Яндекс продолжает выдавать

    Судя по всему, декада кэша Яндекса продолжается, не успев закончиться.
    На этот раз выдача с клубничным привкусом.


    ссылка на выдачу.



    Я не очень понимаю что происходит. Почему так резко грязное белье вдруг посыпалось в открытый доступ? Есть у кого-нибудь внятные версии происходящего?
    • Слив Яндекса, и логичное закручивание гаек впоследствие? Ау, конспирологи?
    • Тонкий пиар магазина? Ау, SEO-шники?
    • Все таки безграмотные админы? Ау… админы...
    • ????

    Update: Судя по всему проблема комплексная. По большей части виноваты беспечные админы и непродуманные движки интернет-магазинов, однако у некоторых людей возникают вопросы и к Яндексу.
    Несколько комментариев от причастных.
    От защитников Яндекса,
    от противников Яндекса,
    от разработчики движка WebAsyst Shop-Script.
    Ну и в самом посте длинный холивар на тему.
    Метки:
    Поделиться публикацией
    Комментарии 490
    • +63
      Чего тут непонятного — распространённая уязвимость, вот о ней узнали и начали активно эксплуатировать…
      • +4
        Ну тогда ни разу не удивлюсь, если в ближайшем будущем умельцы расковыряют проиндексированные тонны писем на mail.ru каком-нибудь.
        • +3
          Да уж… программеры полные му. Кому не лень могут покопаться с xss — в оформлении заказа, явные намеки есть, причем сразу
          '';!--"=&{()}
          и если нашли "xss" - значит там ему и быть
          :)
          • +1
            Понятное дело, что на habr-e фильтр всё сьел, но не на сайте.
            • 0
              На сайте заменяются только символы открытия тега и закрытия, а кавычки? Так можно влететь на onclick xss.
              • +3
                Используйте пару элементов <source></source> для оформления тех блоков кода, которые не должны быть поедены парсером Хабрахабра.
                • 0
                  Не все удостоены права пользоваться тегами
          • –32
            Мне кажется что это проделки самой ПС, уж очень подозрительно они себя ведут, последний апдейт ТИЦ был еще в апреле, апдейта выдачи иногда неделями не бывает.
            • +51
              Без наличия приватных страниц в открытом доступе поисковая система ничего сделать не может. При наличии же страницы индексируются автоматически: робот не умеет отличать приватное от публичного. В этом он полагается на админов сайтов, поступая строго так, как те велят.

              Вывод — виноваты админы/разработчики сайтов и больше никто.
              • +3
                а разве тут есть люди которые этого не понимают… другое плохо для яндекса, что обыватели в очередной раз увидев «Яндекс раскрыл...» примут это за чистую монету…
                • +3
                  Ну по крайней мере у топикстартера и автора верхнего коммента в этой ветке есть сомнения. :)
                  • +1
                    Отвечу за себя.
                    Я понимаю, что проблема в админах, человеческий фактор, кривой код движков и т.д.
                    Но на мой взгляд все события последних пары недель как-то уж очень плотно состыковались друг с другом.
                    Как правильно говорят, эти страницы висели в паблике не день и не два, подозреваю что даже не один месяц — и никому не было дела.
                    А тут вдруг все резко вывалилось с шумом и плясками.

                    Причем во всех случаях обсасывают всего две темы: методику индексирования Яндекса и собственно сами приватные данные.
                    Потому и возникли сомнения — просто ли совпадение это или нет?
                    • +17
                      Возник яркий скандал с Мегафоном. Тема стала актуальной. Народ на почве этого интереса стал прощупывать другие «чувствительные к приватности» (калька с английского) сайты и делиться находками с чувством триумфа.

                      Никакого совпадения в этом нет. Никакого заговора тоже.
                      • 0
                        Ну и хорошо.
                        Отлегло.
                        • +2
                          так это ж очевидно было. в СМИ такие волны постоянно — перевернулся автобус, все роют автобусы. трагедия на переезде — в фокусе переезды и т.д.
                      • 0
                        Метрика стала сдавать страницы в очередь краулера. Раньше он бы их без внешних ссылок не обнаружил.
                        • –2
                          Вот, это хорошая версия. Да идиоты, это а не разработчики у которых приватные данные на шАре болтаются.
                          • +4
                            А гугл у яндекса их подглядел?
                            Вообще у поисковиков и без метрики есть куча способов получать эти ссылки. И бары и рекламные баннеры…
                            • 0
                              Гугл их по моему увидел когда на них стали ссылаться все кому не лень. В самом начале этих страниц в его индексе не было.
                      • +8
                        и чем это плохо для репутации Яндекса? Алгоритм абсолютно правильно нашел релевантные запросу данные. То, что эти данные доступны для индексации — вопрос некомпетентности админов Sexyz.ru
                      • 0
                        В этом вы правы, но согласитесь что эти страницы выкатили в паблик не сегодня и даже не вчера. Все это время они были доступны и дожидались своего часа.
                        • +3
                          Мало того, админы до сих пор не закрыли приватные страницы заказов 8-\
                          Таким программистам и админам надо сразу по рукам и башке давать.
                          Вы представляете, жена вводит в поиск яндекса имя мужа а здесь ссылка как он покупал «кому-то» «женское бельё»
                          В штатах я думаю и-нет магазин давно бы стал банкротом от исков возмущенных покупателей.
                          Ушли, вообще, все личные данные.
                          Кстати о криворукости программистов и верстальщиков можно посмотреть даже по исходному коду html.
                          Не, я до сих пор в шоке, как из-за каких то д… в у многих жизнь может привратиться в ад
                          • –3
                            Просто из любопытства спрашиваю. Вы просто так распыляетесь или Ваши данные тоже стали достоянием гласности?
                            • +2
                              Нет, я нигде своих реальных данных не оставляю это раз, во вторых на таких сайтах не бываю.

                              Просто обидно за других людей. Вы просто подумайте над серьёзностью происшедшего.
                              Например, введите дальше после «Получатель» ваш город и улицу и вы будите всё знать о своих соседях.
                              Но это еще цветочки, из-за таких утечек могут быть и самоубийства и психические расстройства и т.п. Некоторые люди очень ранимые.
                              • +2
                                Вы не покупаете в интернет-магазинах?
                                • –1
                                  Перед тем как что-то заказать в магазине, я наведу сначала справки, посмотрю как он сделан, а потом… позвоню :)
                                  Я не люблю делать покупки у роботов.
                                  • –1
                                    Это такой наивный лайфхак? Ва думаете оператор магазина куда ваши данные запишет? В тетрадочку? Или вы уверены, что их похищают в момент передачи данных с вашего компьютера в базу магазина?
                                    • 0
                                      Это вы наивный, поверьте базы данных магазинов попадают потом к другим и их используют разные рассыльщики каталогов, продавцы ковров, книг, пылесосов и прочей фигни.
                                      • 0
                                        И как вы собираетесь предовратить утечку, делая заказ по телефону? Вы думаете ваши данные оператор не внесет в базу? А куда он их «внесет» по вашему?
                          • 0
                            Так вроде ссылки публично не открываются? Только через кэш.
                            • 0
                              Очень даже открываются прямыми ссылками мимо кеша. Авторизация зашита в GET запросе, то есть — прямо в ссылке.
                        • +105
                          В конце июля 2011 года люди ВНЕЗАПНО обнаружили, что поисковые машины индексируют страницы в интернете! © @antonzabannikh
                          • +12
                            Какая уязвимость?

                            Просто люди не прописали robots.txt и не закрыли там нужный раздел от роботов.

                            Зато пользуются Яндекс Метрикой. И она честно добавляет все известные ей страницы в индекс.

                            Вот и получилось, что у Гугла этих страниц в индексе нет, т.к. на них нигде нет ссылок. А у Яндекса благодаря Метрике есть
                            • 0
                              Нужно также оценить инженерную мысль. Люди используют для безопасности аж 2 гет параметра с хэшами
                              &code=U1lLRVRATUFJTC5SVQ==&hash=2e9b91e1ee0949585c784942bc1e0339
                              чтобы никто лишний не попал на эту страницу!

                              Глобально и надежно! Только из-за этого сложного инженерного решения можно сказать, что сайт на PHP написан
                              • +17
                                PHP тут только как бы не при чём :)
                                можно и на ASP или JSP сделать точно так же криво
                                • –13
                                  Да, на чем угодно можно сделать, в в основном (чуть чаще чем всегда) такое делают именно на PHP
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • +21
                                      Угу, а Александры самые плохие водители, если верить статистике ГИБДД, это имя чаще других присутствует в списках.
                                      • 0
                                        Здесь php не причем, здесь логика и архитектура проекта виновата.

                                        Ведь вся работа с юзером должна вестись через кукисы, нельзя без кук доверять любому кто входит. Пришел без куки — значит на 90% ты не тот за кого себя выдаёшь.

                                        Так и получилось. «Писать» на любом языке — это еще не признак мастерства. Вначале надо освоить логику и архитектуру проекта.
                                        Тем более по таким параметрам как права пользователя.
                                        Они перед программистом должны висеть отдельным стикером на мониторе.
                                        • 0
                                          Мне так нравится, когда люди начинают на полном серьезе говорить откровенно очевидные вещи, правда.

                                          Я только не понимаю почему в хабра-редактор до сих пор не добавили тег , потому что без него становится изъясняться все тяжелее. Особенно когда речь касается php.
                                        • 0
                                          Ой, да ладно.
                                          На каких-нибудь рельсах это было было так:
                                          /orders/code/U1lLRVRATUFJTC5SVQ/hash/2e9b91e1ee0949585c784942bc1e0339/
                                          или так
                                          /orders/U1lLRVRATUFJTC5SVQ/2e9b91e1ee0949585c784942bc1e0339/
                                          (книжка The Rails Way, страница 106-107). Единственная ошибка в том, что такие ссылки должны (обязаны) быть одноразовыми (либо генерировать куку, при первом заходе).
                                          • 0
                                            > такие ссылки должны (обязаны) быть одноразовыми (либо генерировать куку, при первом заходе)

                                            А если это страничка отслеживания заказа, как в данном случае? Просто многие магазины (DX, etc.) дают юзеру (незареганному) номер заказа, по которому потом мона его отслеживать, писать тикеты, etc. Тут просто волшебная ссылочка. В принципе тоже самое. Если бы не сомнительный функционал метрики.
                                            • 0
                                              А куку можно потерять, так что не катит.
                                              • 0
                                                Элементарно:
                                                «к сожалению, ваша кука потерялась, нажмите кнопочку»
                                                «спасибо, новая ссылка у вас в ящике, проверьте почту»
                                              • 0
                                                Дык элементарно на самом деле:
                                                <form method="post" action="/order.php?code=U1lLRVRATUFJTC5SVQ==&hash=2e9b91e1ee0949585c784942bc1e0339&nex" >

                                                <input type="hidden" name="nexstep" value="yes">
                                                <input type="submit" value="Просмотреть">
                                                </form>

                                                Можно даже яваскриптом автонажатие кнопки сделать.
                                                • 0
                                                  Ну и/или robos.txt как самый правильный вариант.
                                        • +1
                                          Ну и узнал ты что сайт на пыхе и что дальше? Какая разница?
                                          • 0
                                            Это как бэ Webasyst Shopscript
                                          • +1
                                            На этот раз всё ещё хлеще — гугл и бинг тоже проиндексировали эти страницы %) roem.ru/2011/07/25/addednews32332/
                                            • +2
                                              Как и в прошлый раз.
                                              • +2
                                                Ну сейчас эти ссылки уже достояние интернетов — они везде постятся. Поэтому краулеры других поисковиков их также подобрали и добавили в свои индексы.
                                                • +2
                                                  Кстати, классная реклама магазину. Врядли, существующие клиенты довольны, зато пузомерки как вырастут (ТИЦ, PageRank).
                                                  • 0
                                                    Для магазина это куда больше антиреклама.
                                                    Вряд ли у него после такого пиара появятся новые клиенты + очень недовольные старые + иски в суд.
                                                    Что может быть хуже для магазина?
                                                • –1
                                                  Ну у гугла Хром может осведомителем сработать. А у bing кто? У bing вроде только поисковый сервис.
                                                  • 0
                                                    На Хабре вроде была ссылка на перевод или сам перевод исследования о том, как Бинг подсматривает результаты поиска у Гугла. Может это как-то сыграло? )
                                                    • +3
                                                      IE? Windows? У Бинга тоже bar есть. Bing — дитя Майкрософта, вообще-то.
                                                      "© Корпорация Майкрософт (Microsoft Corp.), 2011" внизу страницы намекает.
                                                    • 0
                                                      Хлеще там в комментах ссылки. С ящиками клубники.
                                                    • 0
                                                      Это и есть уязвимость этих сайтов.
                                                      • +11
                                                        Ну я немного наброшу:
                                                        yandex.ru/yandsearch?text=site%3Aleprosorium.ru%2Famnesia%2F&lr=194
                                                        В Футурико отписал, но им, видимо, пох…
                                                        Для сведения — можно попробовать подобрать пароль. Т.е. есть логин и адрес почты — это уже уязвимость.
                                                        • +5
                                                          Да причем здесь robot.txt?!!!
                                                          И причем здесь Метрика ?!

                                                          Эта информация должна быть закрыта всем пользователям, кроме владельца заказа и админа, системой разделения прав самим движком.

                                                          Это самая обычная ошибка криворуких прогамеров (програмерами как-то язык не поворачивается назвать)
                                                          • 0
                                                            Да не волнуйтесь Вы так, право! Комментарием ниже я как раз об этом писал.
                                                            • +1
                                                              Да я посмотрел, а в 90% комментарием как раз «винят» yandex, хотя он здесь совсем не при чем.
                                                              Хотя если посмотреть то перлы по выдаче начали выдавать, например как google, смотрю в выдаче свои сайты и тихо фигею, от того что google взял за основу url из javascript переменной real_url=… это вообще нонсенс, с какой «оперы» он это взял. Хотя url имеет вид /la-la-la, а он берет из js переменную real_url=/la/la/la. Мало того он проиндексировал почему-то половину ссылок как ajax, т.е. опять почему-то выдрал из js ссылки на блоки и получается в выдаче как нормальные страницы, так и ajax страницы блоков (хотя на странице нет ajax вызовов, просто cms так заточена). Прикольно конечно для seo (просто прекрасно) но логики googl-a я не монял. Пришлось срочно «убить» все js переменные вида url и block.
                                                          • 0
                                                            Нифига себе «честно добавляет». Что ж тут честного? Или просто ходить по существующим ссылкам у роботов уже не модно?
                                                            • 0
                                                              Модно, а еще модно получать ссылки от браузеров (в случае Яндекса это Яндекс бар), и через форму addurl, и через метрику тоже модно…

                                                              А чем эти ссылки хуже других с точки зрения поисковика? только потому, что на них нет других внутренних ссылок на сайте?
                                                          • 0
                                                            Вот только посмотрел.
                                                            Google тоже проиндексировал, и тоже в выдаче вся приватная информация по заказам.
                                                            Правда еще в выдаче только 7 результатов (пока писал уже 12), то к утру я думаю будут все.
                                                            • 0
                                                              И о чем нам это говорит? Только на этой странице треда есть пару ссылок на выдачи из Яндекса и конкретно на заказы.
                                                              • 0
                                                                … пользователи Хабра по ссылкам из Яндекса ходят по этим страницам. А у самих стоит гугол-тулбар, который палит ссылки гуголю :)
                                                              • –1
                                                                Интересно, откуда?
                                                                Случайно или кто-то очень пыхтел над этим?
                                                              • –20
                                                                А что вы делали на этом сайте?
                                                              • 0
                                                                Скорее неделя GoogleЯндекс хака на хабре
                                                                • +6
                                                                  Это хак не яндекса, а хак сайта с кривым движком, настройками и беззаботными владельцами.
                                                                  • +7
                                                                    Так ведь не «хак Яндекса», а «Яндекс хак».
                                                                    • 0
                                                                      Да это и «гугл хак» и даже немножко «рамблер хак». Просто Яндекс более качественно проиндексировал открытую информацию.
                                                                      • +1
                                                                        В свете вчерашего граммар-срача надо говорить «яндексохак» или «Яндекс.Хак», в зависимости от предпочтений :)
                                                                  • +12
                                                                    ну а чем слив яндекса? просто непрописанный robots.txt
                                                                    • +22
                                                                      Вы, батенька, ни разу не конспиролог :)
                                                                      Это ж какую бучу можно поднять, если правильно поставить задачу нужным людям.
                                                                      Яндекс копается в чужом белье!
                                                                      За вами подглядывают!
                                                                      и все такое.
                                                                      • +4
                                                                        Я бы не сказал, что это просто непрописанный robots
                                                                        Тут дело в том, что на административные страницы возможен вход без пароля. Это серьёзная уязвимость.
                                                                        И второе, что на них где-то ссылка была.
                                                                        Другой вариант — на них поставили яндекс-метрику, но по-моему это бред, ставить на административный интерфейс яндекс-метрику.
                                                                        Разве что ее впердолили в основной index-файл, который используется везде. Тогда это опять дырка, использовать один index-файл и для юзеров и для админов.
                                                                        Короче, руки выпрямлять надо и мозг.
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                          • 0
                                                                            а какая разница что сливает? косяк ведь всё равно не на стороне яндекса
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                              • +3
                                                                                Неважно откуда ссылка взята, главное, чтобы было правило в robots.txt. Даже если бар скормил Яндексу эту ссылку, то Яндекс прежде чем проиндексировать эту страницу сверится с robots.txt
                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  • +1
                                                                                    Вы прям ересь какую-то говорите. Прочитайте сначала лицензионные соглашения, затем правила индексации.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                      • +1
                                                                                        help.yandex.ru/webmaster/?id=995295
                                                                                        Сайт должен прописывать ограничения не для spyware, а для поисковых роботов. Создатели сайтов должны думать не только о SEO, но и о конфиденциальности данных своих клиентов. Разработчик должен следовать современных реалиям. Вы говорите «А почему бы ему по умолчанию себя не ограничивать?» — я не хочу писать robots.txt для своей домашней странички, зачем мне создавать себе лишнюю работу? robots.txt сделан для ограничений. Короче говоря, плохому танцору и яйца мешают
                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          • +1
                                                                                            реалии, они давно такие.

                                                                                            «Всё, что не запрещено — разрешено».

                                                                                            Можно только посочувствовать тем, кто не понимает столь простых истин. Не только применительно к Интернет, кстати.
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              • +2
                                                                                                ээ, то, что ссылки попадают из Я.Бар, нужно еще доказать.

                                                                                                Но для меня это роли не играет. Для меня важно то, что авторы магазина и те, кто их магазином пользуются не понимают простых очевидных вещей — даже если в подъезде есть домофон, и круглосуточная охрана, на двери каждой квартиры должен быть замок, с уникальным ключиком.
                                                                                                • 0
                                                                                                  То что ссылки попадают в том числе из Бара, товарищ доказал. Но здесь его заминусовали.
                                                                                                  • +2
                                                                                                    Ок, пусть и Я.Бар приложился.

                                                                                                    Но я как-бы про другое — контент отдается по get. В моей вселенной, разумным людям уже не важно, откуда у робота взялся url для этого get.

                                                                                                    Хуже того, в моей вселенной разумные люди задумаются, что это мог быть не робот вовсе, а человек с «плохими мыслями».

                                                                                                    Я правильно понимаю, про провайдеры в договорах не обещают конфиденциальность списка ссылок по которым их клиенты ходят? И transparent proxy, это вполне себе штатная фишка?
                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    • 0
                                                                                                      еще раз — для меня не важно, как они собраны.

                                                                                                      нет, не понимаю. Наказывать нужно того, что выставляет данные в паблик. Всё остальное работает так, как и задумывалось.
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        • 0
                                                                                                          по юзерской логике, нужно собраться дружной компанией, и подать иск на магазин.
                                                                                                          И так, для каждого магазина на этой платформе.

                                                                                                          Далее, владельцы магазинов, в свою очередь, как пользователи платформы, тоже должны собраться дружной компанией, и подать иск на авторов.

                                                                                                          Знаете, что дальше произойдет?

                                                                                                          В лицензионном соглашении платформы сказано «AS IS, авторы ни за что не отвечают» (пп.5). Платформа просто подмочит репутацию.

                                                                                                          Магазины, думаю в зависимости от своей юридической подкованности. У того же Sexyz, ни на форме регистрации (/register/), где пользователю предлагают заполнить анкету, ни на странице «гарантии надежности» (/auxpage_warranties/), ничего о конфиденциальности данных пользователя нет.

                                                                                                          В этом месте я бы закупился попкорном, и уселся по-удобнее.

                                                                                                          А пинать Янедкс удобно да. Сразу вспоминается известная басня Крылова, про Моську и Слона.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            • 0
                                                                                                              Да отвяжитесь вы от бара, данные могут быть из тысячи мест — со ссылок, с других поисковиков, со счетчиков и систем статистики.
                                                                                                              • 0
                                                                                                                какие конфиденциальные данные? заказ доступен без ввода какой-либо идентифицирующей информации, читай свободно. Если вы паспорт потеряете, вы же не будете пинать нашедшего потому, что он не по тем улицам ходит и ваши документы видел.

                                                                                                                А как ссылка подобрана, из бара, метрики или подбором механизма генерации параметра — не суть важно. Важно, что она доступна свободно.
                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                  • 0
                                                                                                                    ну и в соглашении Я.Бара по-русски одинаковым шрифтом с остальным текстом написано, что он имеет право урлы передавать. Кто не читает соглашения и ставит себе подобное — сам себя наказывает.
                                                                                                                    А то, что вы описываете в аналогиях, перечислено и в УК, в отличии от автоматического сбора ссылок после согласия пользователя.
                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                • 0
                                                                                                                  Там написано большими буквами, что его личные данные могут пострадать? Нет. И даже в соглашении, ссылка на которое традиционно мелким шрифтом, написано обратное.
                                                                                                                  а вы соглашение-то читали, или так, наугад реплики пишете?
                                                                                                                  bar.yandex.ru/ie/agreement.xml
                                                                                                                  5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции.
                                                                                                                  и так для многих функций.
                                                                                                                  6.3. Пользователь настоящим уведомлен и соглашается, что при использовании Программы Правообладателю в автоматическом режиме анонимно (без привязки к Пользователю) передается следующая информация: тип операционной системы компьютера Пользователя, версия Программы и идентификатор Программы, а также иная техническая информация.
                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                    • 0
                                                                                                                      1. в соглашении всё одинаково написано. никаких блеклых шрифтов и подобного.
                                                                                                                      2. Конечно я прочитал. Привяжете мне code=OTEzNTgyQGJ1kDjcJ1&hash=040e7cb12822f4541138d77ba4f9115de8 к пользователю?
                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                        • 0
                                                                                                                          Ну а если поисковик будет урлы просто по алфавиту индексировать и рано или поздно дойдет до приватных — что делать? Какая разница как поисковый механизм находит страницы? Как Гугл через свой браузер или как Яндекс через бар? Урл доступен без авторизации — значит до него можно добраться.

                                                                                                                          Вот вы смотрите на глобальную проблему — поисковик проиндексировал много чужих данных. А представьте ту же проблему, но локально. Например, злоумышленник подобрал урл с приватной информацией 1 человека. И пострадал 1 человек. Злоумышленник также как и яндекс, в текущей ситуации, не виноват. Он просто зашел на публичную страницу по публичному урлу (и не важно, что разработчик сайта этот урл «считал» не публичным). Значит виноват только разработчик, который «считал» не правильно. На него в суд и подавать.

                                                                                                                          Интернет — публичная сеть, и все что не закрыто паролем — есть публичный ресурс.
                                                                                                                          • 0
                                                                                                                            Немного поправлю — личную информацию он и не сливает. Адрес страницы без привязки к пользователю не является личной информацией.
                                                                                                        • +1
                                                                                                          «это нужно уметь не только читать, но и понимать» /учитель английского/

                                                                                                          bar.yandex.ru/firefox/agreement.xml

                                                                                                          5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции.

                                                                                                          6.2. В максимальной степени, допустимой действующим законодательством, Правообладатель не несет никакой ответственности за какие-либо прямые или косвенные последствия какого-либо использования или невозможности использования Программы и/или ущерб, причиненный Пользователю и/или третьим сторонам в результате какого-либо использования или неиспользования Программы, в том числе из-за возможных ошибок или сбоев в работе Программы.
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          • 0
                                                                                                            Похоже, что слив ссылки произошел через Яндекс метрику.

                                                                                                            По крайней мере метрика стоит на страницах этих.
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        • +3
                                                                                                          можно устроить интересное соревнование.

                                                                                                          Ведущий раздает крутым хакерам листы бумаги с напечатанными URL.
                                                                                                          Участники, без помощи сети интернет, определяют пользователей, которые ОДНОЗНАЧНО ПРИВЯЗНЫ™ к этим адресам.

                                                                                                          Побеждает тот, что быстрее определит максимально количество пользователей.

                                                                                                          Призовой фонд — от команды разработчиков Яндекс.Бар (если они к завершению соревнования не умрут со смеху)
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            • +1
                                                                                                              Какую защиту? Защита от дурака (читай доступ к не закрытому логин-паролем разделу) уже существует — robots.txt. Вот если бы поисковики пренебрегли директивами этого файла, то однозначно виноваты ПС. Если этого файла нет, либо не сказано что туда не ходи, а сюда ходи, то ПС молодцы, отработали на 4+ и выдали правильные данные согласно сформулированному в поиске запросу.
                                                                                                      • +1
                                                                                                        А если кто-то из пользователей эту ссыку на форуме даст? Упс, будет индексация без метрики и бара.
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          • +1
                                                                                                            Вот скажите, пожалуйста, как Яндекс должен отличить приватную ссылку от просто редкой (Вася Пупкин написал единую теорию всего на свете, сделал одностраничный хоумпэйдж, а как рассказать о ней не знает, и только друзья из РАН по прямому линку читают ее)?

                                                                                                            — в robots.txt нет запрета на индексацию страницы.
                                                                                                            — контент открыт и не защищен ни паролем, ни кукаками.

                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              • 0
                                                                                                                Почему Яндекс должен заботится об сохранности информации пользователя на ДРУГИХ ресурсах?
                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                  • 0
                                                                                                                    Он эту информацию не получал.
                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                      • 0
                                                                                                                        И где там он оплучил информацию? Кроме URL?
                                                                                                              • 0
                                                                                                                Ссылка приватная отправляется на email и знает ее только пользователь. Заказ оформляется без регистрации, так что пользователю надо как-то попасть в свой заказ. Там вариант один — номер заказа+фамилия. В ссылке то же самое только хешами. По поводу роботс — разработчики сайта дураки — на сайте webasyst в руководстве первым делом идет описание robots.txt и там директивы прописаны.
                                                                                                • +8
                                                                                                  уже целую неделю поражаюсь странной логике.

                                                                                                  1. не закрывают страницы от поисковика
                                                                                                  2. считают, что косяк на стороне яндекса

                                                                                                  ахренеть!
                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    • +2
                                                                                                      странно то, что люди как-бы забывают, что данные в паблик выставил сайт.
                                                                                                      • 0
                                                                                                        Адрес сайта all4rc.ru — найдите инфу по заказам — она же в паблике. Скажите мне как просмотреть данные по заказу, если заказ оформлялся без регистрации?
                                                                                                        Кстати полный аналог таких ссылок — ссылки на подтверждения чего-либо. Скажем Вы решили сменить пароль на Хабре — Вам прислали ссылку, вы про нее забыли, gmail ее передал гуглу и тот ее проиндексировал — кто-то сменил Вам пароль. Нормальная логика?
                                                                                                        • 0
                                                                                                          я похож на робота Яндекса? Я обещал, что-либо искать?
                                                                                                          Всё таки, человек должен думать, а машина работать.

                                                                                                          по пунктам:
                                                                                                          1. Заказ без регистрации.
                                                                                                          а) при оформлении заказа без регистрации, человек должен быть предупрежден, что вся информация заказа может быть доступна третьим лицам.
                                                                                                          б) Более того, он должен согласиться, что его это устраивает, или пройти регистрацию.

                                                                                                          Например меня-бы вполне могло бы устроить, фамилию свою я не скрываю, всякие мелочи порой покупаю указывая адрес офиса.

                                                                                                          2. Ссылки на подтверждение
                                                                                                          а) одноразовые (по крайней мере те, по которым мне доводилось подтверждать). Если даже робот узнал о существовании такой ссылки, и сходил туда, то второй переход по этой же ссылке из выдачи даст что-то типа «простите, ссылка протухла».
                                                                                                          б) после перехода по ссылке подтверждения e-mail, на грамотно написанных сайтах, никаких автоматических входов не происходит. Переход по ссылке всего-навсего устанавливает поле «e-mail подтвержден» в базе пользователей сайта.
                                                                                                          Если подумать трезво, нет никакой разницы, это сделаю я из своего браузера, или робот поисковика это сделает раньше меня.

                                                                                                          Если не ошибаюсь, до тех пор, пока человек не открыл письмо в gmail, про эти ссылки в письмах гугля не знает?

                                                                                                          Допустим, что:
                                                                                                          — всё не так прозрачно у какой-либо почты, и робот поисковика получает ссылки из писем без открытия письма человеком
                                                                                                          — ссылка не одноразовая, и по ней можно перейти как минимум два раза (раз работ, второй раз кто-то изх выдачи)
                                                                                                          — кто-то постоянно ищет такого рода ссылки в выдаче, с целью получения доступа к чужим учетным записям
                                                                                                          — авторизация на сайте недальновидная, и делает автоматических логин тому, что переходит по ссылке, не проверяя куку, которую выставили при регистрации, например.

                                                                                                          вам не кажется, что такое сочетание условий довольно редкое уже само по себе?

                                                                                                          О чем это говорит? Что механизм подтверждения чего-либо, через отправку ссылки в почту — не идеален, и уже нужно начинать задумываться о том, как бы это место сделать надежнее.

                                                                                                          Еще раз (вдруг кто-то не заметил) — я считаю, что если по ссылке отдается контент, без проверок чего-либо еще — это дыра. Каким образом про эту дыру узнали, и в неё пролезли — совершенно не важно.
                                                                                                          Дыры нужно затыкать.

                                                                                                          Кстати, ссылки для подтверждения довольно легко усиливаются:
                                                                                                          1. при регистрации ставят куку, при подтверждении её проверяют, если нет — пп.2
                                                                                                          2. В письме присылают контрольный код текстом, и просят ввести на форме, которая открывается по переходу на ссылку. Перед полем ввода пишут «Требуется дополнительно подтверждение. В письме со ссылкой строкой выше есть контрольный код, впишите его в это поле, пожалуйста».

                                                                                                          Обращу внимание — это всё нужно, если ссылка не одноразовая И сразу авторизует пользователя.
                                                                                                          • +1
                                                                                                            1) Она не доступна 3м лицам. Она доступна только человеку, владеющему ссылкой. Владеет ссылкой только получатель письма. Яндекс ее просто украл через бар.
                                                                                                            2) Далеко не всегда они одноразовые. Годный пример такой ссылки — Вернуться на Facebook. Многоразовая, автоматический вход.
                                                                                                            Может Вы просто открыли письмо и решили сменить пароль позже. По ссылке можно зайти несколько раз.
                                                                                                            Кто-то постоянно ищет — ну нашли же с шопом))
                                                                                                            Авторизации как таковой там нет. Там в ссылке номер заказа и фамилия в виде MD5 хешей видимо.
                                                                                                            • 0
                                                                                                              1) вот же оказалась доступной?
                                                                                                              2) далеко не всегда дырки затыкают. Понимаю.

                                                                                                              FB у меня не вписывается в пример грамотно построенной защиты данных пользователя. Вон, недавно «прорвало» индекс пользовательских видео.

                                                                                                              Да может быть что угодно. Мы хотим обсудить, какие проблемы случаются и как их грамотно решать, или какие проблемы классифицировать «это нормально», и заставить решать их Яндекс? (а вместе с ним Гугель, Бинг и прочих).

                                                                                                              Я все же сторонник, что за данные отвечает тот, кому я эти данные передаю непосредственно. А поисковик — это «третьи лица». И задача ресурса обеспечить недоступность данных по ссылке для третьих лиц.

                                                                                                              В том-то и дело, что авторизации никакой нет. Как я уже где-то тут рядом спрашивал — провайдеры интернет гарантируют отсутствие transparent proxy и/или конфиденциальность тех ссылок, по которым ходит их пользователь?
                                                                                                              Я в договоре со своим провайдером такого не припоминаю :))
                                                                                                              • 0
                                                                                                                1) Оказалась доступной через spyware софт под названием яндекс-бар, то есть фактически ссылку украли.
                                                                                                                2) Имхо красть урлы с данными авторизации и потом говорить «а оно в индекс случайно попало» это бред. Давайте проиндексируем, скажем, фотки в контакте по прямой ссылке на картинку. А че? Общедоступная инфа, если покопаться по мыльникам и яндекс бар перестроить на сбор урлов на картинки на страницах типа vkontakte.ru/photo.php?*, а потом вывалим в яндекс-картинки. Смог зайти — инфа не приватная.
                                                                                                                • 0
                                                                                                                  1. тема «я.бар = spyware» — хорошая. Но я не считаю, что ссылки воруют.
                                                                                                                  Поэтому, это направление без меня, я сбоку постою, понаблюдаю :)
                                                                                                                  Конечно, сделать в настройках Я.Бар одну заметную птичку «ничего не передавать в Яндекс», я не возражаю. Конечно, пусть сделают.
                                                                                                                  Но я отдаю себе отчет, кто Я.Бар/Метрика — это далеко не единственное место утечки.

                                                                                                                  2. еще раз — складывать данные авторизации в url, а потом жаловаться, что они утекли — это бред неграмотных людей. И по этому месту нужно бить всех, невзирая на лица, пока не станут умнее.

                                                                                                                  Если кто-то считает, что «security trough obscurity» имеет право на существование, это его проблема.

                                                                                                                  На мой вкус, правильнее заткнуть одну дырку в безопастнотси, нежели бегать за всеми яндексами, гугулами и прочими (кто, возможно, вообще на robots.txt плюёт), и просить их «не ходить по нашим секретным url'ам».

                                                                                                                  Есть ведь всякие трояны, и специально созданное spyware, авторов которых попробуй найди.
                                                                                                                  гггггг
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          • –2
                                                                                                            вы понимаете разницу между URL, и той информацией, которая по этому URL доступна?

                                                                                                            И если по HTTP GET сервер ответит «введите имя пользователя и пароль», то никакой контент никуда не попадет?

                                                                                                            Эх, жаль, я надеялся, что вы еще не совсем потеряны.

                                                                                                            Впрочем, несмотря на то, что моя надежда умерла, у вас есть шанс.
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                              • 0
                                                                                                                простите, я видимо ошибся постом (ветвью каментов)

                                                                                                                для меня «правомерность поведения Яндекса» вне обсуждения. С моей точки зрения, Яндекс ведет себя как и должен вести.
                                                                                                                • +1
                                                                                                                  Согласен. Яндекс — это в первую очередь поисковик.
                                                                                                                  И это его главная задача — индексировать все, что только он сможет.
                                                                                                                  А если владельца сайта это не устраивает — достаточно всего лишь robots.txt написать.
                                                                                                                  А «секретные ссылки» — чушь какая-то.
                                                                                                                  Если я пойду и заведу сайт типа superpupermegasecret.com, то что, всерьез можно думать, что поисковик его не найдет и не проиндексирует? И никакие мои желания на сей факт не повлияют.
                                                                                                                • 0
                                                                                                                  Можно и другой пример привести — друг пришел к вам, в холле стоит лоток с газетами — он взял одну, почитал, тут набежали жильцы и ну орать, что это приватная газета, только для своих, и что его теперь во дворе повесят на столбе за это.
                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                    • +1
                                                                                                                      Как робот дожен отличить газету от письма? Или личное письмо от приватного письма? Если это все свалено в холле и никем, и нигде не указано, что это читать нельзя.
                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                        • 0
                                                                                                                          Вы не ту точку для давления выбираете, лучше бы на магазины давали и сотовых операторов.
                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                            • +1
                                                                                                                              Прозреваю у вас на груди значок «Почётный танкист».
                                                                                                                               
                                                                                                                              Ещё одно сравнение: побегите по улице с голой жопой и каждому взглянувшему на вас кричите — «Не смотри на меня, ты, извращенец поганый!» Толку-то.
                                                                                                                               
                                                                                                                              Дурак тут не тот, кто сказал прохожим — «Идите, посмотрите на идиота», и не тот, кто посмотрел. Идиот тот, кто бегает.
                                                                                                                          • 0
                                                                                                                            Когда люди научат роботов разбираться в контексте содержимого, то придет Skynet. И думаю не стоит объяснять сложность построения лексического анализатора с учетом контекста.

                                                                                                                            [irony]
                                                                                                                            Представляю поискового робота вчитывающегося в томик Пушкина или Толстого =))
                                                                                                                            [/irony]
                                                                                                                            • 0
                                                                                                                              есть другое предложение.
                                                                                                                              Сайты, у которых найдены и опубликованы дыры в безопасности, в процессе чистки индекса в Яндексе выносятся из выдачи целиком. На год-два.
                                                                                                                  • 0
                                                                                                                    Держите:

                                                                                                                    Метрика и бар сливают только ссылку.!!! Контент!!! не защищен!!! разработчиками!!!..

                                                                                                                    habrahabr.ru/blogs/infosecurity/124898/#comment_4107804
                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                      • +1
                                                                                                                        Я перейду на личности — Вы неадекват!
                                                                                                                        Вам тут уже пол топика написали, что да как. И главная ваша проблема не в том что у вас альтернативная точка зрения. А в том, что вы не слушаете.

                                                                                                                        В связи с чем, давайте закончим… Сер!!!
                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                          • 0
                                                                                                                            Так личные данные агрегирует не Яндекс, так что и факап не его.
                                                                                                              • 0
                                                                                                                Не совсем так. Не закрывают страницы от поисковика, Метрики и Бара. А это немного сложнее.
                                                                                                                • +1
                                                                                                                  Метрика и бар сливают только ссылку. Контент не защищен разработчиками.
                                                                                                                • +3
                                                                                                                  если страница открывается get-запросом, и не требует ни наличия куки тривиальной, вообще ничего, это что — нормально?

                                                                                                                  Какая, простите, метрика и бар?
                                                                                                                  • 0
                                                                                                                    Насколько я знаю, примерно так же устроены скрытые албюомы в picasa и photos.live.com — при расшаривании добавляется параметр authkey.

                                                                                                                    Теперь предположим, что кто-то создает поисковый движок, который не учитывает robots.txt, а создает свою новую продвинутую robots.xml
                                                                                                                    • 0
                                                                                                                      На уровне дата центров его забанят да и все.
                                                                                                            • 0
                                                                                                              Это прогамеры криворукие, такую информацию надо блокировать еще на этапе выдачи движком, т.е. системой управления правами пользователей.
                                                                                                              Эту информацию должны видеть только автор и админ. Всё.
                                                                                                              И robot.txt и метрика здесь не причем. Если у кого-то в голове не хватает (у криворуких программеров), то не надо винить других.
                                                                                                        • +16
                                                                                                          Из представленного ассортимента ничего не понравилось :(
                                                                                                        • +7
                                                                                                          Уже как-то поднадоели подобные топики.
                                                                                                          Яндекс тут ничего поделать не может, кроме как изменить функциональность «я.бар», что им тоже не с руки.
                                                                                                          Конечно, ловить лулзы можно и сейчас, но они явно уже не первой свежести и не радуют так, как раньше :(
                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            • 0
                                                                                                              А если я напишу скрипт, который простым перебором скачает все страницы с этого сайта, соберу в один архив и выложу в интернете, то снова будет виноват яндекс?

                                                                                                              Помнится была такая история с сервисом обмена картинками для айфонов. Тогда в сеть утекли сотни пикантных фотографий.
                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                • 0
                                                                                                                  Есть такой сервис, imhonet
                                                                                                                  Так вот в нем на почту уведомления приходят со ссылкой. В конце ссылки параметр auth_hash, который позволяет авторизоваться без ввода данных. И эти параметры кучами лежат в индексе гугла и яндекса.
                                                                                                                  Но переход по ним ничего не дает, т.к. администраторы озаботились безопасностью и после авторизации хэш аннулируется.
                                                                                                          • +3
                                                                                                            Костюм медсестры ничего так
                                                                                                            • +2
                                                                                                              Да там за медсестрой костюма не видно.
                                                                                                            • +3
                                                                                                              Причем, если нажать на квитанцию — можно получить подробнейшие юридические данные фирм, которые оплачивают все «клубничные» аксессуары.

                                                                                                              Кажется, sexyz.ru потеряет немножко клиентов :)
                                                                                                              • 0
                                                                                                                Могут быт магазины специализированные. Им все равно
                                                                                                                • 0
                                                                                                                  А могут и не быть… -)
                                                                                                                  • 0
                                                                                                                    Хорошая опечатка «быт магазины», хозяйственные.

                                                                                                                    — Можно мне две ламочки, клей ПВА, моток проволоки и селиконовый костюм?
                                                                                                                    — Конечно, все вместе 1856 рублей 52 копейки, пройдите в кассу 3-го отдела.
                                                                                                                • 0
                                                                                                                  Интересно, а зачем в отзывах открыто пишут трекеры посылок EMS?
                                                                                                                  • +6
                                                                                                                    Протыкал наугад десяток результатов поиска. Все покупатели — женщины, занятно :)
                                                                                                                    • +5
                                                                                                                      Не, есть и мужик с костюмом горничной, чулками с рюшами и париком «Элли из Изумрудного города» :-)
                                                                                                                      • +1
                                                                                                                        Надеюсь, не для себя.
                                                                                                                        • +4
                                                                                                                          Конечно, для друга.
                                                                                                                    • +8
                                                                                                                      Попробовал похожие запросы. Ну и дела.
                                                                                                                      Не так критично, только email-адреса светятся.