Помощь Поиск и выявление "стучалок": Или о том как дудки вам дудки

[mrLom]

Итак, тема давно назревала, в итоге я решил таки вынести ее в отдельную ветвь.
Правила простые: поменьше флуда, старайтесь писать по теме, что бы не мусорить в теме, просто лишний раз читайте внимательно где находятся подобные стучалки и не ленитесь пользоваться поиском по скриптам. Ищущий найдет.

Студия Сотбит с решениями sotbit.missshop и sotbit.mistershop:

Спойлер: Непотребство Сотбит

sotbit.missshop/lang/ru/include.php

$MESS['YANDEX']  = '<!-- Yandex.Metrika counter -->
<script type="text/javascript">
(function (d, w, c) {
    (w[c] = w[c] || []).push(function() {
        try {
            w.yaCounter22491013 = new Ya.Metrika({id:22491013,
                    webvisor:true,
                    clickmap:true,
                    trackLinks:true,
                    accurateTrackBounce:true});
        } catch(e) { }
    });
 
    var n = d.getElementsByTagName("script")[0],
        s = d.createElement("script"),
        f = function () { n.parentNode.insertBefore(s, n); };
    s.type = "text/javascript";
    s.async = true;
    s.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//mc.yandex.ru/metrika/watch.js";

    if (w.opera == "[object Opera]") {
        d.addEventListener("DOMContentLoaded", f, false);
    } else { f(); }
})(document, window, "yandex_metrika_callbacks");
</script>
<noscript><div><img src="//mc.yandex.ru/watch/22491013" style="position:absolute; left:-9999px;" alt="" /></div></noscript>
<!-- /Yandex.Metrika counter -->
';
$MESS['GOOGLE']  = "
<script type='text/javascript'>
  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-45850056-1']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();
</script>
";

Решение: вычистить содержимое в кавычках, либо сразу же заменить реквизиты счетчиков на свои.

Студия Аспро, замечено во всех решениях по аналогии:

Спойлер: Непотребство Аспро:

Все непотребства находятся в /bitrix/modules/ а далее в соответствии с решением aspro.(mshop, kshop, ishop, tires, optimus и т.д., во всех решениях студии)
Учтите, путь тоже может меняться, поэтому пользоваться поиском никто не отменял!
В старых версиях:
/aspro.mshop/include.php
В новых версиях:
/aspro.mshop/classes/general/CMShop.php
вытаскиваю отдельные части кода:

                $socket = fsockopen('bi.aspro.ru', 80, $errno, $errstr, 10);
  $data = json_encode(
  array(
  "client" => "aspro",
  "install_date" => date("Y-m-d H:i:s"),
  "solution_code" => self::moduleID,
  "ip" => $serverIP,
  "http_host" => $_SERVER["HTTP_HOST"],
  "bitrix_version" => SM_VERSION,
  "bitrix_edition" => $APPLICATION->ConvertCharset($edition, SITE_CHARSET, "utf-8"),
  "bitrix_key_hash" => md5(CUpdateClient::GetLicenseKey()),
  "site_name" => $APPLICATION->ConvertCharset(COption::GetOptionString("main", "site_name"), SITE_CHARSET, "utf-8"),
  "site_url" => $APPLICATION->ConvertCharset(COption::GetOptionString("main", "server_name"), SITE_CHARSET, "utf-8"),
  "email_default" => $APPLICATION->ConvertCharset(COption::GetOptionString("main", "email_from"), SITE_CHARSET, "utf-8"),
  "action" => $action,
  )
  );
  fwrite($socket, "POST /rest/bitrix/installs HTTP/1.1\r\n");
  fwrite($socket, "Host: bi.aspro.ru\r\n");
  fwrite($socket, "Content-type: application/x-www-form-urlencoded\r\n");
  fwrite($socket, "Content-length:".strlen($data)."\r\n");
  fwrite($socket, "Accept:*/*\r\n");
  fwrite($socket, "User-agent:Bitrix Installer\r\n");
  fwrite($socket, "Connection:Close\r\n");
  fwrite($socket, "\r\n");
  fwrite($socket, "$data\r\n");
  fwrite($socket, "\r\n");
  $answer = '';
  while(!feof($socket)){
  $answer.= fgets($socket, 4096);
  }
  fclose($socket);

/aspro.mshop/admin/mc.php
Фрагмент кода открывает фрейм сайта студии, а это вам знаете ли рефка:

  <iframe src="https://aspro.ru/mc/?<?=$m?>"></iframe>

Благовидно, но сдаст вашу копию с потрохами.

Решение: Полностью удалить представленные части кода — формирование статистики в сокет и фрейм.
Либо заменить bi.aspro.ru на localhost — тем самым отправим статистику в никуда.

В разделе Black list - Жалоба на @mrLom 460$

 

[qwertyguru]

Я думаю будет очень весело)

Думаю надо скопом собраться и попросить юристов грамотно составить коллективный ИСК, вот будет веселье, за одно и заработаем, причем не обязательно только в Битрикс, и по Расширениям тоже можно разослать и по темам, очень будет весело, плюс ну и заработать можно.

 

[wpt]

Перед тем, как установить решение, нужно согласиться с лицензией. Вы ее читаете?

 

[mrLom]

Перед тем, как установить решение, нужно согласиться с лицензией. Вы ее читаете?

Одно дело когда вы читаете лицензию, кликаете, что соглашаетесь с ней, тем самым даете согласие на обработку данных, которые вы сами лично предоставляете и сейчас знаете об этом, но совсем другое дело скрытый сбор сведений без вашего на то согласия в конкретном решении. Ведь тех сведений которые вы уже предоставили Битриксу вполне достаточно. Многие же в действительности злоупотребляют возможностями и собирают по факту все, что можно сграбить — ФИО, телефон, почту, название сайта — словом полный набор идентификации. Это уже даже больше чем оператор данных, это даже уже ХЗ кто! И я сомниваюсь, что они пошли и подали заявление, что являются оператором агрегации персональных данных, а уж тем более в новой версии устранили свои программы в соответствии с законом.

Есть понятие: "внутренние правила компании", но еще здравствуйте, есть и законы, пусть они и фуфломициновые, но законы. Это как пример с фотографированием в магазине. Внутренние правила магазина могут запрещать фотографирование, но закон позволяет вести съемку в публичных местах если объект не имеет статуса секретного или государственного охраняемого объекта.

Я так понимаю, что к Битрикс претензий нет — они втали на учет, а вот мелкие сошки боюсь ковыряют до сих пор в носу, в надежде, что прокатит за спиной у Битрикса.

 

[wpt]

Лом, я прекрасно всё понимаю и также негодую по поводу этого скрытого сбора. Однако, в наших реалиях, писать в роскомнадзор - пустое дело. Разработчику достаточно внести пару фраз в текст соглашения и заменить человеко-понятную фразу "скрытый сбор" или "шпионский сбор" на "автоматический сбор" и закон будет на их стороне... Увы.

 

[Abix]

Перед тем, как установить решение, нужно согласиться с лицензией. Вы ее читаете?

Найдите там строчку о персональных данных. Ее нет!

 

[wpt]

Найдите там строчку о персональных данных. Ее нет!

Я сейчас не имею ввиду какой-то конкретный модуль, а так же не утверждаю что в его лиц. соглашении есть такая формулировка, я заострил ваше внимание на том, что перед установкой решения нужно согласиться с лицензионным соглашением! Соответственно, если пойдут претензии, достаточно будет изменить его текст. Не согласен - удаляй. Вот и всё. А в одном из решений я прямым текстом видел в лицензии примерную по смыслу фразу - актуальный текст соглашения можно найти на нашем сайте по адресу ".....". Поэтому наехать то конечно можно, но вот остаться в выигрыше - не факт.

 

[Abix]

оэтому наехать то конечно можно, но вот остаться в выигрыше - не факт.

Есть порядок следствия который просто исключает такие подлоги, а если вскроется изменение данных уже после, и докажется факт сокрытия то просто положение усугубится кратно.

 

[mrLom]

PS. В новой редакции законов РФ все больше ответсветнности ложится на разработчиков и магазины, которые прикрываясь своими внутренними формами соглашений добывают незаконно сведения о простых людях (почта, телефоны, ФИО, адреса — онлайн продавцы знают о нас больше чем кафе во дворе). Ведь приходя в простой магазин за креветками/диваном или в Ашан за бензопилой — от вас не требуют почту, паспортных данных, не требуют телефон для покупки самовара — только если вы идете в отдел доставки, хотя если вы едете с водителем, то и этих данных от вас не нужно.
Разве что при покупке спитного, если ты на вид моложе 18 лет, будь добр предьявить документ о возрасте. Главное что бы там была рожа и дата рождения удовлетвояющая требованиям продажи — ваше имя никого не трясёт!
Регистрация в магазине это вообще моветон. Пришел купить — назовись хоть Никулиным — дай адрес доставки, получателя, и, может быть, контактный телефон для связи с курьером — Всё! Эквайринг с картой — ложится на плечо банка. По мне так было бы достаточно и купить без какой либо регистрации. А для того что бы забрать товар в пункте самовывоза или у курьера — отдельный пароль, кодовое слово — называйте как хотите. Простому курьеру тоже совершенно не обязательно знать ваше имя — ему, в онлайн карманном терминале достаточно бы написать пароль, произнесенный от вас и получить удаленно автоматическое разрешение к выдаче товара. И не важно каким способом, через интернет или СМС. Совпало — забери свой товар.

Ах, да, к чему я об этом — мы ушли от темы!
Парни, напоминаю, это тема о стучалках, вопрос мы подняли, далее можно продолжить в теме: Битрикс. Закон. Ответственность. Ну или во флуде пофантазировать

 

[wpt]

htt_ps://aspro.ru/partners/, посмотрите золотого партнера - "Доступ к Центру управления в админке сайтов ваших клиентов." - что имеется ввиду?

 

[coder1990]

htt_ps://aspro.ru/partners/, посмотрите золотого партнера - "Доступ к Центру управления в админке сайтов ваших клиентов." - что имеется ввиду?

В решениях аспро есть такая штука в админке: "Центр управления"
там обычно размещают информацию для тех поддержки и прочие сообщения, примерно как виджет для рабочего стола битрикс.

bi.aspro.ru надо блокировать, об этому уже писали выше.