574

Время идет. Ничего не меняется.

В прошлом году на хабре вышел нашумевший пост про сторонние скрипты на сайте зеленого банка.

Прошло больше года, но ничего не поменялось:

Время идет. Ничего не меняется. Сбербанк онлайн, Сайт

P.S. На сайте другого банка аналогичную проблему устранили почти сразу после обращения.

Дубликаты не найдены

+91

А теперь для необразованных. Что это дает/забирает и почему это плохо. Очень хочу вникнуть в проблему, но самому гуглить лень.

раскрыть ветку 27
+58
сторонний скрипт не контролируется банком и в нем (в скрипте) может однажды оказаться вирус, например,который имеет полный доступ ко всем паролям,что вы вводите?


Я сейчас посмотрел - у меня еще сберонлайн cdn.rutarget.ru/static/tag/tag.js использует

А если ввести этот адрес - идет переадресация на segmento.ru "

Реклама на основе данных

Используем сочетание уникальных офлайн и онлайн данных

для эффективной медийной рекламы"


еще и Yandex.Metrika живет в сбереонлайн

и гугланалистик

раскрыть ветку 20
+11

Ставишь какой-нибудь win2012r2 и юзаешь родной ишак. Он на каждый адрес вопрос задает, открывать или нет.

раскрыть ветку 9
+2
еще и Yandex.Metrika живет в сбереонлайн
На какой странице она грузится?
раскрыть ветку 7
0

Segmento = sberbank.

Это один холдинг.

-2
А cdn . Это же загрузка статики ? В чем проблема?
+21

Вставлен скрипт со стороннего источника. Любая проблема безопасности на стороне этого источника, автоматически станет проблемой безопасности банка. Причем не факт, что банк вообще о ней узнает.

Ну и не очень умно полагаться на то, что Гугл или Яндекс никогда не возжелает заполучить данные наших карточек вместе с паролями.

раскрыть ветку 5
+3

Гугл и яндекс не пишут данные из полей паролей, а в личном кабинете там огромные ограничения. Системы аналитики вообще не умеют отличать сеансы залогиненые. То есть это у пользователя после входа на сайт отображается его личный кабинет, для систем аналитики роли пользователей не работают и они видят ЛК в целом, без привязки к данным пользователя. Разве не так?

раскрыть ветку 2
-3
А теперь с подробностями.
где в этих буковках и цифрах скрипты сторонних вендоров? Где ссылки на сторонние сервера?
раскрыть ветку 1
+7

Часто вижу посты о плохом сбере. И каждый раз думаю: "Почему вы им пользуетесь?" Каждый раз где со мной поступили плохо, то я просто меняю эту компанию. Поменял провайдера, оператора, банк, не хожу в рестораны, где не вкусно или хреновое отношение от официантов, ну и куча других примеров. Но почему такое самонеуважение у людей, что они продолжают терпеть?

раскрыть ветку 1
+1

Никогда не был клиентом сбера.

У меня зарплатная карточка другого банка, на сайте которого была аналогичная проблема.

+3

Ничего удивительного. После того как они разогнали всех спецов и перешли на свою систему ИИ, технические вопросы с ними решать стало вообще невозможно.

Сужу по системе интеграции с их банкоматами.

+2

Сберджайл SCRUM? Фак ю, айм рашан - херак скриптов и в продакшен

+2

Ну у убрира такая же херня в интернет банке, там 5 или 6 сторонних скриптов подключено. Да еще и чат типо JivoSite или что то такое.

+2
Дополнения для браузера :Privacy badger + Disconnect + https everywere + adblock.
это сейчас минимальный набор для "безопасного" серфинга
раскрыть ветку 10
+5
Privacy Badger слишком себе на уме, чтобы можно было на него полагаться.

Минимальный набор сейчас - uMatrix + uBlock + https everywere + Decentraleyes + AudioContext Fingerprint Defender. Последние 2 работают сами и настройки не требуют.

раскрыть ветку 9
0

кстати с uMatrix у меня видео на ютубе не показывает

раскрыть ветку 2
0

Decentraleyes у меня тоже установлен. а в чем прикол последнего?

раскрыть ветку 1
-1

Да я посмотрю вы параноики :D Или же вам есть что скрывать?

раскрыть ветку 3
+1

спасение утопающего - дело самого утопающего. следовательно мы сами должны заботиться о безопасности. а ждать что о нас позаботятся можно долго... хотя смотря с какой стороны на это смотреть :)

раскрыть ветку 13
+11

Согласен. Режу рекламу, счётчики и метрику на всех сайтах, в том числе на сайте Сбера:

Иллюстрация к комментарию
раскрыть ветку 12
+3

Заменил адблокер этим расширением, благодарю :)

раскрыть ветку 7
-1
А что за расширение?
раскрыть ветку 3
0

Та же самая фигня и у нас... Приват24 - личный кабинет...

Иллюстрация к комментарию
0

А в чем проблема? В том что маркетологи засунули в контейнер системы аналитики и ретаргета? Дак им тоже надо анализировать поведение для улучшения сайта и смотреть конверсии, ну  и конечно потом продавать вам свои продукты везде.

раскрыть ветку 18
+3

Все скрипты в такой системе нужно хранить у себя на сервере. Тут же часть скриптов подгружается с других серверов, т.е. в любой момент можно подменить/модифицировать скрипт на стороннем сервере и он будет загружаться на страницы пользователей твоей системы.

Все эти скрипты они могли бы залить на свой сервер и брать их с него же, либо использовать нескриптовые версии счётчиков.

Проблема не в использовании скриптов как таковых, а в загрузке их с чужих серверов.

раскрыть ветку 16
-1

Милионы сайтов так работают, а здесь это проблема. Что вообще с этим можно сделать? Какие скрипты ты на свой сервер зальёшь? Гугл аналитики?

раскрыть ветку 15
0

А, ну раз маркетологам что-то надо, то хуй с ним, пускай так остаётся!

0

Как хорошо что это не счётчик, да?

-6

их отношение к клиентам это прямой результат поведения самих клиентов, которые не хотят и не будут ничего делать со словами "и так сойдет".

раскрыть ветку 13
0
не хотят и не будут ничего делать
Однако счётчики, отмеченные красными стрелочками с сайта исчезли:
Иллюстрация к комментарию
раскрыть ветку 12
+4
Как бы этим пользуются почти все сайты и это нормально) но согласен что для лк банка - должны быть свои api для подобной статистики, и нахер в закрытом сайте тэг мэнеджер вот этого я не понял. Такое чувство что разрабы что умели то и напихали)
раскрыть ветку 11
ещё комментарии
Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: