Тайное или явное? Яндекс подскажет!

В кэше Яндекса также были найдены убийца Кеннеди,
чаша Грааля, бозон Хиггса и второй носок

bash.org.ru

Только ленивый еще не слышал историй про любопытные находки в «сохраненных копиях» Яндекса. Началось все с прочтения SMS сообщений абонентов Мегафон, которые сам оператор вроде как не хранит. Яндекс бережно положил их в индекс, после чего, разумеется, они оказались в публичном доступе. Некоторые были действительно смешными . Почему? Кто виноват? Что делать? Ответов на эти вопросы не было, но авторам этих SMS ситуация не показалась чертовски забавной.

Не прошло и недели, как искатели всего интересного обнаружили в кэше Яндекса пачку сохраненных заказов из кабинетов в интернет-магазинах. Разумеется, все доступно, и адреса, и телефоны, и почта, а магазины-то самые разные – от электронных сигарет до секс-шопов. Тоже как-то не по-товарищески получилось…

В чем же дело? В большинстве СМИ и блогов принято обвинять Яндекс во всех мыслимых и немыслимых пригрешениях. Во-первых, для чего вносить эти данные в индекс? Да, Яндекс – это «просто зеркало Интернета», алгоритмы которого с легкостью выкидывают из индекса страницы качественных сайтов из-за какой-нибудь мелочи, но при этом осознать стоит ли хранить данные о заказах пользователей не могут. Во-вторых, есть мнение, что Яндекс.Бар – шпион, который передает Яндексу всю просматриваемую пользователями информацию. Последнее сам Яндекс отрицает, да и наблюдение за исходящим трафиком не дают оснований для подобных обвинений.

Честно говоря, не могу признать Яндекс целиком и полностью виновным в произошедшем. Если секретные данные доступны всем, действительно ли они секретные? Как сообщается в СМИ, в скандале с Мегафоном данные SMS не были закрыты паролями, а на сервере отсутствовал robots.txt. Если эти данные может прочитать любой, а роботу не дается никаких предписаний, так на чьей же стороне проблема?

В плане заказов все тоже не так однозначно. Ниже скриншот страницы магазина с данными о заказе, причем это не копия Яндекса, а сама страница – она общедоступна. Просто разработчики CMS, на базе которой сделан данный сайт не подумали о том, что конфиденциальная информация должна быть закрытой. В robots.txt снова ничего интересного. Что, опять виноват железный?

Кстати говоря, существует CMS, у которой, как и у большинства других, по адресу http://site.ru/admin/ открывается форма входа в панель администратора. Однако если не затруднять себя авторизацией и сразу набрать http://site.ru/admin/pages.php в строке браузера, то вы получите полный доступ к управлению страницами. По мнению разработчиков, достаточная безопасность обеспечивается тем, что злоумышленник не знает про адрес «../pages.php» и, очевидно, не сможет попасть на страницы администрирования . Примерно такими же соображениями видимо руководствовались и разработчики магазинов-жертв Яндекса.

Тема поста уже весьма избитая, а все ответственные стороны давно сделали свои выводы. Хотелось бы верить, что недавние события заставят задуматься и наших будущих клиентов. Создание сайтов – это не просто «посидишь за компьютером и что-то там понажимаешь», а весьма трудоемкий процесс, требующий знаний и опыта. Попробуйте найти среди этих «неудачных» магазинов хоть одно творение какой-либо известной Web-студии, а студенческих бюджетных работ хоть отбавляй.

Решительно рекомендуем при выборе сайтостроителя руководствоваться не только ценой, но интересоваться навыками и принципами работы исполнителя. Когда Вы покупаете продукты питания, минимальная стоимость же не является решающим фактором?

P.S. Уже сделали сайт «от 5,000 руб. за 2-3 дня»? Не пожалейте средств хотя бы на нормальных SEO-специалистов, которые не только приведут туда клиентов, но и знают что писать в robots.txt, чтобы не компрометировать их

Добавить комментарий

Как Вас зовут?

Ваш E-mail (конфиденциальность обещаем)

Ссылка на Ваш сайт (если есть) Сообщение