веб-студия Софт-Про

Блог

Инструкция по предоставлению доступов к системе Google.Analytics

Инструкция по предоставлению доступов к системе Google.Analytics

  • Залогиньтесь под своими доступами на сайте analytics.google.com.
  • На панели слева внизу выберите «Администратор».

Администратор

  • На центральном меню «Ресурс» выберите раздел «Управление доступом».

Управление доступом

  • В открывшемся окне кликните на значок плюса вверху справа, развернется меню с выбором категории для добавления. Выберите «Добавить пользователей».

Добавить пользователей

После этого вам необходимо будет ввести электронную почту, на которую откроется доступ, выбрать уровень доступа «Чтение и анализ» и кликнуть на кнопку «Добавить».

Чтение и анализ

Поздравляем, вы отлично справились!

Все готово для того, чтобы новый пользователь мог оценить настройки ваших кампаний в Google, провести анализ рекламы и вынести свои рекомендации.

 

Источник — https://gusarov-group.by/postoronnim-vhod-ne-vospreshhen-ili-kak-predostavit-dostupy/

 

Калькулятор стоимости перевозки

Калькулятор стоимости перевозки

Пример калькулятора — https://demotest.soft-pro.biz/route-calculation/

  • данные по тарифам берутся с таблиц с тарифами в 1С (фрахт/авто/жд/авиа);
  • если 1:1 маршрут или тариф не найден в базе, то идет расчет по формулам и коофициентам исходя из веса/объема/кол-ва контейнеров;
  • часть маршршрутов строится через гугл-карты (авто и авиа);
  • координаты для вывода морск. части маршрута на карте парсятся с спец. сайта (и кэшируется);
  • если составной маршрут (авто-море, море-авто, авто-море-авто), то это тоже выводится (и текстом, и анимацией);
  • есть пересчет суммы в удобную валюту (USD/UAH/EUR)

  • клиент может сохранить просчет себе на почту (маленькая форма справа) или отправить полный запрос за более точным просчетом (большая форма снизу) — в 1С в любом случае создастся заявка с сайта и задача менеджерам


  • для выбора пунктов А-Б используется гугл автокомплит с подсказками

 

 

 

 

Iframe вариант вашего калькулятора для встраивания на другие сайты

Iframe вариант вашего калькулятора для встраивания на другие сайты.
К примеру, ваших партнеров..
https://demotest.soft-pro.biz/ru/other/primer-vstroennogo-iframe-kalkulyatora/

 

 

Пример живой тут

 

и тут

 

 

 

Требования Яндекса к честным рассылкам

Настоящий документ отражает представление компании «Яндекс» о честных рассылках. Он не является офертой и не влечет за собой никаких обязательств со стороны компании и ее почтовой службы перед сервисами, осуществляющими массовые рассылки.

Документ основан на сложившейся практике крупнейших провайдеров и почтовых служб, соответствует нормам и рекомендациям ASTA, а также «Нормам пользования сетью». Алгоритм разделения рассылок и спама является ноу-хау компании, не публикуется и не обсуждается.

Что должно быть у честной рассылки:

  1. Процесс подписки:
    • (Обяз.) Рассылка должна осуществляться только по явному требованию или согласию получателя.
    • (Обяз.) Адрес получателя рассылки должен быть явным образом подтвержден самим получателем.
    • При добавлении в рассылочный лист адреса получателей должны пройти валидацию.
  2. Процесс отказа от подписки:
    • (Обяз.) В каждом письме должны быть даны четкие инструкции о том, как отписаться от рассылки. При этом процесс отписки не должен требовать от получателя сложных действий, таких как восстановление пароля, регистрация или авторизация. Получатель должен иметь возможность отписаться от рассылки в течение 10 минут.
    • В теле письма должен быть явно указан адрес подписчика.
    • (Обяз.) В письме должен быть использован заголовок list-unsubscribe, оформленный по стандарту RFC. При переходе по ссылке из этого заголовка пользователь должен быть моментально отписан от рассылки.
    • (Обяз.) Для отписки необходимо указывать только работающие ссылки.
  3. Заголовок письма:
    • Тема сообщения должна быть понятна пользователю и не должна вводить его в заблуждение.
    • Тема сообщения должна быть одинаковой для всех писем одной рассылки.
    • (Обяз.) В поле От кого должен быть указан реально существующий электронный адрес, ассоциированный с источником рассылки. Если сообщения, поступающие на этот адрес, обрабатываются роботом, то в ответ должны приходить ясные и четкие инструкции, позволяющие связаться с вашей службой поддержки.
  4. Корректность сетевой идентификации:
    • (Обяз.) Программное обеспечение, осуществляющее рассылку, должно проверять полученные ответы. Если принимающий сервер отвечает, что указанного пользователя не существует, то рассылка по этому адресу должна быть приостановлена.
    • (Обяз.) Хост, осуществляющий рассылку, должен иметь постоянный IP-адрес с корректно настроенным обратным DNS-запросом. При этом регистрационные данные владельца домена должны быть актуальными и доступными публично по протоколу WHOIS.
    • Для корректной идентификации доменное имя должно быть содержательным, а не являться автоматическим адресом наподобие x.y.z.w-in-addr-arpa или dsl-4-3-2-1.provider.net.
    • Хост, осуществляющий рассылку, должен отличаться от хоста, посылающего обычную корреспонденцию.
    • (Если предыдущее требование невыполнимо.) Доменное имя в поле From должно отличаться от доменного имени, используемого для регулярной переписки, и указывать на источник корреспонденции. Например, для домена example.ru уведомления о новых сообщениях на форуме должны отправляться из домена forum.example.ru, а подписка на новости сайта — из домена news.example.ru и т. п.
    • (Обяз.) Все сообщения должны быть подписаны с помощью ключа DKIM или DMARC (либо должна быть настроена SPF-запись домена).
  5. Другие требования:
    • Нельзя изменять информацию об отправителе или о целевой странице для любых ссылок в письмах.
    • Не рекомендуется использовать сокращенные ссылки.
    • Все ссылки в тексте должны указываться в виде полного доменного имени: нельзя использовать в качестве ссылок IP-адреса или перекодированные имена доменов (URL Encoded).
    • (Обяз.) В письме должны присутствовать стандартные заголовки, используемые при массовых или автоматических рассылках — например, Precedence: bulk (junklistlist-unsubscribe и т. п.). Все ссылки в них должны позволять отписаться от рассылки автоматически.
    • Заголовки и формат сообщения должны соответствовать требованиям RFC 5322 и стандарту MIME. Кроме того, в сообщении должны присутствовать корректные заголовки Date и Message-ID.
    • Для каждой части сообщения должна быть указана реально используемая кодировка. Сообщения с текстами в двух кодировках одновременно недопустимы.
    • Если рассылка осуществляется в формате HTML, в письме недопустимо использовать элементы JavaScript, ActiveX и другие потенциально опасные объекты.
Внимание. Яндекс.Почта оставляет за собой право отправлять в Спам либо не принимать совсем письма рассылок, которые не соответствуют обязательным пунктам этого документа. Соблюдение необязательных требований будет значительно понижать вероятность того, что ваши письма попадут в Спам.

Также вы можете ознакомиться с Принципами взаимодействия Яндекса с другими сетями.

Источник: https://yandex.ru/support/mail/web/spam/honest-mailers.html

WordPress 4.2.2 Security and Maintenance Release

WordPress 4.2.2 is now available. This is a critical security release for all previous versions and we strongly encourage you to update your sites immediately.

Version 4.2.2 addresses two security issues:

  • The Genericons icon font package, which is used in a number of popular themes and plugins, contained an HTML file vulnerable to a cross-site scripting attack. All affected themes and plugins hosted on WordPress.org (including the Twenty Fifteen default theme) have been updated today by the WordPress security team to address this issue by removing this nonessential file. To help protect other Genericons usage, WordPress 4.2.2 proactively scans the wp-content directory for this HTML file and removes it. Reported by Robert Abela of Netsparker.
  • WordPress versions 4.2 and earlier are affected by a critical cross-site scripting vulnerability, which could enable anonymous users to compromise a site. WordPress 4.2.2 includes a comprehensive fix for this issue. Reported separately by Rice Adu and Tong Shi from Baidu[X-team].

The release also includes hardening for a potential cross-site scripting vulnerability when using the visual editor. This issue was reported by Mahadev Subedi.

Our thanks to those who have practiced responsible disclosure of security issues.

WordPress 4.2.2 also contains fixes for 13 bugs from 4.2. For more information, see the release notes or consult the list of changes.

Download WordPress 4.2.2 or venture over to Dashboard → Updates and simply click “Update Now.” Sites that support automatic background updates are already beginning to update to WordPress 4.2.2.

Thanks to everyone who contributed to 4.2.2:

Aaron JorbinAndrew OzzAndrew NacinBoone GorgesDion HulseElla Iseulde Van DorpeGary PendergastHinaloeJeremy FeltJohn James JacobyKonstantin KovsheninMike AdamsNikolay Bachiyskitaka2, and willstedt.

Источник: https://wordpress.org/news/2015/05/wordpress-4-2-2/

В Google Play нашли фишинговое приложение, нацеленное на пользователей 21 банка

Специалисты ESET обнаружили новую мошенническую схему, нацеленную на пользователей мобильного банкинга. В Google Play найдено «универсальное мобильное приложение» Universal Banking Poland для клиентов 21 банка.

Исследователи пишут, что целью мошенников являются пользователи банковских приложений из Польши. Приложение предлагало доступ к личным кабинетам в 21 системе интернет-банкинга. Пользователю предлагалось выбрать из списка банк, в котором у него открыт счет, а затем ввести логин и пароль в специальную форму.

 Как не трудно догадаться, веденные данные отправлялись на удаленный сервер злоумышленников, после чего использовались для кражи денег со счетов. Приложение обходило двухфакторную аутентификацию – пользователь не видел SMS-сообщений от банка о списании средств, поскольку доступ к SMS перехватывали атакующие.

Приложение Universal Banking Poland появилось в Google Play 20 марта 2018 года и было удалено из официального магазина после предупреждения ESET. Аналитики предупреждают, что фальшивка по-прежнему доступна на сторонних площадках.

Нужно отметить, что похожая атака была обнаружена ESET в конце 2017 года. Она так же была нацелена на клиентов 14 банков польских банков. Тогда малварь маскировалась под приложения для мониторинга курсов криптовалют Crypto Monitor и StorySaver, а также инструмент для загрузки историй из Instagram.

Источник: https://xakep.ru/2018/04/13/universal-banking-poland/

Почему не стоит использовать сторонний CSS на своем сайте

Рассказываем, как вы можете навредить своему сайту, используя сторонний CSS, JavaScript и другие ресурсы с чужих серверов.

В конце февраля в сети появился кейлоггер, частично использующий CSS. Атака с его помощью проста: для каждого символа, введенного в поле с определенным type (например, password), генерируется запрос на сторонний сервер, якобы запрашивающий фоновую картинку:

На сервере последовательность запросов можно зарегистрировать и легко вычислить введенный пароль.

В процессе обсуждения проблемы некоторые предложили производителям браузеров заняться фиксом. Кто-то обратил внимание, что проблема актуальна только для сайтов на React-подобных фреймворках, и переложил вину на них.

Но на самом деле проблема в том, чтобы считать сторонний контент безопасным.

Сторонние картинки

 

Если вы добавите изображение такого вида на сайт, вы попадете в зависимость от example.com. Они могут подставить вас разными способами, например, удалить картинку – вы получите 404 вместо изображения. А могут просто заменить изображение котика на что-нибудь менее приятное.

Вы можете предупредить своих пользователей, что изображение добавлено со стороннего ресурса и вы не имеете к нему отношения. Так вы немного себя обезопасите от неприятностей. Но, конечно, при добавлении простой картинки вы не предоставляете доступ к паролям.

Сторонние скрипты

Этот пример куда интересней для example.com, потому что добавляя скрипт с их сайта вы даете им куда больше контроля над своим. В этом случае example.com может:

  • Читать/изменять содержимое страницы.
  • Отслеживать каждое действие пользователя.
  • Запускать трудный для вычисления код (например, криптомайнер).
  • Запрашивать куки.
  • Читать/изменять локальное хранилище.

Другими словами, теперь example.com может много чего.

Взаимодействие с локальным хранилищем в будущем приносит еще больше проблем. Сторонний ресурс будет иметь доступ к вашему сайту даже после удаления скрипта со страницы. Если вы добавляете сторонний скрипт на сайт, вы должны абсолютно доверять источнику и его безопасности.

Если вы все-таки столкнулись с плохим скриптом, попробуйте воспользоваться Clear-Site-Data header.

Сторонний CSS

Сторонний CSS-код по воздействию на сайт находится между картинкой и скриптом. Чужой CSS умеет:

  • Удалять/изменять/добавлять контент на странице.
  • Делать запросы, основываясь на содержимом страницы.
  • Реагировать на многие действия пользователя.

CSS не сможет взаимодействовать с локальным хранилищем и криптомайнер на страницу не встроит, однако может принести немало вреда владельцу ресурса.

Кейлоггер

Немного модифицируем CSS из начала статьи:

Этот код будет отправлять данные о введенном символе «a» в обработчик под видом запроса картинки. Повторите код для каждого символа и вот у вас уже есть кейлоггер на CSS.

По умолчанию браузеры не хранят введенные пользователем символы в атрибуте value, так что этот трюк сработает при использовании чего-то, что синхронизирует подобные значения, например, React.

Разумеется, эта проблема может быть решена на стороне Реакта и подобных фреймворков. Но тогда будет решен лишь конкретный случай, а остальные проблемы останутся.

Исчезающий контент

Это, конечно, очень своеобразный пример, но все же рабочий. Представьте, если ваши пользователи при заходе на сайт будут видеть вместо привычной главной страницы непонятную ошибку. Таким же образом сторонний код может удалить, например, кнопку «купить» или сделать какую-то еще неприятность.

Добавление контента

И вот так просто ваши цены взлетели.

Перемещение контента

Возьмите кнопку, которая делает что-то ужасное, и что пользователь просто так не нажмет, сделайте ее прозрачной и поместите в то место, куда пользователь обязательно кликнет.

Конечно, если кнопка делает что-то действительно важное, пользователь сначала увидит предупреждающий диалог. Но и это не проблема: просто нужно больше CSS. Например, можно изменить содержимое кнопки «О, господи, нет!», на «Конечно, я уверен».

Представьте, что производители браузеров поправили трюк с кейлоггером. Злоумышленники просто помещают лишнее текстовое поле поверх важного поля с типом password и они снова заняты делом.

Чтение атрибутов

В value и других атрибутах необязательно хранятся пароли: злоумышленник может найти еще что-то интересное.

Все эти данные можно собрать CSS селекторами и отправить, куда следует.

Отслеживание взаимодействий

Такие псевдоселекторы, как hover и active, помогут составить картину того, что делает пользователь на сайте.

Чтение текстового контента

В этом примере запрос будет отправлен, если страница содержит символ «q». Можно создать множество таких кусочков кода для отслеживания конкретных слов, символов или последовательностей символов.

Это лишь малая часть примеров того, что может сделать злоумышленник с вашим сайтом, если применит фантазию. Будьте осторожны, используя сторонний CSS и другой контент с чужих серверов.

Заказ звонка

Данные отправлены


ОШИБКА