Embed Size (px)
Citation preview
Борьба с воровством мобильного трафика опыт zaycev.net
Воровство мобильных пользователей
Зачем воровать мобильных пользователей?
1 пользователь 20 рублей/день × 30 дней = 600 рублей
8000 пользователей × 600 рублей = 4 800 000 рублей
Возможное решение – CSP
Content Security PolicyContent-Security-Policy: default-src 'self';object-src 'self' *.zaycev.net; style-src 'unsafe-inline' *; frame-src *; child-src 'self' blob:; img-src * data:; media-src *; font-src * data:; script-src 'self' 'unsafe- inline' http://*.adfox.ru https://*.adfox.ru http://adfox.ru https://adfox.ru http://*.begun.ru https://*.begun.ru http://begun.ru https://begun.ru http://*.betweendigital.com https://*.betweendigital.com http://betweendigital.com https://betweendigital.com http://cas.criteo.com https://cas.criteo.com https://graph.facebook.com https://ssl.google-analytics.com https://www.google- analytics.com http://www.google-analytics.com https://www.googleapis.com http://s.i-vengo.com https://s.i-vengo.com http://code.jquery.com https://code.jquery.com http://*.mail.ru https://*.mail.ru http://tags.mathtag.com http://connect.ok.ru https://*.ok.ru http://autocontext.price.ru https://autocontext.price.ru http://ssp.rambler.ru/ https://ssp.rambler.ru/ https://cdn.api.twitter.com http://userapi.com https://userapi.com https://yandex.st http://yandex.st https://mc.yandex.ru http://mc.yandex.ru http://share.yandex.ru http://www.youtube.com https://www.youtube.com http://zaycev.net https://zaycev.net http://*.zaycev.net https://*.zaycev.net; connect-src http://*.adfox.ru https://*.adfox.ru https://z.on.aol.com http://z.on.aol.com https://loadus.exelator.com http://loadus.exelator.com http://www.google-analytics.com https://ssl.google-analytics.com http://*.googleapis.com https://*.googleapis.com https://api.i-vengo.com http://rs.mail.ru/ https://rs.mail.ru/ http://stat.qload.ru http://*.yandex.ru https://*.yandex.ru http://*.zaycev.net https://*.zaycev.net http://zaycev.net https://zaycev.net; report-uri /cspreport
Трудности внедрения CSP
Автоматизация подключения сетей BigData
Яндекс.Метрика Real Time Bidding
Неожиданность
CSP не панацея
Решение которое мы видим
Проблему можно решить только совместными усилиями
Изменился отдел продаж
Отдел разработки
Систематическое ручное тестирование
Логирование и анализ CSP
Итого100% защиты отсутствуют
Только CSP не решает проблему
Решение проблемы возможно только в плотном взаимодействии с баннерными сетями
ZAYCEV.NET
Евгений Трухин [email protected] +7 985 991-91-17
Артем Бигильдеев а[email protected] +7 351 905-59-47
