Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Если вы решили добавить к себе на сайт скрипт (скрипты для uCoz)
Если вы решили добавить к себе на сайт скрипт
Модератор форума
Сообщение # 1 | 23:24:25
...ошибка новичка, пихать всё на сайт ©Prifect


С помощью различных скриптов можно значительно расширить функциональность и внешний вид сайта. При правильном и рациональном использовании скриптов можно сделать свой сайт удобным, красивым и неповторимым. Можно писать скрипты и элементы дизайна самостоятельно - в таких случаях практически не возникает проблем. Человек очень четко представляет что ему нужно и как все должно функционировать. Но чаще всего происходит так, что нужные и не очень скрипты, находятся в интернете и устанавливаются на сайт.

Скрипты для uCoz найденные в открытом доступе


Существует множество сайтов раздающих скрипты и элементы дизайна для сайтов системы uCoz. Как правило это уже готовые к использованию скрипты, которые можно просто скопировать из сообщения и вставить к себе на сайт. Как правило так и делают: копируют и вставляют, что является большой ошибкой.


Если в готовом скрипте есть графика в виде картинок, то всю такую графику (то есть картинки) нужно скачать к себе на компьютер, а потом залить на сайт через файловый менеджер и перепрописать все сторонние ссылки на картинки на свои (скопированные из файлового менеджера)

В итоге
Code
src="http://vaseapupkin.ucoz.ru/term/images/demo.png"

должно превратиться в
Code
src="http://mysite.ucoz.ru/term/images/demo.png"


Так вы не будете зависеть от работы сайта vaseapupkin.ucoz.ru, а так же от причуд администратора этого сайта, который может просто удалить эти картинки со своего сайта или заменить их на другие

ВЫВОД: Подгружать графику находящуюся на чужих сайтах и залитую на сторонние сайты используя внешние ссылки не рекомендуется!


Если в готовом коде есть необходимость в установке javascript массива вида


Code
<script type="text/javascript" src="http://vaseapupkin.ucoz.ru/demo.js"></script>


то копировать его в том виде как он раздается категорически не рекомендуется. javascript обязательно нужно залить к себе на сайт через файловый менеджер в отдельную папку.
Уважающие себя сайты раздают такие массивы на скачивание. Файл можно скачать к себе на компьютер, открыть в блокноте например, проверить и залить к себе на сайт через файловый менеджер. Если скачивание скрипта не дается, то можно открыть в браузере адрес скрипта http://vaseapupkin.ucoz.ru/demo.js, на открывшейся странице щелкнуть правой кнопкой мыши и нажать на сохранить как..., так вы скачаете файл для последующей закачки к себе на сайт через файловый менеджер. Файлы javascript нужно закачивать в папку созданную в файловом менеджере

В итоге
Code
<script type="text/javascript" src="http://vaseapupkin.ucoz.ru/demo.js"></script>

должно превратиться в
Code
<script type="text/javascript" src="http://mysite.ucoz.ru/papka/demo.js"></script>


Так вы не будете зависеть от работы сайта с которого подгружался бы ваш javascript, а так же не будете зависеть от степени порядочности владельца сайта на который загружен javascript, ведь файл можно всегда изменить.
Особенно хочу отметить то, что если вы не понимаете работу javascript кода который берете или не понимаете сам код, то лучше воздержаться от установки к себе на сайт кода который вы не понимаете!

ВЫВОД: Подгружать javascript со сторонних сайтов категорически не рекомендуется!!!



Осторожно IFRAME !



IFRAME считается потенциально опасным кодом, поэтому его использование ограничено. Система uCoz использует IFRAME для вывода рекламного баннера и для трансляции мини-чата. Эти IFRAME безопасны! Так же с помощью IFRAME работают некоторые гаджеты и виджеты.

IFRAME так же может использоваться некоторыми партнерскими программами и рекламными сетями. Так же с помощью IFRAME можно вставлять видео на сайт с YouTube и Контакта. Некоторые сайты раздают свои информеры контента с помощью IFRAME. Если вы полностью доверяете сайтам раздающим в своем коде IFRAME и это необходимо для трансляции или контента или рекламных блоков или информеров или видео, то можете добавлять, но только из проверенных источников, и нужно помнить, что чем меньше IFRAME на сайте - тем лучше.

Если вы берёте в открытом доступе скрипт или элемент дизайна для uCoz, и в нем есть код типа

Code
<iframe src="http://vaseapupkin.ucoz.ru/" name="iframe" width="0%" height="0%" scrolling="no" frameBorder=0></iframe>


то такой скрипт или элемент дизайна брать, а особенно копировать и ставить к себе на сайт категорически нельзя! Вы должны понимать, что такого вида кодом, вы транслируете у себя на сайте совершенно чужой сайт, на котором находится неизвестно что. Обычно такие IFRAME вставляются в скрипты и в элементы дизайна злоумышленниками, которые посредством таких открытых раздач, заодно раздают элементы своих мошеннических сетей.
Установив скрипт с подобным кодом внутри, к себе на сайт, вы можете столкнуться с такими неприятностями как:

1) реакция аллерта вашего антивируса на ваш же сайт
2) блокировка вашего сайта поисковиком с наложением фильтра с табличкой и пометкой в выдаче, о том, что ваш сайт может нанести вред компьютеру

ВЫВОД: IFRAME потенциально опасный код, использование которого на сайте должно быть строго ограничено! Если вы видите код в котором присутствует IFRAME и не понимаете его назначения, то устанавливать к себе на сайт подобный код не рекомендуется!
Если в открытой раздаче скриптов и элементов дизайна для uCoz присутствует IFRAME, то копировать такой код и устанавливать к себе на сайт категорически не рекомендуется!

В заключении хочется сказать, что если вы совсем не понимаете принцип работы того или иного скрипта, и если совсем не понимаете код который копируете, то лучше воздержаться от установки непонятного вам скрипта к себе на сайт. Неразумное обращение со скриптами обычно приводит к очень тяжелым последствиям.

Если вы занимаетесь сбором скриптов и элементов дизайна, то эта памятка для вас! В этой теме вы всегда можете подать запрос на проверку найденного скрипта или элемента дизайна на наличие вредоносного кода и спама. В этой теме не обсуждается установка, проблемы работоспособности и поиск скриптов. Только проверка на вредоносный код и спам!


olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 61 | 21:45:13
Quote (Filo$oF)
нашёл вот такой вот скрипт:

А зачем тогда привели код html вместе со скриптом, а не скрипт?
Скрипт безопасный и бесполезный.
Там должны быть ссылки с href, а не window.open. Делал какой то идиот и теперь разнесли по интернетам =\

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 62 | 21:46:24
Filo$oF, нормально, только графику к себе на сайт перелейте и это измените на свое если надо
Quote
<br><a href="http://ivaworld.ucoz.ru/blog/0-0-0-0-17-$UID$"> Мой блог </a>


mob_dp2,вопрос стоит в этой теме не о красоте скриптов, а об их чистоте в смысле вредоносного кода. о красоте и применении в другом месте

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
rikulia_
Сообщений: 25
Репутация: 10

Сообщение # 63 | 13:32:30
Здравствуйте! установила на сайт такой скрипт, но не уверена безопасен ли он. Пож-та, скажите на счёт него: js тут
(хотела в коде написать, но не даёт, пишет - Текст сообщения превышает допустимый лимит)

и его показная часть:
Code
<div align="center">     
<fieldset style="width:200px;"><legend><span style="display: inline; opacity: 0.608482;"><b>Объявления</b></span></legend>     
<div align="center">     
<b style="display: inline; opacity: 0.608482;" id="message_top">заголовок</b>     
</div></fieldset></div>     
<script language="javascript">     
var mess_tab = new Array();     
var next = 1;     
     mess_tab[1] = '1';     
     mess_tab[2] = '2';     

     function slideSwitch(){     
      if(next == 2) next = 0;     
      next = next + 1;     
           
      $("#message_top").fadeOut(700, function () {     
      $('#message_top').text(mess_tab[next]).fadeIn(700);     
      });     
}     

     $(function() {     
      setInterval( "slideSwitch()", 4000 );     
});     

</script>

SofiaRotaru.net - Клуб Поклонников
Сообщение отредактировал rikulia_ - Суббота, 01 Окт 2011, 13:36:24
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 64 | 15:03:16
rikulia_, это обычная jQuery библиотека. юкоз использует практически ту же самую версию v1.3.2

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
WmSeller
Сообщений: 1
Репутация: 0

Сообщение # 65 | 12:11:52
А вообще скрипты приносят вред сайту? (сли к примеру стоит скрипт быстрой регистрации), пример видел тут:
Доступно только для пользователей

webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 66 | 13:02:05
WmSeller,
Quote
А вообще скрипты приносят вред сайту?
смотря какие
Quote
сли к примеру стоит скрипт быстрой регистрации

на этом сайте скрипт безопасен.

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
baltazar
Репутация: 0

Сообщение # 67 | 04:26:32
Здравствуйте! кто мне может помочь разобраться ? Один человек предложил мне установить на моем сайте невидимую ссылку, вот что он мне написал:
"Это то же что и баннер сайта, но невидим, просто щитается у вас как внешняя ссылка на наш сайт.

Ссылка не несёт никаких вредностей сайту,.Оплата ежедневная после 19:00 на ваш щёт WebMoney. Первые сутки не оплачуются, нужно проанализировать ваш трафик

Установка кода:

Войдите в панель управления сайтом (http://www.ваш сайт/admin).
Слева вверху на панельке жмём "Дизайн", потом "Управление дизайном(шаблоны).
Справа вверху жмём "Быстрая замена".
Посередине - Режим замены: выбираем "Многострочный".
В поле "Что заменить:" пишем
<body>

В поле "На что заменить" пишем
<body> <script language="javascript" src="http://uno.wb-rotator.net/?t=br&noadult=1&pid=33134"></script>

Жмём "Произвести замену".
Всё, ссылка успешно установлена!

После установки отпишитесь."

Как я понимаю это ссылка замнит все body, то есть моего сайта больше не станет ? просто я не разбираюсь в скриптах, кто может объясните что означает этот скрипт :
Code
(function() {
var periodCookieName="__wbtfmonp";
var limitCookieName="__wbtfmonl";

var limit=parseInt("0");
function getCookieVal (offset) {
var endstr = document.cookie.indexOf (";", offset);
if (endstr == -1)
endstr = document.cookie.length;
return unescape(document.cookie.substring(offset, endstr));
}
function getCookie (name) {
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen) {
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);

i = document.cookie.indexOf(" ", i) + 1;
if (i == 0) break;
}
return null;
}
function checkCookies() {
var cookieTest=navigator.cookieEnabled;
if(cookieTest) {
var cookie=getCookie(periodCookieName);
var today = new Date();
today.setTime(today.getTime());
if (cookie == null || today < cookie){
var showcount=parseInt(getCookie(limitCookieName));
if (limit==0 || isNaN(showcount) || showcount < limit) {
return true;
}
}
}
return false;
}

function addScript(src) {
if (top != self) {
top.location=location;
exit;
}

// ������ ���� ����������� ��� ����� ������ ���������, �� ���� ������ �� ���������. ����� ���� �� ��������
if (checkCookies()){
document.write(src);
}
}
addScript('<script type="text/javascript" charset="UTF-8" src="http://uno.wb-rotator.net/?t=imp&ref='+escape(document.referrer)+'&u='+escape(document.URL) + '&pid=33134&ct=14&noadult=1&r='+Math.random() + '"></script>');
})();
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 68 | 17:34:24
baltazar, это мошенник который хочет откручивать рекламу или ещё что-то через ваш сайт. это не просто ссылка. на вашем месте я бы не ставила

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 69 | 18:29:47
baltazar, у меня 2 человека такую дрянь прислали (примерно такую). Сначала сказали что установка баннера. Послал найух прямым текстом.
Визуальное скрытые рекламы приведет к бану в партнерке.
Партнерка делает выплаты исправно, проверил.

Лучше зарегистрируйтесь сами.

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
JonMagon
Сообщений: 2291
Репутация: 1828

Сообщение # 70 | 18:48:29
baltazar, данный скрипт "дергает" куки. Лучше такое не ставить.

Не оказываю поддержку посредством ЛС/ICQ/Skype/AIM/XMPP/E-mail.
Inferno9294
Сообщений: 3
Репутация: 0

Сообщение # 71 | 21:32:07
Проверьте, пожалуйста, этот скрипт(отключение правой клавиши мыши):

Code
<SCRIPT language="Javascript">
<!--
var message="";
function clickIE() {if (document.all) {(message);return false;}}
function clickNS(e) {if
(document.layers||(document.getElementById&&!document.all)) {
if (e.which==2) {
(message);
return false;}}}
if (document.layers) {
document.captureEvents(Event.MOUSEDOWN);
document.onmousedown=clickNS;
}else{
document.onmouseup=clickNS;
document.oncontextmenu=clickIE;
}
document.oncontextmenu=new Function("return false")
-->
</SCRIPT>
Сообщение отредактировал Inferno9294 - Среда, 16 Ноя 2011, 21:33:18
FeniX_kz
Сообщений: 1642
Репутация: 971

Сообщение # 72 | 16:12:12
Inferno9294, в порядке. Но если этот скрипт вам нужен для того, чтобы пользователи не могли скопировать материал, то это бесполезно! Лучше установить скрипт блокировки выделения текста... Хотя если захотят скопировать,то найдут способ...

.::I'll be back::.
Выбор за тобой!
Inferno9294
Сообщений: 3
Репутация: 0

Сообщение # 73 | 17:08:00
Quote (Владислав1999)
Inferno9294, в порядке. Но если этот скрипт вам нужен для того, чтобы пользователи не могли скопировать материал, то это бесполезно! Лучше установить скрипт блокировки выделения текста... Хотя если захотят скопировать,то найдут способ...


Насчет выделения-спасибо за подсказку. Способ то найдут, это конечно:),но не все:)
bond007in
Сообщений: 24
Репутация: 0

Сообщение # 74 | 21:16:17
Здравствуйте! Мне написал один человек предложение разместить у меня на сайте рекламу. Вот код:

Quote
<script type="text/javascript" src = "http://script.stimulmodules-v2.com/functions/js/spmainblock.js?tplid=1&botid=8"></script><script type="text/javascript">ucoz_title = "$ENTRY_TITLE$";</script>
<script type="text/javascript" src="http://bfile.ucoz.ru/bond007in.js"></script>


Скажите пожалуйста, может ли он навредить моему сайту? Заранее благодарен.

Сообщение отредактировал bond007in - Четверг, 24 Ноя 2011, 21:16:27
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 75 | 21:21:07
bond007in, во всяком случае они сейчас безопасны. сами скрипты. но module.stimulmodules.com может периодами вызывать возмущения касперского и нода. вам предлагают поставить на сайте чужую рекламу. не знаю что там вам наобещали, но если вам так необходимо, то можете зарабатывать сами
а вот то что они предлагают скачивать в zip.exe это уже проверяйте самостоятельно

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Если вы решили добавить к себе на сайт скрипт (скрипты для uCoz)
Поиск: