Яндекс продолжает искать все dl // 25.07.11 22:10
Не успели улечься страсти с Мегафоном, как Яндекс преподнес еще один подарок пользователям и сайтовладельцам. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/07/12.html] На этот раз, судя по всему, под раздачу попали интернет-магазины, использующие движок Shop-Script, в функциях которого предусмотрен просмотр данных заказа по специальной ссылке без авторизации.
Яндекс, конечно, может и дальше рассказывать про отсутствующий robots.txt, но на сей раз утекла значительно более серьезная информация - от имен и координат получателей до состава заказов, в том числе достаточно специфичных. И очень отдельный вопрос, на кого начнут катить бочку разгневанные граждане - на ротозеев в магазинах, или на сервис, на автомате сглотнувший и пережевавший всю их подноготную.
Кстати, это только мне кажется, что обе громкие утечки идеально совпали по времени с прохождением поправок к нежно всеми любимому закону 152-ФЗ, которое, как я понимаю, вышло на финишную прямую?
А почему поисковик должен индексировать выборочно? И так уже есть костыль в виде robots.txt. Рецепт-то простой - не делать кривые решения, отдающие в паблик то, что не должно там быть.
"Яндекс" рассказал вебмастерам о способах защиты личных данных пользователей )26.07.11 15:24 Автор: Fighter <Vladimir> Статус: Elderman
Можно было ограничится простым "Включайте мозг и не...26.07.11 15:29 Автор: Winer <Виктор С.> Статус: Member Отредактировано 26.07.11 15:31 Количество правок: 1
> Рассказ предназначен для людей, которые занимаются > разработкой и поддержкой сайтов: > http://lenta.ru/news/2011/07/26/explain/ Можно было ограничиться простым "Включайте мозг и не выкладывайте приватные данные в паблик".
Нельзя, это же не разговор на форуме, а официальная отмазка.26.07.11 19:51 Автор: Fighter <Vladimir> Статус: Elderman Отредактировано 26.07.11 19:55 Количество правок: 1
Но, боюсь, она им не поможет. Готов поспорить, что в данном случае все гораздо серьезнее и утечка произошла не через обычных поисковых роботов, а через почтовые сервисы или/и я.бар. Я когда-то на заказ делал магазин с функцией оповещения состояния заказа: при изменении состояния отправлялось письмо с текущим состоянием и ссылка, по которой можно было это состояние отслеживать. Т.к. на эту страницу попасть можно было только по этой ссылке либо через защищенную зону, заказчик решил, что в данном случае авторизация не нужна и на этом настаивал. Устав спорить с дураком, я сделал почти как он хотел: по ссылке можно было увидеть только номер заказа и его текущее состояние. Но, подчеркиваю, что простым роботам попасть на эту страницу было было невозможно.
Вот, кстати, типичный запрос к магазину из проиндексированных: aaa.bbb/index.php?ukey=order_status&orderID=12757&code=Y2hlbW92b2xlZ0BtYWlsLnJ1&hash=f253ea88311ceb3229ea115226c49287
Ну да, одно из предположений - всякие *.бары. Но я уверен,...26.07.11 22:27 Автор: Winer <Виктор С.> Статус: Member
Ну да, одно из предположений - всякие *.бары. Но я уверен, что их EULA мало кто читал, подавляющее большинство нажало "Согласен", а теперь получило попаболь(некоторые так в прямом смысле, как широко теперь известный краснодарец:))
Да, чувак пропиарился на весь мир))26.07.11 23:12 Автор: Fighter <Vladimir> Статус: Elderman
Ну да, а с учётом того, что яндекс не так давно ушёл на IPO - можно собрать неплохой инструмент влияния на курс акций - наши пацаны это хорошо умеют26.07.11 10:42 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 26.07.11 10:46 Количество правок: 1
подробно о проекте
Анализ криптографических сетевых...
