Приложение ulogin что это за приложение
Авторизация через ulogin или как можно попасть в просак
Все чаще в технических заданиях и на сайтах можно наблюдать возможность войти через ту или иную социальную сеть. Иногда целесообразнее использовать готовый сервис, чем создавать отдельно приложения для каждой социальной сети. Прекрасным, по моему скромному мнению, вариантом является сервис ulogin, он позволяет быстро интегрировать нужное количество социальных сетей, и пока нареканий в работе не вызывал. Но, как оказалось, не все так гладко.
По какому полю вы связываете человека пришедшего через социальную сеть с пользователем зарегистрированным у вас на сайте? Я думаю большинство с первой попытки ухватится за поле которое в 95% является уникальным — Email. uLogin позволяет получить email на который регистрировался аккаунт в социальной сети, и в большинстве случаев пользователь привязывает все аккаунты к одной почте (речь идет о посетителях handmade порталов, разного рода магазинчиков с несколькими тысячами товаров типа детское белье и т.д.). Более того, выделяя среди социальных сетей тройку лидеров приходится сталкиваться с: Вконтакте, Facebook, (Twitter/Google+). И вот тут начинается история.
Социальная сеть Вконтакте никогда не отдаст вам email пользователя, также его не вернет и uLogin. Хотя можно указать сбор email принудительно, в этом случае после авторизации через социальную сеть uLogin запросит email пользователя самостоятельно, для того чтобы потому бережно отдать вам JSON с данными которые вы хотели получить от него. Проблема тут состоит в том, что в это поле можно вбить любой валидный email. То есть СОВСЕМ ЛЮБОЙ.
Таким образом, если авторизация через социальную сеть происходит по сути по полю email, некоему Васе для того чтобы войти на сайт под аккаунтом Пети, достаточно авторизоваться через Вконтакте и указать его email, который может не являться тайной и допустим выводиться в профиле.
Защитой от этой логической дыры является схема в рамках которой регистрация возможна только через те социальные сети которые делятся с нами email’ом. Далее личном кабинете пользователю предлагается привязать аккаунт к социальной сети — авторизоваться через тот же uLogin тем самым привязать аккаунт пользователя не по email, а по полю identity, т.е. идентификатору конкретной социальной сети. Бонусом может служить как иконка с ссылкой на профиль в социальной сети, так и любые поощрения на сайте и как сверх бонус собственно сама возможность авторизации.
При наличии таких полей остается только контролировать уникальность этих данных в базе, чтобы попытки привязать один и тот же аккаунт к разным профилям на сайте пресекался на корню.
Как uLogin зарабатывает на каждом посетителе вашего сайта
Сегодня, в процессе ускорения сайта, наткнулись на такой милый «лайфхак» от uLogin, который приносит компании сотни тысяч рублей, а может и больше.
Если вы не знаете, uLogin — сервис, который помогает сделать авторизацию в личный кабинет вашего сайта через социальные сети. Сервис бесплатен, а потому, уже с 2011-го по 2012 год, его поставили к себе на сайты более 10 тысяч веб-мастеров, по утверждению владельцев.
Перед тем, как вставить код в свой сайт, убедитесь, что вы точно понимаете, что эта штуковина делает.
Как вычислили схему заработка
Ускоряем очередной сайт. Находим запрос, который тянет за собой загрузку главной страницы AliExpress. Он отъедал пару сотен милисекунд у загрузки и привлёк наше внимание. Идём в код сайта, такого запроса нет. Хм. ¯\_(ツ)_/¯
Смотрите, что мы увидели, копнув немного глубже:
Этот код подгружается только один раз. Если вы его не видите, вы уже реферал! Смотрите из инкогнито
Смотрим, откуда растут ноги, наводим в столбике Initiator на значение
var d = document, s = d.createElement(‘iframe’), g = ‘getElementsByTagName’;
s.src = ‘// s.click.aliexpress.com/e/cXKLI0Y’ ;
s.style.position = ‘absolute’;
s.style.height = ’10px’;
s.style.width = ’10px’;
s.style.left = ‘-9999px’;
s.style.top = ‘-9999px’;
var h=d[g](‘body’)[0];
h.appendChild(s);
Как видно из этого куска кода, прогружается реферальная ссылка AliExpress ( s.click.aliexpress.com/e/cXKLI0Y ).
Домен другой, и вот где его подгружает сам сервис:
Заходим на эту страницу со скриптом и поиском ищем ulogin-stats.ru :
Исходный код скрипта виджета авторизации содержит ссылку на вставку реферальной ссылки Aliexpress
В разделе техподдержки сервиса уже есть замечание (ссылка) про этот скрипт, но техподдержка ответила, что ничего такого не делает.
Хитрый ответ техподдержки, в ulogin.js и правда нет ничего подобного
Что вообще всё это значит
Любой посетитель, который пришёл на ваш сайт, подгружает себе страницу AliExpress, сам того не зная. В AliExpress идёт запись, что этот посетитель пришёл по рекомендации uLogin.
И теперь uLogin получит комиссионные с его покупки! Сколько можно заработать? Вот какие проценты выплачивает CPA-сеть Admitad:
Скриншот из кабинета Admitad
Считаем чужие деньги
Если взять посещаемость на каждом сайте хотя бы в 300 посетителей, в сутки получаем 3 млн рефералов. Если учесть, что время cookie — три дня, то из 9 млн реферальных посетителей с вероятностью 0,1% покупки совершат 9000.
Если средний чек AliExpress — 300 рублей, оборот реферала — 2,7 млн рублей. 3% выплаты от оборота — 81 тысяча рублей за три дня.
Классный ход! И это очень пессимистичный расчёт.
Если вы ставите чужой виджет на свой сайт, в любой момент этот сервис может включить рекламу, редирект, перехват заявок с форм, считывание любой персональной информации о ваших посетителях!
Особенно это касается бесплатных сервисов вроде uLogin. Будьте бдительны и внимательно проверяйте, что загружается на вашем сайте прямо сейчас.
И, конечно, любой внешний код в вашем сайте замедляет скорость загрузки. Настоятельно рекомендуем подгружать все коды асинхронно и в отложенной загрузке. Откладывайте всё что можно. Чат, пиксели ретаргета и другие внешние ресурсы.
Делайте это смело, ведь у вас не будет другого шанса произвести первое впечатление. Впечатляйте посетителей быстрой загрузкой.
Высоких вам конверсий и безопасных виджетов!
Написать об этом в алиэкспресс, я думаю им будет весьма интересно узнать.
Бесплатный сыр бывает только в мышеловке.
Ответ на пост «Убираем русский алиэкспресс»
Я не знаю зачем автор проделывает эти танцы с бубном, но у меня работает такой метод:
4. Жмём на ссылку «Go to Global Site (English)»
Возможно будет выкидывать по истечении сессии, но не надо ничего устанавливать
Убираем русский алиэкспресс
Я уже давно заметил что с алиэкспрессом что-то не так, кучи непонятных баннеров, акции от тимати и галкина, но последней каплей для меня стал показ наших русских спекулянтов втридорого продающих нам товар вместо толковой выдачи, я конечно не спорю что и раньше поиск на али был не ахти какой, но такого он нам никогда не делал.
алиэкспресс россия дает нам так:
хотя должен делать так:
Я ни в коей мере не против развития малого бизнеса, но когда вместо конкуренции внаглую пропихивает себя это уже перебор.
Алгоритмы machine learning Alibaba заточены под продвижение товаров с наибольшим объёмом продаж, и закономерно возникает проблема курицы и яйца: российский сегмент платформы здесь не может конкурировать с Китаем, а в итоге местные продавцы не получают достаточных позиций в поиске. После ряда неудачных попыток и экспериментов нам удалось повысить позиции российских товаров, но система всё еще далека от идеала, мы будем её улучшать.
Только вот русский отсорсеры как всегда забыли спросить конечного пользователя, нужно ли ему это.
Поскольку мне это не нужно, я это уберу с помощью 2 небольших бубнов и танца расширений для браузера
Чтобы это отключить нужно знать как это работает. lang=eng не сработал, значит алиэкспресс берет у тебя информацию не с браузера, а смотрит по ip адресу. Поставить в настройках английский язык и зайти на aliexpress.com хорошее решение, но переодически части русского али всплывают там и там, набирая критическую массу возвращают нам сайт обратно на ру сегмент. Что заставляет нас снова и снова чистить куки чтобы вернутся на международную версию сайта
1) Первое что нам нужно сделать это очистить куки, это такие записи сайта в которых хранятся настройки. Закрываем все окна с открытым алиэкспресом, заходим в настройки браузера, куки, в поиске пишем ali и удаляем все. Повторяем несколько раз, пока кукисов от али не останется совсем
2) Скачиваем расширение для браузера с названием Edit this cookie или любое другое позволяющее редактировать и блокировать нам кукисы
Включаем впн, иначе дальше нас будет выкидывать на русский алиэкспресс.
Заходим на сайт Aliexpress.com открываем расширение и ищем куки с названием aep_usuc_f
там хранятся настройки языка, смотрим чтобы было написано locate=en если так не написано еще раз повторяем первый пункт нажимаем на замочек чтобы он закрылся. Теперь мы сделали куки только для чтения. Поздравляю половина дела сделано! впн можно отключать
Однако и теперь блуждая на просторах алиэкспресса сайт постоянно норовит перекинуть нас на aliexpress.ru что делает нашу пляску с бубном бесполезной поэтому достаем второй бубен:
3) скачиваем любое расширение редиректор (позволяет еще до подачи запроса на сервер изменить адрес сайта) открываем и пишем такое правило:
Если в строке сайта есть aliepress.ru то меняем его на aliexpress.com
у меня это выглядит так:
4) готово! вы прекрасны! Теперь алиэкспресс остается без всяких нововведений испортивших улучшающих нам сайт от маилсру груп, алиэкспресс росиия и прочих.
5) бонусом можно отключить рефералочку для тех людей, которые хотят на нас заработать и передают нам вирусные ссылки вида бест.алиэкзбрес.ру воруя наш кашбек
пишем такое правило:
Если в строке сайта есть бест.алиэкспресс то меняем его на алиэкспресс.ком
В конце поста как всегда хочу сказать спасибо пикабушникам которые вдохновили меня на это
@kot1972 за то, что рассказал как и почему наш любимый сайт сломался и @NickRomancer за ссылку на ресурсы по которым был написан этот пост.
Так же хочу сказать спасибо всем остальным пикабушникам, что не оставили прошлый мой пост про али Что становится с алиэкспрессом?, сделали 50К+ просмотров и тысячу классов. Многие в комментариях спрашивали как это отключить, я написал. Всем удачных покупок.
На страницах магазинов (по типу www.aliexpress.com/store/%цифры%/search/2.html ) ни один редиректор не работает (по крайней мере у меня), всё равно будет кидать на русскую версию, переключение локалей эффекта не даёт. С включённым редиректором бонусом идёт невозможность перейти на следующую страницу с товарами магазина, так как постоянно будет скидывать на первую. Одному Мао известно, как китайцы придумали и закодили эти охуительные алгоритмы. С VPN, кстати, всё работает нормально (хотя с VPN смысла в редиректорах нет). Я использую вот этот скрипт для редиректов: https://greasyfork.org/en/scripts/16734-aliexpress-remove-lo.
Инструкции по установке в большинство браузеров там же
Когда уточки узнали, что ты делаешь сложные правки на рабочем сайте заказчика, не сделав при этом его бэкап
Про веб программирование
А посылку я вам не отдам, потому что вашего дома на Яндекс.Картах нету!
Пишу на нервах! Просто одни эмоции остались от общения с сайтом IML. Заказал подарок для брата с алиэкспресс с доставкой из России курьером. На следующий день, то есть сегодня, посылке был присвоен номер и появилась возможность еще раз указать получателя и адрес доставки (хотя до этого все указывалось как при заказе на сайте али, так и в личной переписке по просьбе продавца). Захожу по полученной от IML ссылке и указываю данные. Дохожу до строчки «Адрес доставки». При нажатии на нее строчка превращается во фрэйм Яндекс. Карты. Ну, думаю, хорошо. Так может даже удобнее. Ввожу адрес в строку поиска. Город нашли. Улицу нашли. А вот дома на карте нет. Причем даже не так. Строение есть, но его приписали участку вообще с другой улица. Вот он, кружком обведен. Это дом 4 по улице Болотной. Но Я.К думают, что это Сланцевая, 55.
Спасибо тебе, IML, за увлекательный экспириенс на исходе дня.
Приложение ulogin что это за приложение
uLogin — это инструмент, который позволяет пользователям получить единый доступ к различным Интернет-сервисам без необходимости повторной регистрации, а владельцам сайтов —получить дополнительный приток клиентов из социальных сетей и популярных порталов (Google, Яндекс, Mail.ru, ВКонтакте, Facebook и др.)
Преимущества для пользователей:
Возможность входа на сайты или блоги, поддерживающие технологию uLogin, без дополнительной регистрации.
Конфиденциальность ваших данных и безопасный доступ к информации в ваших учетных записях.
Возможность выбрать наиболее подходящий для вас способ идентификации (через популярные социальные сети и порталы).
Преимущества для владельцев сайтов:
Интуитивно понятный пользовательский интерфейс.
Легкость и быстрота установки, настройки и управления виджетом uLogin.
Поддержка различных способов авторизации пользователей.
Дополнительный приток клиентов из популярных социальных сетей и порталов.
Единое API получения данных пользователя (все данные предоставляются в едином формате).
Дополнительная возможность получения адреса электронной почты, номера телефона и другой информации о пользователе.
Мы постоянно работаем над совершенствованием нашей системы и расширением ее функциональности. Работая с нами, вы получите надежного партнера, который поможет вам повысить уровень сервиса вашего Ресурса и привлечь новых пользователей.
Сервис uLogin отправляет данные из форм (почта, телефон) на сторонний сайт и молчит об этом
Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Вот их ответ в декабре 17-го:
Там есть запросы на наш счетчик ли.ру и на наш сайт. Партнерские запросы были ранее, но мы их окончательно убрали несколько месяцев назад.
— но они слукавили — запрос к x01.aidata.io они отправляли:
И на ресурсе не последовало ответа никому.
Так что это такое этот aidata.io? Это платформа управления данными для программного маркетинга. Так себя этот сервис называет. Но зачем он мне? Да, я знаю: что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные. Но они отправляют данные к себе. Они используют свои, проверенные скрипты — третья сторона не вмешается в работу скрипта. А uLogin подключает третью сторону и мне, как владельцу сайта не говорит об этом. Это честно? Я думаю нет. Против ли я? Конечно против.
С 25 мая 2018 года вступил в силу общий регламент по защите персональных данных Европейского союза: Data Protection Regulation (GDPR) и в РФ, ранее — №152-ФЗ «О персональных данных» — а uLogin не уведомляет моих посетителей сайта. Я и сам не знал что данные собираются — как я ответил бы на этот вопрос если ко мне постучались в дверь? Я не контролировал свой сайт.
Поверить им стоило, что они окончательно убрали трекинг? Я поверил.
24 января 2018-го я обратил внимание на ошибки в консоли сайта:
и тут же забил тревогу. Списался по почте с командой uLogin — ответ:
Это скрипт-трекер от нашего партнера.
Вот это поворот! Чуть больше месяца назад они меня заверили что убрали подобное.
А между тем в интернете, на площадке reformal, происходило движение в теме. Я не знаю правил публикаций — позволяют вставить ссылку? Но я рискну: тема от 28 декабря 2017-го
Там и я написал и выложил для светлых голов содержимое подключаемого скрипта.
В теме отвечал Иван Пшеницын — и он очень удивлялся — «как же так может происходить». В конце марта он последний раз появился в теме и бросил своих клиентов, что доверили им свои сайты — на произвол судьбы.
И даже в мае 2018-го в тему поступали новые комментаторы, в конце апреля пользователь с ником Maxim, опубликовал видео — как скрипт из формы на сайте, на совсем сторонний сайт отправляет пользовательские персональные данные (номер телефона).
Месяц назад тему подняли в официальном форуме поддержки вордпресс плагина — два человека пожаловались на утечку. Официального ответа там не было.
Стоит ли доверять команде сервиса, которые утверждали в почтовой переписке, что они убрали партнерские запросы, а продолжают подсовывать «троянских коней» на наши сайты? Если они дают возможность третьей стороне грузить бесконтрольно на наши сайты любой js, то что они захотят (эти третьи лица) — правильно ли это? Безопасно ли это? Законно ли это?
Эту запись я публикую — т.к. от команды сервиса uLogin не получил должного ответа.
p.s. при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы.
Если у вас есть идеи и мысли по поводу данного продукта и сложившейся ситуации — добро пожаловать в комментарии.
upd. 2018-06-05 — Вчера я написал письмо службе безопасности вордпресс. Они отреагировали (но к сожалению ответ мне по почте пока не прислали) — плагин в официальном репозитории вордпресса недоступен для скачивания. Посетителя встречает такая надпись:
Или разбираются в вопросе, или дали время команде uLogin на устранение такого поведения.
uLogin зарабатывает сотни тысяч рублей на каждом посетителе вашего сайта
uLogin — сервис, для авторизаций через соц.сети в кабинет вашего сайта. Со времени старта с 2011 года они набрали более 10.000 установок.
Хочешь вставить код в свой сайт — убедись, что точно понимаешь, что и зачем он делает.
Как мы вычислили схему заработка сервиса
Сидим, ускоряем сайт. Ничего необычного. И вдруг, видим запрос, который за собой тащит главную страницу Aliexpress.com. Мы внимательно рассматриваем любой непонятный запрос и этот привлёк наше пристальное внимание. Смотрим в код — запроса нет. Хм. Прячется значит. ¯\_(ツ)_/¯
Код загружается один раз. Не видишь код? Ты уже реферал! Смотри из инкогнито.
Ищем, где собака зарыта. Столбик Initiator значение «
Если расшифровать, то в этом коде видно, что подгружается ссылка рефера Aliexpress (s.click.aliexpress.com/e/cXKLI0Y). Код и ссылка тут https://ulogin-stats.ru/visit/.
Вот где прячется то, что нам надо — https://ulogin.ru/js/ulogin.js. Если просто открыть эту страницу и нажать CMD+А или CTRL+А и вставить в поиск ulogin-stats.ru, то покажет вот что: 
Конечно, мы не первые, кто заметил этот трюк. На портале техподдержки сервиса уже есть обращение от 4 сентября. Вот его скриншот и ниже гениальный ответ из техподдержки: 
Отличный ответ от ТП, ведь в ulogin.js на самом деле ничего такого нет: 
Что же такое мы отыскали и почему это важно для тебя
Любите, когда кто-то ворует ваших посетителей? Вы платите за их привлечение свои кровные, а кто-то просто берет копирует к себе всю вашу дорогую базу клиентов, зарабатывая на каждом. Неприятно, правда?
Каждый посетитель твоего сайта, если у тебя стоит uLogin, открывает ссылку Алиэкспресс. Которая содержит метку от uLogin. И если в течение трех дней он купит там, то Login получит вознаграждение с этой покупки. Классно да?
Что выплачивает CPA-сеть Admitad, например, за каждую покупку: 
Считаем конкретные цифры в деньгах
Код uLogin стоит на 10.000 сайтах. На каждом есть хотя бы 300 посетителей. Это 3 000 000 захваченных рефералов.
Время cookie 3 дня. Значит есть 9 000 000 захваченных рефералов. Если вероятность покупки в три дня хотя бы 0,1%, то будет 9000 покупок.
Если средний чек Али — 300 рублей, то оборот 2 700 000 рублей.
3% комиссии это чистыми 81 000 рублей за три дня. Неплохо, да?
Эти цифры самые минимальные. Скорее всего всё намного приятнее.
Выводы
Любой чужой код в вашем сайте может сделать всё, что угодно в любой момент. Включить свою рекламу, перенаправить посетителей куда-то, перехватывать ваши заявки, считывать любую информацию о ваших посетителях.
Особенно, если это бесплатный сервис, типа uLogin. Попросите программиста проверить на WaterFall прямо сегодня, что загружается на вашем сайте.
И ещё
Внешний код замедляет скорость загрузки сайта. Подключайте код только асинхронно и откладывайте его загрузку на три и более секунд от начала. Что можно откладывать? Чат, пиксели ретаргета, виджеты соц. сетей, аналитические сервисы.
Смело делайте это. Первое впечатление можно произвести только один раз. Удивляйте посетителей быстрой загрузкой сайтов.
Высоких вам конверсий и порядочных подрядчиков с виджетами!