[Redirector] - редирект внешних ссылок

Автор digger®, 06 июля 2016, 03:15:51

« назад - далее »

0 Пользователи и 13 гостей просматривают эту тему.

Yworld_garry

Цитата: S.T.A.L.K.E.R. от 14 февраля 2018, 21:45:10Индейца у меня нет.
Не у всех впс, по этому подстраховаться никогда не повредит. А то как сейчас на инстанте и еще в других местах как грибы темки "все пропало" хостер отключает или нагрузка запредел....

Yarik

#51
Цитата: Yworld_garry от 14 февраля 2018, 21:47:57Не у всех впс, по этому подстраховаться никогда не повредит. А то как сейчас на инстанте и еще в других местах как грибы темки "все пропало" хостер отключает или нагрузка запредел....
Есть же защита на хостингах в панелях от хотлинка.По схожему принципу в обновлении панели можно сделать защиту и от этого.
А хостерам при определенной оплате активировать эту опцию пользователю. :)
Будет $ интерес сразу найдется винт с левой резьбой на хитрые жопы.
Кстати,я немного тупанул.Проверу рефером можно сразу в странице go задать,если её там уже нет.Не смотрел.

domofor

Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?

digger®

Цитата: domofor от 15 февраля 2018, 00:46:36Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?
Админам форумов на обычных хостингах не все ли равно куда их ддосят, в index.php или index.php?action=go или index.php?action=raz_dva_tri ? Результат одинаковый, неважно стоит там этот мод ли нет.

domofor

Цитата: digger® от 15 февраля 2018, 00:58:55Админам форумов на обычных хостингах не все ли равно куда их ддосят, в index.php или index.php?action=go или index.php?action=raz_dva_tri ? Результат одинаковый, неважно стоит там этот мод ли нет.

Какой-то странный обидчивый ответ.

ОК. Спрошу по другому:
Что делать? Не обращать внимание на предостережение Yworld_garry? Или отключить мод?

Snow_Irbis

Почитал и не понял ничего  8)  Можете объяснить в чем проблема? Зачем ДДОСят именно тех у кого стоит мод редиректа? Или ДДОСят у всех у кого находят сторонние ссылки? Или еще что-то другое?

gorbi

Цитата: domofor от 15 февраля 2018, 00:46:36Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?
Выноси мозг и ему.

Yworld_garry

Цитата: Snow_Irbis от 15 февраля 2018, 01:56:07Зачем ДДОСят именно тех у кого стоит мод редиректа?
Это не ддос в чистом виде, а слив трафика на всякие зараженные, с не нормой контентом, другими вариантами отъема денег сайты. Но мощность редиректа достаточно большая и по этому сайты ложатся и хостер отключает.
Суть в том, что создается цепочка редиректов и ваш сайт в ней участвует. Напрямую такие сайты никто бы не посетил и трафика на них был бы ноль, а так все через приличные сайты как бы. Это только один вариант, плюс просто нагон трафа и тд.

Yarik

Цитата: domofor от 15 февраля 2018, 00:46:36Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?
У меня правда другой мод стоит.
Тут человек хороший выход предложил - небольшая доработка и идёт проверка сессии,если она не совпадает то при клике просто в соседнем окне открывает ту же самую страницу на которой был произведено нажатие на ссылку.

Фисташка

Если ставить ссылки с кириллическими символами + задержка  -  не открываются. Без задержки всё нормально. SMF 2.1 Beta 3

http://ru.wikipedia.org/wiki/Гагарин,_Юрий_Алексеевич

В логах:

Delysid

Добавил в последнюю версию с гитхаба (у себя) после
$link = str_replace('&', '&', base64_decode($link));Строчку
$link = str_replace(chr(0), '', $link);

Delysid

Цитата: S.T.A.L.K.E.R. 17.02.2018, 22:30:18
Цитата: S.T.A.L.K.E.R. от 17 февраля 2018, 22:30:18У меня правда другой мод стоит.
Тут человек хороший выход предложил - небольшая доработка и идёт проверка сессии,если она не совпадает то при клике просто в соседнем окне открывает ту же самую страницу на которой был произведено нажатие на ссылку.
Ссылка введённая на форуме шифруеться в md5 и при редиректе полученная ссылка тоже шифруеться в md5 и если два значения md5 не совпадают переход не делать?  ^-^

Yarik

Цитата: Delysid от 17 апреля 2019, 21:15:56Цитата: S.T.A.L.K.E.R. 17.02.2018, 22:30:18Ссылка введённая на форуме шифруеться в md5 и при редиректе полученная ссылка тоже шифруеться в md5 и если два значения md5 не совпадают переход не делать?  ^-^
Нет,идет проверка рефера.Если рефер не совпадает с указанным то переход по ссылке не осуществляется.Это то что я помню.
Смысл был такой что если где-то выложат ссылку на промежуточную страницу редиректа go,могут устроить ддос атаку ддося эту страницу по ссылке.А через запрос рефера проверять откуда идут обращения к странице go,если они идут с самого форума то отдавать страницу go пользователю - так сказать легальный переход,если пользователь пришел на страницу go не с форума, а откуда угодно то ему возвращать return,возвращая его обратно откуда он перешел.Это была моя идея...
Потом была предложена идея проще.Писать пользователю в сессию куку.Перешел,кука совпала с записанной - велком.Нет,значит откуда то слева пришел.
Но это все было в стадии нечего делать...Диггер правильно выше сказал - оно особо пофиг куда ддосить,в go или index.Так что если что то только фильтрация трафика.Ддосили два месяца,было дело.Если сурьезно ддосят то только за за прокси прятаться,когда он будет брать на себя весь трафф,анализировать его и отсекать ддос.

Delysid

#63
Про ддос, так люди не представляют что такое настоящий ддос  ^-^
Можете почитать https://overclockers.ru/blog/DDOS/show/24037/ddos-ili-worldoftanks--samaja-strashnaja-ddos-igra  ^-^
Если буду ложить с ботнета или троянами то положат..
Из самых доступных хоть как то спастись поможет cloudflare, но если IP адрес реальный уже известен то тут приплыли..
Если и блокировать через .htaccess то замедление работы сайта под апачем всё равно гарантированно + деньги за трафик у кого VPS..
А в основном людей не ддосят а боты приходят, самая главная бот контора это Trusov Ilya Igorevych и Depo 40,
стоит вписать из hurrican electric найденные подсети в блокирувку то забудете про налёты ботов вообще..

Я всё равно не очень понимаю проблему вокруг мода.. Не всех будут мучать процентно, но а кто чувствует что могут делать гадости, то решит сам устанавливать или нет.. 
Мод хороший.. Страничку бы в него красивую добавить, что файл скачивается.. 
Как говориться проблемы индейцев мододела не волнуют.., а вообще в моде BadBehavior есть готовая проверка на браузер,
к примеру если браузер не корректный не давать качать.. А писать в печенье дополнительную инфу пожалуйста не нужно идея не очень...
Ещё проверять сессию пойдёт, но тут надо тоже думать чтобы пользователей своих не слить хакеру..
Что то я себя мододелом модов SMF представил, молчу...

Yarik

Кто чуствует что его будут мучать, там пофиг стоит этот мод или нет. Ддосить можно куда угодно. Меня ддосили в главную страницу ботсетью. Сотни запросов ежесекундно со взломанных серверов со всего мира. Ддосили по признаку панели управления веб-сервером. Произошел массовый взлом этой панели и все взломанные сервера почти два месяца ковыряли и ддосили не взломанные. Жесть что творилось в это время,пережили. Пока взлом нашли,пока пофиксили.

Delysid

Цитата: S.T.A.L.K.E.R. от 18 апреля 2019, 07:03:32Кто чуствует что его будут мучать, там пофиг стоит этот мод или нет. Ддосить можно куда угодно. Меня ддосили в главную страницу ботсетью. Сотни запросов ежесекундно со взломанных серверов со всего мира. Ддосили по признаку панели управления веб-сервером. Произошел массовый взлом этой панели и все взломанные сервера почти два месяца ковыряли и ддосили не взломанные. Жесть что творилось в это время,пережили. Пока взлом нашли,пока пофиксили.
Вот он налёт ботов... https://i.postimg.cc/wxt1Nrtf/Depo-Delysid-ru.jpg
 2funny


domofor

#67
Цитата: Yworld_garry от 15 февраля 2018, 11:19:02Суть в том, что создается цепочка редиректов и ваш сайт в ней участвует. Напрямую такие сайты никто бы не посетил и трафика на них был бы ноль, а так все через приличные сайты как бы. Это только один вариант, плюс просто нагон трафа и тд.

На старом серче после смены движка форума вновь возникла горячая тема про редирект внешних ссылок:
Цитата: undefinedСсылки всегда будут через редирект.
Цитата: undefinedНасчёт "всегда" я сильно не уверен (ибо это не только кривуля и нагрузка, но и дыра-дырища, из-за которой серч забанят ПСы.)
ЦитироватьИтак, много сайтов, по части из них начинают прилетать жалобы и уведомления о блокировках начиная от гугла и заканчивая даже регистратором, который нам отключил сайты, пока мы не удалили скрипт перехода.
Источник: https://searchengines.guru/ru/forum/1032777

Yarik

#68
Цитата: domofor от 22 июля 2020, 00:49:33На старом серче после смены движка форума вновь возникла горячая тема про редирект внешних ссылок:Источник: https://searchengines.guru/ru/forum/1032777
Так там и написано
ЦитироватьВаш сайт используется как прокладка, то есть по мимо вас, кто то еще использует ваш скрипт для указания не прямых ссылок на черные вещи. Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт. Надо делать механизм, чтобы только ваши редиректы работали, а не любые которые подставишь в параметр
Это давно известно,там же и написанно
ЦитироватьБлокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?
Что я давно уже и делаю....Правда проверяю и рефер и сессию.
Цитата: S.T.A.L.K.E.R. от 17 февраля 2018, 22:30:18Тут человек хороший выход предложил - небольшая доработка и идёт проверка сессии,если она не совпадает то при клике просто в соседнем окне открывает ту же самую страницу на которой был произведено нажатие на ссылку.

domofor

Цитата: S.T.A.L.K.E.R. от 22 июля 2020, 10:58:06Что я давно уже и делаю....Правда проверяю и рефер и сессию.

Вы то делаете, а что остальным делать с модом Redirector? В нем учтены все эти советы?

Yarik

Цитата: domofor от 23 июля 2020, 04:42:35а что остальным делать с модом Redirector?
Цитата: domofor от 15 февраля 2018, 00:46:36Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?
А что хотите то и делайте. Разработчик его модифицировать не будет 100%
Так что всё сами.Как и большинство тут в смф,хочешь что-то сделать сделай сам.

digger®

Цитата: domofor от 23 июля 2020, 04:42:35Вы то делаете, а что остальным делать с модом Redirector? В нем учтены все эти советы?
С этими советами ссылки станут нерабочими при некоторых условиях, например в Тапаталке.
Если боитесь пользоваться редиректом, включите только rel="nofollow noopener".

Yarik

Цитата: S.T.A.L.K.E.R. от 23 июля 2020, 08:25:01Разработчик его модифицировать не будет 100%
Упс.
@digger® извиняюсь.Что-то попутал с другой темой по аналогии с редиректом.

domofor

Цитата: digger® от 23 июля 2020, 12:44:43Если боитесь пользоваться редиректом, включите только rel="nofollow noopener".

Я не боюсь, а спрашиваю - учтены ли в моде рекомендации знающих людей?
И не спрашивал бы здесь про этот мод, если бы на форуме сеошников не было описания случаев когда сайты блокировали за редирект ссылок.

digger®

Цитата: domofor от 23 июля 2020, 19:27:17Я не боюсь, а спрашиваю - учтены ли в моде рекомендации знающих людей?
Эти решения не используются, потому что они сломают работу ссылок при некоторых условиях.

Yarik

Цитата: domofor от 23 июля 2020, 19:27:17И не спрашивал бы здесь про этот мод, если бы на форуме сеошников не было описания случаев когда сайты блокировали за редирект ссылок.
Именно за сам редирект обычных форумных ссылок? Что-то это мне маловероятным кажется
Вот за редирект ссылок которые куда-то на нежелательные ресурсы так сказать,и эти ссылки рабочие,то есть робот переходит по ним - аж бегом.Я это два с хвостиком года назад проходил.

Derty

Цитата: S.T.A.L.K.E.R. от 23 июля 2020, 21:47:20Именно за сам редирект обычных форумных ссылок?
Не знаю как что в моде, а речь у сеошников была о ссылках вида "?goto=урл". О нешифрованных. Вот именно за такое ПСы накладывают санкции. Т.к. сайты, позволяющие такое делать являются прокладками для слива траффика на всякую чернуху.

С шифрованными (как на этом форуме) проблем по идее нет. Но это может быть до поры до времени. В любом случае проверка рефферера лишней не будет.

Yarik

Цитата: Derty от 23 июля 2020, 22:44:30С шифрованными (как на этом форуме) проблем по идее нет. Но это может быть до поры до времени. В любом случае проверка рефферера лишней не будет.
С шифрованными как раз проблемы так же бывают.
Делается регистрация,зарегистрировавшийся переходит в полную форму ответа,вставляет нужную ссылку,нажимает на предосмотр и копирует результат.И так пока не сгенерирует все что ему нужно.
Потом это всё размещается на сторонних сайтах.

digger®

Мне такой вариант кажется технически наиболее интересным.
Цитата: S.T.A.L.K.E.R. от 13 февраля 2018, 07:33:35В идеале сделать бы шифрование ссылок с ключём,как это сделанно для проксирования изображений.И поставить это на задание чтобы допустим каждые сутки этот ключь перегенирировать в случайном порядке.

С рефером мы вроде экспериментировали и он часто пустой у посетителей, возможно из-за всяких блокировщиков отслеживания.

digger®

#79
Цитата: domofor от 22 июля 2020, 00:49:33На старом серче после смены движка форума вновь возникла горячая тема про редирект внешних ссылок:Источник: https://searchengines.guru/ru/forum/1032777
Случай, конечно, печальный. Но неизвестно, что он там за сайты клепает сотнями, у которых домены на Васей зарегистрированы. Чтобы за какие-то редиректы домены блокировали, это даже для наших регистраторов перебор.

500 просмотров и 15 ответов за полтора месяца? Это конечно горячая тема для серча :)

Yarik

Цитата: digger® от 23 июля 2020, 23:15:20Мне такой вариант кажется технически наиболее интересным.
А в Вашем редиректе есть текст который показывать не допустим гостям а всем?
А то я там свой текст вставлять бывает надо,ну и попутно таким как {link} {LINK} ну и прочем что в моде аналого пользоваться. Я этот мод смотрел,но не хватает несколько функций вот и не перехожу.


Yarik

Цитата: digger® от 24 июля 2020, 00:05:40Показывать в каком месте?
При переходе.
Я заметил что там стандартный тест,свой текст задавать можно только для показа гостям?Или всем?Я просто мод не ставил а в код смотрел...
В идеале бы два окна,один для зарегистрированных,другой для гостей.Если для гостей текст не задан то первое выводит для всех.Но это не принципиально,можно и продублировать в два окна.
Просто знаю что некоторые показывают разный текст гостям и пользователям при переходе.

Yarik

Цитата: digger® от 23 июля 2020, 23:15:20Мне такой вариант кажется технически наиболее интересным.
Такой бы вариант бы не мешало и для проксированных изображений.Тем кто хочет от хотлинка защищаться.
Хотя в 17 уже вроде как каждые 5 дней прокси-картинки очищаются,но всё равно.
Если такой вариант реализуете я его обязательно в коде посмотрю.Так как такой вариант любопытен и мне,очень любопытен.

domofor

Цитата: digger® от 23 июля 2020, 20:57:42Эти решения не используются, потому что они сломают работу ссылок при некоторых условиях.
Почему нельзя сделать так, чтобы при сломе ссылок в некоторых условиях, админ мог отключить эти решения?
Вы же мне недавно предложили воспользоваться именно таким методом - отключить часть функционала мода)

digger®

Я добавил опцию для проверки HTTP_REFERRER. А что делать если пустой или не совпадает, выдавать 404?
Свои шаблоны для страницы редиректа тоже добавил.

Yarik

#86
Цитата: digger® от 24 июля 2020, 05:02:00А что делать если пустой или не совпадает, выдавать 404?
А если вот так?
exit('HTTP/1.0 403 Forbidden')Мне кажется логичнее так.
По ходу пьесы даже задумал отдавать форумную страницу 403 однако заметил что это плохая идея.Выводится ссылка самого перехода и при нажатии на неё так как кука уже получена переход осуществляется. Не знаю,может и быть и бот так проскочить сможет...
Или ещё как идея
is_not_guest($message = '');В идеале я думаю свою ошибку создать.
Вам запрещено переходить по ссылкам с внешних...
Что-то типа такого

Yarik

В index.php после loadSession();
$_SESSION['go_secret_key'] = 1;В go.php после require(dirname(__FILE__) . '/SSI.php');
if(empty($_SESSION['go_secret_key'])){
header('HTTP/1.0 403 Forbidden');
     exit('HTTP/1.0 403 Forbidden');
}
Проверки рефера нет,проверка сессии.
Нет сессии ошибка 403.

Derty

Цитата: digger® от 15 февраля 2018, 00:58:55Админам форумов на обычных хостингах не все ли равно куда их ддосят, в index.php или index.php?action=go или index.php?action=raz_dva_tri ? Результат одинаковый, неважно стоит там этот мод ли нет.
Дело не в хостинге и это не ДДОС. При нешифрованных ссылках сайт используется как прокладка для отмыва тарффика. Да и при шифрованных можно, но это уже гемморойнее и потому ставится нецелесообразно.


Цитата: digger® от 24 июля 2020, 05:02:00Я добавил опцию для проверки HTTP_REFERRER. А что делать если пустой или не совпадает, выдавать 404?
Я бы 301 на морду отдавал.

Yarik

Цитата: Derty от 24 июля 2020, 11:02:27Я бы 301 на морду отдавал.
На главную перенаправлять?
Мне кажется логичным на 403 перенаправлять.Так как пришли не известно откуда по непонятной ссылке и естественно доступ запрещен.

Derty

Цитата: S.T.A.L.K.E.R. от 24 июля 2020, 11:10:13На главную перенаправлять?
Мне кажется логичным на 403 перенаправлять.Так как пришли не известно откуда по непонятной ссылке и естественно доступ запрещен.
Тут палка о двух концах. С технической точки зрения - правильно что-то из 404-410-403.

Но для того, чтобы не терять юзера нужно отдавать контент. Т.е. либо наполнять  страницу ошибки контентом либо редиректить на самое интересное. (Разработчику мода незачем заниматься формирование страниц ошибок. Да и это вряд ли возможно что бы везде работало и устроило всех.  Поэтому остаётся либо дефолтная страница либо редирект)

А владельцу решать - упираться в технические правила или же думать о бизнесе/деле.

Yarik

Цитата: Derty от 24 июля 2020, 11:22:44С технической точки зрения - правильно что-то из 404-410-403
С технической точки зрения отдавать 403.Без форумного оформления,без ничего.Так как по такой ссылке ничего нормального не придёт.
Цитата: Derty от 24 июля 2020, 11:22:44Но для того, чтобы не терять юзера нужно отдавать контент. Т.е. либо наполнять  страницу ошибки контентом либо редиректить на самое интересное.
Сгенрировали редирект на детскую педофилию(условно допустим такое) и разместили её где-то используя go.php Вашего форума как прокладку для перехода.Вы считаете что оттуда придёт что-то приличное и нормальное что заинтересуется контентом Вашего форума и останется?

Derty

Цитата: S.T.A.L.K.E.R. от 24 июля 2020, 11:32:44.Вы считаете что оттуда придёт что-то приличное и нормальное что заинтересуется контентом Вашего форума и останется?
Если не зацикливаться на педофилии, то да, возможно и заинтересуется и даже останется. Но дело не только в этом конкретном юзере. Есть еще много полезного для ресурса. Начиная от сарафанного радио и заканчивая поведенческими факторами.

digger®

Цитата: S.T.A.L.K.E.R. от 24 июля 2020, 11:10:13Мне кажется логичным на 403 перенаправлять.Так как пришли не известно откуда по непонятной ссылке и естественно доступ запрещен.
Мне не кажется 403 логичным.
403 означает, что ресурс существует, но доступ к нему ограничен какими-то условиями. И если через тебя сделали ссылку на плохой сайт, то ты подтверждаешь, что ссылка эта есть, но доступ к ней как-то ограничен.
Я бы на 404 скидывал или форумную 404 показывал, если есть интерес посетителя все равно принять.

Yarik

Цитата: Derty от 24 июля 2020, 11:40:39Если не зацикливаться на педофилии, то да, возможно и заинтересуется и даже останется.
Я просто сомневаюсь что кто-то в благих целях будет использовать go.php чужого сайта
Цитата: digger® от 24 июля 2020, 11:41:33403 означает, что ресурс существует, но доступ к нему ограничен какими-то условиями. И если через тебя сделали ссылку на плохой сайт, то ты подтверждаешь, что ссылка эта есть, но доступ к ней как-то ограничен.
А вот тут пожалуй да.Тот же робот может подумать(так сказать) такое.
А 404?Можно подумать что такая ссылка у тебя была но ты её удалил.
А если просто назад возвращать откуда пришел?
Тут что-то такое надо чтобы было понятно что эта ссылка не находится у тебя вообще на ресурсе.Мне кажется что покажешь свою страницу или форум уже подумают что такая ссылка у тебя была но ты её спрятал для посвященных где-то в закрытом разделе.

Yarik

Я вижу что на форум зашел @BIOHAZARD
Может у него спросить разрешения использовать частично его мод RedirectPage?И собрать из двух модов все самое лучшее?
Ну а в идеале тогда кодировать ссылку используя не base_64 а некий хеш который будет регулярно меняться.Тогда мне как кажется и отправлять никуда пользователя не нужно будет,если сгенерировали ссылку то она через допустим сутки утратит уже свою валидность.
Я сейчас проверю этот вариант на том моде что стоит у меня.

Угу,не вариант скорее всего тоже.Так как тогда при переадресации по времени замыкается на циклический редирект  по кругу так как ссылки не существует тогда.

Derty

Цитата: S.T.A.L.K.E.R. от 24 июля 2020, 11:47:45Я просто сомневаюсь что кто-то в благих целях будет использовать go.php чужого сайта
Всё в этом мире относительно. Не благое для одних может оказаться благим для для других.


Так отмывают траф не только на на чернуху, но и на вполне мирные сайты. Да и на чернуху - как будто любитель смотреть на фото голых мальчиков не может строить дом, интересоваться автомобилями или писать программы.

Yarik

Цитата: Derty от 24 июля 2020, 12:54:41Так отмывают траф не только на на чернуху, но и на вполне мирные сайты.
Так речь в теме и ведем о борьбе с такой отмывкой.
Все борются с такой отмывкой.

Derty

Цитата: S.T.A.L.K.E.R. от 24 июля 2020, 13:08:41Так речь в теме и ведем о борьбе с такой отмывкой.
Все борются с такой отмывкой.
Так что бы не отмывали - не надо вообще использовать такие редирект-скрипты :)

А если душит жаба на ссылки, то нужно использовать шифрованные и проверять их по базе легитимных. Ну или как минимум проверять рефферер, хотя это и менее надежно. Если будет целевая атака с целью таким образом опустить конкурента, то это относительно легко обходится. Просто большинство форумов (тем более сейчас) как неуловимые Джо - нафик не нужно с ими так заморачивать. ;)

Yarik

Цитата: Derty от 24 июля 2020, 13:26:25не надо вообще использовать такие редирект-скрипты
На серч сходите скажите это.Там знатно поржут с этого.