Yandex и приватные данные

Недавно прошла целая волна эпик фейлов с участием Яндекса, Яндекс метрики и криворуких программистов. Особенно радует позор и уязвимость shop script от Webasyst, который является коробочным решением и доказывает опасность такого выбора. Это очень хороший аргумент в общении с заказчиком, когда захочу всучить кустомное решение.

Вот решил высказать своё ИМХО по поводу происходящих вещей. Ситуация не стоит и выеденного яйца, но даже среди разработчиков оказалось много тех, кто не доехал до сути проблемы.

Пункт один. У нас есть боты, которые шныряют по доступным урлам и ищут там информацию. Стоит отметить что это не только поисковые поты Яндекс и Google, но и множественные парсеры, которые собирают информацию для себя, а не публикуют её в общедоступной выдаче.

Пункт два. Есть Павлики Морозовы, которые стучат о посещённых пользователем урлах. В случае с shop script стучала Яндекс метрика, чего yandex не отрицает. Но не метрикой единой, таких Павликов у нас много: провайдеры, прокси сервера, счётчики, баннеры и даже браузеры (так реализована антифишинговая защита).

Пункт три. Собственно корень всей беды — адреса страниц были доступны по «секретной ссылке«, без авторизации с расчётом на то, что эту ссылку никто не узнает. Особо хитрые партизаны всовывают к такие ссылки идентификатор сессии, тем самым ограничивая жизнь ссылки на время существование этой самой сессии. ТАК ДЕЛАТЬ НЕЛЬЗЯ. Казалось бы на это б нужно ставить точку, выпороть глупых программистов, извиниться и компенсировать урон пострадавшим.
Есть даже рекомендация w3c не доверять GET (спасибо пользователю VolCh)

Because the source of a link might be private information or might reveal an otherwise private information source, it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.

Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.

Authors of services which use the HTTP protocol SHOULD NOT use GET based forms for the submission of sensitive data, because this will cause this data to be encoded in the Request-URI. Many existing servers, proxies, and user agents will log the request URI in some place where it might be visible to third parties. Servers can use POST-based form submission instead

Но дальше ситуация начала развиваться не правильно. В первую очередь виноват Яндекс, который вместо короткой фразы «ТАК ДЕЛАТЬ НЕЛЬЗЯ (тчк)», принялся рассказывать о robots.txt метатегах для запрета и управления индексацией.

Пункт четыре. Ваша информация доступна не только поисковикам и не все боты следуют рекомендациям поиска, а многие наоборот стараются лезть туда, где рекомендуют не рыться. Нельзя рассчитывать на robots.txt, мета теги и прочие инструкции, которые могут игнорироваться случайно или умышленно.

Пункт пять. Почему разработчики ставят на «секретные» страницы метрику, счётчики, баннеры и прочую лабуду, запрашиваемую с других доменов, ставят не заботясь о вставляемом коде и что именно он делает. Это самый страшный пункт, потому что фактически разработчики приводят незнакомца в дом и оставляют его наедине с нажитым добром. Зачастую даже эти баннеры и счётчики месяцами не отображаются, что делают их разработчики неизвестно, а главное — за это никакой ответственности не предусмотрено.

Пункт шесть. Постыдно, что разработчики пытаются сложить часть вины, а то и всю на Яндекс, который в данной ситуации виноват лишь в том, что хорошо делал свою работу. Постыдно, что разработчики не понимают простых вещей, что нельзя давать свободный доступ в персональной информации лишь на основании «секретной ссылки», сколько бы раз она не была закрыта от поисковиков.

ТАК ДЕЛАТЬ НЕЛЬЗЯ

Yandex и приватные данные: 7 комментариев

  1. fluid

    Есть еще такая штука, которая называется яндекс тулбар, который тоже следит за пользователем… В некоторых случая авторизации не должно быть в принципе(читать раздел юзабилити) и как защитить страницу?
    Есть куча моментов когда есть урл, пользователь приходит и выполняет какие-то действия, но когда Яндекс тулбар тырит урл и индексирует это нормально?) Пример из «Мой круг» тебе на мыло приходят урлы по которым ты переходишь и попадаешь в свой профиль, а тут троян его тырит это нормально? Да пример не очень хороший потому, что сервис и так яндекса, выдачу можно было удалить, но а ты уверен, что у их не стоит костыль, который не показывает выдачу с passport.yandex.ru? Но тут уже начинаются двойные стандарты.

    Выводы:
    1) Виноваты разработчики, которые устанавливали яндекс метрики, потому, что не учли, что будет индексироваться все и вся.
    2) Виноваты пользователи которые устанавливали сомнитильный софт от яндекса.
    3) Виноваты все кроме убогого яндекса, распростаняющего трояны. Вроде в этом суть поста?

    1. AmdY Автор записи

      да, я же написал что есть масса средств в которых остаются ПОСЕЩЁННЫЕ урлы.
      Авторизация по ссылке дело действительное удобное, но оно должно быть ОДНОРАЗОВЫМ, после это повторный вход уже по другой ссылке.
      Устанавливая тулбар ТЫ СОГЛАШАЕШЬСЯ с условиями его использования.
      когда ты заходил на этот сайт твой браузер троянил и проферял урл в списке фишинговых или заряжённых. Дело в том, что яндекс это меньшая из бед. Дыркой в шопскрипт явно пользовались в тихую, потому что ПРАКТИЧЕСКИ все у кого есть база урлов посещённых пользователем ими приторговывают или обмениваются.

      в данный момент я ненавижу яндекс за то, что они зажали мои яндекс.деньги, но это не значит что они виноваты во всём.

      1. fluid

        >Устанавливая тулбар ТЫ СОГЛАШАЕШЬСЯ с условиями >его использования.

        Я так и написал виноват пользователь, который завел у себя трояна(кстати не вижу разницы между тулбаром и трояном)…
        Суть в том, что яндекс мог не встраивать сомнительные механизмы в свой софт.

      2. AmdY Автор записи

        разница в том, что один делает это в тайне, а второй в открытую. есть разница между подаренной и украденной вещью, хотя обе у тебя и бесплатно

  2. AmdY Автор записи

    какое из слов в пункте 2 тебе не понятно? стучит не только яндекс и не только яндекс бар. гугл тоже индексирует «секретные» ссылки. стучит даже твой браузер. Проблема не в том, что эти ссылки узнают, проблема что эти скрипты пускают пользователей БЕЗ АВТОРИЗАЦИИ и то, что эти ссылки НЕ ОДНОРАЗОВЫЕ.

  3. Ludmaster

    насколько я понял проблема в тех самых «сикретных закрытых от общих глаз» страниц, на которые «типо» попасть можно только имея сцылку??? Ну дык это было изначально понятно, раньше существовал такой метод листинга, когда перебирались все урлы на странице, ну например в моей системе всегда такие урлы типо http://mybestawsomesite.com/?id=4 вот id=4 это страница (элемент) с номером 4, и вот ребяты из яндуха тупо перебирали айди с 0 до 100000000000000000000 ))))) индексируя все подряд. лично я никогда не делаю страницу «открытой он демайнд» ибо лучше дать такую страницу в личном кабинете чем делать непонятные телодвижухи с неприятными последствиями.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *