Тайное или явное? «Яндекс» подскажет!

29.07.2011

В кэше «Яндекса» также были найдены убийца Кеннеди,
чаша Грааля, бозон Хиггса и второй носок.

bash.org.ru

Только ленивый ещё не слышал историй про любопытные находки в «сохраненных копиях» «Яндекса». Началось всё с прочтения SMS-сообщений абонентов «Мегафона», которые сам оператор, вроде как, не хранит. «Яндекс» бережно положил их в индекс, после чего, разумеется, они оказались в публичном доступе. Некоторые были действительно смешными. Почему? Кто виноват? Что делать? Ответов на эти вопросы не было, но авторам этих SMS ситуация не показалась чертовски забавной.

Не прошло и недели, как искатели всего интересного обнаружили в кэше «Яндекса» пачку сохранённых заказов из кабинетов в интернет-магазинах. Разумеется, всё доступно: и адреса, и телефоны, и почта. А магазины-то самые разные: от электронных сигарет до секс-шопов. Тоже как-то не по-товарищески получилось...

В чём же дело? В большинстве СМИ и блогов принято обвинять «Яндекс» во всех мыслимых и немыслимых прегрешениях. Во-первых, для чего вносить эти данные в индекс? Да, «Яндекс» — «просто зеркало Интернета», алгоритмы которого с лёгкостью выкидывают из индекса страницы качественных сайтов из-за какой-нибудь мелочи, но при этом осознать, стоит ли хранить данные о заказах пользователей — не могут. Во-вторых, есть мнение, что «Яндекс.Бар» — шпион, который передаёт «Яндексу» всю просматриваемую пользователями информацию. Последнее сам «Яндекс» отрицает, да и наблюдение за исходящим трафиком не дают оснований для подобных обвинений.

Честно говоря, не могу признать «Яндекс» целиком и полностью виновным в произошедшем. Если секретные данные доступны всем, действительно ли они секретные? Как сообщается в СМИ, в скандале с «Мегафоном» данные SMS не были закрыты паролями, а на сервере отсутствовал robots.txt. Если эти данные может прочитать любой, а роботу не даётся никаких предписаний, так на чьей же стороне проблема?

В плане заказов — всё тоже не так однозначно. Ниже — скриншот страницы магазина с данными о заказе. Причём это не копия «Яндекса», а сама страница. Она общедоступна. Просто разработчики CMS, на базе которой сделан данный сайт, не подумали о том, что конфиденциальная информация должна быть закрытой. В robots.txt снова ничего интересного. Что — опять виноват железный?

Изображение недоступно

Кстати говоря, существует CMS, у которой, как и у большинства других, по адресу http://ваш_сайт/admin/ открывается форма входа в панель администратора. Однако, если не затруднять себя авторизацией и сразу набрать http://ваш_сайт/admin/pages.php в строке браузера, то вы получите полный доступ к управлению страницами. По мнению разработчиков, достаточная безопасность обеспечивается тем, что злоумышленник не знает про адрес «../pages.php» и, очевидно, не сможет попасть на страницы администрирования. Примерно такими же соображениями, видимо, руководствовались и разработчики магазинов-жертв «Яндекса».

Тема поста — уже весьма избитая. Все ответственные стороны давно сделали свои выводы. Хотелось бы верить, что недавние события заставят задуматься и наших будущих клиентов. Создание сайтов — не просто «посидишь за компьютером и что-то там понажимаешь», а весьма трудоёмкий процесс, требующий знаний и опыта. Попробуйте найти среди этих «неудачных» магазинов хоть одно творение какой-либо известной вебстудии. А вот студенческих бюджетных работ — хоть отбавляй.

Решительно рекомендуем при выборе сайтостроителя руководствоваться не только ценой, но и интересоваться навыками и принципами работы исполнителя. Когда вы покупаете продукты питания, минимальная стоимость же не является решающим фактором?

P. S. Уже сделали сайт «от 5000 руб. за 2-3 дня»? Не пожалейте средств, хотя бы, на нормальных SEO-специалистов, которые не только приведут туда клиентов, но и знают, что писать в robots.txt, чтобы не компрометировать их.

Комментарии