Пользователь
0,0
рейтинг
25 июля 2011 в 19:33

Разработка → Яндекс продолжает выдавать

Судя по всему, декада кэша Яндекса продолжается, не успев закончиться.
На этот раз выдача с клубничным привкусом.


ссылка на выдачу.



Я не очень понимаю что происходит. Почему так резко грязное белье вдруг посыпалось в открытый доступ? Есть у кого-нибудь внятные версии происходящего?
  • Слив Яндекса, и логичное закручивание гаек впоследствие? Ау, конспирологи?
  • Тонкий пиар магазина? Ау, SEO-шники?
  • Все таки безграмотные админы? Ау… админы...
  • ????

Update: Судя по всему проблема комплексная. По большей части виноваты беспечные админы и непродуманные движки интернет-магазинов, однако у некоторых людей возникают вопросы и к Яндексу.
Несколько комментариев от причастных.
От защитников Яндекса,
от противников Яндекса,
от разработчики движка WebAsyst Shop-Script.
Ну и в самом посте длинный холивар на тему.
Алексей @mittel
карма
72,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (490)

  • +63
    Чего тут непонятного — распространённая уязвимость, вот о ней узнали и начали активно эксплуатировать…
    • +4
      Ну тогда ни разу не удивлюсь, если в ближайшем будущем умельцы расковыряют проиндексированные тонны писем на mail.ru каком-нибудь.
      • +3
        Да уж… программеры полные му. Кому не лень могут покопаться с xss — в оформлении заказа, явные намеки есть, причем сразу
        '';!--"=&{()}
        и если нашли "xss" - значит там ему и быть
        :)
        • +1
          Понятное дело, что на habr-e фильтр всё сьел, но не на сайте.
          • 0
            На сайте заменяются только символы открытия тега и закрытия, а кавычки? Так можно влететь на onclick xss.
          • +3
            Используйте пару элементов <source></source> для оформления тех блоков кода, которые не должны быть поедены парсером Хабрахабра.
            • 0
              Не все удостоены права пользоваться тегами
    • –32
      Мне кажется что это проделки самой ПС, уж очень подозрительно они себя ведут, последний апдейт ТИЦ был еще в апреле, апдейта выдачи иногда неделями не бывает.
      • +51
        Без наличия приватных страниц в открытом доступе поисковая система ничего сделать не может. При наличии же страницы индексируются автоматически: робот не умеет отличать приватное от публичного. В этом он полагается на админов сайтов, поступая строго так, как те велят.

        Вывод — виноваты админы/разработчики сайтов и больше никто.
        • +3
          а разве тут есть люди которые этого не понимают… другое плохо для яндекса, что обыватели в очередной раз увидев «Яндекс раскрыл...» примут это за чистую монету…
          • +3
            Ну по крайней мере у топикстартера и автора верхнего коммента в этой ветке есть сомнения. :)
            • +1
              Отвечу за себя.
              Я понимаю, что проблема в админах, человеческий фактор, кривой код движков и т.д.
              Но на мой взгляд все события последних пары недель как-то уж очень плотно состыковались друг с другом.
              Как правильно говорят, эти страницы висели в паблике не день и не два, подозреваю что даже не один месяц — и никому не было дела.
              А тут вдруг все резко вывалилось с шумом и плясками.

              Причем во всех случаях обсасывают всего две темы: методику индексирования Яндекса и собственно сами приватные данные.
              Потому и возникли сомнения — просто ли совпадение это или нет?
              • +17
                Возник яркий скандал с Мегафоном. Тема стала актуальной. Народ на почве этого интереса стал прощупывать другие «чувствительные к приватности» (калька с английского) сайты и делиться находками с чувством триумфа.

                Никакого совпадения в этом нет. Никакого заговора тоже.
                • 0
                  Ну и хорошо.
                  Отлегло.
                  • +2
                    так это ж очевидно было. в СМИ такие волны постоянно — перевернулся автобус, все роют автобусы. трагедия на переезде — в фокусе переезды и т.д.
              • 0
                Метрика стала сдавать страницы в очередь краулера. Раньше он бы их без внешних ссылок не обнаружил.
                • –2
                  Вот, это хорошая версия. Да идиоты, это а не разработчики у которых приватные данные на шАре болтаются.
                • +4
                  А гугл у яндекса их подглядел?
                  Вообще у поисковиков и без метрики есть куча способов получать эти ссылки. И бары и рекламные баннеры…
                  • 0
                    Гугл их по моему увидел когда на них стали ссылаться все кому не лень. В самом начале этих страниц в его индексе не было.
          • +8
            и чем это плохо для репутации Яндекса? Алгоритм абсолютно правильно нашел релевантные запросу данные. То, что эти данные доступны для индексации — вопрос некомпетентности админов Sexyz.ru
        • 0
          В этом вы правы, но согласитесь что эти страницы выкатили в паблик не сегодня и даже не вчера. Все это время они были доступны и дожидались своего часа.
        • +3
          Мало того, админы до сих пор не закрыли приватные страницы заказов 8-\
          Таким программистам и админам надо сразу по рукам и башке давать.
          Вы представляете, жена вводит в поиск яндекса имя мужа а здесь ссылка как он покупал «кому-то» «женское бельё»
          В штатах я думаю и-нет магазин давно бы стал банкротом от исков возмущенных покупателей.
          Ушли, вообще, все личные данные.
          Кстати о криворукости программистов и верстальщиков можно посмотреть даже по исходному коду html.
          Не, я до сих пор в шоке, как из-за каких то д… в у многих жизнь может привратиться в ад
          • –3
            Просто из любопытства спрашиваю. Вы просто так распыляетесь или Ваши данные тоже стали достоянием гласности?
            • +2
              Нет, я нигде своих реальных данных не оставляю это раз, во вторых на таких сайтах не бываю.

              Просто обидно за других людей. Вы просто подумайте над серьёзностью происшедшего.
              Например, введите дальше после «Получатель» ваш город и улицу и вы будите всё знать о своих соседях.
              Но это еще цветочки, из-за таких утечек могут быть и самоубийства и психические расстройства и т.п. Некоторые люди очень ранимые.
              • +2
                Вы не покупаете в интернет-магазинах?
                • –1
                  Перед тем как что-то заказать в магазине, я наведу сначала справки, посмотрю как он сделан, а потом… позвоню :)
                  Я не люблю делать покупки у роботов.
                  • –1
                    Это такой наивный лайфхак? Ва думаете оператор магазина куда ваши данные запишет? В тетрадочку? Или вы уверены, что их похищают в момент передачи данных с вашего компьютера в базу магазина?
                    • 0
                      Это вы наивный, поверьте базы данных магазинов попадают потом к другим и их используют разные рассыльщики каталогов, продавцы ковров, книг, пылесосов и прочей фигни.
                      • 0
                        И как вы собираетесь предовратить утечку, делая заказ по телефону? Вы думаете ваши данные оператор не внесет в базу? А куда он их «внесет» по вашему?
        • 0
          Так вроде ссылки публично не открываются? Только через кэш.
          • 0
            Очень даже открываются прямыми ссылками мимо кеша. Авторизация зашита в GET запросе, то есть — прямо в ссылке.
    • +105
      В конце июля 2011 года люди ВНЕЗАПНО обнаружили, что поисковые машины индексируют страницы в интернете! © @antonzabannikh
    • +12
      Какая уязвимость?

      Просто люди не прописали robots.txt и не закрыли там нужный раздел от роботов.

      Зато пользуются Яндекс Метрикой. И она честно добавляет все известные ей страницы в индекс.

      Вот и получилось, что у Гугла этих страниц в индексе нет, т.к. на них нигде нет ссылок. А у Яндекса благодаря Метрике есть
      • 0
        Нужно также оценить инженерную мысль. Люди используют для безопасности аж 2 гет параметра с хэшами
        &code=U1lLRVRATUFJTC5SVQ==&hash=2e9b91e1ee0949585c784942bc1e0339
        чтобы никто лишний не попал на эту страницу!

        Глобально и надежно! Только из-за этого сложного инженерного решения можно сказать, что сайт на PHP написан
        • +17
          PHP тут только как бы не при чём :)
          можно и на ASP или JSP сделать точно так же криво
          • –13
            Да, на чем угодно можно сделать, в в основном (чуть чаще чем всегда) такое делают именно на PHP
            • НЛО прилетело и опубликовало эту надпись здесь
            • +21
              Угу, а Александры самые плохие водители, если верить статистике ГИБДД, это имя чаще других присутствует в списках.
            • 0
              Здесь php не причем, здесь логика и архитектура проекта виновата.

              Ведь вся работа с юзером должна вестись через кукисы, нельзя без кук доверять любому кто входит. Пришел без куки — значит на 90% ты не тот за кого себя выдаёшь.

              Так и получилось. «Писать» на любом языке — это еще не признак мастерства. Вначале надо освоить логику и архитектуру проекта.
              Тем более по таким параметрам как права пользователя.
              Они перед программистом должны висеть отдельным стикером на мониторе.
              • 0
                Мне так нравится, когда люди начинают на полном серьезе говорить откровенно очевидные вещи, правда.

                Я только не понимаю почему в хабра-редактор до сих пор не добавили тег , потому что без него становится изъясняться все тяжелее. Особенно когда речь касается php.
            • 0
              Ой, да ладно.
              На каких-нибудь рельсах это было было так:
              /orders/code/U1lLRVRATUFJTC5SVQ/hash/2e9b91e1ee0949585c784942bc1e0339/
              или так
              /orders/U1lLRVRATUFJTC5SVQ/2e9b91e1ee0949585c784942bc1e0339/
              (книжка The Rails Way, страница 106-107). Единственная ошибка в том, что такие ссылки должны (обязаны) быть одноразовыми (либо генерировать куку, при первом заходе).
              • 0
                > такие ссылки должны (обязаны) быть одноразовыми (либо генерировать куку, при первом заходе)

                А если это страничка отслеживания заказа, как в данном случае? Просто многие магазины (DX, etc.) дают юзеру (незареганному) номер заказа, по которому потом мона его отслеживать, писать тикеты, etc. Тут просто волшебная ссылочка. В принципе тоже самое. Если бы не сомнительный функционал метрики.
                • 0
                  А куку можно потерять, так что не катит.
                  • 0
                    Элементарно:
                    «к сожалению, ваша кука потерялась, нажмите кнопочку»
                    «спасибо, новая ссылка у вас в ящике, проверьте почту»
                • 0
                  Дык элементарно на самом деле:
                  <form method="post" action="/order.php?code=U1lLRVRATUFJTC5SVQ==&hash=2e9b91e1ee0949585c784942bc1e0339&nex" >

                  <input type="hidden" name="nexstep" value="yes">
                  <input type="submit" value="Просмотреть">
                  </form>

                  Можно даже яваскриптом автонажатие кнопки сделать.
                  • 0
                    Ну и/или robos.txt как самый правильный вариант.
        • +1
          Ну и узнал ты что сайт на пыхе и что дальше? Какая разница?
        • 0
          Это как бэ Webasyst Shopscript
      • +1
        На этот раз всё ещё хлеще — гугл и бинг тоже проиндексировали эти страницы %) roem.ru/2011/07/25/addednews32332/
        • +2
          Как и в прошлый раз.
        • +2
          Ну сейчас эти ссылки уже достояние интернетов — они везде постятся. Поэтому краулеры других поисковиков их также подобрали и добавили в свои индексы.
          • +2
            Кстати, классная реклама магазину. Врядли, существующие клиенты довольны, зато пузомерки как вырастут (ТИЦ, PageRank).
            • 0
              Для магазина это куда больше антиреклама.
              Вряд ли у него после такого пиара появятся новые клиенты + очень недовольные старые + иски в суд.
              Что может быть хуже для магазина?
        • –1
          Ну у гугла Хром может осведомителем сработать. А у bing кто? У bing вроде только поисковый сервис.
          • 0
            На Хабре вроде была ссылка на перевод или сам перевод исследования о том, как Бинг подсматривает результаты поиска у Гугла. Может это как-то сыграло? )
          • +3
            IE? Windows? У Бинга тоже bar есть. Bing — дитя Майкрософта, вообще-то.
            "© Корпорация Майкрософт (Microsoft Corp.), 2011" внизу страницы намекает.
        • 0
          Хлеще там в комментах ссылки. С ящиками клубники.
      • 0
        Это и есть уязвимость этих сайтов.
      • +11
        Ну я немного наброшу:
        yandex.ru/yandsearch?text=site%3Aleprosorium.ru%2Famnesia%2F&lr=194
        В Футурико отписал, но им, видимо, пох…
        Для сведения — можно попробовать подобрать пароль. Т.е. есть логин и адрес почты — это уже уязвимость.
      • +5
        Да причем здесь robot.txt?!!!
        И причем здесь Метрика ?!

        Эта информация должна быть закрыта всем пользователям, кроме владельца заказа и админа, системой разделения прав самим движком.

        Это самая обычная ошибка криворуких прогамеров (програмерами как-то язык не поворачивается назвать)
        • 0
          Да не волнуйтесь Вы так, право! Комментарием ниже я как раз об этом писал.
          • +1
            Да я посмотрел, а в 90% комментарием как раз «винят» yandex, хотя он здесь совсем не при чем.
            Хотя если посмотреть то перлы по выдаче начали выдавать, например как google, смотрю в выдаче свои сайты и тихо фигею, от того что google взял за основу url из javascript переменной real_url=… это вообще нонсенс, с какой «оперы» он это взял. Хотя url имеет вид /la-la-la, а он берет из js переменную real_url=/la/la/la. Мало того он проиндексировал почему-то половину ссылок как ajax, т.е. опять почему-то выдрал из js ссылки на блоки и получается в выдаче как нормальные страницы, так и ajax страницы блоков (хотя на странице нет ajax вызовов, просто cms так заточена). Прикольно конечно для seo (просто прекрасно) но логики googl-a я не монял. Пришлось срочно «убить» все js переменные вида url и block.
      • 0
        Нифига себе «честно добавляет». Что ж тут честного? Или просто ходить по существующим ссылкам у роботов уже не модно?
        • 0
          Модно, а еще модно получать ссылки от браузеров (в случае Яндекса это Яндекс бар), и через форму addurl, и через метрику тоже модно…

          А чем эти ссылки хуже других с точки зрения поисковика? только потому, что на них нет других внутренних ссылок на сайте?
    • 0
      Вот только посмотрел.
      Google тоже проиндексировал, и тоже в выдаче вся приватная информация по заказам.
      Правда еще в выдаче только 7 результатов (пока писал уже 12), то к утру я думаю будут все.
      • 0
        И о чем нам это говорит? Только на этой странице треда есть пару ссылок на выдачи из Яндекса и конкретно на заказы.
      • 0
        … пользователи Хабра по ссылкам из Яндекса ходят по этим страницам. А у самих стоит гугол-тулбар, который палит ссылки гуголю :)
    • –1
      Интересно, откуда?
      Случайно или кто-то очень пыхтел над этим?
  • –20
    А что вы делали на этом сайте?
    • +31
      «Доктор, а откуда у вас такие картинки?»
  • 0
    Скорее неделя GoogleЯндекс хака на хабре
    • +6
      Это хак не яндекса, а хак сайта с кривым движком, настройками и беззаботными владельцами.
      • +7
        Так ведь не «хак Яндекса», а «Яндекс хак».
        • 0
          Да это и «гугл хак» и даже немножко «рамблер хак». Просто Яндекс более качественно проиндексировал открытую информацию.
        • +1
          В свете вчерашего граммар-срача надо говорить «яндексохак» или «Яндекс.Хак», в зависимости от предпочтений :)
  • +12
    ну а чем слив яндекса? просто непрописанный robots.txt
    • +22
      Вы, батенька, ни разу не конспиролог :)
      Это ж какую бучу можно поднять, если правильно поставить задачу нужным людям.
      Яндекс копается в чужом белье!
      За вами подглядывают!
      и все такое.
    • +4
      Я бы не сказал, что это просто непрописанный robots
      Тут дело в том, что на административные страницы возможен вход без пароля. Это серьёзная уязвимость.
      И второе, что на них где-то ссылка была.
      Другой вариант — на них поставили яндекс-метрику, но по-моему это бред, ставить на административный интерфейс яндекс-метрику.
      Разве что ее впердолили в основной index-файл, который используется везде. Тогда это опять дырка, использовать один index-файл и для юзеров и для админов.
      Короче, руки выпрямлять надо и мозг.
      • +6
        так метрика всё-таки url'ы сливает или яндекс-бар?
        • 0
          а какая разница что сливает? косяк ведь всё равно не на стороне яндекса
          • +2
            ну вообще-то если бар, так на стороне яндекса. поисковик не должен индексировать страницы, не доступные с главной, если админы этого явно не разрешили.
            • +3
              Неважно откуда ссылка взята, главное, чтобы было правило в robots.txt. Даже если бар скормил Яндексу эту ссылку, то Яндекс прежде чем проиндексировать эту страницу сверится с robots.txt
              • –3
                так так прописано явное разрешение на индексацию этих страниц или просто ничего о них не говорится?
                • +1
                  Вы прям ересь какую-то говорите. Прочитайте сначала лицензионные соглашения, затем правила индексации.
                  • +1
                    >>> Неважно откуда ссылка взята, главное, чтобы было правило в robots.txt
                    >> так там прописано явное разрешение на индексацию этих страниц или просто ничего о них не говорится?
                    > Прочитайте сначала лицензионные соглашения, затем правила индексации.

                    Вон выше говорят — авторы «не прописали robots.txt». Лицензионного соглашения они от Яндекса никакого не принимали. Яндекс проиндексировал страницы, недоступные по переходу по ссылкам с главной, и выложил их в паблик. Так или нет? И откуда претензии-то к авторам сайта? Пользователи поставили себе spyware от яндекса, который с… л их персональные данные, а виноват сайт, который видите ли для этого spyware ограничения не прописал. А почему бы ему по умолчанию себя не ограничивать?
                    • +1
                      help.yandex.ru/webmaster/?id=995295
                      Сайт должен прописывать ограничения не для spyware, а для поисковых роботов. Создатели сайтов должны думать не только о SEO, но и о конфиденциальности данных своих клиентов. Разработчик должен следовать современных реалиям. Вы говорите «А почему бы ему по умолчанию себя не ограничивать?» — я не хочу писать robots.txt для своей домашней странички, зачем мне создавать себе лишнюю работу? robots.txt сделан для ограничений. Короче говоря, плохому танцору и яйца мешают
                      • +1
                        > Сайт должен прописывать ограничения не для spyware, а для поисковых роботов.

                        Поисковый робот до этой странице МОГ ЛИ ДОБРАТЬСЯ САМ БЕЗ SPYWARE или нет? :)

                        > Создатели сайтов должны думать не только о SEO, но и о конфиденциальности данных своих клиентов.

                        Ну конечно можно как у гугла новая фишка — типа выводить табличку «ваш комп заражён». Также можно и какому-нибудь рядовому интернет-магазину делать. Но это не его обязанность.

                        > Разработчик должен следовать современных реалиям.

                        А уж куда, блин, от них теперь денешься. Но вы по какой-то странной логике утверждаете, что реалии ТАКИМИ И ДОЛЖНЫ БЫТЬ. Типа раз яндекс поисковик, так ему разрешается красть данные пользователя своими браузерными плагинами. Он большой, ему можно :) А если я напишу свой VasyaPupkinCrawler с VasyaBar'ом, повешу на сайте оферту с правилами индексации, и буду смотреть какой-нибудь rules.txt, не запрещено ли мне просматривать контент сайта, так меня небось дважды не спросят и занесут прогу в базы антивирусов да и всё :) О, слушайте, а может Яндексу стоит и данные post-запросов собирать, а? И краулить их потом? И в правилах поправку соответствующую сделать, чтобы вам в подобных дискуссиях было куда ссылаться.

                        > Вы говорите «А почему бы ему по умолчанию себя не ограничивать?» — я не хочу писать robots.txt для своей домашней странички, зачем мне создавать себе лишнюю работу? robots.txt сделан для ограничений.

                        Если до вашей страницы можно добраться без использования данных, собранных НА КОМПЬЮТЕРАХ ПОЛЬЗОВАТЕЛЕЙ, то какие проблемы, пусть кто хочет собирает.

                        > Короче говоря, плохому танцору и яйца мешают.

                        В данном случае вам мешают чужие яйца яндекса — заслоняют обзор — не видите простой логике — то, что собирает личные данные на компах юзера, никогда не должно допускать попадания этого в открытый доступ.
                        • +1
                          реалии, они давно такие.

                          «Всё, что не запрещено — разрешено».

                          Можно только посочувствовать тем, кто не понимает столь простых истин. Не только применительно к Интернет, кстати.
                          • 0
                            То есть для вас то, что яндекс нарушил собственное соглашение яндекс-бара, по которому он прямо обязался НЕ СОБИРАТЬ такие данные, это типа не повод обсуждать и возмущаться, а повод просто тихо-мирно адаптироваться и заткнуться, так? :) (то, что адаптироваться надо, пока он продолжает нарушать свои правила и здравый смысл, никто не спорит)
                            • +2
                              ээ, то, что ссылки попадают из Я.Бар, нужно еще доказать.

                              Но для меня это роли не играет. Для меня важно то, что авторы магазина и те, кто их магазином пользуются не понимают простых очевидных вещей — даже если в подъезде есть домофон, и круглосуточная охрана, на двери каждой квартиры должен быть замок, с уникальным ключиком.
                              • 0
                                То что ссылки попадают в том числе из Бара, товарищ доказал. Но здесь его заминусовали.
                                • +2
                                  Ок, пусть и Я.Бар приложился.

                                  Но я как-бы про другое — контент отдается по get. В моей вселенной, разумным людям уже не важно, откуда у робота взялся url для этого get.

                                  Хуже того, в моей вселенной разумные люди задумаются, что это мог быть не робот вовсе, а человек с «плохими мыслями».

                                  Я правильно понимаю, про провайдеры в договорах не обещают конфиденциальность списка ссылок по которым их клиенты ходят? И transparent proxy, это вполне себе штатная фишка?
                              • 0
                                > ээ, то, что ссылки попадают из Я.Бар, нужно еще доказать.

                                ну вся дискуссия у нас в этом ключе проходит. если они собраны по переходам с публичных страниц — так и говорить не о чем.

                                > Но для меня это роли не играет. Для меня важно то, что авторы магазина и те, кто их магазином пользуются не понимают простых очевидных вещей — даже если в подъезде есть домофон, и круглосуточная охрана, на двери каждой квартиры должен быть замок, с уникальным ключиком.

                                А с этим я не спорю. Когда создаёшь сайт — надо учитывать разные угрозы. Только теперь, когда я уже не как разарботчик, а как ОБЫЧНЫЙ ПОЛЬЗОВАТЕЛЬ интернета («подъезда» :) ) слышу историю, как в подъезд вломился промоутер, вскрыл почтовые ящики, и вывесил распечатки личных писем на стенах, я думаю ОДНОВРЕМЕННО две вещи:
                                — надо поставить нормальный замок на ящик
                                — надо НАЙТИ И НАКАЗАТЬ этого промоутера

                                Понимаете?
                                • 0
                                  еще раз — для меня не важно, как они собраны.

                                  нет, не понимаю. Наказывать нужно того, что выставляет данные в паблик. Всё остальное работает так, как и задумывалось.
                                  • 0
                                    А вопрос в границе этого «данные в паблике». По юзерской логике ссылка, которая не доступна по переходам с главной, она не в паблике. По вашей логике — она типа априори в паблике. Данные выдающиеся по запросу в яндексе в паблике по любой логике. Только вы обратите внимание, что эта граница «когда данные в паблике» она, если взглянуть глобально, с течением времени верно сдвигается в сторону требования всё большей защищённости. А вы типа её ещё подталкиваете туда своим отношением к данному частному случаю :)
                                    • 0
                                      по юзерской логике, нужно собраться дружной компанией, и подать иск на магазин.
                                      И так, для каждого магазина на этой платформе.

                                      Далее, владельцы магазинов, в свою очередь, как пользователи платформы, тоже должны собраться дружной компанией, и подать иск на авторов.

                                      Знаете, что дальше произойдет?

                                      В лицензионном соглашении платформы сказано «AS IS, авторы ни за что не отвечают» (пп.5). Платформа просто подмочит репутацию.

                                      Магазины, думаю в зависимости от своей юридической подкованности. У того же Sexyz, ни на форме регистрации (/register/), где пользователю предлагают заполнить анкету, ни на странице «гарантии надежности» (/auxpage_warranties/), ничего о конфиденциальности данных пользователя нет.

                                      В этом месте я бы закупился попкорном, и уселся по-удобнее.

                                      А пинать Янедкс удобно да. Сразу вспоминается известная басня Крылова, про Моську и Слона.
                                      • 0
                                        Юзер себе скачал прогу, которая показывает ему пробки и погоду. Там написано большими буквами, что его личные данные могут пострадать? Нет. И даже в соглашении, ссылка на которое традиционно мелким шрифтом, написано обратное. А она слила его конфиденциальные данные в публичный доступ. Сайт-то тут причём? Именно что обычному юзеру глубоко всё равно, какие там технические тонкости за этим стоят. Не знаешь, как фильтровать, нечего собирать.

                                        > А пинать Янедкс удобно да. Сразу вспоминается известная басня Крылова, про Моську и Слона.

                                        А чем он вам симпатичен? Вы в большой компании какой-то работаете? :)

                                        Кстати, большие корпорации уместнее сравнивать с другим большим животным. Библейским :)
                                        • 0
                                          Да отвяжитесь вы от бара, данные могут быть из тысячи мест — со ссылок, с других поисковиков, со счетчиков и систем статистики.
                                        • 0
                                          какие конфиденциальные данные? заказ доступен без ввода какой-либо идентифицирующей информации, читай свободно. Если вы паспорт потеряете, вы же не будете пинать нашедшего потому, что он не по тем улицам ходит и ваши документы видел.

                                          А как ссылка подобрана, из бара, метрики или подбором механизма генерации параметра — не суть важно. Важно, что она доступна свободно.
                                          • +1
                                            Заказ доступен лишь с вводом конфиденциальной ссылки. Если она была опубликована где-то, куда можно попасть, переходя по ссылкам с главных страниц, тогда нет никаких вопросов к Яндексу. Здесь проскакивал пруфлинк, что такие ссылки публикуются благодаря Я.Бару. Если вы паспорт принесли в Яндекс и дали ему отсканировать, чтобы пройти в офис, а потом он в результатах выдачи оказался, вы собираетесь тихо молчать и считать, что он сделал всё правильно? Если у вас в метро вытащат из кармана телефон, и вы вдруг узнаете кто это сделал, вы не попытаетесь его обвинить?
                                            • 0
                                              ну и в соглашении Я.Бара по-русски одинаковым шрифтом с остальным текстом написано, что он имеет право урлы передавать. Кто не читает соглашения и ставит себе подобное — сам себя наказывает.
                                              А то, что вы описываете в аналогиях, перечислено и в УК, в отличии от автоматического сбора ссылок после согласия пользователя.
                                              • +1
                                                нет, там написано, что он ДОБРОВОЛЬНО ОТКАЗЫВАЕТСЯ собирать персонифицирующую информацию. и он это делает. его никто не заставлял туда этот пункт вписывать — посему он просто обманывает пользователей. нет технической возможности — так пусть не обещает чего не может.

                                                законы в области защиты персональных данных не совершенны. уголовная не нужна, а вот гражданская и административная нужна, но её никогда не будет.
                                        • 0
                                          Там написано большими буквами, что его личные данные могут пострадать? Нет. И даже в соглашении, ссылка на которое традиционно мелким шрифтом, написано обратное.
                                          а вы соглашение-то читали, или так, наугад реплики пишете?
                                          bar.yandex.ru/ie/agreement.xml
                                          5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции.
                                          и так для многих функций.
                                          6.3. Пользователь настоящим уведомлен и соглашается, что при использовании Программы Правообладателю в автоматическом режиме анонимно (без привязки к Пользователю) передается следующая информация: тип операционной системы компьютера Пользователя, версия Программы и идентификатор Программы, а также иная техническая информация.
                                          • 0
                                            Вы сами вникли в то что обсуждаете или так, поучить меня типа решили?

                                            1. Есть ли разница между «БОЛЬШИМИ БУКВАМИ» и текстом в соглашении, ссылка на которое мелким блеклым шрифтом приведена? Если бы Яндекс был компанией по организации смс-лохотронов, и соглашения было бы такого достаточно.

                                            2. Вы прочитали тот текст, который я сам в этом топике цитировал, прежде чем сюда его в очередной раз закинуть? «без привязки к Пользователю» — эту часть вы пропустили или как-то по-особенному интерпретировали?
                                            • 0
                                              1. в соглашении всё одинаково написано. никаких блеклых шрифтов и подобного.
                                              2. Конечно я прочитал. Привяжете мне code=OTEzNTgyQGJ1kDjcJ1&hash=040e7cb12822f4541138d77ba4f9115de8 к пользователю?
                                              • +2
                                                Вы перечитайте всё что выше было сказано в этой треде мной и другими, мне как-то не очень удобно вследствие лимита сообщений отвечать вам повторами, сделайте такое одолжение :)

                                                1. Вот на странице сказано:
                                                bar.yandex.ru/firefox/

                                                Где честная надпись в списке «Умеет… показывать пробки...» — «Сливать вашу частную информацию в публичный доступ». Нет её. Есть блеклая ссылка на соглашение. Где сказано, что они НЕ БУДУТ сливать личную информацию.

                                                2. Если создать проблемы на уровне общественного мнение или — тем более — законов — так тут же технологии появятся все нужные. Аргумент «попробуй сделать сам» он тупой, уж извините. Фильтры для порно, спама, копирайта можно сделать. Для идентифицирующих ссылок, которые без согласия пользователя вытаскиваются с его компьютера — нельзя. Всё ясно :)
                                                • 0
                                                  Ну а если поисковик будет урлы просто по алфавиту индексировать и рано или поздно дойдет до приватных — что делать? Какая разница как поисковый механизм находит страницы? Как Гугл через свой браузер или как Яндекс через бар? Урл доступен без авторизации — значит до него можно добраться.

                                                  Вот вы смотрите на глобальную проблему — поисковик проиндексировал много чужих данных. А представьте ту же проблему, но локально. Например, злоумышленник подобрал урл с приватной информацией 1 человека. И пострадал 1 человек. Злоумышленник также как и яндекс, в текущей ситуации, не виноват. Он просто зашел на публичную страницу по публичному урлу (и не важно, что разработчик сайта этот урл «считал» не публичным). Значит виноват только разработчик, который «считал» не правильно. На него в суд и подавать.

                                                  Интернет — публичная сеть, и все что не закрыто паролем — есть публичный ресурс.
                                                • 0
                                                  Немного поправлю — личную информацию он и не сливает. Адрес страницы без привязки к пользователю не является личной информацией.
                            • +1
                              «это нужно уметь не только читать, но и понимать» /учитель английского/

                              bar.yandex.ru/firefox/agreement.xml

                              5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции.

                              6.2. В максимальной степени, допустимой действующим законодательством, Правообладатель не несет никакой ответственности за какие-либо прямые или косвенные последствия какого-либо использования или невозможности использования Программы и/или ущерб, причиненный Пользователю и/или третьим сторонам в результате какого-либо использования или неиспользования Программы, в том числе из-за возможных ошибок или сбоев в работе Программы.
                              • –2
                                (1) Дискуссия о том, являются ли или должны ли являться в соглашениях такие пункты ничтожными, она за рамками данной статьи. В договорах продажи бытовых вещей часто пишут что-нибудь вроде «обмену и возврату исправная не подлежит, заведомо не исправную можно обменять в сервисном центре по адресу такому-то». Если вы, как пользователь бытовых услуг, не знаете, что можете и исправную поменять в течение двух недель, и неисправную сдать хоть прямо в тот же магазин, так и жить вам будет сложнее. С софтом законы вряд ли столь однозначны.

                                (2) А нахрен писать параграф, который отменяет предыдущий? Мозги запудрить читателю? Пользователь, который себе Я.Бар поставил, конечно, в таком случае лох. А Яндекс претендует быть компанией, которая «разводит лохов», или которая делает что-то полезное для своих пользователей?
                            • 0
                              Похоже, что слив ссылки произошел через Яндекс метрику.

                              По крайней мере метрика стоит на страницах этих.
                      • 0
                        А ссылку вы кстати не туда дали. Когда некто создаёт сайт, он не попадает автоматически под некие оферты яндексы.

                        А вот сюда стоило бы дать:

                        > 5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции.
                        bar.yandex.ru/ie/agreement.xml

                        Вы конечно можете продолжать свою особенную логику использовать для интерпретации этого пункта. По обычной, простой и прямой логике, яндекс нарушил этот пункт, собрав данные, которые ОДНОЗНАЧНО ПРИВЯЗАНЫ К ПОЛЬЗОВАТЕЛЮ. И выложил их в паблик. Ну spyware и есть spyware, что для него какие-то там соглашения :)
                        • +3
                          можно устроить интересное соревнование.

                          Ведущий раздает крутым хакерам листы бумаги с напечатанными URL.
                          Участники, без помощи сети интернет, определяют пользователей, которые ОДНОЗНАЧНО ПРИВЯЗНЫ™ к этим адресам.

                          Побеждает тот, что быстрее определит максимально количество пользователей.

                          Призовой фонд — от команды разработчиков Яндекс.Бар (если они к завершению соревнования не умрут со смеху)
                          • 0
                            Если бы ответ был «извините, но мы ТЕХНИЧЕСКИ НЕ МОЖЕМ реализовать нормальную защиту, не пользуйтесь сомнительными в плане безопасности сайтами с включенным яндекс-баром», то был бы совсем другой разговор. А вот ответ «идите на ..., мы собирали и будем собирать что хотим» оставлять просто так не стоит.
                            • +1
                              Какую защиту? Защита от дурака (читай доступ к не закрытому логин-паролем разделу) уже существует — robots.txt. Вот если бы поисковики пренебрегли директивами этого файла, то однозначно виноваты ПС. Если этого файла нет, либо не сказано что туда не ходи, а сюда ходи, то ПС молодцы, отработали на 4+ и выдали правильные данные согласно сформулированному в поиске запросу.
                    • +1
                      А если кто-то из пользователей эту ссыку на форуме даст? Упс, будет индексация без метрики и бара.
                      • 0
                        А я вон ниже и написал — пользователь поставил себе spyware — сам дурак. Сайт не причём.
                        • +1
                          Вот скажите, пожалуйста, как Яндекс должен отличить приватную ссылку от просто редкой (Вася Пупкин написал единую теорию всего на свете, сделал одностраничный хоумпэйдж, а как рассказать о ней не знает, и только друзья из РАН по прямому линку читают ее)?

                          — в robots.txt нет запрета на индексацию страницы.
                          — контент открыт и не защищен ни паролем, ни кукаками.

                          • 0
                            Понимаете, когда я покупаю в магазине, ну скажем плеер, и он оказывается бракованый, я не задаю вопрос «скажите, пожалуйста, как он должен делаться качественно, если все запчасти из китая?». И хоть даже в гарантии к нему прописано будет «запчасти китайские, надёжность ноль, менять только у изготовителя провинции Хунь-Шэнь», я потребую у магазина вернуть деньги. И я имею на это право, к счастью, пока что :)

                            Я сам разработчик и понимаю, что отличать такие ссылки сложно, можете перестать ссылаться на эти банальные технические подробности. Мне не платят за то, чтобы я думал вместо яндекса. И вам не платят (вы же не из яндекса?). А вы пытаетесь работать за него :) Это его работа, обеспечить безопасность инфы своих пользователей, понимаете? А раз не может, так прямо бы и написал на странице скачивания Я.Бара — при пользовании этой программой ваша конфеденциальная информация может быть под угрозой. Написано там? Нет. Написано в соглашении — НЕ будет под угрозой. Правда, рядом приписано, прямо как в том классическом плакате — [*] ложь. Это нормально для Яндекса, на такое отношение к пользователям он претендует, или нет?

                            А вообще, вы как своё положение в этой дискуссии оцениваете, типа реальный/потенциальный разработчик очередной штуки типа яндекса, которая о пользовательской инфе будет заботиться лишь формально, или как пользователя в мире, где таких систем всё больше и они всё наглее? :)
                            • 0
                              Почему Яндекс должен заботится об сохранности информации пользователя на ДРУГИХ ресурсах?
                              • +1
                                О сохранности информации, полученной с КОМПЬЮТЕРА ПОЛЬЗОВАТЕЛЯ.
                                • 0
                                  Он эту информацию не получал.
                          • 0
                            Ссылка приватная отправляется на email и знает ее только пользователь. Заказ оформляется без регистрации, так что пользователю надо как-то попасть в свой заказ. Там вариант один — номер заказа+фамилия. В ссылке то же самое только хешами. По поводу роботс — разработчики сайта дураки — на сайте webasyst в руководстве первым делом идет описание robots.txt и там директивы прописаны.
          • +8
            уже целую неделю поражаюсь странной логике.

            1. не закрывают страницы от поисковика
            2. считают, что косяк на стороне яндекса

            ахренеть!
            • –5
              а что в этой логике странного? софт на локальных компах перехватил сетевой трафик юзеров и выложил данные по get-запросам в паблик — а косяк типа по-вашему на стороне сайта. он, видите ли, не запретил некоей проге выкладывать данные своих юзеров. это, видимо, не странная логика :)
              • +2
                странно то, что люди как-бы забывают, что данные в паблик выставил сайт.
                • 0
                  Адрес сайта all4rc.ru — найдите инфу по заказам — она же в паблике. Скажите мне как просмотреть данные по заказу, если заказ оформлялся без регистрации?
                  Кстати полный аналог таких ссылок — ссылки на подтверждения чего-либо. Скажем Вы решили сменить пароль на Хабре — Вам прислали ссылку, вы про нее забыли, gmail ее передал гуглу и тот ее проиндексировал — кто-то сменил Вам пароль. Нормальная логика?
                  • 0
                    я похож на робота Яндекса? Я обещал, что-либо искать?
                    Всё таки, человек должен думать, а машина работать.

                    по пунктам:
                    1. Заказ без регистрации.
                    а) при оформлении заказа без регистрации, человек должен быть предупрежден, что вся информация заказа может быть доступна третьим лицам.
                    б) Более того, он должен согласиться, что его это устраивает, или пройти регистрацию.

                    Например меня-бы вполне могло бы устроить, фамилию свою я не скрываю, всякие мелочи порой покупаю указывая адрес офиса.

                    2. Ссылки на подтверждение
                    а) одноразовые (по крайней мере те, по которым мне доводилось подтверждать). Если даже робот узнал о существовании такой ссылки, и сходил туда, то второй переход по этой же ссылке из выдачи даст что-то типа «простите, ссылка протухла».
                    б) после перехода по ссылке подтверждения e-mail, на грамотно написанных сайтах, никаких автоматических входов не происходит. Переход по ссылке всего-навсего устанавливает поле «e-mail подтвержден» в базе пользователей сайта.
                    Если подумать трезво, нет никакой разницы, это сделаю я из своего браузера, или робот поисковика это сделает раньше меня.

                    Если не ошибаюсь, до тех пор, пока человек не открыл письмо в gmail, про эти ссылки в письмах гугля не знает?

                    Допустим, что:
                    — всё не так прозрачно у какой-либо почты, и робот поисковика получает ссылки из писем без открытия письма человеком
                    — ссылка не одноразовая, и по ней можно перейти как минимум два раза (раз работ, второй раз кто-то изх выдачи)
                    — кто-то постоянно ищет такого рода ссылки в выдаче, с целью получения доступа к чужим учетным записям
                    — авторизация на сайте недальновидная, и делает автоматических логин тому, что переходит по ссылке, не проверяя куку, которую выставили при регистрации, например.

                    вам не кажется, что такое сочетание условий довольно редкое уже само по себе?

                    О чем это говорит? Что механизм подтверждения чего-либо, через отправку ссылки в почту — не идеален, и уже нужно начинать задумываться о том, как бы это место сделать надежнее.

                    Еще раз (вдруг кто-то не заметил) — я считаю, что если по ссылке отдается контент, без проверок чего-либо еще — это дыра. Каким образом про эту дыру узнали, и в неё пролезли — совершенно не важно.
                    Дыры нужно затыкать.

                    Кстати, ссылки для подтверждения довольно легко усиливаются:
                    1. при регистрации ставят куку, при подтверждении её проверяют, если нет — пп.2
                    2. В письме присылают контрольный код текстом, и просят ввести на форме, которая открывается по переходу на ссылку. Перед полем ввода пишут «Требуется дополнительно подтверждение. В письме со ссылкой строкой выше есть контрольный код, впишите его в это поле, пожалуйста».

                    Обращу внимание — это всё нужно, если ссылка не одноразовая И сразу авторизует пользователя.
                    • +1
                      1) Она не доступна 3м лицам. Она доступна только человеку, владеющему ссылкой. Владеет ссылкой только получатель письма. Яндекс ее просто украл через бар.
                      2) Далеко не всегда они одноразовые. Годный пример такой ссылки — Вернуться на Facebook. Многоразовая, автоматический вход.
                      Может Вы просто открыли письмо и решили сменить пароль позже. По ссылке можно зайти несколько раз.
                      Кто-то постоянно ищет — ну нашли же с шопом))
                      Авторизации как таковой там нет. Там в ссылке номер заказа и фамилия в виде MD5 хешей видимо.
                      • 0
                        1) вот же оказалась доступной?
                        2) далеко не всегда дырки затыкают. Понимаю.

                        FB у меня не вписывается в пример грамотно построенной защиты данных пользователя. Вон, недавно «прорвало» индекс пользовательских видео.

                        Да может быть что угодно. Мы хотим обсудить, какие проблемы случаются и как их грамотно решать, или какие проблемы классифицировать «это нормально», и заставить решать их Яндекс? (а вместе с ним Гугель, Бинг и прочих).

                        Я все же сторонник, что за данные отвечает тот, кому я эти данные передаю непосредственно. А поисковик — это «третьи лица». И задача ресурса обеспечить недоступность данных по ссылке для третьих лиц.

                        В том-то и дело, что авторизации никакой нет. Как я уже где-то тут рядом спрашивал — провайдеры интернет гарантируют отсутствие transparent proxy и/или конфиденциальность тех ссылок, по которым ходит их пользователь?
                        Я в договоре со своим провайдером такого не припоминаю :))
                        • 0
                          1) Оказалась доступной через spyware софт под названием яндекс-бар, то есть фактически ссылку украли.
                          2) Имхо красть урлы с данными авторизации и потом говорить «а оно в индекс случайно попало» это бред. Давайте проиндексируем, скажем, фотки в контакте по прямой ссылке на картинку. А че? Общедоступная инфа, если покопаться по мыльникам и яндекс бар перестроить на сбор урлов на картинки на страницах типа vkontakte.ru/photo.php?*, а потом вывалим в яндекс-картинки. Смог зайти — инфа не приватная.
                          • 0
                            1. тема «я.бар = spyware» — хорошая. Но я не считаю, что ссылки воруют.
                            Поэтому, это направление без меня, я сбоку постою, понаблюдаю :)
                            Конечно, сделать в настройках Я.Бар одну заметную птичку «ничего не передавать в Яндекс», я не возражаю. Конечно, пусть сделают.
                            Но я отдаю себе отчет, кто Я.Бар/Метрика — это далеко не единственное место утечки.

                            2. еще раз — складывать данные авторизации в url, а потом жаловаться, что они утекли — это бред неграмотных людей. И по этому месту нужно бить всех, невзирая на лица, пока не станут умнее.

                            Если кто-то считает, что «security trough obscurity» имеет право на существование, это его проблема.

                            На мой вкус, правильнее заткнуть одну дырку в безопастнотси, нежели бегать за всеми яндексами, гугулами и прочими (кто, возможно, вообще на robots.txt плюёт), и просить их «не ходить по нашим секретным url'ам».

                            Есть ведь всякие трояны, и специально созданное spyware, авторов которых попробуй найди.
                            гггггг
              • +3
                • +1
                  Давайте я сейчас плакат на окно повешу — во всех, кто не надевает зелёные футболки, я буду стрелять на поражение. И с винтовкой с оптикой начну выполнять своё обещание. А потом в ответ на возмущение ответственности напишу — «Что нужно делать, чтобы не быть убитым на улице» — и там краткий курс по перемещениям в городской местности в условиях боевой обстановки :)

                  Более мягкая аналогия. То есть гуглу не «западло» удалять даже номера машин и изображения пользователей со своих фоток, сделанных на улицах. А яндекс собирает секретные get-запросы, которые ещё специально достать надо своим spyware, и вертел он вокруг одного места как-то защищать эти данные. При этом ещё и по соглашению обязавшись пользователям такие данные даже не собирать, не говоря уже о распространении.
                  • –2
                    вы понимаете разницу между URL, и той информацией, которая по этому URL доступна?

                    И если по HTTP GET сервер ответит «введите имя пользователя и пароль», то никакой контент никуда не попадет?

                    Эх, жаль, я надеялся, что вы еще не совсем потеряны.

                    Впрочем, несмотря на то, что моя надежда умерла, у вас есть шанс.
                    • –3
                      > вы понимаете разницу между URL, и той информацией, которая по этому URL доступна? И если по HTTP GET сервер ответит «введите имя пользователя и пароль», то никакой контент никуда не попадет?

                      URL — это само по себе «информация». Информация не была в открытом доступе. Яндекс с помощью своего spyware слил её и выложил. Вы этого не понимаете.

                      > Эх, жаль, я надеялся, что вы еще не совсем потеряны.

                      Зато вы совсем потеряны в контекстах обсуждения. Мы не обсжудаем безопасность коммерческих сайтов в ненадёжном окружении. Мы обсуждаем правомерность поведения яндекса.

                      Вот приглашаете вы друга домой, проводите в подъезд через домофон, а там у вас дом такой приличный и благополучный, вместо почтовых ящиков просто ячейки, куда консьерж складывает письма. И ваш друг на обратном пути взял и спёр ваше письмо.
                      — Вы можете возмутиться и сказать — надо ставить почтовые ящики нормальные!
                      — Можете подумать — блин, вот я дурак был его в дом приглашать.
                      И это всё разумно.

                      Но центральный вопрос в другом — про этого вашего друга — ПРАВИЛЬНО ЛИ ОН ПОСТУПИЛ ИЛИ НЕТ? И если он втирается в доверие жильцам и соседних домов и в сумме уже в десять раз больше наворовал чем все другие вместе взятые за то же время — так может не только о ящиках надо речь вести — но и что-то КОНКРЕТНО С НИМ сделать, а?

                      > Впрочем, несмотря на то, что моя надежда умерла, у вас есть шанс.

                      Я не знаю, есть ли у вас шанс, но кто-нибудь прочитает мои или близкие мысли и не будет пассивно подчиняться нарушению его прав :) Тем-то аналогичных близких много, на самом деле :)
                      • 0
                        простите, я видимо ошибся постом (ветвью каментов)

                        для меня «правомерность поведения Яндекса» вне обсуждения. С моей точки зрения, Яндекс ведет себя как и должен вести.
                        • +1
                          Согласен. Яндекс — это в первую очередь поисковик.
                          И это его главная задача — индексировать все, что только он сможет.
                          А если владельца сайта это не устраивает — достаточно всего лишь robots.txt написать.
                          А «секретные ссылки» — чушь какая-то.
                          Если я пойду и заведу сайт типа superpupermegasecret.com, то что, всерьез можно думать, что поисковик его не найдет и не проиндексирует? И никакие мои желания на сей факт не повлияют.
                      • 0
                        Можно и другой пример привести — друг пришел к вам, в холле стоит лоток с газетами — он взял одну, почитал, тут набежали жильцы и ну орать, что это приватная газета, только для своих, и что его теперь во дворе повесят на столбе за это.
                        • 0
                          Друг взял чужое письмо и говорит «опс, сорри, думал что это общая газета. но я тупой и вообще не умею читать, поэтому идите на хрен, в следующий раз в сейф кладите письма». Тогда как-то так.
                          • +1
                            Как робот дожен отличить газету от письма? Или личное письмо от приватного письма? Если это все свалено в холле и никем, и нигде не указано, что это читать нельзя.
                            • –4
                              Так давайте заставим их учить своих роботов отличать. Будет давление общественности — будут учить — будут отличать — никуда они не денутся. Не будет давления — забьют болт, чисто коммерчески смысла нет. А если так как вы относиться, так через некоторое время роботы будут и буквально заходить в ваш дом и брать всё что плохо лежит :)
                              • 0
                                Вы не ту точку для давления выбираете, лучше бы на магазины давали и сотовых операторов.
                                • 0
                                  А вы глубины проблемы не осознаёте. Если туда не давить, то никаких прав обычный пользователь иметь на свои же личные данные не будет. Магазин взять за нужное место, если в оффлайне был косяк с его стороны, обычно не проблема. У сотовых операторах есть аналогичный пример — развод через платные смс. Вот это уже очень похоже — в соглашении мелким шрифтом всё существенное написано, ответственности никакой не несут, при этом претендуют быть такими большими популярными честными корпорациями. Но они хотя бы по запросу деньги возвращают, а Яндекс утекшие данные удалить отовсюду уже никак не сможет.
                                  • +1
                                    Прозреваю у вас на груди значок «Почётный танкист».
                                     
                                    Ещё одно сравнение: побегите по улице с голой жопой и каждому взглянувшему на вас кричите — «Не смотри на меня, ты, извращенец поганый!» Толку-то.
                                     
                                    Дурак тут не тот, кто сказал прохожим — «Идите, посмотрите на идиота», и не тот, кто посмотрел. Идиот тот, кто бегает.
                              • 0
                                Когда люди научат роботов разбираться в контексте содержимого, то придет Skynet. И думаю не стоит объяснять сложность построения лексического анализатора с учетом контекста.

                                [irony]
                                Представляю поискового робота вчитывающегося в томик Пушкина или Толстого =))
                                [/irony]
                              • 0
                                есть другое предложение.
                                Сайты, у которых найдены и опубликованы дыры в безопасности, в процессе чистки индекса в Яндексе выносятся из выдачи целиком. На год-два.
                  • 0
                    Держите:

                    Метрика и бар сливают только ссылку.!!! Контент!!! не защищен!!! разработчиками!!!..

                    habrahabr.ru/blogs/infosecurity/124898/#comment_4107804
                    • –2
                      А чего вы так разнервничались, вон сколько знаков восклицательных? Типа такая тяга поделиться сокровенным знанием чем GET от POST отличается? :) Понимаете, у вас всё правильно, только слово «только» лишнее. Он скрывает секретную, недоступную из открытых источников ссылку. Угу.
                      • +1
                        Я перейду на личности — Вы неадекват!
                        Вам тут уже пол топика написали, что да как. И главная ваша проблема не в том что у вас альтернативная точка зрения. А в том, что вы не слушаете.

                        В связи с чем, давайте закончим… Сер!!!
                        • +1
                          > Я перейду на личности — Вы неадекват!

                          Смотрите не лопните от возмущения :)

                          > Вам тут уже пол топика написали, что да как.

                          А такой топик не последний. В следующий раз, когда какая-то большая компания, агрегирующая огромные массивы личной информации, допустит очередной факап, у кого-то в мозгах на фоне давно произошедшей долгой (и в данный момент не продуктивной) дискуссии наконец просветлеет :)

                          > И главная ваша проблема не в том что у вас альтернативная точка зрения.

                          Нуу наверное альтернативная. Интуитивно кажется, что большинство опоннентов видят/ставят себя на месте яндекса в связи с тем, что у них профессия связана с IT. В то время как даже у них (у нас — я-то тоже айтишник) больше шансов в жизни оказаться в роли того чувака, данные которого слили в паблик, чем в роли чувака, который делает деньги на агрегации данных (чисто статистически) и может себе позволить положить болт на их адекватную защиту.

                          > А в том, что вы не слушаете.

                          А что вас вынуждает так напрягаться-то, пытаться вот лично мне донести свою ПРАВДУ?

                          > В связи с чем, давайте закончим… Сер!!!

                          А вот как раз лично с вами вообще никакой дискуссии изначально и не было. Так что и заканчивать ничего не надо. Счастливо.
                          • 0
                            Так личные данные агрегирует не Яндекс, так что и факап не его.
            • 0
              Не совсем так. Не закрывают страницы от поисковика, Метрики и Бара. А это немного сложнее.
              • +1
                Метрика и бар сливают только ссылку. Контент не защищен разработчиками.
                • 0
                  согласен.
              • +3
                если страница открывается get-запросом, и не требует ни наличия куки тривиальной, вообще ничего, это что — нормально?

                Какая, простите, метрика и бар?
                • 0
                  Насколько я знаю, примерно так же устроены скрытые албюомы в picasa и photos.live.com — при расшаривании добавляется параметр authkey.

                  Теперь предположим, что кто-то создает поисковый движок, который не учитывает robots.txt, а создает свою новую продвинутую robots.xml
                  • 0
                    На уровне дата центров его забанят да и все.
        • 0
          Это прогамеры криворукие, такую информацию надо блокировать еще на этапе выдачи движком, т.е. системой управления правами пользователей.
          Эту информацию должны видеть только автор и админ. Всё.
          И robot.txt и метрика здесь не причем. Если у кого-то в голове не хватает (у криворуких программеров), то не надо винить других.
  • +16
    Из представленного ассортимента ничего не понравилось :(
  • +7
    Уже как-то поднадоели подобные топики.
    Яндекс тут ничего поделать не может, кроме как изменить функциональность «я.бар», что им тоже не с руки.
    Конечно, ловить лулзы можно и сейчас, но они явно уже не первой свежести и не радуют так, как раньше :(
    • +3
      > Яндекс тут ничего поделать не может, кроме как изменить функциональность «я.бар», что им тоже не с руки.

      Ну, если человек добровольно в здравом уме и трезвой памяти ставит себе spyware, то сам виноват, конечно :)
      • 0
        А если я напишу скрипт, который простым перебором скачает все страницы с этого сайта, соберу в один архив и выложу в интернете, то снова будет виноват яндекс?

        Помнится была такая история с сервисом обмена картинками для айфонов. Тогда в сеть утекли сотни пикантных фотографий.
        • 0
          Вперёд, пишите. Как думаете, долго вам надо будет перебирать ссылки такого вида?

          www.example.ru/index.php?ukey=order_status&orderID=1234&code=OTEZNygyQGJrfgJ1&hash=040e7cb12822f45838d77ba4f91345de8

          Сравните сложность перебора с, например, сложностью подбора типичных юзернеймов и паролей от какого-нибудь распространённого почтовика. После чего сами квалифицируйте это как «получение открытой информации» или «получение закрытой информации». Продолжая логику защитников яндекса можно всё, что не шифруется, считать открытыми данными, смело перехватывать из сетевого трафика пользователей и выкладывать в индекс.
          • 0
            Есть такой сервис, imhonet
            Так вот в нем на почту уведомления приходят со ссылкой. В конце ссылки параметр auth_hash, который позволяет авторизоваться без ввода данных. И эти параметры кучами лежат в индексе гугла и яндекса.
            Но переход по ним ничего не дает, т.к. администраторы озаботились безопасностью и после авторизации хэш аннулируется.
  • +3
    Костюм медсестры ничего так
    • +2
      Да там за медсестрой костюма не видно.
  • +3
    Причем, если нажать на квитанцию — можно получить подробнейшие юридические данные фирм, которые оплачивают все «клубничные» аксессуары.

    Кажется, sexyz.ru потеряет немножко клиентов :)
    • 0
      Могут быт магазины специализированные. Им все равно
      • 0
        А могут и не быть… -)
      • 0
        Хорошая опечатка «быт магазины», хозяйственные.

        — Можно мне две ламочки, клей ПВА, моток проволоки и селиконовый костюм?
        — Конечно, все вместе 1856 рублей 52 копейки, пройдите в кассу 3-го отдела.
  • 0
    Интересно, а зачем в отзывах открыто пишут трекеры посылок EMS?
  • +6
    Протыкал наугад десяток результатов поиска. Все покупатели — женщины, занятно :)
    • +5
      Не, есть и мужик с костюмом горничной, чулками с рюшами и париком «Элли из Изумрудного города» :-)
      • +1
        Надеюсь, не для себя.
        • +4
          Конечно, для друга.
  • +8
    Попробовал похожие запросы. Ну и дела.
    Не так критично, только email-адреса светятся.
    • +8
      Ммм… да, вот так уже хуже.
      • +6
        Или так
        похоже все сайты на одной CMS
        • +8
          это WebAsyst Shop-Script :) Сталкивался с этой cms — архитектура и код ужасны((
          • +1
            «Ужасные» — слишком мягкое слово
          • +1
            На Хабре, помнится, лет здак пару назад уже обсуждали его исключительную кривизну. Тот самый топик, правда, найти не могу.
            • 0
              habrahabr.ru/blogs/php/105887/
              вот здесь было про оптимизацию магазина на этой cms
              • +1
                А вспомнил, я еще тогда про рекурсию им втыкал. Я ж говорил, что такими вые… ми можно потерять контроль над ситуацией. Вот — потеряли, хотя и в другой области архитектуры (что еще хуже), в области управления правами пользователей.

                Я тогда еще говорил. Ошибки в архитектуре. Вот они и вылезли.
                Ну почему не прислушаться. Ведь говорилось то про реальные вещи
            • 0
              Ага, мне тогда за критику влепили минусов по самые уши, а прислушались бы может и не было такого позора.
              Жалко, а ведь довольно часто я подымал вопросы спецификаций и стандартов. А вот так опозориться, это просто игнорирование спецификаций программирования в архитектуре проекта (если она еще есть :). Знай мало мальские навыки в этом — не было бы такого. Мне то пофиг те минусы, а вот автору -… я представляю сколько матьков в его честь прозвучало, плюс удар по продукту.
          • 0
            Ну не все так плохо, данный баг вижу впервые, но движок раньше считался довольно неплохим.
        • 0
          Можно еще так:
          «Получатель» && inurl:index.php?ukey=order_status&orderID= && title:«Статус заказа»
    • +4
      Блин, мы скоро в яндексе будем sql запросы писать, а он уже сам будет эксплойты делать и в результат нам показывать… по всем сайтам…
      • +3
        Лет, наверное, пять назад была популярна подобная ссылка — количество сайтов с незапароленным phpmyadmin зашкаливало ;)
    • 0
      Ага, а фамилия легко находится в сетях типа майл.ру.
    • 0
      Там сайты не на одном ли движке? Каком, интересно?
      • +1
        движек WebAsyst Shop-Script
  • +8
    Костюм «Медсестричка» 432.0 рубля.

    Выдаётся вплоть до полного адреса покупательниц.
    Слоган яндекса всё сильнее и сильнее себя оправдывает.
    • +12
      теперь я знаю, к кому пойду в гости ^_^
      • 0
        Боюсь, они вас лечить не будут
        • +7
          Боюсь он не очень-то и болен :)
          • +9
            Боюсь, что лечить придется после похода в гости.
            • +1
              Зато он единственный из всех вас ничего не боится.
              Так-то.
  • +11
    Мужские трусики из латекса с полостью для полового члена и внутренней анальной пробочкой Peni Pants (черный, M) clck.ru/HGSu
  • 0
    А чем обусловлено небольшое количество (31 ответ) результатов в выдаче? Индексируются только выборочные страницы?
    • +12
      Некоторые покупатели поставили в заказе галочку «Скрыть мою покупку от Яндекса». Вуаеристы (31 штука) эту галочку не ставили.
      • +6
        Только не вауеристы, а эксгибиционисты.
        • +29
          Точно. Вуаеристы это те, кто сейчас тщательно прочесывает выдачу яндекса. )
          • 0
            А вуаЙеристы подсматривают за безграмотными пользователями Хабра.
            • +1
              Ужас то какой. Да, я безграмотен, попутал как правильно писать этих извращенцев.
  • 0
    Я вот что-то так и не могу понять… Ну мегафон ладно, там авторизации не было. Хотя возникает вопрос зачем смс вообще хранить. Но тут я вообще теряюсь в догадках, каким образом данные без авторизации вылезли. Кривые руки программиста, которые решили сэкономить и не вводить авторизацию. В общем не понятно.

    Свои сайты чтоль посканить…
    • +1
      на страницах установлена yandex-metrika
      • +3
        Метрика может выдать в яндекс полный URL страницы, а какого хрена эта страница доступна без авторизации? Не запросом яндекса, а простым кликом по ссылке.
        • +1
          Все данные авторизации в ссылке.
        • +1
          Сдается мне, что это из email подтверждения заказа, чтобы сразу из почты с авторизацией пройти в просмотр инфо.
    • +1
      а как еще посмотреть статус заказа, если он оформлялся без регистрации?
  • +11
    У кого-то накоплены скидки, прикольно )

    «Каждый 5ый фалос — бесплатно» =)))
  • +1
    Мне интереснее другое: почему вообще эти страницы с заказами сгенерировались на сайте и лежат вот так открыто?
    • +3
      потому что данные аутентификации (при том не имеющие срока действия и привязки к IP-адресу) передаются через GET параметры вместо куки
  • 0
    Также можно узнать, какое спутниково оборудование приобретают компании…

  • 0
    Почему слив яндекса? Скорее комманд которые те сайты делали, и не предусмотрели… Зато теперь даже недалекие клиенты будут знать что такое robots и напоминать чтоб не забыли.
  • +5
    Email-ы, айпишники, адреса, и ФИО. Это даже эпичнее, чем у Мегафона. Разве что фотографий покупательниц не хватает.
    Виноваты в утечке знамо дело создатели сайта, забывшие про robots.txt, и придумавшие столь «безопасный» интерфейс.
    • 0
      Тут даже не robots.txt виновато. Просто элементарно нужно разрешать просмотр только администратору.
      • 0
        Не администратору, а юзеру с паролем и только свои заказы
    • +6
      Даже если ссылка на страницу недоступна публично, приватные данные должны быть защищены авторизацией. Первое правило безопасности — разграничение полномочий.

      Тут, очевидно, проблема в разработчиках движка.
    • 0
      фотографии найти не сложно. Если ящик на mail.ru, то у них есть мой мир, где можно найти пользователя по email. Если yandex.ru, то там мой круг.
    • +4
      >фотографий покупательниц не хватает.
      Вас научить искать в социальных сетях по e-mail?
      • 0
        а также в ICQ, Mail.ru Агенте и Skype :]
    • +2
      Полагаю, у 99,999% сайтов robots.txt не запрещает индексацию областей сайта, требующих аутентификации. Поисковые роботы туда элементарно не могут попасть, даже если будут знать, куда именно.
      В данном случае проблема даже не столько в нём, сколько в идиотской реализации аутентификации (через GET параметры).
      • +1
        Совершенно верно. Проблема в сочетании сразу трех факторов:
        1. Robots.txt
        2. Get с волшебным supersecretpage ключом
        3. Метрика == разрешение индексировать все страницы, кроме явно запрещенных
    • 0
      При наличии мыл и ФИО фотографии найти не так сложно =)
  • +5
    Все это и раньше висело, наверно, просто после случая с мегафоном многие начали копать выдачи в яндексе.
  • +2
    Я правильно понимаю, что на всех этих дырявых сайтах стоит тот самый shop-script?
    • –8
      Нет, скорее дырявый роботс.тхт -)
      • –4
        Видимо, сарказм не в моде.
        Понятно что не роботс, это ж не директории попадают в поиск.
        Или тэг сарказм стоит явно указывать?
        • 0
          На нормальный вопрос — кривляние, обозванное вами сарказмом.
  • +7
    Всё лучшее — на х*й!
    • +1
      Пелевина почитываем? =)
      • +5
        скорее посматриваем, в книге такого выражения не было
        • 0
          Подзабыл книгу… =) А посматриваем тогда уж Гинзбурга =)

  • +17
    Я в таких случаях пишу письмо админу. А выкладывать инфу в общий доступ об уязвимостях связанных с личной информацией — не православно.
    • +5
      Нашёлся один хороший человек…
  • 0
    Подозрительно небольшое количество результатов с больши разбросом по датам. Вариантов несколько — либо ссылки утекали только через непосредственную публикацию пользователем (покупателем или продавцом), либо это специальный «вброс».

    Интересно, кто-нибудь уже проверил реальность данных покупателей?
    • +1
      Либо не так хорошо идут дела у магазина ;)
      • +1
        Ну теперь-то они у него вообще станут плохо идти…
    • 0
      Проверил, нашел в соц сети одного покупателя.
      • +6
        И как? Он таки покупал «Юркий щекотунчик»?
    • +1
      Не похоже на вброс, под схожий запрос на другие сайты также выдается информация… скорее просто связано с тем, что именно проверка статуса была сделана с браузером с яндексбаром, к примеру, который и натравил робота.
      • +1
        Это одна из самых главных причин раскрытия такой информации — тулбары от поисковиков. Учитывая, что Яндекс тулбар распростанен, то понятно, почему в Яндексе всплывает эта информация. А то, что он не повсеместно используется, показывает на то, почему не так много ссылок в кеше. Картинка сошлась — виноваты криворукие разработчики, а Яндекс Тулбар молодец :)
        • 0
          Виноваты все, но создатели дырявых магазинов — в первую очередь. К тулбару вообще меньше всего претензий, что ему дали, то и сожрал.
    • +5
      Оценить по e-mail фотографии на «Моем мире», выбрать наиболее симпатичную, завалиться по адресу и спросить «Так это вы плетку заказывали?» :D.
      • +3
        «Супер-акция: при покупке в нашем магазине плётки — порка в подарок!»
        • 0
          Всероссийская известность в подарок
    • 0
      число ссылок = мощность пересечения множеств «используют fx с я.баром» и «покупают в этом магазине». По-моему, вполне ожидаемое незначительное число.
  • +12
    В данном случае сфейлили разработчики Shop-Script, которые сделали возможность просмотра деталей заказа без логина по специальной ссылке, но забыли закрыть подобные ссылки от индексации.

    В результате сотни магазинов раскрыли данные тысяч своих клиентов: yandex.ru/yandsearch?text=ukey%3Dorder_status+%22%D0%9F%D0%BE%D0%BB%D1%83%D1%87%D0%B0%D1%82%D0%B5%D0%BB%D1%8C%3A+%22&lr=195
    Скорее всего каждый магазин на Shop-Script у которого данная фича включена подвержен проблеме.
    • +4
      Пора мне уже «Разместить объявление по запросу «ukey=order_status ...»» ;-)
    • +1
      И они не учли, что тулбар может отправлять поисковику текущие url'ы…
      • 0
        что значит «может»?:)
    • +3
      (Я работаю в Вебасисте и занимаюсь проектом Shop-Script.)

      Сегодня, конечно, для нас это боле неожиданной новостью… технически все произошло примерно как у Мегафона: проблема возникла только там (у тех магазинов), которые пользуются Яндекс.Метрикой:
      1. Shop-Script позволяет оформлять заказы незарегистрированным пользователям.
      2. В email-уведомление о заказе покупателю отправляется ссылка на страницу с информацией и статусом его заказа.
      3. Покупатель заходит на этой страницу, авторизация не требуется (так как при оформлении заказа покупатель не регистрировался), и Яндекс.Метрики добавляет УРЛ в общую базу индексации…
      Конечно, тут необходимо требовать от покупателя вводить какие-то дополнительные идентификационные данные прежде чем показывать ему информацию о заказе — стабильное решение может быть только таким.

      Максимально подробно, насколько смог, описал сложившуюся ситуацию в блог-посте на сайте Вебасиста: blog.webasyst.ru/shop-script-private-data-indexed-problem-summer-2011/

      Я нисколько не хочу оправдаться — это просто описание сложившейся ситуации.
      Учитесь на наших ошибках.
      • 0
        Уважаемый, в google уже тоже появилась вся приватная информация с сайта.
        Не в метрике дело…
        А в таких случаях, просто пишут «спасибо за заказ» и ничего не показывают.
        • +4
          maxic, а вы не думали, что google-bot зайдя в этот топик прошелся бравым шагом по любезно выложенным ссылкам на выдачу yandex и успешно их сейчас индексирует (при чем, как вы сами заметили выше/ниже, пока там еще не все что выдает яндекс), а? удобство пользователей+Метрика = Я.Колготки.Чулки )
  • 0
    Пробуем в Яндексе запрос: " +'Адрес доставки заказа:' +'История работы с заказом' " и находим еще много подобных магазинов, которые сдают с потрохами своих клиентов.
    Если подправить запрос под любой другой движок, можно и по другом магазинам пошерстить.
    • +1
      подавляющее большинство движков не показывают статус заказа неавторизованным пользователям.
      • 0
        Есть куча магазинных движков, которые позволяют делать заказ без регистрации. Как вы думаете как там покупатели статусы смотрят? Заказ без регистрации многим удобен для единичной покупки, поэтому такая фишка есть почти во всех подобных скриптах.
        • 0
          Да ну? Почти во всех подобных — это в каких именно, кроме shop-script?
          • 0
            Как-то с opencart имел дело, там такое тоже есть. Движок один из самых популярных.
            • –1
              С opencart дело не имел, но «одним из самых популярных» или хотя бы просто популярным он точно не является, по крайней мере в рунете. Битрикс, амиро, уми, упомянутый выше шопскрипт, шопцмс, вебассист, виртуемарт, оскоммерс — точно популярнее, чем opencart.
              Из них только шопскрипт и, вот не помню, возможно еще вебассист позволяют видеть статусы заказов левым посетителям.
              Отказ от регистрации в том числе означает отказ от трекинга заказов — в нормальных движках — и уж точно не дает никакого права публиковать в свободном доступе приватную информацию. За такое программистам нужно отрывать все вторичные половые признаки, начиная с бороды и усов. Я думаю, легко находящийся в яндексе Николай К**ов из Красноярска (домашний адрес и телефон прилагаются), который приобрел себе анальную пробку и в не очень прекрасное сегодняшнее утро ставший звездой рунета, очень даже готов меня поддержать.
              • 0
                С opencart дело не имел, но «одним из самых популярных» или хотя бы просто популярным он точно не является, по крайней мере в рунете

                Именно, в рунете. В мире OpenCart входит в top10: trends.builtwith.com/shop
                • –3
                  Не представляю, как можно посчитать подобную статистику. В большинстве случаев определить движок магазина сложно или невозможно, особенно если стоит ЧПУ. Потом, по какой выборке показана статистика? «Топ 10000 сайтов» для всего интернета вызывает смех — как они составляли этот топ? По продажам в штате Луизиана? Это не статистика, а бред компании с манией величия.
                  • +2
                    Не представляю, как можно посчитать подобную статистику.

                    Видимо вы не работали c разными движками интернет-магазинов. Для коробочных продуктов все достаточно просто определяется.

                    «Топ 10000 сайтов» для всего интернета вызывает смех — как они составляли этот топ?

                    Меня удивлияет ваше нежелание нажать на ссылку «FAQ» на той странице и потратить 3 минуты на чтение. Все ваши вопросы там уже отвечены. Они проиндексировали 90 миллионов сайтов, топ взят по статистике от Quantcast
                    • –1
                      Я работал с достаточным количеством движков, в том числе интернет-магазинов, и хочу сказать что во многих случаях определить CMS невозможно. Есть произвольные ЧПУ, есть ситуации когда был сайт на движке Х, вместо него сделали новый сайт на движке Y, но, чтобы не выпасть из индекса, сделали прозрачное отображение старых урлов через htaccess.

                      ФАК я просмотрел, они пишут якобы о 90 миллионах сайтов, но нигде не приводят статистику по этим 90 миллионам. Из них они как-то заведомо неслучайно надергали топ миллион, из этого миллиона топ 100к, из топ100к выдрали топ10к — опять же повторю, заведомо неслучайным образом, то есть полностью испортили статистику. Достаточно сравнить данные по топ10к и топ-миллиону, чтобы увидеть что они полностью друг другу не соответствуют. Ну это совершенно базовые, элементарные понятия статистики; если бы выборка делалась правильно, то есть случайно и не предвзято, тогда топ10к соответствовал бы топ миллиону с точностью до десятых процента, и тогда можно было бы экстраполировать результаты на весь интернет. Здесь же этого нет даже близко. Это цифры ни о чем, понимаете? Они никак не описывают реальность. Если я захочу эти цифры проверить, я а) не смогу этого сделать в силу отсутствия внятного описания и б) даже если смогу, я получу очень другие результаты.
                      Если результаты какого-то эксперимента нельзя проверить, это уже не наука, это или религия, или профанация. Здесь скорее всего второе.
                      И еще. В рейтинге указана платформа яху.стор, но нет ни амазона, ни ебея, ни таобао, ни алибабы. Каждая из этих платформ крупнее (используется в бОльшем числе магазинов), чем яху.стор, ну или по крайней мере сопоставима. Почему они не учтены? А мы не знаем почему, так как детали сбора статистики не раскрыты.
                      • 0
                        1. Опеределять движок по URL действительно так еще задача. Поэтому только по URL никто не определяет. Например WordPress опеределяется по одному взгляду на HTML source.

                        Почему бы вам просто не потестировать их методику самому? builtwith.com/

                        2.
                        Достаточно сравнить данные по топ10к и топ-миллиону, чтобы увидеть что они полностью друг другу не соответствуют. Ну это совершенно базовые, элементарные понятия статистики; если бы выборка делалась правильно, то есть случайно и не предвзято, тогда топ10к соответствовал бы топ миллиону с точностью до десятых процента, и тогда можно было бы экстраполировать результаты на весь интернет. Здесь же этого нет даже близко. Это цифры ни о чем, понимаете? Они никак не описывают реальность.


                        Как раз тот факт, что статистика по top10K и top1M разная полностью очевидно и правильно. Сайты, которые входят в top10K по посещаемости используют другие решения чем обычные малые бизнесы. Например решения от Oracle, IBM и Ebay(все эти решения в топе для top10K сайтов)
                        • –1
                          Ох как туго-то.
                          Попробую разжевать в стиле «для идиотов».
                          Итак, они взяли 10к/100k/1mil сайтов и сказали — это будут топовые сайты, мы в это верим. Ни какой научной базы под их определением топа, ни даже внятного описания что же это за топ такой — нет. То есть это просто вопрос веры — или вы им верите, или не верите. Я не собираюсь спорить с людьми верующими, это бесполезно, просто единственный способ адекватного описания реальности, который даёт повторяемые результаты это «научный подход». Здесь им даже не пахнет. Лично вы можете им верить, но никакого отношения к реальности все их красивые диаграммки не имеют. Если это вам не понятно, то значит у вас просто больше развито не то полушарие мозга и вам просто нечего делать в ИТ. Ну разве что копирайтером подвизаться. Ни в коем случае не в обиду, просто вера и логика увы не совместимы в одном человеке.

                          Теперь по второй части, про их якобы мощное определение CMS. Да, вордпресс c joomla и textpattern оно определяет. Но я из интереса проверил навскидку — ни битрикс, ни шопцмс, ни вебассист оно не знает. На каждой из этих систем ну по 10к магазинов точно сделано. То есть в табличке они должны быть указаны как минимум во второй десятке, а битрикс так и в первой. Но их там нет.
                          Что-то мне подсказывает, что китайских CMS там тоже нет как класса, а это главный язык в сети. Равно как и корейских, японский и прочих рассчитанных на иероглифы — там поверьте хватает своей специфики и особенностей ментальности. А это между прочим большая часть интернета. Про амазон с ебеем я уже писал. Короче, в их так сказать статистике просто нет подавляющего числа платформ. Всё, точка, это не статистика, а мусор.

                          • 0
                            «Чукча не читатель, чукча писатель»…
                            Вам же по-русски написали, что топ взят по трафику, информация о трафика — от Quantcast. Чего тут непонятного?
                            • –1
                              Quantcast дает среднепотолочные данные по пользователям в США. Точка. Сверху кто-то что-то заливал про «в мире», ага?
                              • 0
                                И всё-таки читать полезнее, чем писать. Из www.quantcast.com/how-we-do-it:

                                «Quantcast provides the most accurate traffic and audience data both on a global and local basis, with audience insights for digital media for every country around the world
                                • –1
                                  Википедия с вами несогласна. Американцы вообще такие люди, что у них если вдруг чуть лучше чем у соседа, то сразу world's best. Культура такая.
                          • –1
                            Ох, лол. Вы много тут написали, на личности перешли, а так и не удосужились погуглить что такое Quantcast и каковы методики расчета статистики у них.

                            Вы перед тем как что-то разжевывать, вспомните, что пару комментариев назад вы на полном серьезе утверждали, что тот факт, что статистика по top10K и top1M не совпадает это неправильно и такого быть не должно:

                            Достаточно сравнить данные по топ10к и топ-миллиону, чтобы увидеть что они полностью друг другу не соответствуют. Ну это совершенно базовые, элементарные понятия статистики; если бы выборка делалась правильно, то есть случайно и не предвзято, тогда топ10к соответствовал бы топ миллиону с точностью до десятых процента, и тогда можно было бы экстраполировать результаты на весь интернет. Здесь же этого нет даже близко. Это цифры ни о чем, понимаете?


                            Как-то сложно воспринимать вас всерьез после этого. Даже не после этой вашей ошибки(все ошибаются), а того факта, что вы отказываетесь ее признать.

                            Про амазон с ебеем я уже писал.

                            Вот еще один пример того, что не нужно всегда думать, что окружающие все идиоты, а вы несете свет истины.
                            Например ваш eBay сам по себе не дает сделать standalone shopping cart, поэтому его в обзоре и нет. Зато два других решения от eBay: ProStores и GSI Commerce(их недавно купил ebay) там вполне присутсвуют.

                            Гораздо правильней было бы например придраться к тому, что в списке отсутствует BigCommerce — он достаточно крупный игрок на рынке.

                            Если честно возникает ощущение, что вы не совсем владеете темой о которой спорите. Это опять же нормально(никто не может знать все, у нас у всех ограниченные уровни компетенции), но зачем тогда спорить?
                            • 0
                              Ладно, последний аргумент. По их статистике 330 из топ10000 (мировых!) интернет-магазинов используют оскоммерц. Понимаю, что не все в теме, но это а) совершенно никак не масштабируемая CMS, то есть её предел это 1 сервер и б) очень и очень кривая и тормозная система, хотя и бесплатная. Из-за этого её потолок — сотни товаров и десятки пользователей онлайн, при больших цифрах она намертво падает. И никакое железо и никакой программист-хоттабыч не позволят это ограничение обойти.
                              В одной только Москве больше 10к интернет-магазинов с пиковой посещаемостью, недоступной для оскоммерц.
                              Но 330 таких сайтов как-то всё-таки пролезли в «мировой топ». Я бы еще понял, если бы их были единицы — ошибки определения, супер-перепиленные уникальные решения и т.п. — но 330 оскоммерцей?! И ни одного сайта на битриксе?

                              Повторю еще раз: вы можете верить их статистике или не верить, это ваш выбор. Но к реальности она отношения не имеет. Заниматься же демагогией с человеком верующим — извините, у меня нет времени.
                              • +1
                                А может надо с прямыми руками к ней подходить? Например, 123inkjets.com использует oscommerce, имеет до 19к посетителей в день и огромное кол-во товаров.
                                • 0
                                  Да-да, это из той же серии что, скажем, гугл использует линукс.
                                  Там правда свои драйвера для своего железа, свой стек tcp/ip, своя файловая система, свой менеджер памяти и свой libc — и благодаря багу в GPL гугл ни с кем своими наработками не делится. Но это ведь всё равно линукс, так же? И если у вас сервер с линуксом тормозит, то «может надо к нему с прямыми руками подходить»?
                              • 0
                                > Заниматься же демагогией с человеком верующим

                                И главное, ведь сам же демагогию и развёл.
                                Воопрос «при чём тут вера» также остался открытым.
                              • 0
                                Заниматься же демагогией с человеком верующим — извините, у меня нет времени.


                                Было бы здорово, если бы вы нашли время привести хотя бы один вменяемый аргумент. А то все ваши доводы на ссылки и факты имеют вид «этого не бывает, така как я знаю, что этого не бывает».
              • 0
                В «примитивных» интернет-магазинах покупателю сообщают номер трекинга по e-mail. Получается, что чем примитивнее магазин, тем он безопаснее для покупателя.
                • +2
                  Сообщать по емейл надо не номер трекинга, а все операции с заказом. Если человек не зарегистрирован — то кроме емейла нигде статус заказа посмотреть нельзя.
                  • 0
                    Не, примитивные магазин на то и примитивные, что там статус заказа отслеживается только в ручном режиме оператором магазина. Если что-то идет не так покупатель пишет или звонит в магазин и узнает статус заказа. Дико не удобно. Но в Яндекс не попадет =)
                • 0
                  Если я правильно понимаю, то даже если адрес на просмотр состояния заказа придет на почту, есть шанс утечки данных через бары и т.п.
                  Единственный вариант тут в письме сообщать уникальный номер заявки, а в режиме просмотра заявок, просить в поле ввести этот номер и POST запросом отправлять данные на сервер и отображать статус ордера.
                  Ну и, конечно, правильная настройка robots.txt
                  • 0
                    Не. В примитивном магазине такой страницы нет. Есть номер трекинга в бумажной накладной. Номер сообщается покупателю по e-mail. Покупатель заходит на сайт Почты России или EMS и смотрит трекинг.
                    Я не говорю, что это хорошо. Это как раз плохо — куча ни кому не нужной ручной работы и неудобство для покупателя. Но в сложившейся ситуации это оказывается самым дешевым способом инфобезопасности %)
                    • 0
                      сайты ПР или EMS по крайней мере не раскрывают столько деталей о получателе, максимум ФИО и почтовый индекс
        • +1
          Есть куча магазинных движков, которые позволяют делать заказ без регистрации

          ну, назовите что ли эту «кучу» ;)
          • 0
            Если движок это не позволяет делать, то это плохой, негодный движок.
  • +1
    Даешь базу клиентосов.
  • +4
    Нашим СМИ лишь бы Яндекс упомянуть. Реквестирую слово «Гугл» в жёлтых заголовках:
    www.google.com/search?q=Статус+заказа+Получатель+ukey+order_status
  • +1
    О, кто-то будет веселиться
    • +9
      Ой дурак, это ж секс-шоп, там все такое.
      Epic Fail
    • +2
      Да не «кто-то», а Мария Васильева из Нижневартовска.
  • +3
    Топику не хватает тега «найдется всё»
  • 0
    Возможны ситуации «Жена заказала себе „Комплект “Нежный гепард»", а также черные трусики с бантиком, а я не в курсе и не видел их!", с дальнейшими судебными исками на тему вторжения в личную жизнь.
    Хотя скорее всего в нашей стране такого рода иск далеко не уйдет.
  • 0
    У многих всплывших, кстати, независимо от магазина, есть скидка постоянного покупателя. Индексируется «особые» пользователи?
  • +8
    Екатерина Ульянкина с Чернышевского, 102 стали известностью в мире секс аксессуаров и белья :) Немного пошаря интернет выяснилось что работает в суде)))
    • +5
      Блджад, и что теперь? Если в суде работает, то заказывать разную хрень и в ней трахаться нельзя, что ли?
      Понабежало моралистов.
      • +1
        Я ничего против ее интимной жизни не имею против.)
  • 0
    Судя по всему, ссы