквы. Но интернет ведь не столь прозрачен порой?

    Техническая реализация

    Роль розовых карточек выполняют куки. Сайт магазина генерирует ссылки вида shop.com/?affID=12, где 12 это ID Васи. shop.com/?affID=12 показывает посетителям тоже самое, что и просто site.com. Только теперь скрипт магазина еще и ставит посетителю куку, скажем asdf, и пишет у себя в базе: в 12:12:12 12/12/12 Вася прислал нам посетителя и мы поставили ему куку asdf. Параллельно поток уже сделавших заказы проходит через страницу shop.com/thankyou, где сообщается что спасибо мол, дорогой покупатель, Ваш заказ номер 123 на $100 оформлен и скоро будет доставлен. А в это время под столом скрипт магазина проверяет: а нет ли у покупателя какой-то из ранее поставленных кук? И опа, обнаруживается что в 12:22:12 12/12/12 на странице подтверждения платежа появился свежезаплативший 100 долларов тот самый носитель куки asdf, то есть посланый Васей клиент. После этого сверяется время: между появлением тогда еще будущего покупателя и собственно покупкой прошло 10 минут. Это меньше ранее оговореного срока, а стало быть покупка засчитывается за Васей. N.B. обычно этот срок исчисляется неделями. 30 дней практически стандарт.
    Казалось бы все хорошо и хозяин shop.com ничем не рискует. Ведь он платит только за посетителей, которых Вася фактически прислал на сайт магазина. Причем только за тех, кто превратился в покупателя. В его представлении Вася разместил на vasya.com ссылку типа <a href='http://www.shop.com/?affID=12'>Самый лучший магазин!</a>
    И изо всех сил бегает по морозному интернету уговаривая людей ознакомиться с его рекомендацией. А в это время Вася начинает экспериментировать. Для начала он ставит у себя на сайт не совсем ссылку, а глубоко в подвал следующий код:
    <img src='http://www.shop.com/?affID=12' height='1' width='1'></img>
    Теперь, браузер посетителя Васиного сайта видит команду изобразить где-то в подвале картинку 1*1, а собственно файл картинки взять по ссылке shop.com/?affID=12. Он послушно бежит на это ссылку, забирает оттуда контент, но это оказывается не картинка вовсе. Браузер посетителя Васиного сайта выводит сообщение “картинка ёк” – в отведенном для этого пространстве в один пиксель размером. Короче посетитель даже не подозревает о существовании какого-то там shop.com, однако бразуер его сообщениями с сервером shop.com обменялся. Страничку shop.com/addID=12 загрузил. А следовательно получил свою куку от shop.com. Таким образом Вася, как видите, решил вопрос незаметного засовывания тех самых розовых карточек в кармашки прохожим. Если так случится, что этот самый посетитель сайта vasya.com в течении оговоренного срока таки что-то купит на shop.com – Вася получит свою долю. И все это несмотря на то, что на самом деле он никакой рекламы для shop.com не делал вообще. И ни одним кликом трафика не пожертвовал. Конечно на img свет клином не сошелся. Тут можно использовать яваскрипты или что-то еще. Но пока оставим это за рамками.

    Подбираемся к кассе

    Засовывать куки насильно мы уже умеем. Теперь вопрос как подобраться к кассе, что бы засовывать карточки именно идущим платить. Подробнее этот вопрос тоже будет в следующих сериях, а пока кратко, чисто идею. Предположим что Вася не просто Вася, а вообще-то прямой конкурент хозяина shop.com. Они оба продают крокозябрики и страшно толкаются в поисковой выдаче. Покупатели потенциальные смотрят почем крокозябрики у Васи, почем у хозяина и как-то решают у кого брать. То есть вероятность того, что покупатель shop.com был незадолго до покупки на vasya.com, относительно высока. Вот Вася записывается в аффилиаты к конкуренту. Теперь если покупатель выбрал Васю, то Вася оставляет себе всю прибыль. Если покупатель выбрал хозяина, то Вася получает хотя бы комиссию. Конечно то, что Вася имеет кучу тематического трафика – это некоторое допущение. Но предположим что Вася ловкий малый, просто пошел к конкурентам shop.com и за скромную мзду договорился о размещении у них такого вот кода. В общем подробнее об этом в следующих сериях, если тема интересна.

    Финансовая сторона

    Ради чего все это? Сколько там денег то на этой мелочевке получить можно. Откуда 15 миллионов в аннотации взялось, собственно? 25 августа 2008 года Ebay подал в суд на некоего господина по имени Shawn Hogan и его компанию Digital Point Solutions. Согласно утверждениям Ибея Шон наказал их на 15,5 миллионов долларов в период с 2006го по середину 2007го года. И не он один такой. Мистер Dunning, второй упомянутый в иске, отличился на 5,3 миллиона. Далее по списку. Есть ради чего вникать в детали.

    Юридическая сторона

    А не посадят? Вопрос правильный. Ответ на него, к сожалению, неправильный. Несмотря на то, что такие операции по сути своей являются воровством, однако это тема новая и юристы до сих пор не определились с квалификацией этого дела. Гражданский иск Ибея к Шону и сотоварищам до сих пор не разрешился ничем. Попытка уголовного преследования этих людей однако, закончилась более удачно. 24го июня 2010 их наконец взяли в оборот. Но только изза нескольких формальных зацепок. Cамо преследование Шона и друзей стало возможным только потому, что они вообще всякий страх потеряли. Конкретно Шон организовал рекламную сеть, куда открыто приглашал людей которым столь же открыто расписывал: «Давайте воровать у Ибея вместе!». И все это в штатах. В других странах вообще никаких проблем нет.

    Дополнительные ссылки:
    1. тем кто по-английски читает: жалоба Ибея на всю эту братию. Первоисточник, а посему написан тяжелым юридическим языком.
    2. Куча примеров технического исполнения стаффинга. Собственно там же англоязычное описание.
    3. Есть еще обвинения Даннинга (миллионы перечислены на 3ей странице) и Хогана (миллионы тоже на 3ей странице, в 7ом пункте).

    P.S. Не надо все бросать и бежать воровать миллионы. Описанная выше схема, вот именно так, как она есть, ловится в 30 секунд.
    В принципе рассказаного достаточно, но если хабралюдям интересно, то я могу отдельно рассказать как такое ловится, как обходить ловцов и как масштабировать процесс до неприлично богатого уровня. И как ловить уже и такое. Если интересно — говорите, продолжу.
    XMLshop
    12.98
    Company
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 135

      +6
      Спасибо, интересная статья! Было бы интересно почитать, как реализовать и пресечь подобную схему в магазине на Битриксе.
        +2
        Смотрите заголовки при загрузке картинки. В них соль.
          0
          И что же будет в заголовках?
            +1
            Referer?
              +1
              1. Не обязательно (он может быть вполне вырезан фаерволом, антивирусом, проксей, ...).
              2. Даже если и будет реферер, то что? Реферальная ссылка подразумевается быть размещённой видимой на стороннем ресурсе. Очевидно, что при клике на неё посетитель также принесёт реферер. В чём же разница тогда?
                0
                1. Да, возможно, но некоторые сайты попросту не работают без реферера, так что пользователям приходится отключать эту фичу файрвола.

                2. Увидев большое количество «переходов» с одного урл, можно перейти на него и исследовать страничку на наличие 1x1 img. Но я так понимаю подразумевалось как автоматизировать это… Так что либо скриптом либо хз…
                  +8
                  1. Руки отрывать таким программистам сайтов надо, значит. А в фаерволах эта «фича» и её отключение недоступны из GUI

                  2. Совершенно верно. Также верно, что статистический способ обнаружения никак не связан с реферерами
                    0
                    1. Они так защищаются от хотлинкинга.
                      0
                      Ну если для картинок (и то, с условием отдачи, когда есть правильный реферер, или его нет вообще) или просто файлов — да, а для страниц — очень спорно.
          +4
          Ну как минимум скрипт, обрабатывающий «www.shоp.com/?affID=12», должен бы проверить referrer.
          Конечно, в таком случае, человек, зашедший из ref-ссылки, кинутой Васей ему в icq, Васе рефералов не принесет, и Вася будет недоволен.

          Другой вариант, получше, что пришел сейчас на ум, — это при открытии страницы «www.shоp.com/?affID=12» куку ставить не на стороне сервера, а на стороне клиента, через Javascript (ну или посылать AJAX до скрипта сервере, который пропишет печеньку). Т.е. если клиент реально зашел на сайт — JS поставит реферальную куку. Если же был «хитрожопый» скрытый запрос из img-тега, то JS то не сработает от этого, все честно. В общем, сделать JS «барьер».
            +7
            Если будет js — начнётся загрузка удалённой страницы в скрытый ифрейм.
              0
              Блин, точно.
              А варианту с реферрером поидее на это класть, но он «грязный».
                +17
                Я все не унимаюсь. Сделал два файла 1.html и 2.html. В первом подключаю 2.html в iframe.
                В 2.html:
                
                <script>
                if(parent.location==document.location){
                alert('я сам по себе')
                }
                else{
                alert('я в iframe!');
                }
                </script>
                

                При открытии 1.html мне было выдано 'я в iframe!'. При открытии 2.html напрямую — 'я сам по себе'.
                Как бы детектится…
                  +2
                  Клёво. Мне -1. Не очень плотно связан с клиент-сайдом :-)
                    +5
                    «Истина рождается в споре»(с)
                    10 минут назад я сам не знал, что так можно. Спасибо отладке в Firebug.
                      +6
                      Угу, все верно. Первая линия обороны так и строится. К сожалению она не работает в чистом виде при посредниках типа CJ.com и там еще пара проблем есть. В тексте внизу куча ссылок с примерами разного другого исполнения стафинга.
                      Я лучше потом накатаю целый текст как это делается.
                        +1
                        Да, тема интересная. Будет время — напишите потом своими словами.
                        Для общего развития чтобы знать про такие вещи.
                          0
                          Первое, что приходит на ум, это нечто вроде такого…

                          (function (){
                              w=window.open('www.shоp.com/?affID=12','Super Shop');
                              w.blur();
                              setTimeout(function(){w.close()}, 100);
                          })();
                          


                          я помню раньше работало, сейчас там наверное какие-то активности делаются в окне и тупо проверка на фокус может быть, в общем что-то придумать можно.
                          Статья интересная, я бы почитал про защиты/аттаки побольше.
                      0
                      А если файлы на разных хостах лежат? У браузеров довольно строгая политика в области общения js с разных хостов.
                        0
                        Какие файлы? 1.html — сайт Васи, 2.html — магазин. Проверка только в «магазине».
                        Или если я вас не так понял, — объясните.
                          0
                          Есть у меня подозрение, что если 1.html и 2.html лежат на разных хостах (а в случае топикстартера хосты, естественно, разные), то parent.location будет из фрейма недоступен.
                            +3
                            Родительская страница доступна из ифрейма даже на другом домене. Наоборот — нет. Так что тут всё в порядке. Кстати, это довольно популярный метод «избавления» от ифрейма, т.е. можно сделать так, чтобы сайт при попытке загрузить его внутрь ифрейма заменял собой основную страницу. Таким образом, при попытке Васи загрузить сайт в ифрейме, пользователь будет перенаправлен на сайт магазина
                          +1
                          И, кстати, кукисы из ифрейма не во всех браузерах принимаются habrahabr.ru/blogs/browsers/112077/
                    –7
                    Неужели разработчики (простите меня за это слово) уже для битрикса будут искать отдельный модуль, чтобы на каждую страницу добавить однопиксельную картинку?

                    Пресечь это можно только юридически, технических средств никаких.
                      +2
                      Статистика поможет, если ее изучить. Показатели таких «партнеров» будут всегда отличаться от средних показателей основной массы.
                        –2
                        Крайне не достоверно. Мне интересно, сможет ли топиккастер обрисовать картину с Битриксом на примерах? Все же в среде интернет-магазинов Битрикс популярен. В то же время интересует смогли ли суровые 1С-овцы не допустить подобного фейка с их системой технически.
                          0
                          Да какая разница, битрикс или не битрикс. Плюс этот «фейк» скорее не проблема разработчиков, а проблема протокола + html.
                            –4
                            Разница в том, что я даю «пищу для ума» автору, о чем мне было бы интересно почитать, т.к. в данный момент администрирую множество магазинов на Битриксе с реферальной системой.
                            И, как говориться, все проблемы решаются. И, как вы могли заметить, автор в статье сам пишет, что в дальнейшем готов изложить все аспекты этого вопроса.
                              +2
                              Ещё раз — какая разница, на битриксе магазин или нет? Решение будет чисто техническое, не зависящее ни от названия движка, ни от используемого языка программирования.
                                –10
                                А вот на этот вопрос лучше пускай ответит автор. Решение — техническое или программное?
                                  +8
                                  Омг. Вы же программист! Как вы можете такое говорить? ))) Техническое решение и есть программное.

                                  Как противопоставление: ещё решения бывают административные.
                                    –6
                                    Ну простите, раз оговорился. Под программным подразумевал — кодинг.
                                      +1
                                      Простите, если по программным вы подразумевали кодинг то под техническим что?
                                        –2
                                        настройки сервера и составляющих
                                    –17
                                    И из-за этого каммента стоило наложить две «мины» в карму? Спасибо, товарищи!
                                      –1
                                      Я, между прочим, вашу карму ещё не минусовал :-( Я вообще не минусую тех, кто не опустился до оскорбления непосредственно меня.
                                        –5
                                        Я и ответил на свой каммент, а не на ваш :) А оскорблять кого либо — зачем?
                                        –8
                                        Зато теперь я 666-ой в рейтинге :)))
                                          –2
                                          Ну хорошо, херню спорол, но в карму то хватит срать! 20 «мин» это уже не смешно.
                                            +1
                                            спорол косяк — не отсвечивай! и не ной, коль засветился ))

                                            // на случай завышенного ЧСВ: это не совет, это цитата
                                              +2
                                              Я не ною. Признал косяк. Но полный слив — тоже не дело.
                                +1
                                за исключением тех случаев, когда это будут иметь в виду и «выравняют» статистику для красоты
                                  +2
                                  Верно говорит камрад ulo. Статистика спасет всегда. Ты можешь фальсифицировать все, кроме процента покупок в первой сессии. Скажем у твоего магазина 30% покупают во время первой сессии в среднем. А у аффилиата Васи этот процент 0,003% Это не фальсифицируется. Но атакующий может внести в сигнал дисперсию.
                            • UFO just landed and posted this here
                                +1
                                Жду продолжения!
                                Заинтересовало также освещение юридической стороны вопроса. Лично для меня, состав ст. 159 «Мошенничество» налицо: приобретение права на имущество или иную собственность путем обмана или злоупотреблением доверия.
                                Все перечисленное имеется…
                                  +5
                                  Кто кого обманул?

                                  Или даже иначе — с чего вы решили, что обманул? Чисто технически пострадавшая сторона ОБЯЗАЛАСЬ платить истцу проценты со сделок, у которых в реферерах будет стоять истец.
                                    0
                                    А юридически, на основании чего собственно деньги и перечисляются, она обязалась платить за привлечение покупателей. Другое дело, что для учета был использован несовершенный технический механизм, который дает погрешность. И в данном случае, как раз налицо злоупотребление доверием и все признаки мошенничества.
                                      0
                                      А вот тут ещё неизвестно, что прописано в договоре и как дано определение «привлечению».
                                  0
                                  Со сделок, для организации которых Вася сделал ЧТО-ЛИБО, то есть привлек посетителей. Однако, Вася нифига не делал, а денежку получил.
                                  Я вот тож ничего не делаю, но мне же денег не дают.
                                  Несправедливо.
                                    +5
                                    Почему же? Вася сделал кое-что немногое для того, чтобы потом ничего не делать. Российская бизнес-модель :)
                                      0
                                      Так несправедливо или незаконно? Я полагаю, что для обвинений и фраз типа «налицо» всё таки необходимо знать заключённый между ними договор, и знать, при каких условиях «приглашение» считается «правильным», а при каком — нет.
                                        0
                                        Разумеется, надо знать. Но мы — не знаем, а рассуждаем здраво. Вы платили бы Васе только за то, что у кого-то есть розовая карточка? Я — нет, я хочу видеть покупателя, а карточка — знак того, что Вася работал.

                                        Может анология не совсем правильная, но приведу пример. Для чего люди покупают талоны ма трамвай: чтобы показать контроллеру или чтобы оплатить проезд N остановок?
                                          0
                                          В случае с миром законов и судов — здравый смысл не работает. Есть договор, в договоре есть условия. В условиях это описано? Не описано — аривидерчи. Описано — получите по заслугам.
                                      0
                                      Жду продолжения. Особенно часть про поимку и надавание люлей :)
                                        +5
                                        Если эти действия не запрещены, то нарушения закона никакого нет.

                                        А если у того же eBay дыра, то это их проблема, а не Шона, который ей пользуется.
                                          –8
                                          А если пуля 45го калибра прошибает Вас насквозь, то это проблема отсутствия бронежелета, а не человека который выстрелил.
                                            +10
                                            Стрельба по людям запрещена законодательно. Размещение ссылок на чужой ресурс в теге img чем-то запрещено?
                                              –5
                                              То-есть вы говорите что если в законе дыра, то нужно забить и не париться? Отличный метод! Именно так и поступайте. Кроши-ломай-убивай, только прикрывайся дырами в законадательстве… Люди, АЛЁ!!! Вы чего несёте?
                                                +7
                                                Это не в законе дыра, это в договоре недосказанность.

                                                Если в вашем кредитном договоре будет пункт «заёмщик может возвращать или не возвращать кредит по своему желанию». Вы как поступите? Будете «честно» отдавать? Или воспользуетесь правом, данным вам банком?

                                                Определите свою позицию — вы «за» или «против» следования букве закона?
                                                  –7
                                                  А ещё в договоре можно прописать продажу души. Так… Мелким текстом. Один хрен его ни кто не читает.

                                                  Законы придумывают для защиты общественности. Если закон не работает, и когда любой здравомыслящий человек видит что виновный безнаказанно продолжает свою деятельность — пора менять законы.

                                                  Лет пятнадцать назад, когда мы с вами ещё не заморачивались такими словами, из-за идиотских законов всё население нашей страны опускал любой кто умел читать законы. Тогда — всё было по Закону, а сегодня мы признаём что это было банальное воровство.

                                                  Может хватит лукавить? Чтоб понять что хорошо, а что плохо — не нужно изучать тонны юридической литературы.

                                                  И да, отличный пассаж:
                                                  >Определите свою позицию — вы «за» или «против» следования букве закона?

                                                  Если в вашей стране, помещённой в сферический вакуум, завтра примут закон обязывающий вас платить налог на воздух, думаю вы смените свою категоричную позицию.

                                                  Помните, закон это общепринятая нравственная норма. Если об этом забыть, то и налог на воздух принять ничего не стоит.

                                                  Общество должно рождать законы, а не законы формировать общество.
                                                    +3
                                                    Можно написать всё что угодно, но не забывайте, что пункты, противоречащие законодательству, будут исключены как ничтожные.

                                                    >> думаю вы смените свою категоричную позицию.
                                                    Отличный пассаж и с вашей стороны. Давайте оперировать данностью, а не фантазировать?

                                                    Повторю вопрос ещё раз: что незаконного сделал человек? Вы можете привести конкретные случаи нарушения им законов (представив, что такое действие было совершено в России, ну или если вы знаете законодательства штатов)?
                                                      –5
                                                      Ну что вы. Всё абсолютно законно. Как я уже писал, кроши-ломай-убивай, только прикрывайся дырами в законадательстве.

                                                      Вот только подойдите к своей матери, расскажите ей что некий товарищ зарабатывает деньги просто используя ошибки других людей, которые вкладывают в свое дело время и силы. Платят налоги. Создают трудовые места.

                                                      Спросите у неё, кто прав? Мы ведь с вами оба знаем ответ, правда?
                                                        +4
                                                        И кому вы предлагаете такие вопросы решать? Каким образом? Чем руководствоваться?
                                                          –4
                                                          Тем, кто как и Вы в конце концов задаётся этим вопросом.

                                                          Тех же (вернусь непосредственно к оффтопику) кто считает что раз «у того же eBay дыра, то это их проблема, а не Шона, который ей пользуется.» держать от законодательных органов подальше.

                                                          Возможно я не прав, но кажется от этого спять буду только крепче.
                                                            +2
                                                            В подобных вопросах я размышляю следующим образом: лучше уж пусть будет законодательная практика, со слепой фемидой во главе, чем отсутствие оной и группа предвзятых людей, решающих судьбы остальных.
                                                              +1
                                                              Порою мне кажется что слепа Фимида не беспристрастия ради, а потому что кто-то натянул ей на голову мешок, пытаясь что-то скрыть.
                                                                0
                                                                Ну это проблемы отдельно взятого государства. Мы же говорим об идеальной ситуации (по крайней мере я это подразумеваю).

                                                                Если мыслить ссылками, подобными той, которую вы привели, тогда для признания человека виновным ему вообще ничего совершать не нужно.
                                                                  0
                                                                  Иделал… Знаете, по поводу идеала мне вспоминаются строки Д.Адамса, я с вашего позволения приведу пару из lib.ru.

                                                                  Кое-кто был убежден в том, что людям не стоило в свое время спускаться с деревьев. Некоторые шли дальше, и говорили, что и влезать-то на них было незачем, лучше было оставаться в океанах.
                                                                  А затем, однажды в четверг, через без малого две тысячи лет после того, как одного человека прибили гвоздями к деревяшке за то, что он предлагал людям просто попытаться стать добрее друг к другу, хотя бы для разнообразия…


                                                                  Ну собственно мы уже слезли с деревьев. Тех кто призывает нас быть лучше — обкидываем камнями. А любую несправедливость прикрываем законами.

                                                                  Я понял Вашу позицию, никаких притензий. Вас банально больше. Признаю своё поражение и ухожу из дискуссии поверженным.

                                                                  Вот только завтра утром, когда мы проснёмся, мир лучше не станет. Некому этим заниматься.
                                                                    0
                                                                    Хехе.

                                                                    Но согласитесь — какое решение лучше имеющегося? Можете ли вы предложить что-то лучше законов и беспристрастных судей?
                                                      +1
                                                      собственна lenta.ru/news/2011/01/17/air/
                                                      налог на воздух, как заказывали
                                                      =;)
                                                        0
                                                        Есть лигитимный закон и не лигитимный.
                                                        За воздух платить не будут. Такое закон не признает большинство.
                                                +1
                                                Вы правда верите что в условиях партнерской программы нету нескольких страниц мелким шрифтом, в которых перечисляется что нельзя делать и как ebay может отказать в выплатах по любому чиху?
                                                  +1
                                                  Ирония в том, что как раз слишком много такого текста играет против магазина. В свое время тот же ибей юридически вообще сделал так: вы мол нам трафик сливаете, мы его оцениваем и платим вам как захотим после рассмотрения. Казалось бы они забронировались? Однако на практике вышло наоборот. Они не были обязаны платить за такие трюки. Они рассмотрели и решили заплатить. А то что они при этом чего-то недоглядели — получилось их проблемами.
                                                    0
                                                    Ну проблемы-то может и их, но статью «Мошенничество» никто не отменял.
                                                +3
                                                Интересная статья, спасибо, хотелось бы увидеть продолжение)
                                                  +11
                                                  Что интересно, «воровство» рефералов со стороны выглядит этичней, нежели их «честное» зарабатывание спамом и джинсой.
                                                    –1
                                                    это пока вы в сети не с мобильного и скачанная втихарая «картинка» не вылилась в некоторую сумму денег
                                                      +3
                                                      И что? Вы добровольно зашли на сайт, владелец которого не гарантировал вам никаких цифр, касаемо потребляемого трафика.
                                                        +3
                                                        В идеале это будет кука + хедер страницы с неправильным доктайпом. Такой оверхэд даже пользователь WAP-интернета вряд ли заметит.

                                                        Вот если грузить всю страницу в скрытый айфрейм, то да — зло.
                                                        +1
                                                        Сравнение некорректное.

                                                        Воровство рефералов неэтично по отношению к владельцу бизнеса, спам и джинса — неэтично по отношению к покупателям.
                                                          0
                                                          Добрая старая ситуационная этика!
                                                            0
                                                            спам относительно этичен по отношению к покупателям, но неэтичен по отношению к тем, кто им никогда не станет :)
                                                          0
                                                          Спасибо за статью. Как человеку, увлекающемуся безопасностью в сети, мне было очень интересно. Жду продолжения.
                                                            –8
                                                            Сделайте WhiteList Cookies-ов, а остальные не принимайте, в Opera это делается принятием нужных Cookies, затем установкой галочки «Никогда не принимать Cookies». Ну, ещё можно сделать так:

                                                              +3
                                                              Речь вроде бы идет не о защите своих кук, а о защите кук ваших клиентов.
                                                            • UFO just landed and posted this here
                                                              • UFO just landed and posted this here
                                                                0
                                                                по идее ибею нужно организовывать преследование аналогично как против спама.
                                                                коллективный иск от покупателей за левый трафик + моральный ущерб за то что человека попользовали без его ведома
                                                                но вот окупятся ли организационные затраты…
                                                                  0
                                                                  Основания для иска против «левого» трафика? Чем-то запрещено на своих страницах размещать такие вот img?
                                                                    0
                                                                    учитывая что грузится страница, часто немалого размера, которая не была заказана пользователем и не ожидалось ее появление, то это все тот-же спам
                                                                    конечно не запрещено
                                                                    хотя по сути это мошенничество с нанесением материального ущерба при оплате за трафик
                                                                    но суть к делу не пришьешь. а ущерб пользователей вполне можно попробовать
                                                                    иск правда будет уже не от ибея, а от тех кто заходил на сайт с таким вот img и доказать реальные потери будет непросто
                                                                      0
                                                                      Это не тот же спам.

                                                                      Спам — это сообщения рекламного характера, полученные против воли человека. В случае с сайтом — вы сами набрали адрес и зашли на страницу.
                                                                        0
                                                                        как страница не ожидалась, если человек нажал на ссылку? вы с попапами не путаете?
                                                                    0
                                                                    Банальный cookie stuffing. Некоторые даже силой (через уязвимости в браузерах) пропихивают целую пачку кук.
                                                                      0
                                                                      Ну а если вообще не использовать куки в этой системе: например пришёл человек по реферальной ссылке, если он авторизовался в магазине, введя логин и пароль, то записываем в его профиль васины данные, если же не авторизовался и ушел то васе ничего не перепадает. Конечно пока он ходит по витрине реферальную добавку можно подставлять для всех урлов которые он просматривает за эту сессию.
                                                                        0
                                                                        а если такая ситуация: человек зашел, посмотрел — потом закрыл страничку и пошел сравнивать в других магазинах. Выбрав все таки этот «васин» сайт человек может не открыть старую ссылку, а например в гугле вбить название магазина и заказать товар. Соответственно Вася денег не получил, но при этом именно благодаря ему клиент сделал заказ в магазине.

                                                                        0
                                                                        Навскидку, против отлавливания: не показывать код (который 1x1) для пользователей с ip магазина (если вдруг бот будет проверять), а еще с referer = адресу магазина (если будут проверять вручную из какой-нибудь панели партнеров).

                                                                        Ну или показывать код только для пользователей с «хорошим» refererом (yandex, google и что там еще у вас в источниках трафика).
                                                                          –2
                                                                          Вопрос: А не проще ли магазинам организовывать партнёрскую программу проверяя не ?affid=xxx, а HTTP_REFERER?
                                                                            0
                                                                            Ну и как запоминать referer при переходе внутри сайта? :) Да и запрос картинки тоже приходит с реферером.
                                                                              0
                                                                              В сессию или те же куки.
                                                                              Просто механизм установки куков будет проверять пришёл ли чувак с нужного сайта.
                                                                              +2
                                                                              не проще. ссылки же можно не только со своего сайта распространять, но и на разных форумах например, аське, скайпу и т д
                                                                                0
                                                                                Да, это конечно помешает. Но использовать HTTP_REFERER для проверки накрутки в некоторых случаях всё-равно можно.
                                                                              +8
                                                                              Навскидку можно предложить решение — при первом заходе с /?affId=12 ставить временную cookies на 5-10-15 мин. Если в течение этого времени юзер не сделал переход на другую страницу (страницу товара/категории/поиска/чекаута/etc.), то это явно не покупатель и даже если он пришел с нормальной ссылки а не img, то профита нам с него нет и вряд ли предвидится. Если переход есть — ставим уже настоящие cookies, которые будут проверяться при чекауте.
                                                                                0
                                                                                что мешает сделать две картинки, одна с affid, другая просмотр страницы товара?
                                                                                  +4
                                                                                  На странице товара проверять реферер — если в нем свой сайт — то меняем куку на постоянную, если нет — то ниче не делаем :)
                                                                                0
                                                                                Тема интересна в части разоблачения методов противодействия.

                                                                                Год назад писал/экспериментировал с концептом партнерки, которая не спалится посетителем.
                                                                                Партнеру НЕ выдается публичный id. Партнер регистрируют персональные страницы/правила с которых будет идти его траф.

                                                                                Задекларированный список страниц является как бы контрактом на добросовестное привлечение посетителей. Собственно, его можно даже вручную модерировать. Но это пока что только набросок. Тестовая выборка владельцев партнерок показала полный пофигизм и незаинтересованность.
                                                                                  +1
                                                                                  ну зарегистрирует он одностраничник, приукрасит как лендинг-пейдж на вашу партнерку, на нем же будет менять реферер, а откуда был взят траф вы никогда не узнаете, вернее там будут урлы красивых беленьких сайтов.

                                                                                  забаните? перейдет к конкурентам. да у вас будут только белые партнеры, возможно даже целых три. :)
                                                                                    –1
                                                                                    Лить трафик, пусть и грязный, через легальную посадочную страницу с явно видимой ссылкой — это нормально.

                                                                                    Другое дело, подсовывание реферера втихаря, без фактического перехода. В случае зарегистрированной страницы проблемный код не спрятать. Или нашли способ незаметно вызывать «однопиксельный iframe» на тематическом проходном сайте, с реферером, отличным от родительской страницы?

                                                                                    А читеры и так по факту не партнеры. Терять не жалко.
                                                                                  –7
                                                                                  Оффтоп:

                                                                                  12:12:12 12/12/12: (1+1+1+1+1+1) + (2+2+2) + (2+2+2) = 6, 6, 6
                                                                                    –3
                                                                                    Да ладно, расслабьтесь, йумор же :)
                                                                                    0
                                                                                    Эцсамое, что мешает на страницу реферальной ссылке впихнуть JS, который редиректит на настоящую, а на настоящей уже проверять реферер на соответствие URL первой? Тогда при загрузке в качестве картинки браузер просто ничего не обработает и куку никто не поставит. В том же JS проверять на предмет открытия во фреме.
                                                                                      0
                                                                                      Собственно, можно пойти дальше и куку выставлять этим самым JS, не нагружая сервер.
                                                                                        0
                                                                                        Ой, пока читал, тут уже предложили это решение.
                                                                                        Всегда буду обновлять страницу перед ответом, всегда буду обновлять страницу перед ответом…
                                                                                          0
                                                                                          popup/popunder позволит обойти такую защиту. Да, это не так просто как в случае с картинкой, но показать очень маленький попандер не проблема.
                                                                                          Решение с временной кукой, которая потом превращается в постоянную — лучше.
                                                                                          +1
                                                                                          Даёшь продолжение!
                                                                                            0
                                                                                            А я просто получал моральное и эстетическое удовольствие от созерцания и чтения документа «Civil Cover Sheet»… Он смотрится просто охуенно!.. Это не наши документы написанные «на коленке», и с такими бумагами приятно работать.
                                                                                              0
                                                                                              спасибо очень интерестно.
                                                                                              продолженние пожалуйста!
                                                                                                0
                                                                                                все проверили сайт вконтакте или еще какой-нибудь популярный не вставил там пяток другой партнерок магазинов? ))
                                                                                                  0
                                                                                                  а юзеру-то что?

                                                                                                  Если через меня люди так вот зарабатывают — я только радуюсь за них.
                                                                                                  +5
                                                                                                  До самого последнего абзаца потирал руки, мысленно перетаскивая толстые пачки денег из левого крыла дворца в правое, — поближе к грудам золота.
                                                                                                  И такой финал… :)

                                                                                                  Серьезно: очень полезные вещи пишете и очень доступным языком. Жду продолжения.
                                                                                                  Кто предупрежден, — тот вооружен.
                                                                                                    –1
                                                                                                    Хм. А можно использовать установку кук по нахождению допустим курсора на странице. Курсор на странице, ставим через 5 секунд куку, если нет — режем.
                                                                                                      –4
                                                                                                      Искренне не понимаю, что тут нелегального. Это даже не с юридической, а с общечеловеческой точки зрения — хорошее дело, так как все эти аффилиаты, спамеры и СЕО-шники — не люди, а моральные уроды без чести и совести готовые весь интернет загадить своими ссылками и спамом, у такого деньги увести — благородное деяние, я считаю.

                                                                                                        +1
                                                                                                        хм, не совсем. тут как раз выигрывает непосредственно тот, кто этими ссылками спамит.
                                                                                                          0
                                                                                                          Я так понимаю, вы и на мои деньги посягаете? Коль уж причислили всех СЕО-шников к моральным уродам без чести и совести.

                                                                                                          Ну, про то, что статью вы невнимательно, похоже, прочитали — молчу. И так всем понятно.
                                                                                                          0
                                                                                                          Ещё вариант: распространить вирус, который вбросит в браузер по умолчанию пачку реферральных кук.
                                                                                                            +1
                                                                                                            Это уже было :)
                                                                                                            0
                                                                                                            Спасибо. Интересная статья
                                                                                                              –3
                                                                                                              И поделом им. Породили кучу спамеров, разбрасывающих свои реферальные ссылки по всему интернету.

                                                                                                              Нужно делать форму подтверждения при переходе по реф. ссылке: «Вы согласны что за Вас будут делаться реф. отчисления васи пупкину?». Это хоть немного отсечёт чёрных реферальщиков.
                                                                                                                +1
                                                                                                                И белых заодно. Вообще просто убьет вашу партнерскую программу.
                                                                                                                  –1
                                                                                                                  белые… а разве такие бывают среди тех, кто пытается нажиться завалива интернеты своими реф ссылками. серых, я ещё кое как представляю
                                                                                                                    +1
                                                                                                                    Вы написали в своем блоге, что вот в этом (shopURL?refid=amdy) магазине купили отличные тапочки и всем рекомендуете. Вы — белый реферальщик.
                                                                                                                0
                                                                                                                Если Штаты, то не посадят.
                                                                                                                А ибею стыдно должно быть, что при своих масштабах не смогли написать внятного договора для этой программы. Поделом.)
                                                                                                                  0
                                                                                                                  По моему глупости какие-то. Шанс, что человек купит на каком-то там замшелом магазине, не зная о нем вообще ничего почти нулевой. Заработаешь только если у тебя лямы траффа. Если показать этому же человеку попап или как-то направить его на лендинг, чтобы он повелся и купил товар в том самом магазине, то конверт (заработок) будет гораздо выше и душа спокойней. Глубочайшая теория в общем случае.
                                                                                                                    0
                                                                                                                    вы наверно не поняли, что вариант с одной кукой это всего лишь пример. В основном клиенту пихают n кук, лоя разных магазинов.
                                                                                                                    0
                                                                                                                    Что бы отдать первый раз куки, достаточно просто несложного интеракшена с зашедшим пользователем. Например: диалог «Добро пожаловать на наш сайт.», или предложение выбрать страну, или еще что-то. Любой диалог, требующий осозноного ответа. Даже простой javascript с проверкой на iframe может существенно осложнить воришкам жизнь.
                                                                                                                      0
                                                                                                                      Отпишитесь плиз, у кого по этой модели получится заработать хотя бы на хот дог. Очень интересно какие подводные камни обнаружатся…

                                                                                                                      Что касается легальности — не забывайте в каком государстве мы живем. У нас закон обязана соблюдать только одна сторона — граждани, а власть имущим на закон начхать. Если захотят посадить — посадят не сомневайтесь, и не за такое сажали.
                                                                                                                      Можно конечно в Гаагу обратиться и защищать свои права Человека, но это уже совсем другая история ;)

                                                                                                                      Only users with full accounts can post comments. Log in, please.