Как uLogin зарабатывает на каждом посетителе вашего сайта

Привет. Я маркетолог проекта loading.express, и мы ускоряем сайты.

Сегодня, в процессе ускорения сайта, наткнулись на такой милый «лайфхак» от uLogin, который приносит компании сотни тысяч рублей, а может и больше.

Если вы не знаете, uLogin — сервис, который помогает сделать авторизацию в личный кабинет вашего сайта через социальные сети. Сервис бесплатен, а потому, уже с 2011-го по 2012 год, его поставили к себе на сайты более 10 тысяч веб-мастеров, по утверждению владельцев.

Перед тем, как вставить код в свой сайт, убедитесь, что вы точно понимаете, что эта штуковина делает.

Как мы вычислили схему заработка

Ускоряем очередной сайт. Находим запрос, который тянет за собой загрузку главной страницы AliExpress. Он отъедал пару сотен милисекунд у загрузки и привлёк наше внимание. Идём в код сайта, такого запроса нет. Хм... ¯\_(ツ)_/¯

Смотрите, что мы увидели, копнув немного глубже:

Этот код подгружается только один раз. Если вы его не видите, вы уже реферал! Смотрите из инкогнито

Смотрим, откуда растут ноги, наводим в столбике Initiator на значение {index}:10, всплывает тултип (подсказка со ссылкой), в котором видны источник загрузки и содержимое:

var d = document, s = d.createElement('iframe'), g = 'getElementsByTagName'; s.src = '//s.click.aliexpress.com/e/cXKLI0Y'; s.style.position = 'absolute'; s.style.height = '10px'; s.style.width = '10px'; s.style.left = '-9999px'; s.style.top = '-9999px'; var h=d[g]('body')[0]; h.appendChild(s);

Как видно из этого куска кода, прогружается реферальная ссылка AliExpress (s.click.aliexpress.com/e/cXKLI0Y). (Код со ссылкой.)

Домен другой, и вот где его подгружает сам сервис:

Заходим на страницу и поиском ищем ulogin-stats.ru:

Исходный код скрипта ​виджета авторизации содержит ссылку на вставку реферальной ссылки Aliexpress

В разделе техподдержки сервиса уже есть замечание про этот скрипт, но техподдержка ответила, что ничего такого не делает.

Хитрый ответ техподдержки, в ulogin.js и правда нет ничего подобного

Что вообще всё это значит

Любой посетитель, который пришёл на ваш сайт, подгружает себе страницу AliExpress, сам того не зная. В AliExpress идёт запись, что этот посетитель пришёл по рекомендации uLogin.

И теперь uLogin получит комиссионные с его покупки! Сколько можно заработать? Вот какие проценты выплачивает CPA-сеть Admitad:

Скриншот из кабинета Admitad

Считаем чужие деньги

Если взять посещаемость на каждом сайте хотя бы в 300 посетителей, в сутки получаем 3 млн рефералов. Если учесть, что время cookie — три дня, то из 9 млн реферальных посетителей с вероятностью 0,1% покупки совершат 9000.

Если средний чек AliExpress — 300 рублей, оборот реферала — 2,7 млн рублей. 3% выплаты от оборота — 81 тысяча рублей за три дня.

Классный ход! И это очень пессимистичный расчёт.

Выводы

Если вы ставите чужой виджет на свой сайт, в любой момент этот сервис может включить рекламу, редирект, перехват заявок с форм, считывание любой персональной информации о ваших посетителях!

Особенно это касается бесплатных сервисов вроде uLogin. Будьте бдительны и внимательно проверяйте, что загружается на вашем сайте прямо сейчас.

И, конечно, любой внешний код в вашем сайте замедляет скорость загрузки. Настоятельно рекомендуем подгружать все коды асинхронно и в отложенной загрузке. Откладывайте всё что можно. Чат, пиксели ретаргета и другие внешние ресурсы.

Делайте это смело, ведь у вас не будет другого шанса произвести первое впечатление. Впечатляйте посетителей быстрой загрузкой.

Высоких вам конверсий и безопасных виджетов!

0
129 комментариев
Написать комментарий...
Kirill Pankin

Тот случай, когда понимаешь, что мог бы запилить что-то подобное, но ты недостаточно испорчен и поэтому такие идеи просто не появляются в голове. :-\

Ответить
Развернуть ветку
Коммунист

Я однажды где-то выложил кусок кода со своей рефералкой - не специально, просто как пример того, как можно вставить рефералку. Несколько месяцев капали комиссионные, люди тупо скопировали код не заменили ID на свой.
Было одновременно смешно и стыдненько (то ли за них, то ли за себя)

Ответить
Развернуть ветку
1 комментарий
Андрей Викторович

Когда устанавливаешь полностью бесплатный плагин, первое, что должно возникнуть в голове - "почему это бесплатно? Как они зарабатывают?"

И после нахождения ответа принимать решение, готов ты идти на такое или нет. 

Ответить
Развернуть ветку
16 комментариев
Дмитрий Александрович
Тот случай, когда понимаешь, что мог бы запилить что-то подобное

Так этой теме 100 лет в обед, и в свое время из-за нее Алиэкспресс сильно резал условия по партнерской программе, сокращая время жизни партнерских кук до одной сессии.

Ответить
Развернуть ветку
1 комментарий
Алексей из LOADING.express
Автор

100%

Ответить
Развернуть ветку
Денис Демидов

Меня умиляют люди, которые искренне считают, что бывает что-то бесплатно...
Они же искренне считают тот же google и facebook бесплатным...

Ответить
Развернуть ветку
1 комментарий
Федор Шепелев

У них в пользовательском соглашении написано, что они могут использовать партнеров для вставки рекламы, что вас не устроило?

Представьте, сколько денег уходит на поддержку работоспособности такого большого и БЕСПЛАТНОГО сервиса. По-вашему, они должны бесплатно это все делать и сервера из своего кармана оплачивать? Вы же не ускоряете сайты бесплатно, верно?

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Я и сам не особо против был бы, но эта штуковина тормозит загрузку сайта! Понимаете. Пусть вставляют что угодно, имеют право юридически, но если это вредит, то это уже так себе оправдание.

Ответить
Развернуть ветку
7 комментариев
Michael Smith
У них в пользовательском соглашении написано, что они могут использовать партнеров для вставки рекламы, что вас не устроило?

Так они же не рекламу вставляют.
По факту они кидают Али на деньги, потому что им платят за лиды, которых нет на самом деле.

Ответить
Развернуть ветку
Алексей Терехов

Мы в admitad уже несколько раз присылали детект этого партнера рекламодателю,  хотя он работает с официальной партнеркой Aliexpress, а не через Admitad - это видно по ссылке 

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Как написать детект на этих товарищей обычным смертным? Хочу написать, но не понимаю как.

Ответить
Развернуть ветку
11 комментариев
ManManage Live

Радуйтесь, что там не рефер от роскомнадзора.

Ответить
Развернуть ветку
Александр Ерёмин

Нормальные CPA должны банить за кукистафинг. А для тех, кто кудахчет о том, что "зато бесплатно и вообще читайте соглашение", стоит пояснить что на момент когда вы попадаете на страницу с виджетом Ulogin у вас уже может стоять партнерская кука от другого партнера. 

И если провести аналогию из жизни, то выглядит это след. образом:
Вы (рекламодатель у которого есть трафик) заехали на АЗС оплатили бензин, взали пистолет, но льете не в бензобак, а в канистру, которую вам подставили "ушлые" ребята из Ulogin.

Или другая аналогия, когда вы (вебмастер) работаете, а зарплату в конце месяца на карту получает другой человек лишь потому что ему хватило ума подменить номер вашего счета на свой
¯\_(ツ)_/¯

Чистой воды мошенничество перед партнером, перед CPA. Перед пользователем, установившим виджет может и всё гладко с точки зрения закона, но если те, кто оправдывают такие действия завтра сами начнуть продавать трафик и столкнуться с кукистафингом, станут думать иначе))))

Ответить
Развернуть ветку
Del Ins Up

А если бы они просто новую вкладку открывали с магазином по cpa, как делал rutor ?

Ответить
Развернуть ветку
5 комментариев
Месье Никита

Ваша аналогия не верна. Правильно было бы сказать - вы, постоянный клиент АЗС, приехали заправляться, оплатили, а тут какой-то посторонний парень вылез и говорит кассиру - это я привел партнера, дай мне денежку. Вы не страдаете, ваша машина не страдает. А вот АЗС - да. 

Ответить
Развернуть ветку
Boris Katunin

Проект есть на GitHub и там нет даже намёка на Али, но он посылает запрос на стороннюю либу, который и делает что хочет. Хитро

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Хитро не то слово. Я прям кайфанул от идеи. Но осадок не очень. Явно у ребят сотня тысяч веб-мастеров есть уже. Представьте объемы какие на самом деле... 

Ответить
Развернуть ветку
Dmitry Goval

ето кукистафинг!

Ответить
Развернуть ветку
Александр Хазанов

Кукистафинг и невидимый iframe - за это, как правило, в партнёрских программах банят без возможности вывода средств.

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Вот, я искал название. Куки-стаффинг!

Ответить
Развернуть ветку
Anatoly Yumashev

Спасибо. Напугался. 

Как раз написал плагин для социальной авторизации на сайтах с WordPress 
https://wpcraft.ru/blog/avtorizaczii-cherez-soczialnye-seti-v-wordpress-novyj-plagin-socialify/

Опенсорсный. По кодексу. 
Делает тоже самое. Только без подстав.

Ищу альфа самцов для бета тестирования :)

Ответить
Развернуть ветку
7im0n

Ну это финиш, написано или нет в соглашении не имеет значения, должно быть это явно, соглашения не читают 99% пользователей, это как подпись мелким шрифтом снизу, вы же согласились? Всё должно быть максимально прозрачно.

Ответить
Развернуть ветку
Антон Белогородцев

И зря не читают 

Ответить
Развернуть ветку
5 комментариев
Алексей Терехов

Пользуясь случаем - на носу распродажа 1111. Конверсия в этот день просто стреляет - данные из 2018 года на картинке. Заработок веб-мастеров соответственно тоже взлетает, но только честных веб-мастеров).

больше деталей в блоге. 
https://blog.admitad.com/?p=15689

Ответить
Развернуть ветку
Александр Хазанов

Вот они и заработают ))

Ответить
Развернуть ветку
3 комментария
Артем Акулов

Если бы автор сам допёр, чтобы сделать такой "сервис", этой статьи вы бы никогда не увидели.

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Почему не увидели? На хабре есть статьи про uLogin, там четко написано, что эти ребята редиректы делают, заявки перехватывают... А сделать такое же у себя на проекте - кто мешает? Делайте.

Ответить
Развернуть ветку
Вася Анонов

Я думал он умер ещё лет 5 назад. А он, оказывается, живёт.

Ответить
Развернуть ветку
Curtis Jackson

Перестал им пользоваться, когда он сломался на пол года лет 5 назад.

Ответить
Развернуть ветку
Михаил Качалов

Не уловил какая польза от этого для Али? По идее они должны забанить такого реферала

Ответить
Развернуть ветку
Алексей Терехов

Партнера, а не реферала, если быть точнее в терминах. Вопрос объемов и антиспам алгоритмов Али, а так же менеджера, отвечающего за это

Ответить
Развернуть ветку
Дмитрий Александрович

К слову, есть немало менее технологичных воришек, которые воруют чужие лиды по похожей схеме, предлагая оплату за размещение их баннера. С условием, что баннер будет подгружаться скриптом. Понятное дело, что на самом деле их интересуют не баннерные показы, а внедрение скрипта, через который можно подгружать чужому трафику свои куки или сливать мобильных пользователей на вап-клик.

Не знаю кто на это ведется, но подобные предложения прилетают на почты от моих личных проектов регулярно. Так что видимо отклик есть. Письмо со скрина пришло сегодня утром, например.

Ответить
Развернуть ветку
Игорь Сам

отличная идея)

Ответить
Развернуть ветку
Yuriy Chernichenko

Письма и от африканского принца приходят, но это не значит, что они работают ;)

Ответить
Развернуть ветку
Timofey Shikolenkov

Куки стаффинг - старая тема. На этом поднимаются все партнёрские сети, так как они не борются активно со своими "партнёрами", занимающимися подобными вещами (им невыгодно сие, ибо они имеют свой %%). Именно поэтому многие отказываются от работы с партнёрскими сетями, а сырой трафик там по моей оценке на 90% состоит из такого или аналогичного "трафика".

Методов защиты от этого безобразия немало. Включая те, что можно сделать собственными руками. Я об этом много раз рассказывал, в книге писал и уроки у нас универе есть на эту тему.

Ответить
Развернуть ветку
Алексей Терехов

Тимофей, ну ты же знаешь что это не совсем так. 
Вот недавний кейс от Мвидео и Кэшбеков, работающих через Admitad
https://vc.ru/admitad/65824-m-video-keshbek-uvelichil-chastotu-pokupok-v-poltora-raza

Ответить
Развернуть ветку
1 комментарий
VVV

Ну вообще странно от бесплатного стороннего сервиса ожидать, что код не будет ничего делать. Хотя могли бы и признаться.

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Ну реально. Написали бы письмо. Предупреждение. Или хотя бы признались в ответе своей же техподдержки... 

Ответить
Развернуть ветку
7 комментариев
vic buynoff

Молодцы ребята. Все участники процесса в выигрыше. Конечный пользователь получает удобную авторизацию, сервис получает небольшую денежку. По поводу чего рвутся пуканы, определенно непонятно.

Ответить
Развернуть ветку
Дмитрий Александрович

1. Вы разместили на своем ресурсе партнерскую ссылку на Алиэкспресс. Человек прошел по ней утром, заинтересовался товаром, но покупку решил совершить вечером. До вечера он перешел на какой-то сайт с Ulogin, который перебил вашу партнерскую куку своей. Когда человек вечером оформит заказ, то лид зачтут владельцам Ulogin. Этот лид они украли у вас.

2. Человек регулярно совершает покупки на Алиэкспрессе, заходя туда по прямой ссылке. Он зашел на какой-то сайт с Ulogin и ему подгрузили партнерскую куку. После этого он в очередной раз совершил прямой заход на Алиэкспресс и совершил там покупку, что засчиталось как лид владельцам Ulogin. Этот лид они украли у Алиэкспресса, "продав" им в качестве клиента того, кто являлся их клиентом и так.

3. Когда маркетологи Алиэкспресса посмотрят статистику и увидят сколько денег у них в этом квартале сперли куки-стафферы, то в очередной раз закрутят гайки по партнерской программе, в результате чего ее маржинальность снизится в разы для всех участников. В данном случае владельцы Ulogin ничего ни у кого не украли, а просто нагадили на общую поляну.

Ответить
Развернуть ветку
3 комментария
Yagget Proof

А какую альтернативу можете предложить для авторизации через соцсети? Руками прописывать геморройно, да ещё некоторые соцсети любят постоянно API менять. 

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Есть же на гитхабе репозитории, поддерживаемые владельцами. Найти вам?)

Ответить
Развернуть ветку
3 комментария
Стас Стас

А разве партнерка али не скатилась на то, что засчитывает лиды в формате одной сессии?

Ответить
Развернуть ветку
Алексей Терехов

было и такое, каждый год условия меняются

Ответить
Развернуть ветку
Sergey Krasnov

 loading.express... 
Не работает сайт :(

Ответить
Развернуть ветку
Антон Белогородцев

Что именно не работает?
Сайт открывается, проверки идут.

Ответить
Развернуть ветку
Kokoulin Nikolay

Да вся эта корпорация с приставочкой u перед названием таксебе

Ответить
Развернуть ветку
Kirill Pankin

Думаете, uBlock Origin туда же? :-\

Ответить
Развернуть ветку
Artem Korsunov

комментарий удалён

Ответить
Развернуть ветку
Ватная Корзиночка

Идея не нова, было такое расширение для али, которое показывало цену на товар в динамике нескольких месяцев, оно тоже подменяло алишные куки.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Василий Пятых

Auth0.com как альтернативу можно взять

Ответить
Развернуть ветку
Евгений Ларин

а что они должны были бесплатно работать/))

Ответить
Развернуть ветку
Василий Петров

Уверен, это далеко не единственный способ их заработка. Когда виджет подгружается там же тоже всякая инфа собирается, когда что открыл и т.п Когда данных становится много, они могут стоить дорого. Всякие бесплатные плагины для хрома сливают данные, аля clickstream data и прочее. Для таргентинга, просто аналитики и мало ли чего еще. 

Ответить
Развернуть ветку
Serg Ignatov

Обычная  практика - регулярно такое нахожу, иногда по 2-3 фрод скрипта на один интернет магазин

Ответить
Развернуть ветку
$амурай маркетинга

Надо понимать, что бесплатный сыр бывает только в мышеловке. Когда мне звонят с какими-нибудь бесплатными предложениями, я обычно спрашиваю "И где вы меня кидаете?" Материал отличный! А вся эта хитрожопость горе-разрабов загоняет их самих в большую Ж***.

Ответить
Развернуть ветку
Райан Рейнольдс

Этот трюк уже не прокатит, на сайте Aliexpress стоит заголовок x-frame-options: DENY, т.к. запрещено показывать их страницы во фрейме.

Ответить
Развернуть ветку
Булат Гатауллин

 Яндекс пессимизировал сайт из-за переадресаций. Выяснили, что это Ulogin - 302 редирект на страницы с вредоносным содержанием. 

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Ох-ох...
Очень печально. 
Ulogin уже не знают как навредить своей базе. Это похоже на конвульсии предсмертные.
Надеюсь, что это скоро закончится.

Ответить
Развернуть ветку
Артём Пешков

Так кого в качестве альтернативы то использовать? Тоже на двух сайтах стоит uLogin, вижу что подгружают всякую дрять - но на кого менять-то их?

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

Напишите своё и делов. Там простые правила, довольно таки. И на гитхабе есть. Надо поискать просто.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Trofim Supaman

Вообще пох..фиг. Пускай зарабатывают. А про долимилисекунды...на то они и долимилисекунды, чтобы обратить внимание на другие проблемы на своем сайте и устранить.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Игорь Вишневский

Здравствуйте всем! Я не программист, но для себя ковыряю код по-немногу (PHP и JavaScript). Сразу к делу. 

В вашем скриншоте указана "паразитная" ссылка "ulogin - stats . ru", но они её уже поменяли на "ulclick . ru/b-count . js"
Не долго думая, я разместил этот файл на своём сайте, удалил часть кода с этой ссылкой ("setTimeout(function() ... catch(w){}},5);") и, естественно, вызываю этот файл уже с своего сайта (src="/js/ulogin.js"). Если и были у меня сомнения - то не более пол процента (<= 0.5%). ВСЁ РАБОТАЕТ!
...а разве так можно было?... Ну, если работает - наверное можно)
Хотелось-бы почитать комменты спецов-программистов по этому поводу. И замеры времени загрузки - я просто не умею замерять,  никогда раньше такой задачи не было. Не буду пиарить свой сайт, любой вебмастер сможет это проверить на своём сайте/сервере/хостинге.

Ответить
Развернуть ветку
Nice Man

Нормально для бесплатной услуги, тем более если отложкой это можно нивелировать.

Ответить
Развернуть ветку
Алексей из LOADING.express
Автор

А если они у вас заявки с сайта крадут, тоже нормально?)

Ответить
Развернуть ветку
1 комментарий
126 комментариев
Раскрывать всегда