Как uLogin зарабатывает на каждом посетителе вашего сайта
Привет. Я маркетолог проекта loading.express, и мы ускоряем сайты.
Сегодня, в процессе ускорения сайта, наткнулись на такой милый «лайфхак» от uLogin, который приносит компании сотни тысяч рублей, а может и больше.
Если вы не знаете, uLogin — сервис, который помогает сделать авторизацию в личный кабинет вашего сайта через социальные сети. Сервис бесплатен, а потому, уже с 2011-го по 2012 год, его поставили к себе на сайты более 10 тысяч веб-мастеров, по утверждению владельцев.
Перед тем, как вставить код в свой сайт, убедитесь, что вы точно понимаете, что эта штуковина делает.
Как мы вычислили схему заработка
Ускоряем очередной сайт. Находим запрос, который тянет за собой загрузку главной страницы AliExpress. Он отъедал пару сотен милисекунд у загрузки и привлёк наше внимание. Идём в код сайта, такого запроса нет. Хм... ¯\_(ツ)_/¯
Смотрите, что мы увидели, копнув немного глубже:
Смотрим, откуда растут ноги, наводим в столбике Initiator на значение {index}:10, всплывает тултип (подсказка со ссылкой), в котором видны источник загрузки и содержимое:
Как видно из этого куска кода, прогружается реферальная ссылка AliExpress (s.click.aliexpress.com/e/cXKLI0Y). (Код со ссылкой.)
Домен другой, и вот где его подгружает сам сервис:
Заходим на страницу и поиском ищем ulogin-stats.ru:
В разделе техподдержки сервиса уже есть замечание про этот скрипт, но техподдержка ответила, что ничего такого не делает.
Что вообще всё это значит
Любой посетитель, который пришёл на ваш сайт, подгружает себе страницу AliExpress, сам того не зная. В AliExpress идёт запись, что этот посетитель пришёл по рекомендации uLogin.
И теперь uLogin получит комиссионные с его покупки! Сколько можно заработать? Вот какие проценты выплачивает CPA-сеть Admitad:
Считаем чужие деньги
Если взять посещаемость на каждом сайте хотя бы в 300 посетителей, в сутки получаем 3 млн рефералов. Если учесть, что время cookie — три дня, то из 9 млн реферальных посетителей с вероятностью 0,1% покупки совершат 9000.
Если средний чек AliExpress — 300 рублей, оборот реферала — 2,7 млн рублей. 3% выплаты от оборота — 81 тысяча рублей за три дня.
Классный ход! И это очень пессимистичный расчёт.
Выводы
Если вы ставите чужой виджет на свой сайт, в любой момент этот сервис может включить рекламу, редирект, перехват заявок с форм, считывание любой персональной информации о ваших посетителях!
Особенно это касается бесплатных сервисов вроде uLogin. Будьте бдительны и внимательно проверяйте, что загружается на вашем сайте прямо сейчас.
И, конечно, любой внешний код в вашем сайте замедляет скорость загрузки. Настоятельно рекомендуем подгружать все коды асинхронно и в отложенной загрузке. Откладывайте всё что можно. Чат, пиксели ретаргета и другие внешние ресурсы.
Делайте это смело, ведь у вас не будет другого шанса произвести первое впечатление. Впечатляйте посетителей быстрой загрузкой.
Высоких вам конверсий и безопасных виджетов!
Тот случай, когда понимаешь, что мог бы запилить что-то подобное, но ты недостаточно испорчен и поэтому такие идеи просто не появляются в голове. :-\
Я однажды где-то выложил кусок кода со своей рефералкой - не специально, просто как пример того, как можно вставить рефералку. Несколько месяцев капали комиссионные, люди тупо скопировали код не заменили ID на свой.
Было одновременно смешно и стыдненько (то ли за них, то ли за себя)
Когда устанавливаешь полностью бесплатный плагин, первое, что должно возникнуть в голове - "почему это бесплатно? Как они зарабатывают?"
И после нахождения ответа принимать решение, готов ты идти на такое или нет.
Так этой теме 100 лет в обед, и в свое время из-за нее Алиэкспресс сильно резал условия по партнерской программе, сокращая время жизни партнерских кук до одной сессии.
100%
Меня умиляют люди, которые искренне считают, что бывает что-то бесплатно...
Они же искренне считают тот же google и facebook бесплатным...
У них в пользовательском соглашении написано, что они могут использовать партнеров для вставки рекламы, что вас не устроило?
Представьте, сколько денег уходит на поддержку работоспособности такого большого и БЕСПЛАТНОГО сервиса. По-вашему, они должны бесплатно это все делать и сервера из своего кармана оплачивать? Вы же не ускоряете сайты бесплатно, верно?
Я и сам не особо против был бы, но эта штуковина тормозит загрузку сайта! Понимаете. Пусть вставляют что угодно, имеют право юридически, но если это вредит, то это уже так себе оправдание.
Так они же не рекламу вставляют.
По факту они кидают Али на деньги, потому что им платят за лиды, которых нет на самом деле.
Мы в admitad уже несколько раз присылали детект этого партнера рекламодателю, хотя он работает с официальной партнеркой Aliexpress, а не через Admitad - это видно по ссылке
Как написать детект на этих товарищей обычным смертным? Хочу написать, но не понимаю как.
Радуйтесь, что там не рефер от роскомнадзора.
Нормальные CPA должны банить за кукистафинг. А для тех, кто кудахчет о том, что "зато бесплатно и вообще читайте соглашение", стоит пояснить что на момент когда вы попадаете на страницу с виджетом Ulogin у вас уже может стоять партнерская кука от другого партнера.
И если провести аналогию из жизни, то выглядит это след. образом:
Вы (рекламодатель у которого есть трафик) заехали на АЗС оплатили бензин, взали пистолет, но льете не в бензобак, а в канистру, которую вам подставили "ушлые" ребята из Ulogin.
Или другая аналогия, когда вы (вебмастер) работаете, а зарплату в конце месяца на карту получает другой человек лишь потому что ему хватило ума подменить номер вашего счета на свой
¯\_(ツ)_/¯
Чистой воды мошенничество перед партнером, перед CPA. Перед пользователем, установившим виджет может и всё гладко с точки зрения закона, но если те, кто оправдывают такие действия завтра сами начнуть продавать трафик и столкнуться с кукистафингом, станут думать иначе))))
А если бы они просто новую вкладку открывали с магазином по cpa, как делал rutor ?
Ваша аналогия не верна. Правильно было бы сказать - вы, постоянный клиент АЗС, приехали заправляться, оплатили, а тут какой-то посторонний парень вылез и говорит кассиру - это я привел партнера, дай мне денежку. Вы не страдаете, ваша машина не страдает. А вот АЗС - да.
Проект есть на GitHub и там нет даже намёка на Али, но он посылает запрос на стороннюю либу, который и делает что хочет. Хитро
Хитро не то слово. Я прям кайфанул от идеи. Но осадок не очень. Явно у ребят сотня тысяч веб-мастеров есть уже. Представьте объемы какие на самом деле...
ето кукистафинг!
Кукистафинг и невидимый iframe - за это, как правило, в партнёрских программах банят без возможности вывода средств.
Вот, я искал название. Куки-стаффинг!
Спасибо. Напугался.
Как раз написал плагин для социальной авторизации на сайтах с WordPress
https://wpcraft.ru/blog/avtorizaczii-cherez-soczialnye-seti-v-wordpress-novyj-plagin-socialify/
Опенсорсный. По кодексу.
Делает тоже самое. Только без подстав.
Ищу альфа самцов для бета тестирования :)
Ну это финиш, написано или нет в соглашении не имеет значения, должно быть это явно, соглашения не читают 99% пользователей, это как подпись мелким шрифтом снизу, вы же согласились? Всё должно быть максимально прозрачно.
И зря не читают
Пользуясь случаем - на носу распродажа 1111. Конверсия в этот день просто стреляет - данные из 2018 года на картинке. Заработок веб-мастеров соответственно тоже взлетает, но только честных веб-мастеров).
больше деталей в блоге.
https://blog.admitad.com/?p=15689
Вот они и заработают ))
Если бы автор сам допёр, чтобы сделать такой "сервис", этой статьи вы бы никогда не увидели.
Почему не увидели? На хабре есть статьи про uLogin, там четко написано, что эти ребята редиректы делают, заявки перехватывают... А сделать такое же у себя на проекте - кто мешает? Делайте.
Я думал он умер ещё лет 5 назад. А он, оказывается, живёт.
Перестал им пользоваться, когда он сломался на пол года лет 5 назад.
Не уловил какая польза от этого для Али? По идее они должны забанить такого реферала
Партнера, а не реферала, если быть точнее в терминах. Вопрос объемов и антиспам алгоритмов Али, а так же менеджера, отвечающего за это
К слову, есть немало менее технологичных воришек, которые воруют чужие лиды по похожей схеме, предлагая оплату за размещение их баннера. С условием, что баннер будет подгружаться скриптом. Понятное дело, что на самом деле их интересуют не баннерные показы, а внедрение скрипта, через который можно подгружать чужому трафику свои куки или сливать мобильных пользователей на вап-клик.
Не знаю кто на это ведется, но подобные предложения прилетают на почты от моих личных проектов регулярно. Так что видимо отклик есть. Письмо со скрина пришло сегодня утром, например.
отличная идея)
Письма и от африканского принца приходят, но это не значит, что они работают ;)
Куки стаффинг - старая тема. На этом поднимаются все партнёрские сети, так как они не борются активно со своими "партнёрами", занимающимися подобными вещами (им невыгодно сие, ибо они имеют свой %%). Именно поэтому многие отказываются от работы с партнёрскими сетями, а сырой трафик там по моей оценке на 90% состоит из такого или аналогичного "трафика".
Методов защиты от этого безобразия немало. Включая те, что можно сделать собственными руками. Я об этом много раз рассказывал, в книге писал и уроки у нас универе есть на эту тему.
Тимофей, ну ты же знаешь что это не совсем так.
Вот недавний кейс от Мвидео и Кэшбеков, работающих через Admitad
https://vc.ru/admitad/65824-m-video-keshbek-uvelichil-chastotu-pokupok-v-poltora-raza
Ну вообще странно от бесплатного стороннего сервиса ожидать, что код не будет ничего делать. Хотя могли бы и признаться.
Ну реально. Написали бы письмо. Предупреждение. Или хотя бы признались в ответе своей же техподдержки...
Молодцы ребята. Все участники процесса в выигрыше. Конечный пользователь получает удобную авторизацию, сервис получает небольшую денежку. По поводу чего рвутся пуканы, определенно непонятно.
1. Вы разместили на своем ресурсе партнерскую ссылку на Алиэкспресс. Человек прошел по ней утром, заинтересовался товаром, но покупку решил совершить вечером. До вечера он перешел на какой-то сайт с Ulogin, который перебил вашу партнерскую куку своей. Когда человек вечером оформит заказ, то лид зачтут владельцам Ulogin. Этот лид они украли у вас.
2. Человек регулярно совершает покупки на Алиэкспрессе, заходя туда по прямой ссылке. Он зашел на какой-то сайт с Ulogin и ему подгрузили партнерскую куку. После этого он в очередной раз совершил прямой заход на Алиэкспресс и совершил там покупку, что засчиталось как лид владельцам Ulogin. Этот лид они украли у Алиэкспресса, "продав" им в качестве клиента того, кто являлся их клиентом и так.
3. Когда маркетологи Алиэкспресса посмотрят статистику и увидят сколько денег у них в этом квартале сперли куки-стафферы, то в очередной раз закрутят гайки по партнерской программе, в результате чего ее маржинальность снизится в разы для всех участников. В данном случае владельцы Ulogin ничего ни у кого не украли, а просто нагадили на общую поляну.
А какую альтернативу можете предложить для авторизации через соцсети? Руками прописывать геморройно, да ещё некоторые соцсети любят постоянно API менять.
Есть же на гитхабе репозитории, поддерживаемые владельцами. Найти вам?)
А разве партнерка али не скатилась на то, что засчитывает лиды в формате одной сессии?
было и такое, каждый год условия меняются
loading.express...
Не работает сайт :(
Что именно не работает?
Сайт открывается, проверки идут.
Да вся эта корпорация с приставочкой u перед названием таксебе
Думаете, uBlock Origin туда же? :-\
комментарий удалён
Идея не нова, было такое расширение для али, которое показывало цену на товар в динамике нескольких месяцев, оно тоже подменяло алишные куки.
Комментарий удален модератором
Auth0.com как альтернативу можно взять
а что они должны были бесплатно работать/))
Уверен, это далеко не единственный способ их заработка. Когда виджет подгружается там же тоже всякая инфа собирается, когда что открыл и т.п Когда данных становится много, они могут стоить дорого. Всякие бесплатные плагины для хрома сливают данные, аля clickstream data и прочее. Для таргентинга, просто аналитики и мало ли чего еще.
Обычная практика - регулярно такое нахожу, иногда по 2-3 фрод скрипта на один интернет магазин
Надо понимать, что бесплатный сыр бывает только в мышеловке. Когда мне звонят с какими-нибудь бесплатными предложениями, я обычно спрашиваю "И где вы меня кидаете?" Материал отличный! А вся эта хитрожопость горе-разрабов загоняет их самих в большую Ж***.
Этот трюк уже не прокатит, на сайте Aliexpress стоит заголовок x-frame-options: DENY, т.к. запрещено показывать их страницы во фрейме.
Яндекс пессимизировал сайт из-за переадресаций. Выяснили, что это Ulogin - 302 редирект на страницы с вредоносным содержанием.
Ох-ох...
Очень печально.
Ulogin уже не знают как навредить своей базе. Это похоже на конвульсии предсмертные.
Надеюсь, что это скоро закончится.
Так кого в качестве альтернативы то использовать? Тоже на двух сайтах стоит uLogin, вижу что подгружают всякую дрять - но на кого менять-то их?
Напишите своё и делов. Там простые правила, довольно таки. И на гитхабе есть. Надо поискать просто.
Комментарий удален модератором
Вообще пох..фиг. Пускай зарабатывают. А про долимилисекунды...на то они и долимилисекунды, чтобы обратить внимание на другие проблемы на своем сайте и устранить.
Комментарий удален модератором
Здравствуйте всем! Я не программист, но для себя ковыряю код по-немногу (PHP и JavaScript). Сразу к делу.
В вашем скриншоте указана "паразитная" ссылка "ulogin - stats . ru", но они её уже поменяли на "ulclick . ru/b-count . js"
Не долго думая, я разместил этот файл на своём сайте, удалил часть кода с этой ссылкой ("setTimeout(function() ... catch(w){}},5);") и, естественно, вызываю этот файл уже с своего сайта (src="/js/ulogin.js"). Если и были у меня сомнения - то не более пол процента (<= 0.5%). ВСЁ РАБОТАЕТ!
...а разве так можно было?... Ну, если работает - наверное можно)
Хотелось-бы почитать комменты спецов-программистов по этому поводу. И замеры времени загрузки - я просто не умею замерять, никогда раньше такой задачи не было. Не буду пиарить свой сайт, любой вебмастер сможет это проверить на своём сайте/сервере/хостинге.
Нормально для бесплатной услуги, тем более если отложкой это можно нивелировать.
А если они у вас заявки с сайта крадут, тоже нормально?)