• Share on Facebook
  • Tweet This Post
  • Share on LinkedIn

Партнерство: Чи краде хтось ваше сookies?

Гостьовий постГостьовий пост
January 25, 2019

Примітка редактора: Це гостьовий пост від Гарі Стівенса, власника garystevenswriting.


Якщо представник партнерського маркетингу, швидше за все, ви вже чули про «поширення файлів cookie». Що ви, можливо, не чули, так це те, наскільки поширеною стала ця практика, і наскільки це може вплинути на ваш власний партнерський дохід. Якщо ви запускаєте сайт, який дозволяє відображення призначеного для користувача контенту, ви, ймовірно, стали жертвою цього методу, навіть якщо ви з ним ще не знайомі.

Якщо ви не представник партнерського маркетингу, а просто скромний інтернет-покупець, вам також варто знати, що таке файли «cookie» і як захистити себе від них. У кращому випадку така атака може уповільнити роботу вашого обладнання. У гіршому випадку ви ризикуєте втратити ваші особисті дані.

Що таке поширення файлів Cookie (Cookie stuffing)?

Щоб зрозуміти, що таке cookies, спочатку потрібно зробити крок назад і поглянути на історію партнерського маркетингу. Ця галузь існує вже майже 20 років і, по суті, дозволяє власникам веб-сайтів, які самі не продають продукти, заробляти гроші на тих, хто це робить.

Навіть якщо Ви не чули цей термін раніше, Ви, ймовірно, знайомі з сайтами, які працюють на цій основі. Ви знаєте всі ці оглядові сайти, які відвідуєте, коли досліджуєте, який новий смартфон купити? Більшість з них, ймовірно, є партнерськими сайтами. Кожен відгук буде містити пару посилань на Amazon або інший інтернет-магазин, який буде платити власнику сайту огляду за кожен перехід по посиланням і за кожну покупку, на яку вони посилаються.

Для відстеження користувачів і виплати партнерського прибутку більшість партнерських сайтів використовують файли cookie. Це невеликі файли, які зберігаються на вашому комп’ютері при відвідуванні веб-сайту і містять інформацію про те, звідки прийшов користувач Інтернету.

Якщо Ви використовуєте партнерський сайт, ви, ймовірно, знаєте про все це. Але Ви можете не знати, що деякі елементи Вашої власної сторінки можуть відправляти файли cookie користувачам і що вони можуть використовуватися або для виплати партнерського прибутку вашим конкурентам, або (в крайніх випадках) для перезапису «правильних» файлів cookie користувачів браузера.

Це те, що називається «поширенням файлів cookie» (cookie stuffing): поява незаконних файлів cookie на веб-сторінці без згоди власників сторінок.

Це законно?

Ну … це залежить від того, що ви маєте на увазі під словом «законно». Можливо, використання спливаючих вікон, які розповсюджені на партнерських сайтах, саме по собі є прикладом поширення cookie-файлів. Хоча більшість партнерських мереж дозволяють спливаючим рекламним оголошенням надсилати партнерські файли cookie, той факт, що ці оголошення не є частиною первісної веб-сторінки, означає, що вона фактично була «заповнена», хоча (в основному) за згодою.

З іншого боку, гроші, які можна заробити, запустивши схеми «заповнення» cookie-файлів, принесли окремим особам мільйони доларів, а деякі відбули за це значні тюремні строки. Більшість великих онлайн-магазинів використовують власні партнерські програми, eBay і Amazon є одними з найбільших, тому нелегальне отримання комісійних з цих сайтів є основною метою шахраїв.

Одним із прикладів є Шон Хоган, засновник і генеральний директор Digital Point Solutions, постачальник програмного забезпечення. Ще в 2006 році Шон був проголошений «героєм» журналу Wired за те, що захищав себе від звинувачення, висунутого Американською Асоціацією Кінематографічних Фільмів,яка стверджувала, що він незаконно завантажив фільм через мережу BitTorrent.

Падіння його статусу «героя» відбулося лише через два роки, коли в 2008 році eBay подав до суду на нього і двох співучастників, звинувативши їх у внесенні 28 мільйонів доларів через схему заповнення cookie-файлів. У 2010 році Хоган був звинувачений у дрібному шахрайстві та кримінальній конфіскації, а у 2014 році був засуджений до п’яти місяців у федеральній в’язниці, з виплатою штрафу у розмірі 25 000 доларів і три роки випробування.

Як це працює?

Схема Хогана працювала геніально. Він розробив два віджети, які самі пропонували користувачам корисну інформацію. Проте, коли ці віджети використовувалися, вони вставляли файли cookie у веб-браузери користувачів, включаючи ті, які вказували на взаємодію користувача з eBay. Коли ці самі користувачі в кінці опинялися на eBay, виявлялося, що Хоган мав відношення до них, і йому платили.

Хоча діяльність Хогана виявилася незаконною, варто зауважити, що вона є незаконною лише в тому сенсі, що порушувала угоду, яку Хоган уклав з eBay через свою партнерську схему. Теоретично немає нічого поганого у відправленні файлів cookie користувачів будь-якого типу, якщо вони не містять шкідливого коду.

Проблема для власників сайтів, а також для пересічного споживача полягає в тому, що багато частин веб-сторінки можуть використовуватися для доставки цих файлів cookie. . Серед найбільш поширених є iFrames, images, JS скрипти, Flash і навіть CSS.

Як правило, поширення файлів cookie відбувається двома способами. Найпростіший спосіб використовується на сайтах, на яких розміщено створений користувачем контент, де користувачі можуть публікувати різноманітні файли, які надають файли-cookie іншим користувачам. Менш поширеним, але потенційно більш небезпечним є те, що зловмисник отримує доступ до внутрішньої частини сайту і приховує несанкціоновані файли cookie в самому коді сайту.

Вбудований файл cookie може мати значні наслідки для власників сайтів і користувачів. Як правило, зловмисники намагатимуться відразу доставити десятки, можливо, сотні шахрайських файлів, щоб отримати якомога більше коштів.

Для власників сайтів ці шахрайські файли cookie можуть спричинити дві проблеми. Одна з них полягає в тому, що хтось інший отримуватиме плату за рекламу. По-друге, шахрайські файли cookie можуть перезаписати Ваші власні файли, що впливають на Ваш прибуток. Для користувачів наслідки можуть бути такими ж важкими, починаючи від блокування комп’ютерів і закінчуючи більш прямими спробами крадіжки особистої інформації.

Як цьому запобігти?

Тут, на жаль, не існує магії для зупинки поширення файлів cookie, адже ця практика тільки, здається, збільшилася в останні роки. Методи, які можна використовувати для захисту від проблеми, також залежать від того, чи є ви користувачем або партнерським маркетологом.

Пересічному користувачу важко уникнути шахрайських файлів cookie. Найважливішим кроком для захисту себе є безпечний перегляд, а також, багато заходів, які рекомендуються як загальна практика безпеки, допоможуть захиститися від поширення небезпечними файлами. Особливо важливим є використання браузера, який надає хороші функії безпеки, і регулярно очищає кеш cookie.

Зазвичай поширення шахрайських файлів cookie відбувається через інтерактивні частини Вашого сайту. Першим і найбільш поширеним є те, що Ваш сайт повинен бути побудований проти вторгнення. Це означає введення основних заходів безпеки, таких як https / SSL, VPN-протоколювання , та реалізація системи надійних паролів. Якщо хтось отримає доступ до сервера вашого сайту, вони можуть скористатися цим доступом, щоб заповнити його непотрібними файлами cookie, але чесно кажучи, якщо у зловмисника з’являється цей рівень доступу до файлів cookie, це буде найменшим Вашим турботами.

Зазвичай поширення шахрайських файлів cookie відбувається через інтерактивні частини Вашого сайту, зокрема дошки оголошень, доставляючи їх користувачам. Захист від цього, враховуючи діапазон елементів, які можуть бути використані таким чином, є дещо складним, але варто відзначити, що більшість шахрайських файлів cookie доставляються за допомогою різноманітних <img> variable. Як наслідок, ефективна оборона основних сайтів полягає лише в тому, щоб дозволити написання простого тексту на форумах.

Для більш повного захисту, або якщо Ви опинилися жертвою розвинутих схем поширення файлів cookie, вам потрібно буде впроваджувати програмні засоби, які перевіряють цілісність Вашого веб-сайту, і стежити за тим, як користувачі з ним взаємодіють.

Висновки

На жаль, поширення файлів cookie не демонструє жодних ознак того, що відбувається, і відносна простота таких афер означає, що ми, швидше за все, побачимо їх розповсюдження в найближчі роки. У певному сенсі, ця проблема створюється тим, як бізнес-модель партнерського маркетингу працює, оскільки важко передбачити спосіб виплати без відстеження прогалин безпеки. Як повідомив Марк Коен у «Нью-Йорк таймс» кілька років тому, «[а] філійований (партнерський) маркетинг має темну сторону: це може бути вірний шлях до шахрайства».

Однак це не обов’язково має бути так. Для користувачів веб-сайтів регулярне очищення кеш-файлів cookie може захистити від впливу шахрайських файлів cookie. Для партнерських маркетологів хитрість полягає в тому, щоб швидко визначити акаунти користувачів, які намагаються розмістити cookie на своєму веб-сайті, і негайно видалити їх. У кінцевому підсумку, запобігання поширенню файлів cookie вимагає техніки, яку будь-який відповідальний власник сайту зобов’язується виконувати: часто перевіряти контенту та виконувати належні процедури безпеки.

Гарі Стівенс – фронтенд розробник. Він – повноцінний блокчейн-майстер і волонтер, що працює в Фонді «Ethereum», а також активний співавтор «Github».

Зміст цієї статті, включаючи будь-яку інформацію, що стосується тарифів, комісій та інших платежів, є точним і дійсним лише на момент публікації. Крім того, зміни в чинному законодавстві, правилах, ринкових умовах або інших відповідних факторах можуть вплинути на точність згаданих тарифів і комісій та інших деталей. Відповідно, додатково уточнюється, що будь-яка інформація стосовно тарифів, комісій та інших платежів може змінюватися, і ви несете відповідальність за те, щоб переконатися, що ви переглядаєте найактуальнішу інформацію, яка вас стосується. Payoneer надасть найактуальнішу та точну інформацію стосовно тарифів та комісій у рамках процесу реєстрації акаунту. Зареєстровані клієнти можуть переглянути цю інформацію у своєму онлайн-акаунті.

Підписатися на нашу розсилку

Thank you!