Уязвимость Google позволяла удалить любой сайт из поискового индекса

    Уязвимость в Google Webmaster Tools позволяла удалить любой сайт из индекса, даже если вы не являлись его владельцем. Это было возможным из-за ненадлежащей проверки параметров запроса.

    https://www.google.com/webmasters/tools/removals-request?hl=en&siteUrl=http://{YOUR_URL}/&urlt={URL_TO_BLOCK}
    

    image

    Похоже, Google оперативно пропатчила сервис, но примечательно, что автор, который раскрыл уязвимость не нашел вменяемого способа сообщить об этом Google. Сложно сказать или кто-то ранее знал об уязвимости и сколько сайтов могло быть удалено из индекса.

    Баг(или фича) обнаружена человеком по имени James Breckenridge, о чем он пишет в своем блоге.

    UPD. В топике на hackernews рассказали о способах сообщить о ошибке в Google:
    1 security@google.com
    2 www.google.com/appserve/security-bugs/new

    UPD2. Согласно политике сообщений об ошибках, Джеймс мог заработать пару тысяч долларов
    Метки:
    Поделиться публикацией
    Похожие публикации
    Комментарии 69
    • НЛО прилетело и опубликовало эту надпись здесь
      • +31
        Гуглу не нужен фидбек. Он узнает о подобных вещах при индексации сайтов. Так что улчший способ сообщить гуглу о его фейлах написать про это у себя в блоге (:
        • 0
          при условии, что этот блог в ТОП50, небось.
          • +36
            И при условии, что ваш блог пока кто-нибудь не удалил из индекса.
          • +2
            Ага, а специально обученные суппорты сидят и парсят выдачу на предмет 'google+bug+discovered'
            • 0
              Хм… нет… в таком формате они парсят GET. А выдачу без плюсиков парсят, да.
          • 0
            Я думаю если сайтом занимаются — удаление из индекса будет замечено вебмастером будет сразу же. А так да, большой компании большой фейл.
            • +3
              > будет замечено вебмастером будет сразу же

              ну заметил вэбмастер и что? сообщить то о проблеме некуда
              • 0
                Сообщить можно в Google Webmasters, отправить на пересмотр сайт. Но, в любом случае, придёт автоматический ответ. И, возможно, через какое-то время, сайт вернётся в индекс, но не факт.
                • +7
                  Они сочтут, что что-то с вами не так и на всякий случай заблокируют. И попросят больше никогда не писать.
              • +3
                Не нашел вменяемый способ сообщить в Гугл об ошибке? Удалил бы сайт Гугла из индекса.
              • +7
                Сеошники негодуэ )
                • 0
                  Интересно, если Google-лу сообщить о найденной критической ошибке, премию дадут?
                • +4
                  Есть вот такой форум, кстати: www.google.com/support/forum/p/Webmasters/
                  Я туда пару раз писал по поводу багов в WebmasterTools, отвечают быстро, но баги как были, так и есть)
                  Например, неправильный подсчет уникальных урлов через Sitemap: если на сайте будет 1 страница, и ее мы экспортируем в 5000 RSS каналов и все эх засабмитаем в webmastertools, то Гугл будет показывать такое сообщение: «Submitted URLs 5,000; 5,000 URLs in web index», более того, эту страницу будут GETать гораздо чаще с огромного количества IP. Ну и других там полно…
                  • +4
                    прям неделя фич от поисковиков
                    • +70
                      Случайно прочитал «Уязвимость Google позволяла удалить любой сайт из яндекса».
                      • –22
                        +1
                        • –9
                          Ээ, я просто так же прочитал, как и бумбурум. Комментарий мне не то, чтобы нравится, вот плюс и не поставил, ведь плюс — «нравится комментарий», а не «я тоже».
                          • +16
                            Зачем Вы оправдываетесь?
                            • –7
                              Чувствую себя несправедливо заминусовым что ли, ведь я сознательно написал +1, а не нажал «хороший комментарий»
                            • +8
                              а "+1" — это такая Гугловская кнопка, а не «я тоже» :)
                              • +31
                                Эх, новое поколение =)
                                • +7
                                  Още толсто напоминать бумбуруму про существование кнопки «+1» после его визита в офис ВКонтакте и добавления в посты на хабре соответствующей кнопки (:
                                  • +1
                                    Вы так говорите как буд-то это я добавил :)
                            • 0
                              И смску из мегафона ))
                              • +16
                                Как бы еще найти фичу удаления патентов Apple из патентного бюро.
                                • 0
                                  +Microsoft, Intel, Ibm…
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                • +64
                                  > не нашел вменяемого способа сообщить об этом Google

                                  Надо было удалить google.com из индекса.
                                  • +6
                                    Вряд ли часто гуглом гугл гуглят, а вот если бы удалили википедию или майкрософт с эпплом…
                                    • 0
                                      Кстати гугл может очень сильно снизить их популярность, просто выбить их из выдачи. Патентные войны по сравнению с этим ерунда.
                                      • –1
                                        За такое Гугл могут просто выбить — у Майкрософта и Эппла есть для этого все возможности.
                                        • +3
                                          За такое антимонопольщики гугл нагнут по самое не хочу.
                                          • –2
                                            А если он развернется и уйдет, тоже нагнут? Я думаю он никому не должен выдавать честные результаты.
                                            • 0
                                              Если развернется и уйдет — будет плохо всем, но честную конкуренцию это не отменяет.
                                        • 0
                                          Правильней писать гуглом гуглят гугл.
                                          • +12
                                            На танцующих гуглят быть похожими хотят…
                                            • 0
                                              Глюкавая Гугла гугланула Эпла и отгуглит i-store.
                                              (привет академику Л.В. Щербе из 21 века)
                                      • –1
                                        Если написать google в поисковой системе google, то можно сломать весь интернет (с) it crowd

                                        • –6
                                          Яндексу люлей раздали, Гугл тож опечалили, на очереди bing? =)
                                          • –8
                                            О да, как же карму не заминусовать — благородное дело )) Как будто я что-то некорректное высказал
                                            • +10
                                              заебали петросянить. заходишь в камменты — параолимпиада по остроумию.
                                            • +1
                                              Я что-то пропустил, или под «люлями» вы имеете в виду оператора сотовой связи, оскандалившегося из-за того, что Яндекс чересчур хорошо проиндексировал его сайт?
                                              • 0
                                                Нет, подразумевалось то, что все набросились сразу, хотя полностью всей инфы по отсылаемым смс не было доступно.
                                            • –1
                                              У меня тут на работе яндекс с индекса гугла удаляют))))
                                            • +2
                                              Жесткая ошибка была. Таким макаром до 30-40% трафика с сайта можно было снять. В случае с хомяком ничего страшного, а вот мелкий бизнес в летний период можно было бы вообще загубить. Пока там тебя реабилитируют и пока там продет индексация — месяца 2-3 могло запросто пройти.
                                              • +13
                                                UPD2. Согласно политике сообщений об ошибках, Джеймс мог заработать пару тысяч долларов

                                                Согласно политики дорвейщиков, фармеров и поршушников, Джеймс мог заработать пару миллионов.
                                                • 0
                                                  +150
                                                  • 0
                                                    да странно что эта информация не всплыла в этих кругах первой

                                                    было бы интересно понаблюдать за процессом
                                                  • –2
                                                    А в Яндексе эту уязвимость видимо еще не прикрыли.
                                                  • +4
                                                    Странно, что сработало.
                                                    Это же запрос, он отклоняется, если адрес не закрыт в robots.txt и не содержит noindex-мета-тэга.
                                                    • –4
                                                      Даже в маленьких софтверных, да что там софтверных, аутсорсинговых компаниях, такие вещи проверятся и перепроверяются. PR Google?
                                                      • –2
                                                        P. S. Сразу добавлю — конечно не во всех. Но и сравнение Google и аутсорсинговая компания неуместно. Просто часто лидер проекта вдалбливает про критические места в проверке входящих от пользователя данных.
                                                        • +1
                                                          Неделя ошибок поисковых систем на Хабрахабре.
                                                          • 0
                                                            Какие ещё ошибки были — я что-то пропустил?
                                                            • 0
                                                              Утечка СМС через Яндекс, хотя это ошибка Мегафона.
                                                          • +6
                                                            Насчет их поддержки — это и правда жесть. К ним в принципе не пробиться. Есть хелп — если там не описана твоя проблема, шлют на форум. На форуме тебе отвечают такие же дураки, простите, как и ты. Доберется ли до твоего вопроса спец из гугла и когда — хз.

                                                            В их поддержке перечислено ВСЕ, но если есть ГЛЮК, тупо глюк, работает что-то не как надо, пиши пропало.

                                                            Помню, была проблема с адсенсом — не вводился пин-код из письма. Я им писала куда только могла. В итоге уже искала в соцсетях работающих в гугле людей, делала любые запросы в поддержку, где только есть доступ к «живому» человеку, несколько раз получала копипастные отписки, которые не помогали мне никак — то есть люди даже не вчитывались в суть моей проблемы.

                                                            В итоге помог «запрос на смену страны» — кто-то с головой прочитал мое сообщение и отключил проверку пина.

                                                            Что смешнее — спустя полгода (ПОЛГОДА!) девушка из гугла ответила на мой вопрос в их форуме. Я долго смеялась, да.
                                                            • +6
                                                              Хуже саппорта нет, чем у гугла.
                                                              Сначала тебя бесконечно гоняют по их анкетам, где твоей проблемы нет. После прохождения всех этих гребаных форм, робот отсылает тебе шаблонный ответ и всё. Как говорил Остап Бендер «Пишите письма».
                                                              • 0
                                                                Я бы сказал, что он есть, но только если удастся достучаться до конкретного человека с четко описанной проблемой. Плюс Google достаточно неплохо работает с крупными сайтами, в плане решения проблем.
                                                            • –1
                                                              Вот одна история

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.