Turbopages org что такое
Перейти к содержимому

Turbopages org что такое

  • автор:

РСЯ и AdFox. Вопросы к Яндексу

Luka172 #:
Сегодня во время посещения пенсионного фонда я был весьма удивлён тем, что я числюсь у них как работник Яндекса. По датам я понял что это произошло после регистрации в РСЯ. Действительно ли что все кто вступил в РСЯ являются сотрудниками Яндекса?

Dambo #:
Да, у меня тоже там стоит место работы ООО Яндекс или типа того.

Добрый день! Партнеры РСЯ не являются сотрудниками Яндекса, сотрудничество осуществляется в рамках гражданско-правового договора на оказание технических услуг. До заключения договора мы рекомендуем партнерам уточнить в органах или организациях страны, резидентом которой является партнер, информацию о том, сохранятся ли выплаты (пенсий, пособий, субсидий и т.п.), если партнер начнет получать вознаграждение по договору. Эта информация есть в разделе «Льготы и пособия» Справки РСЯ. Посмотрите, пожалуйста: https://yandex.ru/support/partner2/payments/with-individuals.html#with-individuals__compensations-and-benefits

  • yandex.ru

Заполните анкету: Форма сотрудничества — физическое лицо. Данные для регистрации в РСЯ После заполнения анкеты вы получите доступ в интерфейс РСЯ. Вы сможете создавать и размещать рекламные блоки. Как только мы рассмотрим вашу анкету, вы получите уведомление по электронной почте. С этого момента начнется учет кликов и показов на вашей площадке.

Турбо-страницы: вопросы к Яндексу

garry69 #:
Роман, здравствуйте. Вскоре состоится принудительные перевод всех в гугл аналитике на GA4. Уже и счетчик вывесили с оставшимися днями. Появится ли возможность использовать GA4 на турбо страницах?

garry69 #:
Роман, здравствуйте. Нет информации по использованию GA4 на турбо страницах? Остался один день и данные прекратят собираться со старой версии. Если пока нет информации, надо ли удалять из панели вебмастера номер старого счетчика или пусть висит и это не создаст проблем?

Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.

Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4.

На сайте с 12.07.2007
3 июля 2023, 13:48
Роман Кузьминский #:

Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.

Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4.

Здравствуйте, спасибо за ответ и функцию.
Заменил в вебмастере на идентификатор ga4, постараюсь проверить.

На сайте с 12.07.2007
3 июля 2023, 14:12
Роман Кузьминский #:

Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.

Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4

После смены на идентификатор в панеле вебмастера. Не вижу в статистике.
На сайте с 12.07.2007
3 июля 2023, 15:23
Роман Кузьминский #:

Здравствуйте. Для турбо-страниц по адресу *.turbopages.org/ уже можно использовать GA4. Проверьте, пожалуйста.

Некоторое время будем поддерживать на Турбо-страницах и новую и старую версию счётчика. В настройках Google Analytics можно будет переключится с GA на GA4.

Роман, перепроверил на новой статье. Данные не поступают. 1. Заменил в вебмастере номер старого счетчика на идентификатор ga4
2. На сайте ga4 и показывает стату.
3. Новый пост попал в турбо.
4. Данные не поступают в стату.
Старый счетчик уже не вернуть по быстрому, что подскажете?

Open Redirect на Яндексе. Часть вторая

Здравствуйте, дорогие хабровчане. Это вторая часть статьи про уязвимость Open Redirect страницы аутентификации Яндекса. Первая часть здесь.

На этот раз я расскажу, как получилось сделать честный редирект на внешний ресурс.

Важное примечание: я спросил разрешения у службы информационной безопасности Яндекса на описание этой потенциальной уязвимости, и получил на это разрешение.

Яндекс всё таки признал, что этот метод можно использовать в зловредных целях. Однако решил, что с точки зрения безопасности подобный баг не представляет большой угрозы. Про аргументы и причины можно прочитать под катом, также как и про доводы автора. По этому поводу добавил опрос в конце поста, любопытно узнать мнение сообщества.

Вкратце напомню, что было в первой части. Я исследовал на уязвимости редирект страницы аутентификации https://passport.yandex.ru/auth/welcome?retpath=. и заметил, что переменную retpath можно использовать для редиректа на внешний ресурс, если проксировать запрос через яндекс-переводчик.

Суть в том, что retpath реагирует только на доменные имена Яндекса — yandex.ru , dzen.ru , kinopoisk.ru и т.д., однако это ограничение можно обойти, если использовать переход на страницу с капчей, которая как раз находится в нужном нам домене https://translate.yandex.ru/showcaptcha?mt=. . Таким образом, мне удалось добиться перехода на домен translated.turbopages.org , который и является прокси-сервером через переводчик, retpath его также отбраковывает как внешний ресурс.

Хорошо заметен баннер переводчика сверху и отличная от загруженной ссылки адресная строка в браузере.

После того, как я описал это службе безопасности Яндекса, получил ответ, что переход на translated.turbopages.org это не круто и Open Redirect не входит в скоуп программы bug bounty. Денег мы вам не заплатим, но если сможете сделать честный редирект на внешний ресурс, то так уж и быть, добавим вас в зал славы.

Тут нужно сделать небольшое отступление. Не так давно, буквально полмесяца назад от публикации этой статьи, злоумышленники взломали телеграм известного дизайнера и блогера Артемия Лебедева, о чём он сам и сообщил в своём видео (осторожно, ненормативная лексика!).

Самое примечательное, это как он описывает сам процесс, а именно:

  1. Сперва пришла ссылка в письме с просьбой выгрузить статистику канала;
  2. Он её проверил(!) и посмотрел, что ссылка с известного и правильного домена, который он хорошо знал;
  3. Далее, уже после перехода по этой ссылке, его попросили ввести логин/пароль, мобильный телефон, код из смс и т.д.

Не то, чтобы я точно знал, но можно предположить с большой долей уверенности, что это и был фишинг. А теперь представьте на секунду, что вам приходит ссылка с предложением чего-нибудь с домена passport.yandex.ru и просьбой аутентификации… дальше продолжать не буду, как видно, это вполне рабочий метод. Вот тут у меня и возникает вопрос, почему в Яндексе подобную уязвимость не считают существенной (текст ответного письма будет опубликован далее).

И так продолжу разбирать саму уязвимость. То, что было описано в первой части — это по сути первый шаг, т.е. возможность с домена yandex.ru перейти на прокси-сервер переводчика.

Оставалось ещё сделать второй и третий шаги, т.е. — выйти за пределы переводчика (прокси-сервера) и связать переход со страницы аутентификации с этим выходом.

Второй шаг решился довольно просто, как известно в интернете есть очень популярный сайт, который делает честный редирект, это google.com.

Обратите внимание, что в ссылке домен google.com , но ведёт она на ru.wikipedia.org

Посмотреть полную google ссылку…

Шаг третий — оказался очень простым. В сущности, всё, что описывается в первой части статьи нужно проделать, только в качестве внешнего ресурса — использовать нашу google ссылку.

В итоге получаем чистый переход на внешний ресурс!

Посмотреть полную Open Redirect ссылку.

Итак, как это можно использовать? Будь я чёрной шляпой, скорее всего, создал бы клон страницы аутентификации. После того, как жертва ввела бы правильные логин/пароль, retpath перевёл бы пользователя на мою фейковую страницу, на которой красными буквами было бы написано — “пароль не правильный, пожалуйста, введите его снова”. Частенько такое бывает, что пароль или логин не вводят правильно, думаю, что это не вызовет сильного подозрения.

Первый бонус: через какое-то время, примерно сутки, вводить капчу не требуется, т.е. можно сразу перевести пользователя на сайт злоумышленника.

Второй бонус: есть случай, когда регистрация на самом деле не нужна, т.к. на нашей странице аутентификации появляется ссылка “стрелочка назад”, которая сразу делает редирект.

Причём, эта стрелка появляется только тогда, года в retpath подставлен домен Яндекса.

Третий бонус: как только пользователь прошёл по Open Redirect ссылке, как бы он не регистрировался, любым из множества способов, он будет перенаправлен на сайт злоумышленника.

Более подробное описание шагов можно посмотреть в этом видео:

Письмо с ответом из Яндекса:

Мы решили добавить Вас в Зал Славы за этот месяц. Нас вдохновил Ваш исследовательский дух, однако стоит уточнить, что полноценным Open Redirect мы данную уязвимость всё ещё не считаем, и добавляем в зал славы Вас в качестве исключения. На это есть несколько причин.

Во-первых, для реализации этого сценария требуется 3 клика от пользователя (1 по самой ссылке, 1 на экране регистрации и 1 на капче), в то время как Open Redirect — это почти всегда 1 клик (иногда бывает и 0). Чем больше требуется user-interaction с пользователем, тем меньше значимость это уязвимости. Возвращаясь к текущему функционалу злоумышленнику будет проще воспользоваться укротителем ссылок и убедить пользователя, что он сделал это для его удобства, чем объяснять как и зачем ему нужно тыкать в текущем сценарии.

Во-вторых, этот функционал мы не будем исправлять. По крайней мере пока не понятно, как это сделать. Наша команда смогла придумать ещё один способ выхода за пределы домена translated.turbopages.org. А именно, использовать простенький javascipt-код, который бы делал document.location = “https://attacker.com/“ .

Тем не менее, благодарим Вас за проделанное исследование и ждём от Вас ещё репортов!

P.S. меня добавили в зал славы за июль 2023 года, и на том спасибо.

Turbopages org что такое

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Бесит turbopages.org

Обсуждение ПО и его настройки
4 сообщения • Страница 1 из 1
Ghostmasters Сообщения: 2 Зарегистрирован: 15 ноя 2021, 00:17

Доброго времени суток форумчане.
Лично меня раздражает, что тындекс направляет не на найденный сайт, а на турбо страницу turbopages.org.
Когда заходишь с телефона подключённого через вайвай.
Типо он экономит трафик и загружается быстрее. Но нафига это делать если я захожу с через вайвай домашний.
Скорости хватает в разы, экономить безлимитный интернет глупо.
Я вижу тут только одну причину: тындекс тупо ворует рекламу у владельцев сайтов.
В связи с этим возник вопрос: а можно средствами микротик при обнаружении направления на сайт турбо резать URL и перенаправлять на целевой сайт?
https://*.turbopages.org/turbo/адрес страницы.
Заранее спасибо.
В настройках микротика новичок, так что прошу попроще отвечать.

Ghostmasters Сообщения: 2 Зарегистрирован: 15 ноя 2021, 00:17
Странно я думал тема будет актуальнее.
Ca6ko Сообщения: 1484 Зарегистрирован: 23 ноя 2018, 11:08 Откуда: Харкiв

Ghostmasters писал(а): ↑ 13 янв 2022, 12:02 меня раздражает, что тындекс направляет не на найденный сайт,

Вывод — не надо пользоваться тындексом

1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.

podarok66 Модератор Сообщения: 4349 Зарегистрирован: 11 фев 2012, 18:49 Откуда: МО
Ghostmasters писал(а): ↑ 17 янв 2022, 23:49 Странно я думал тема будет актуальнее.

Да как бы сложно даже понять, что вы хотите. Представьте, вы с мобилы заходите на яндекс, делаете запрос. Яндекс определяет, что запрос сделан с мобилы, и перенаправляет загрузку контента через турбопейдж. Где тут в цепочке Микрот как-то участвует? Он же не может Яндексу запретить что либо делать у себя на серверной стороне?
Нужно либо выключить ускорение загрузки в браузере ( вроде как есть такая галочка в них), либо попробовать грузить не мобильную версию страницы, а полную, либо сменить поисковик ( что предпочтительнее). Если же Микроту запретить загрузку с ресурса тербопейдж, вероятнее всего вы вообще ничего не загрузите.
Как-то так.

Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.

4 сообщения • Страница 1 из 1

  • Общие правила форума и полезная информация
  • FAQ (Для начинающих)
  • MikroTik RouterOS
  • ↳ Готовые конфигурации Mikrotik
  • ↳ Готовые скрипты Mikrotik
  • ↳ Обсуждение RouterOS
  • MikroTik RouterBOARD
  • ↳ Помощь в выборе оборудования
  • ↳ Примеры решений на оборудовании Mikrotik
  • MikroTik Dude
  • Платные услуги
  • ↳ Исполнители
  • ↳ Задания
  • Общие вопросы
  • ↳ РАБОТА
  • ↳ ВАКАНСИИ
  • ↳ РЕЗЮМЕ
  • ↳ НОВОСТИ
  • ↳ ИНСТРУМЕНТЫ И ПРИБОРЫ
  • ↳ КУРИЛКА
  • Барахолка
  • ↳ Куплю
  • ↳ Продам
  • ↳ Услуги
  • КОРЗИНА
Похожие публикации:
  1. Permissions controller что это за программа
  2. Закладки в телефоне где находятся самсунг
  3. Как встроить прототип figma в behance
  4. Почему пропал звук в кс го

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *