Испробовав буквально всё, мы начали искать причины за пределами контура нашей системы и в результате обнаружили очень хитро организованную атаку на A/B-тест рекомендательных систем: тщательно скрытый фрагмент кода, который присылает в браузер пользователя, который вот-вот совершит покупку, изображение в формате PNG.
Изображение побайтово расшифровывается в текст, который скрыто исполняется как JavaScript-код, приписывающий лояльную аудиторию платформе REES46, тем самым увеличивая конверсию этой системы и снижая результаты остальных.
Более всего в этой истории интересны дальнейшая судьба REES46 и конкретно Михаила. От репутации тут ноль остался, но как наш ecom все это переварит, вопрос интересный.
Есть проблема в этой истории, вопрос
Кража сессий стала возможна только потому, что для каждого посетителя независимо от его сегмента (RR, REES, родной) исполнялись все три кода всех систем
Это же очевидно, что после сегментации должен исполняться только один код - тогда не нужно будет ни за чем следить
Но сегментатор, как сказано на Хабре - был разработки RR, и это дыра
Вот сейчас REES типа воспользовались этой дырой, и их RR типа поймал, ок
Но почему в сегментаторе была такая очевидная дыра и кто даст зуб, что RR в аналогичных случаях не пользовались ей в своих интересах?
(представитель REES говорил, что в коде RR тоже много eval-ов, так это дурной тон по любому, но вроде бы пока не привел примера использования во зло)
Комментарий удалён модератором
Отложил почитать себе обе статьи. Приехал с выходных, открыл. Думал тут срач. Но нет. Теперь и читать неинтересно :) Но попробую осилить.
а какие цифры конверсий по факту ABC-теста без этого кода получились?
Думаю магазин "дочки-сыночки" теперь откажется от рекомендательных систем полностью
И Это только начало. Смысл передавать свои метки в другие системы с точки зрения продаж- работа в минус.