Дыра в Justclick — обнаружена серьёзная проблема!

Давно не было постов на блоге и очень жаль, что поводом для нового поста становится такая неприятная новость.

Этот материал посвящен тому, как утекают тысячи клиентов и оплат через дыру в сервисе JustClick.Ru.

На одном из своих проектов Клуб NSP мы запускаем онлайн школу ПП и в продающей воронке на этапе приема оплаты и организации партнерки планируем использовать сервис JustClick, на котором я купил себе пожизненную лицензию, давно им пользуюсь и в целом доволен им.

НО на этапе тестирования партнерки для нашей школы была обнаружена дыра в их партнерской программе очень и очень серьёзная, я думаю, что рефералы, работающие с их партнерками потеряли не одну тысячу рублей из-за этого БАГа (из-за этой проблемы).

У JustClick есть возможность установить на свой сайт скрипт, который позволяет учитывать партнерские переходы на сайт, где установлен их скрипт.

Ваши партнеры по своим реф. ссылкам гонят трафик на лендинг, находящийся вне сервиса JustClick, в куки прописываются id реферала, в случае покупки продаваемого продукта, рефералу начисляются комиссионные.

Понимаю, что люди особо не сведущие в технических нюансах работы партнерских программ, могли на этом моменте уже «поплыть», но те, кто в теме, думаю понимают, о чем я тут.

Я установил скрипт на свой лендинг и будучи перфекционистом и человеком очень дотошным я всегда, прежде чем сделать какой-то запуск и уж, тем более привлечь в него рефералов, по 100 раз все перепроверяю и тестирую.

Суть ошибки в работе партнерки JustClick

В ходе тестирования продающей воронки я заметил, что при переходе по реф. ссылкам в браузере Mozilla Firefox куки ВООБЩЕ не прописываются в браузере, тоже самое происходит и в браузере от Microsoft Edge.

Что это нам говорит?

Если выражаться понятным языком, то Вы по реф. ссылкам начинаете привлекать трафик (людей) на посадочную страницу (лендинг) и если пользоваться пользуется браузером Google Chrome, то Вы комиссионные получите, а вот если он использует Mozilla Firefox или Edge, то НЕ получите.

На сервисе кучу партнерок, с выплатами партнерам по несколько миллионов рублей, мне страшно представить сколько партнеры там недополучили комиссионных из-за такой проблемы :(((

Стоит ли еще что-то добавлять по поводу серьёзности проблемы? Не думаю!

Что нужно сейчас делать?

Если Вы автор партнерки:

  1. Написать в тех. поддержку JustClick.Ru и потребовать ответ, когда будет решена проблема.
  2. Порекомендовать всем своим партнерам приостановить рекламные компании на продаваемые Вами инфопродукты!

Если Вы реферал:

ОСТАНОВИТЬ все рекламные компании на продукты, продаваемые через сервис JustClick.Ru.

Мои действия после обнаружения ошибки в JustClick

Будучи человеком, разрабатывающим сервисы для своих партнеров, не в таких масштабах конечно, как JustClick, но тем не менее более 1250 человек пользуется моим детищем (рекрутинговая система: интернет-магазин, автовебинары, продающие лендинги и пр.) каждый день, то я в целом понимаю, что всякое бывает и когда проект разрастается за всем не углядишь…

Существует негласное правило, что если ты где-то нашел баг, то сперва сообщи об этом разрабу, они исправляют ошибку и после этого ты можешь говорить о проблеме, но после того как она решилась, на решение проблемы обычно дается 48 часов.

Так я и поступил, но с момента как я сообщил о проблеме уже прошло значительно больше 48 часов и терпение моё закончилось, не дожидаясь решения проблемы говорю о ней и выкладываю переписку с их технической поддержкой:

Стас Фалькович 06.12.2017 14:24

Скажите я все подключил, домен заработал, все ок, НО в продуктах партнерский скрипт все равно под старым адресом — https://drive.google.com/file/d/1cRjxUv7z3I2p_8KdlPb4GHOFDDfjSUH1/view?usp=drivesdk

получается так, что на лендинге мне нужно подсовывать все равно старые урлы на страницу оплаты чтобы корректно учитывались партнерские переходы, с таким доменом  

stasfalkovich.justclick.ru

хотя основным у меня указан:

6012.ru

я попробовал скрипт подсунуть с доменом новым
<script language=»JavaScript» type=»text/javascript»
    src=»//6012.ru/jsapi/click.js»></script>

Но тогда в куки ничего не прописывается, как с этим быть?

Еще раз обозначу, вся эта процедура была затеяна именно из цели убрать любое упоминание моего имени и фамилии, которые по глупости я заталкал в урл во время регистрации в вашем сервисе.

JustClick.Ru 06.12.2017 16:14

Здравствуйте!

Скрипт автоматически генерируется через стандартный домен. Но Вы сейчас можете в этом скрипте вручную заменить стандартный домен на Ваш привязанный и скрипт должен работать. Если со скриптом, в котором используется привязанный домен, учет кликов у Вас НЕ работает, то пришлите, пожалуйста, ссылку на страницу, где он установлен, чтобы я могла передать данную информацию программистам

Аналогично со ссылками на продукты — сейчас они будут работать через оба домена (и через стандартный и через привязанный Ваш), и на странице заказа Вы можете использовать ссылку с тем доменом, который Вам нужен.

Стас Фалькович 06.12.2017 16:49

Страница где установлен скрипт — https://nspclub.org/refup/shkola-pravilnogo-pitaniya-olgi-koltunovoj/

Партнерская ссылка — https://nspclub.org/refup/shkola-pravilnogo-pitaniya-olgi-koltunovoj/?utm_medium=affiliate&utm_source=partner-shn
И я вижу что при переходе по партнерской ссылке куки не прописываются

Стас Фалькович 07.12.2017 17:45 (сутки прошли, ответа нет, еще раз интересуюсь)

Здравствуйте, есть какие-то новости? у меня на завтрашний вечер презентация курса, мне нужно как-то вопрос этот решать (((

JustClick.Ru 12.12.2017 8:40

Здравствуйте!

Извините за задержку с ответом, программист проверял, в чем проблема. Выяснилось, что проблема не с нашей стороны, а возникает из-за того, что у Вас сертификат безопасности для Вашего сайта (ssl-сертификат) настроен очень жестко, он не дает работать скрипту учета кликов — куки не ставятся: http://joxi.ru/Vm69N90uxWEOlr и, соответственно, переходы не учитываются (а если поставить Ваш же скрипт на другой сайт без столь жестко настроенного протокола, то он работает верно: http://joxi.ru/YmE9w9EuZ7agYm ). Чтобы исправить эту проблему Вам нужно перенастроить сертификат безопасности более мягко, чтобы он не препятствовал работе скрипта.

Именно после этого ответа, я начал чувствовать, что из меня пытаются сделать какого-то «придурка», так как ответ ни какого отношения к делу вообще не имеет.

Стас Фалькович 12.12.2017 12:15  (объявление 48 часов на решение бага)

Просто Ваш программист не сильно заинтересован в решении моей проблемы, если даже я не программист и то разобрался в чем тут дело…

 

Это очень удобно перевести стрелки на меня и сказать что на нашей стороне проблемы, а то что при подключении собственного домена и назначения его основным он не доступен по ssl, а ваш домен по умолчанию вида example.justclick.ru доступен, Ваш программист якобы этого не знает и то что данные с доменов без ssl блокируются (недоступны для использования) доменом имеющем такой сертификат.

Вы мне тогда другое объясните, почему при подключении вашего скрипта

<script language=»JavaScript» type=»text/javascript» src=»//stasfalkovich.justclick.ru/jsapi/click.js»></script>

 

куки в хроме прописываются, а вот в мазиле и edge на отказ не хотят, это тоже проблема на моей стороне? О_о

 

Причем думаю, а дайка попробую закинуть лендос на поддомен без ssl и результат тот же, куки не прописываются:

Мазила — https://drive.google.com/file/d/1JtF97dylsmdmq4dnVELnrPVFFV0wGLh9/view?usp=drivesdk

Хром- https://drive.google.com/file/d/1XpifmoW87By35bg_EFa_jGswle8dvlSr/view?usp=drivesdk

Edge — https://drive.google.com/file/d/1X85p4-0WjQpOBZQEhZZuvXHzXdkpi79C/view?usp=drivesdk

Опера — https://drive.google.com/file/d/1C48tAHOxvtt1ema9WuFmyA7jh9peWw66/view?usp=drivesdk

Но я все равно подумал что вдруг только у меня такие мягко говоря проблемы, так протестировал партнерские ссылки Вашего одного из основателей и получил тот же результат

 

http://makewealth.ru?utm_medium=affiliate&utm_source=stasfalkovich

https://drive.google.com/file/d/1dkM9GEHRVYrLkrZKYqCF9OytkQrlBDAB/view?usp=drivesdk

Конечно допускаю, что Вы не специально и просто не доглядели, но моё терпение уже сходит на нет, столько время выяснять с Вами в чем тут проблемы и на чьей они стороне.

 

Соблюдая этику, я 48 часов сообщать об этой проблеме ни где не буду, но если в течении этого времени проблемы решены не будут, я буду вынужден сообщить об этом в бизнес сообществе где большое количество людей пользуются Вашим сервисом, так как это очень серьёзная дыра.

Жду ответа!

JustClick.Ru 12.12.2017 22:18 

Доброй ночи, Стас.

Меня зовут Павел, я координатор работы между поддержкой и программистами. Это я давал предыдущий ответ.

Я не хотел от Вас «отмахнуться», но теперь вижу, что с проблемой ознакомился не полностью. Частично мой ответ все равно справедлив — скриншоты, которые присылала Евгения, были именно из Хрома и куки там не ставились. Сейчас, когда в адресе скрипта родной домен JustClick, они ставятся, но, например, Касперский, который у меня установлен сообщает о неверных настройках сертификата и не разрывает соединение только если с этим дополнительно согласиться.
Однако Ваши доводы тоже имеют почву, не спорю.

Я постараюсь подробнее ответить Вам завтра. Возможно, попрошу провести некоторые манипуляции со страницей. Я верно понимаю, что требуется следующее: настроить учет кликов и подписок, используя при этом активный домен аккаунта в адресе скрипта?

Кстати, Павел, приятный в общении человек, неоднократно помогал в решение не простых вопросов, всегда приятно с ним общаться. Но «приятный человек» это не повод закрывать глаза на серьёзнейшие проблемы, которые к тому же не спешат решать. Быстро бы пофиксили проблему, я бы естественно ни каких постов бы даже и не думал выкладывать.

Стас Фалькович 13.12.2017 0:12

Павел, доброй ночи, благодарю, что Вы лично мне ответили!

 

 «из Хрома и куки там не ставились»

верно, они не ставились тогда, вероятно, еще был подключен скрипт через домен 6012.ru, который сейчас является основным в целом для аккаунта и он, по понятным причинам, не имеет сертификата ssl, мой же домен основного сайта https://nspclub.org на ssl и естественно скрипт не может быть подгружен с незащищенного домена, на мой взгляд это основная проблема почему куки не залетают.

 

НО, для меня оказалось огромной неожиданностью, что в других браузерах вообще ни с какого домена куки не прописываются и это очень серьёзно 🙁

 

«настроить учет кликов и подписок, используя при этом активный домен аккаунта в адресе скрипта?»

 

В целом верно… если помните, мы с Вами уже общались на предмет этого вопроса, скрипт у меня был подключен через домена stasfalkovich.justclick.ru, а ссылка на страницу оплаты была kurs.nspclub.org и тогда вообще покупки по реф. ссылкам ни как не отслеживались, тогда это я ошибку допустил …

 

Задача: Мне нужно убрать из ссылок упоминание моего имени и фамилии отсюда и начались «танцы с бубном» по прикручиванию совершенно нейтрального домена 6012.ru и попытка выстроить продающую воронку и партнерский маркетинг именно через этот домен.

 

Скрипт подключить менно через этот домен, чтобы при переходе на страницу оплаты реф. ссылки отслеживались корректно.

 

По сути, мне вообще все равно как именно эта проблема решится, я готов этот скрипт у себя на хосте разместить, только скажите, что нужно сделать, чтобы корректно прописывались куки во всех браузерах.

 

Мне важно чтобы страница оплаты была через домен http://6012.ru/order/shn-express/ , а ни http://stasfalkovich.justclick.ru/order/shn-express/ .

Стас Фалькович 13.12.2017 18:54

Здравствуйте, прошел очередной день, ответ какой-то будет?

JustClick.Ru 13.12.2017 20:33

Доброй ночи, Стас!

Да, ответ будет. «Кружок» из меня и тестировщиков собирается через полчаса примерно.)
О проблеме помню и «не отпускаю» ее.
Вариант с размещением на Вашем хосте также возможен, но мне хотелось бы понять причину возникновения ошибки в консоли. Точнее предупреждения, что скрипт не загружен, хотя куки ставятся. Опасаюсь, что за этим может быть другая проблема (пока неизвестная), потому не даю рекомендаций пока что никаких. Предупреждение возникает и на незащищенном протоколе вообще.
Ночью (уже вот-вот) проверю на своем сайте, только нужно время, чтобы подключить ssl еще возможные варианты и обязательно сообщу Вам.

JustClick.Ru 14.12.2017 13:48

Доброго дня!

Подтверждаю, что проблемой занимаюсь. Определенность будет сегодня.
Пока что до конца непонятны причины проблемы. Жду ответ программиста по выявленным ошибкам. Обещает ответить сегодня, как закончит с текущей для него задачей. Вероятно уже ночью.

Стас Фалькович 14.12.2017 13:57

добрый день, принято, жду

На момент написания данного материала, 15.12.2017 20:53, проблема НЕ решена, со мной ни кто не связывается.

Как говорится, НЕ переключайтесь, то как будет проблема решаться, я буду выкладывать апдейты ниже.

Стас Фалькович 15.12.2017 21:39

Здравствуйте.

Я понимаю, что Вас это не порадует, но я вас попросил решить проблему, она не решается, вынужден сдержать своё слово.

» Соблюдая этику, я 48 часов сообщать об этой проблеме ни где не буду, но если в течении этого времени проблемы решены не будут, я буду вынужден сообщить об этом в бизнес сообществе где большое количество людей пользуются Вашим сервисом, так как это очень серьёзная дыра.»

https://stasfalkovich.com/dyra-v-justclick-obnaruzhena-seryoznaya-problema/

https://drive.google.com/file/d/1FD-I2iuYf6rgL5oWDHFSEDR6RwzDySnU/view?usp=drivesdk

17 числа соберу аудиторию на ФБ по ключевым словам Вашего сервиса, закину бюджет и запущу продвижение своей статьи.

ПОЖАЛУЙСТА, не воспринимайте это как какие-то угрозы, я ни в том положении чтобы Вам угрожать, я всего лишь заранее сообщаю, что я буду делать, так Вам легче будет расставлять приоритеты.

JustClick.Ru 16.12.2017 22:48

Доброй ночи.

Поверьте, решение данной проблемы стоит в списке самых приоритетных по внутренней работе.
Более приоритетными могут являться только ситуативные срочные задачи от руководства (они не занимают много времени) и решение проблем клиентов, использующих тарифы Эксперт и Гуру. Но это не значит, что любой вопрос от таких наших пользователей является более важным.
Я искренне хочу помочь Вам и надеюсь, что способ найти получится. Но если говорить об официальной позиции сервиса, то работу с ssl мы не поддерживаем. Однако я понимаю, что вопрос все равно важный и если есть возможность предложить какое-то решение проблемы, то я должен это сделать.
За ожидание прошу прощения, но физически не имею возможности провести все тесты и получить все ответы очень оперативно. Если говорить об обычном ходе решения вопроса, то по данной проблеме нужно делать задачу программистам. Учитывая, что это единичное обращение в данной ситуации, то приоритет его будет низкий. Среднее время до обработки таких запросов программистами — 3-4 недели. В Вашем случае ответ будет точно быстрее — я общаюсь с программистом напрямую, но он также испытывает повышенные нагрузки сейчас и потому какое-то время также приходится ждать.

По поводу статьи и ее продвижения: я оценил изобретательность и живость подхода. Вынужден признать, что я действительно не в восторге от этой идеи, но это безусловно Ваше право. Желание помочь у меня есть, но сделать это сверхсрочно я просто не смогу независимо от публикаций.

Благодарю за понимание.

Стас Фалькович 18.12.2017 14:44

Добрый день.

 

| Но если говорить об официальной позиции сервиса, то работу с ssl мы не поддерживаем.

Судя по моим тестам Вы не только ssl НЕ поддерживаете, Вы еще и по незащищенному http:// через раз работаете. Я очень подробно и со скринами показал это, а Вы мне все про ssl говорите.

 

Работая через http:// Ваши куки не прописываются в Мазиле и Эдже, на 2017 год их суммарная доля рынка составляет 17,67% (источник: https://www.comss.ru/page.php?id=4219), что это нам говорит?

 

А говорит нам это следующее, что сливая трафик на ЛЮБУЮ партнерку работающую через Ваш сервис я ПОТЕРЯЮ 17,67% комиссионных выплат!

 

Степень критичности этой ошибки, просто сложно переоценить!

 

И ваше бездействие и поиски каких-то причин, вынуждает идти меня на совершенно не свойственные мне шаги…

Стас Фалькович 11.01.2018 15:51 — с предыдущего сообщения прошел почти месяц О_о

Здравствуйте, каков статус заявки — [CL #KJR-152-12952]

Евгения из JustClick.Ru 12.01.2018 10:22

Добрый день. Уточнила у специалиста, который занимается этим запросом — до середины следующей недели, до четверга 18.01 программисты точно разберутся в ситуации и специалист даст Вам ответ.

Комментарий: Как мы видим, что даже критические ошибки решаются настолько не спеша, что сложно это даже комментировать.

ПОСТ БЫЛ ПОЛЕЗЕН? ПОДЕЛИТЕСЬ С ДРУЗЬЯМИ!

Оставить комментарий

Войти с помощью: