Прошло больше года, но ничего не поменялось:
P.S. На сайте другого банка аналогичную проблему устранили почти сразу после обращения.
А теперь для необразованных. Что это дает/забирает и почему это плохо. Очень хочу вникнуть в проблему, но самому гуглить лень.
Я сейчас посмотрел - у меня еще сберонлайн cdn.rutarget.ru/static/tag/tag.js использует
А если ввести этот адрес - идет переадресация на segmento.ru "
Реклама на основе данных
Используем сочетание уникальных офлайн и онлайн данных
для эффективной медийной рекламы"
еще и Yandex.Metrika живет в сбереонлайн
и гугланалистик
Ставишь какой-нибудь win2012r2 и юзаешь родной ишак. Он на каждый адрес вопрос задает, открывать или нет.
адблок не припятсвует загрузке на комп (иначе он и не узнает,что надо блокировать) , и даже выполнению - он, имхо, просто не показывает. Часто на яндексе наблюдаю,когда комп тормозит - баннер появляется (то есть скрипт выполнился) и тут же пропадает
По крайней мере ublok Блочит на уровне загрузки. Так как скрипты целей яваскриптов не отрабатывают на кнопках. Плюс в сети нет данных файлов, то что они грузятся
с программами ни в чем уверенным быть нельзя. 99,9% скриптов блочится, а один какой- то (back door) не блочится. к тому же адблоку можно заплатить деньги и он не будет блочит твоё.
тем не менее сбербанк встроил антивирус к себе, но не встроил адблок. поэтому все сторонние скрипты в личном кабинете банка - выполняются. инфа ( а какая - х.з) передается, в т.ч. иностранным службам. зачем им это надо?
эм, не проще в панели управления, в свойстве браузера в закладке безопасность все по отключать? будет тоже самое
Слова могут быть и без скрипта. У Яндекс.метрики есть нескриптовый вариант счетчика - обычная невидимая картинка.
там вот так (номер счетчика я заменил на 3* - ибо параноик)
вызывается скрипт mc.yandex.ru/metrika/watch.js - а это скрипт на 16 страниц мелкого почерка сплошняком и без переносов
<!-- Yandex.Metrika counter -->
<script type="text/javascript"> (function (d, w, c) {
(w[c] = w[c] || []).push(function () {
try
{// Дополнительный счетчик
w.yaCounter3* = new Ya.Metrika({id: 3*, clickmap: true, trackLinks: true, accurateTrackBounce: true, trackHash: true, ut: "noindex", params: window.yaParams});
// Основной Счетчик
w.yaCounter3*= new Ya.Metrika({id: 3*, clickmap: true, trackLinks: true, accurateTrackBounce: true, trackHash: true, ut: "noindex", params: window.yaParams});
}
catch (e)
{
}
});
var n = d.getElementsByTagName("script")[0], s = d.createElement("script"), f = function () { n.parentNode.insertBefore(s, n); };
s.type = "text/javascript";
s.async = true;
s.src = "https://mc.yandex.ru/metrika/watch.js";
if (w.opera == "[object Opera]")
{
d.addEventListener("DOMContentLoaded", f, false);
}
else
{
f();
}
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript>
<div>
<img src="https://mc.yandex.ru/watch/3*?ut=noindex" style="position:absolute; left:-9999px;" alt=""/>
<img src="https://mc.yandex.ru/watch/3*?ut=noindex" style="position:absolute; left:-9999px;" alt=""/>
</div>
</noscript>
<!-- /Yandex.Metrika counter -->
а вот рутаргет
<!-- RuTarget -->
<script>(function(w, d, s, p) {var f = d.getElementsByTagName(s)[0], j =
d.createElement(s); j.async = true; j.src ='//cdn.rutarget.ru/static/tag/tag.js'; f.parentNode.insertBefore(j, f);
w[p] = {rtgNoSync: true, rtgSyncFrame: false, rtgCounter:
true};})(window, document, 'script', '_rtgParams');</script>
<!-- /RuTarget -->
Я.Метрика и Google Analytics там точно крутятся. Сам лично чинил посреди ночи один баг, связанный с этой штукой. Но больше никаких сторонних скриптов не было. (Актуально до февраля 2018, потом уволился)
Голландцы (яндекс)
гугл (сша)
рутаргет/Segmento (россия)
кто еще не знает о состоянии счетов россиян?
1. Рутаргет я не видел. Хотя признаюсь, что мог и не видеть. Сбербанк Онлайн - это ооочень большая система, состоящая из нескольких десятков приложений
2. Никакие персональные данные третьим лицам не передавались. По крайней мере, когда я работал, такого не было. Хотя слышал о поползновениях в эту сторону, но, вроде, речь шла о продаже аналитики в обезличенном виде
Вставлен скрипт со стороннего источника. Любая проблема безопасности на стороне этого источника, автоматически станет проблемой безопасности банка. Причем не факт, что банк вообще о ней узнает.
Ну и не очень умно полагаться на то, что Гугл или Яндекс никогда не возжелает заполучить данные наших карточек вместе с паролями.
Гугл и яндекс не пишут данные из полей паролей, а в личном кабинете там огромные ограничения. Системы аналитики вообще не умеют отличать сеансы залогиненые. То есть это у пользователя после входа на сайт отображается его личный кабинет, для систем аналитики роли пользователей не работают и они видят ЛК в целом, без привязки к данным пользователя. Разве не так?
Гугл и яндекс не пишут данные из полей паролей
Не знаю как там у гугла, а для Яндекса на поля требуется вручную вешать CSS класс ym-disable-keys, чтобы вебвизор не записывал нажатия клавиш.
На это могут и забить, если раздолбаи или если вебвизор выключен.
а в личном кабинете там огромные ограничения
И в чем же это выражается?
для систем аналитики роли пользователей не работают и они видят ЛК в целом
То, что системы аналитики видят, может отличаться от того, что они вам показывают.
Точную ссылку можно найти в исходниках страницы или через инструменты разработчика (F12) на вкладке Сеть.
