[Redirector] - редирект внешних ссылок

[Yworld_garry]

Индейца у меня нет.

Не у всех впс, по этому подстраховаться никогда не повредит. А то как сейчас на инстанте и еще в других местах как грибы темки "все пропало" хостер отключает или нагрузка запредел....

[Yarik]

Не у всех впс, по этому подстраховаться никогда не повредит. А то как сейчас на инстанте и еще в других местах как грибы темки "все пропало" хостер отключает или нагрузка запредел....

Есть же защита на хостингах в панелях от хотлинка.По схожему принципу в обновлении панели можно сделать защиту и от этого.
А хостерам при определенной оплате активировать эту опцию пользователю.
Будет $ интерес сразу найдется винт с левой резьбой на хитрые жопы.
Кстати,я немного тупанул.Проверу рефером можно сразу в странице go задать,если её там уже нет.Не смотрел.

[domofor]

Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?

[digger®]

Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?

Админам форумов на обычных хостингах не все ли равно куда их ддосят, в index.php или index.php?action=go или index.php?action=raz_dva_tri ? Результат одинаковый, неважно стоит там этот мод ли нет.

[domofor]

Админам форумов на обычных хостингах не все ли равно куда их ддосят, в index.php или index.php?action=go или index.php?action=raz_dva_tri ? Результат одинаковый, неважно стоит там этот мод ли нет.

Какой-то странный обидчивый ответ.

ОК. Спрошу по другому:
Что делать? Не обращать внимание на предостережение Yworld_garry? Или отключить мод?

[Snow_Irbis]

Почитал и не понял ничего    Можете объяснить в чем проблема? Зачем ДДОСят именно тех у кого стоит мод редиректа? Или ДДОСят у всех у кого находят сторонние ссылки? Или еще что-то другое?

[gorbi]

Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?

Выноси мозг и ему.

[Yworld_garry]

Зачем ДДОСят именно тех у кого стоит мод редиректа?

Это не ддос в чистом виде, а слив трафика на всякие зараженные, с не нормой контентом, другими вариантами отъема денег сайты. Но мощность редиректа достаточно большая и по этому сайты ложатся и хостер отключает.
Суть в том, что создается цепочка редиректов и ваш сайт в ней участвует. Напрямую такие сайты никто бы не посетил и трафика на них был бы ноль, а так все через приличные сайты как бы. Это только один вариант, плюс просто нагон трафа и тд.

[Yarik]

Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?

У меня правда другой мод стоит.
Тут человек хороший выход предложил - небольшая доработка и идёт проверка сессии,если она не совпадает то при клике просто в соседнем окне открывает ту же самую страницу на которой был произведено нажатие на ссылку.

[Фисташка]

Если ставить ссылки с кириллическими символами + задержка  -  не открываются. Без задержки всё нормально. SMF 2.1 Beta 3

http://ru.wikipedia.org/wiki/Гагарин,_Юрий_Алексеевич

В логах:

[Delysid]

Добавил в последнюю версию с гитхаба (у себя) после

Код Выделить Развернуть

$link = str_replace('&', '&', base64_decode($link));Строчку

Код Выделить Развернуть

$link = str_replace(chr(0), '', $link);

[Delysid]

Цитата: S.T.A.L.K.E.R. 17.02.2018, 22:30:18

У меня правда другой мод стоит.
Тут человек хороший выход предложил - небольшая доработка и идёт проверка сессии,если она не совпадает то при клике просто в соседнем окне открывает ту же самую страницу на которой был произведено нажатие на ссылку.

Ссылка введённая на форуме шифруеться в md5 и при редиректе полученная ссылка тоже шифруеться в md5 и если два значения md5 не совпадают переход не делать? 

[Yarik]

Цитата: S.T.A.L.K.E.R. 17.02.2018, 22:30:18Ссылка введённая на форуме шифруеться в md5 и при редиректе полученная ссылка тоже шифруеться в md5 и если два значения md5 не совпадают переход не делать? 

Нет,идет проверка рефера.Если рефер не совпадает с указанным то переход по ссылке не осуществляется.Это то что я помню.
Смысл был такой что если где-то выложат ссылку на промежуточную страницу редиректа go,могут устроить ддос атаку ддося эту страницу по ссылке.А через запрос рефера проверять откуда идут обращения к странице go,если они идут с самого форума то отдавать страницу go пользователю - так сказать легальный переход,если пользователь пришел на страницу go не с форума, а откуда угодно то ему возвращать return,возвращая его обратно откуда он перешел.Это была моя идея...
Потом была предложена идея проще.Писать пользователю в сессию куку.Перешел,кука совпала с записанной - велком.Нет,значит откуда то слева пришел.
Но это все было в стадии нечего делать...Диггер правильно выше сказал - оно особо пофиг куда ддосить,в go или index.Так что если что то только фильтрация трафика.Ддосили два месяца,было дело.Если сурьезно ддосят то только за за прокси прятаться,когда он будет брать на себя весь трафф,анализировать его и отсекать ддос.

[Delysid]

Про ддос, так люди не представляют что такое настоящий ддос 
Можете почитать https://overclockers.ru/blog/DDOS/show/24037/ddos-ili-worldoftanks--samaja-strashnaja-ddos-igra 
Если буду ложить с ботнета или троянами то положат..
Из самых доступных хоть как то спастись поможет cloudflare, но если IP адрес реальный уже известен то тут приплыли..
Если и блокировать через .htaccess то замедление работы сайта под апачем всё равно гарантированно + деньги за трафик у кого VPS..
А в основном людей не ддосят а боты приходят, самая главная бот контора это Trusov Ilya Igorevych и Depo 40,
стоит вписать из hurrican electric найденные подсети в блокирувку то забудете про налёты ботов вообще..

Я всё равно не очень понимаю проблему вокруг мода.. Не всех будут мучать процентно, но а кто чувствует что могут делать гадости, то решит сам устанавливать или нет.. 
Мод хороший.. Страничку бы в него красивую добавить, что файл скачивается.. 
Как говориться проблемы индейцев мододела не волнуют.., а вообще в моде BadBehavior есть готовая проверка на браузер,
к примеру если браузер не корректный не давать качать.. А писать в печенье дополнительную инфу пожалуйста не нужно идея не очень...
Ещё проверять сессию пойдёт, но тут надо тоже думать чтобы пользователей своих не слить хакеру..
Что то я себя мододелом модов SMF представил, молчу...

[Yarik]

Кто чуствует что его будут мучать, там пофиг стоит этот мод или нет. Ддосить можно куда угодно. Меня ддосили в главную страницу ботсетью. Сотни запросов ежесекундно со взломанных серверов со всего мира. Ддосили по признаку панели управления веб-сервером. Произошел массовый взлом этой панели и все взломанные сервера почти два месяца ковыряли и ддосили не взломанные. Жесть что творилось в это время,пережили. Пока взлом нашли,пока пофиксили.

[Delysid]

Кто чуствует что его будут мучать, там пофиг стоит этот мод или нет. Ддосить можно куда угодно. Меня ддосили в главную страницу ботсетью. Сотни запросов ежесекундно со взломанных серверов со всего мира. Ддосили по признаку панели управления веб-сервером. Произошел массовый взлом этой панели и все взломанные сервера почти два месяца ковыряли и ддосили не взломанные. Жесть что творилось в это время,пережили. Пока взлом нашли,пока пофиксили.

Вот он налёт ботов... https://i.postimg.cc/wxt1Nrtf/Depo-Delysid-ru.jpg
 

[digger®]

Исправил пару ошибок и добавил страницу перехода для варианта с задержкой.
https://github.com/realdigger/SMF-Redirector/releases/tag/v1.2.5

[domofor]

Суть в том, что создается цепочка редиректов и ваш сайт в ней участвует. Напрямую такие сайты никто бы не посетил и трафика на них был бы ноль, а так все через приличные сайты как бы. Это только один вариант, плюс просто нагон трафа и тд.

На старом серче после смены движка форума вновь возникла горячая тема про редирект внешних ссылок:

Ссылки всегда будут через редирект.

Насчёт "всегда" я сильно не уверен (ибо это не только кривуля и нагрузка, но и дыра-дырища, из-за которой серч забанят ПСы.)

Итак, много сайтов, по части из них начинают прилетать жалобы и уведомления о блокировках начиная от гугла и заканчивая даже регистратором, который нам отключил сайты, пока мы не удалили скрипт перехода.

Источник: https://searchengines.guru/ru/forum/1032777

[Yarik]

На старом серче после смены движка форума вновь возникла горячая тема про редирект внешних ссылок:Источник: https://searchengines.guru/ru/forum/1032777

Так там и написано

Ваш сайт используется как прокладка, то есть по мимо вас, кто то еще использует ваш скрипт для указания не прямых ссылок на черные вещи. Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт. Надо делать механизм, чтобы только ваши редиректы работали, а не любые которые подставишь в параметр

Это давно известно,там же и написанно

Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Что я давно уже и делаю....Правда проверяю и рефер и сессию.

Тут человек хороший выход предложил - небольшая доработка и идёт проверка сессии,если она не совпадает то при клике просто в соседнем окне открывает ту же самую страницу на которой был произведено нажатие на ссылку.

[domofor]

Что я давно уже и делаю....Правда проверяю и рефер и сессию.

Вы то делаете, а что остальным делать с модом Redirector? В нем учтены все эти советы?

[Yarik]

а что остальным делать с модом Redirector?

Так что все-таки делать (админам форумов на обычных хостингах) с модом Redirector? Отключать? Или подождать когда разработчик мода как-то модифицирует мод?

А что хотите то и делайте. Разработчик его модифицировать не будет 100%
Так что всё сами.Как и большинство тут в смф,хочешь что-то сделать сделай сам.

[digger®]

Вы то делаете, а что остальным делать с модом Redirector? В нем учтены все эти советы?

С этими советами ссылки станут нерабочими при некоторых условиях, например в Тапаталке.
Если боитесь пользоваться редиректом, включите только rel="nofollow noopener".

[Yarik]

Разработчик его модифицировать не будет 100%

Упс.
@digger® извиняюсь.Что-то попутал с другой темой по аналогии с редиректом.

[domofor]

Если боитесь пользоваться редиректом, включите только rel="nofollow noopener".

Я не боюсь, а спрашиваю - учтены ли в моде рекомендации знающих людей?
И не спрашивал бы здесь про этот мод, если бы на форуме сеошников не было описания случаев когда сайты блокировали за редирект ссылок.

[digger®]

Я не боюсь, а спрашиваю - учтены ли в моде рекомендации знающих людей?

Эти решения не используются, потому что они сломают работу ссылок при некоторых условиях.

[Yarik]

И не спрашивал бы здесь про этот мод, если бы на форуме сеошников не было описания случаев когда сайты блокировали за редирект ссылок.

Именно за сам редирект обычных форумных ссылок? Что-то это мне маловероятным кажется
Вот за редирект ссылок которые куда-то на нежелательные ресурсы так сказать,и эти ссылки рабочие,то есть робот переходит по ним - аж бегом.Я это два с хвостиком года назад проходил.

[Derty]

Именно за сам редирект обычных форумных ссылок?

Не знаю как что в моде, а речь у сеошников была о ссылках вида "?goto=урл". О нешифрованных. Вот именно за такое ПСы накладывают санкции. Т.к. сайты, позволяющие такое делать являются прокладками для слива траффика на всякую чернуху.

С шифрованными (как на этом форуме) проблем по идее нет. Но это может быть до поры до времени. В любом случае проверка рефферера лишней не будет.

[Yarik]

С шифрованными (как на этом форуме) проблем по идее нет. Но это может быть до поры до времени. В любом случае проверка рефферера лишней не будет.

С шифрованными как раз проблемы так же бывают.
Делается регистрация,зарегистрировавшийся переходит в полную форму ответа,вставляет нужную ссылку,нажимает на предосмотр и копирует результат.И так пока не сгенерирует все что ему нужно.
Потом это всё размещается на сторонних сайтах.

[digger®]

Мне такой вариант кажется технически наиболее интересным.

В идеале сделать бы шифрование ссылок с ключём,как это сделанно для проксирования изображений.И поставить это на задание чтобы допустим каждые сутки этот ключь перегенирировать в случайном порядке.

С рефером мы вроде экспериментировали и он часто пустой у посетителей, возможно из-за всяких блокировщиков отслеживания.

[digger®]

На старом серче после смены движка форума вновь возникла горячая тема про редирект внешних ссылок:Источник: https://searchengines.guru/ru/forum/1032777

Случай, конечно, печальный. Но неизвестно, что он там за сайты клепает сотнями, у которых домены на Васей зарегистрированы. Чтобы за какие-то редиректы домены блокировали, это даже для наших регистраторов перебор.

500 просмотров и 15 ответов за полтора месяца? Это конечно горячая тема для серча

[Yarik]

Мне такой вариант кажется технически наиболее интересным.

А в Вашем редиректе есть текст который показывать не допустим гостям а всем?
А то я там свой текст вставлять бывает надо,ну и попутно таким как {link} {LINK} ну и прочем что в моде аналого пользоваться. Я этот мод смотрел,но не хватает несколько функций вот и не перехожу.

[digger®]

А в Вашем редиректе есть текст который показывать не допустим гостям а всем?

Показывать в каком месте?

[Yarik]

Показывать в каком месте?

При переходе.
Я заметил что там стандартный тест,свой текст задавать можно только для показа гостям?Или всем?Я просто мод не ставил а в код смотрел...
В идеале бы два окна,один для зарегистрированных,другой для гостей.Если для гостей текст не задан то первое выводит для всех.Но это не принципиально,можно и продублировать в два окна.
Просто знаю что некоторые показывают разный текст гостям и пользователям при переходе.

[Yarik]

Мне такой вариант кажется технически наиболее интересным.

Такой бы вариант бы не мешало и для проксированных изображений.Тем кто хочет от хотлинка защищаться.
Хотя в 17 уже вроде как каждые 5 дней прокси-картинки очищаются,но всё равно.
Если такой вариант реализуете я его обязательно в коде посмотрю.Так как такой вариант любопытен и мне,очень любопытен.

[domofor]

Эти решения не используются, потому что они сломают работу ссылок при некоторых условиях.

Почему нельзя сделать так, чтобы при сломе ссылок в некоторых условиях, админ мог отключить эти решения?
Вы же мне недавно предложили воспользоваться именно таким методом - отключить часть функционала мода)

[digger®]

Я добавил опцию для проверки HTTP_REFERRER. А что делать если пустой или не совпадает, выдавать 404?
Свои шаблоны для страницы редиректа тоже добавил.

[Yarik]

А что делать если пустой или не совпадает, выдавать 404?

А если вот так?

Код Выделить Развернуть

exit('HTTP/1.0 403 Forbidden')Мне кажется логичнее так.
По ходу пьесы даже задумал отдавать форумную страницу 403 однако заметил что это плохая идея.Выводится ссылка самого перехода и при нажатии на неё так как кука уже получена переход осуществляется. Не знаю,может и быть и бот так проскочить сможет...
Или ещё как идея

Код Выделить Развернуть

is_not_guest($message = '');В идеале я думаю свою ошибку создать.
Вам запрещено переходить по ссылкам с внешних...
Что-то типа такого

[Yarik]

В index.php после loadSession();

Код Выделить Развернуть

$_SESSION['go_secret_key'] = 1;В go.php после require(dirname(__FILE__) . '/SSI.php');

Код Выделить Развернуть

if(empty($_SESSION['go_secret_key'])){
header('HTTP/1.0 403 Forbidden');
     exit('HTTP/1.0 403 Forbidden');
}Проверки рефера нет,проверка сессии.
Нет сессии ошибка 403.

[Derty]

Админам форумов на обычных хостингах не все ли равно куда их ддосят, в index.php или index.php?action=go или index.php?action=raz_dva_tri ? Результат одинаковый, неважно стоит там этот мод ли нет.

Дело не в хостинге и это не ДДОС. При нешифрованных ссылках сайт используется как прокладка для отмыва тарффика. Да и при шифрованных можно, но это уже гемморойнее и потому ставится нецелесообразно.

Я добавил опцию для проверки HTTP_REFERRER. А что делать если пустой или не совпадает, выдавать 404?

Я бы 301 на морду отдавал.

[Yarik]

Я бы 301 на морду отдавал.

На главную перенаправлять?
Мне кажется логичным на 403 перенаправлять.Так как пришли не известно откуда по непонятной ссылке и естественно доступ запрещен.

[Derty]

На главную перенаправлять?
Мне кажется логичным на 403 перенаправлять.Так как пришли не известно откуда по непонятной ссылке и естественно доступ запрещен.

Тут палка о двух концах. С технической точки зрения - правильно что-то из 404-410-403.

Но для того, чтобы не терять юзера нужно отдавать контент. Т.е. либо наполнять  страницу ошибки контентом либо редиректить на самое интересное. (Разработчику мода незачем заниматься формирование страниц ошибок. Да и это вряд ли возможно что бы везде работало и устроило всех.  Поэтому остаётся либо дефолтная страница либо редирект)

А владельцу решать - упираться в технические правила или же думать о бизнесе/деле.

[Yarik]

С технической точки зрения - правильно что-то из 404-410-403

С технической точки зрения отдавать 403.Без форумного оформления,без ничего.Так как по такой ссылке ничего нормального не придёт.

Но для того, чтобы не терять юзера нужно отдавать контент. Т.е. либо наполнять  страницу ошибки контентом либо редиректить на самое интересное.

Сгенрировали редирект на детскую педофилию(условно допустим такое) и разместили её где-то используя go.php Вашего форума как прокладку для перехода.Вы считаете что оттуда придёт что-то приличное и нормальное что заинтересуется контентом Вашего форума и останется?

[Derty]

.Вы считаете что оттуда придёт что-то приличное и нормальное что заинтересуется контентом Вашего форума и останется?

Если не зацикливаться на педофилии, то да, возможно и заинтересуется и даже останется. Но дело не только в этом конкретном юзере. Есть еще много полезного для ресурса. Начиная от сарафанного радио и заканчивая поведенческими факторами.

[digger®]

Мне кажется логичным на 403 перенаправлять.Так как пришли не известно откуда по непонятной ссылке и естественно доступ запрещен.

Мне не кажется 403 логичным.
403 означает, что ресурс существует, но доступ к нему ограничен какими-то условиями. И если через тебя сделали ссылку на плохой сайт, то ты подтверждаешь, что ссылка эта есть, но доступ к ней как-то ограничен.
Я бы на 404 скидывал или форумную 404 показывал, если есть интерес посетителя все равно принять.

[Yarik]

Если не зацикливаться на педофилии, то да, возможно и заинтересуется и даже останется.

Я просто сомневаюсь что кто-то в благих целях будет использовать go.php чужого сайта

403 означает, что ресурс существует, но доступ к нему ограничен какими-то условиями. И если через тебя сделали ссылку на плохой сайт, то ты подтверждаешь, что ссылка эта есть, но доступ к ней как-то ограничен.

А вот тут пожалуй да.Тот же робот может подумать(так сказать) такое.
А 404?Можно подумать что такая ссылка у тебя была но ты её удалил.
А если просто назад возвращать откуда пришел?
Тут что-то такое надо чтобы было понятно что эта ссылка не находится у тебя вообще на ресурсе.Мне кажется что покажешь свою страницу или форум уже подумают что такая ссылка у тебя была но ты её спрятал для посвященных где-то в закрытом разделе.

[Yarik]

Я вижу что на форум зашел @BIOHAZARD
Может у него спросить разрешения использовать частично его мод RedirectPage?И собрать из двух модов все самое лучшее?
Ну а в идеале тогда кодировать ссылку используя не base_64 а некий хеш который будет регулярно меняться.Тогда мне как кажется и отправлять никуда пользователя не нужно будет,если сгенерировали ссылку то она через допустим сутки утратит уже свою валидность.
Я сейчас проверю этот вариант на том моде что стоит у меня.

Угу,не вариант скорее всего тоже.Так как тогда при переадресации по времени замыкается на циклический редирект  по кругу так как ссылки не существует тогда.

[Derty]

Я просто сомневаюсь что кто-то в благих целях будет использовать go.php чужого сайта

Всё в этом мире относительно. Не благое для одних может оказаться благим для для других.


Так отмывают траф не только на на чернуху, но и на вполне мирные сайты. Да и на чернуху - как будто любитель смотреть на фото голых мальчиков не может строить дом, интересоваться автомобилями или писать программы.

[Yarik]

Так отмывают траф не только на на чернуху, но и на вполне мирные сайты.

Так речь в теме и ведем о борьбе с такой отмывкой.
Все борются с такой отмывкой.

[Derty]

Так речь в теме и ведем о борьбе с такой отмывкой.
Все борются с такой отмывкой.

Так что бы не отмывали - не надо вообще использовать такие редирект-скрипты

А если душит жаба на ссылки, то нужно использовать шифрованные и проверять их по базе легитимных. Ну или как минимум проверять рефферер, хотя это и менее надежно. Если будет целевая атака с целью таким образом опустить конкурента, то это относительно легко обходится. Просто большинство форумов (тем более сейчас) как неуловимые Джо - нафик не нужно с ими так заморачивать.

[Yarik]

не надо вообще использовать такие редирект-скрипты

На серч сходите скажите это.Там знатно поржут с этого.