Яндекс - все нашел.
с авторизацией то тогда как? %)
с авторизацией
А нет ее. Человек перешел по уникальной ссылке - я.бар запомнил ее (или я.метрика). Бот перешел по ссылке, сайт не запросил авторизацию и отдал html. Вуаля!
Например, в ШопСкрипт уникальность ссылки задавалась кодом и хэшем. Любой, знающий ссылку, видел содержимое заказа.
Не все запретили индексацию служебных страниц в robots.txt, и боты яндекса не гарантируют 100% подчинение директивам роботс.тхт (тот же host). Служебные страницы вообще не должны отдавать информацию без авторизации, если ваша cms криво работает с сессиями\кукисами\авторизацией, то пора исправлять.
А еще одна бабка сказала, что Яша начал индексировать ссылки из писем на ящиках mail@yandex.ru! Так-то! Осталось дождаться индексации сообщений icq и всех почтовых ящиков 😁
ага, ябар слил ссылку с хешем, тобишь без проблем может слить и с SID. К слову одна из схем реализации XSS и по сути кража куков.
И оно тут не причем?
ладно хоть ссылку, а вот как гугл то слил wiki.yandex-team.ru, уж не контент ли сразу слался…
wiki.yandex-team.ru
Если это не специальный “вброс” на радость сеошникам и клиентам директа)
кража куков.
пока еще не сливает) или не афиширует)
Кстати, сайт по продаже билетов закрыл в роботсе заказы, но они попали в индекс)
Так это, если SID идет GETом (что по сути стандарт), то уже сливает. Другое дело успеет ли бот проиндексировать чего-то там, за N-минут жизни сессии. Успеет.
Кстати, они ведь так и формы некоторые могут сливать.
Ладно хоть до https не добрались ешё.
сливает
Все, что попало в интернет - там навечно и доступно.
Даешь живое общение!
думается мне, что кое-где завтра буду раздавать mod_ssl 😃
mod_ssl
что ни делается, все к лучшему)
Интересно, какие такие личные данные народ в интернет пуляет?
Ни один оператор не будет гарантировать конфиденциальность передаваемой информации (в т.ч. и голосовой связи), хотя бы потому, что есть конвенция о применении системы СОРМ (система оперативно розыскных мероприятий) или по импортному LI. Другими словами, при необходимоти ваш телефонный разговор может быть прослуша третьим лицом без всякого уведомления и т.д. Хотите защищенную линию - платите за специальную кодирующую аппаратуру.
То же касается и предачи данных (СОРМ2).
Именно поэтому, если совершаются какие либо транзакции с помощью виртуальных банков, телебанков и т.д. организуется защищенное соединение, и система временных паролей доступа! Дополнительная защита банковских переводов от кардинга (воровство номеров банковских карт) - блокирование средств на некоторое время, чтобы клиент если что смог опомниться и отменить транзакцию, если с его карты поперли деньги. Контроль с помощью выписки по карте.
Любая другая информация в интернете может быть доступна, SMS-ки, электронная почта и т.д. Надо просто об этом знать и принимать во внимание, если передаете слишком уж секретные послания.
Вчера по радио слышал, как один дядька возмущался, говорит, а если я в интернете пластиковые члены из сексшопа заказываю, почему это должно быть достоянием общественности? А ему отвечают, не грузи типа, при заказе членов паспортные данные пока не требуются… 😃
там вроде уже секретные и дсп документы прояндексированные нашлись. ке-ке-ке. то ли еще будет.
Самое занятное, что все эти смс, заказы в инет магазинах и прочее - довольно давно известны широкому кругу лиц, умеющих пользоваться “расширенным” поиском гугла, да имеющих хоть немного фантазии.
Интересно, как скоро СМИ и прочие блоггеры узнают про примитивную sql injection, которой подвержены многие и многие сайты, в т.ч. и сайт почты россии?
узнают
Хотя бы allintitle: site: ))
примитивную sql injection
А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.
крутые вы, мужики… Аж оторопь берет.
Расскажите, плз, по-простому… простому дураку-админу, у которого есть свои серверы на, к примеру, 2003 + РНР + MySQL, чего надо опасаться и чего блокировать.
А то, уже запугали нафихваще непонятными словами.
ПАМАГИТЕ, плз.
А как же mysql_escape_string, htmlspecialchars(), валидация емайла, телефона, ФИО? Это же базис.
вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…
Часто студенты или школьники делают сайты, еще частенько сайт делается “внутренними силами”, обычно не компьютерными специалистами…
чего надо опасаться и чего блокировать
стоит помнить простую вещь: взломать можно все, вопрос стоит лишь в оправданности затраченных ресурсов на это дело…
С позиции админа - везде включить шифрование и авторизацию, где не надо - отключить.
вот с позиции программиста несколько хуже, там слишком много нюансов есть
хорошо, я детализирую свою позицию - я сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
Чего надо избегать и чего бояться?
чего надо опасаться и чего блокировать
Я сам любитель. Но знаю точно, что проверку введенных данных нужно делать на серверной стороне! А всякие JS-валидации в браузере, всплывающие памятки “емайл должен содержать собачку и не иметь кавычек” - только рюшечка для пользователя, но никак не баръер.
Для валидации данных на серверной стороне желательно использовать специальный класс и прогонять через его методы все принятые параметры. Результат проверки можно отправить обратно в браузер аяксом.
Или хотя бы использовать регулярные выражения. Если это номер чего-то, то только цифры \d{длина от, до}. Кавычки комментировать, заменять на « и », например.
И легендарный robots.txt: disallow все служебные страницы с масками.
Не генерировать уникальные ссылки с get-параметрами, которые всегда отдают служебную информацию любому перешедшему по ним без авторизации. Пишут всякие token, hash, code, sid. Мне пока хватает короткоживущих кукисов, но это по-молодости.
вы удивитесь, узнав, где срабатывает обычная кавычка (ну или немного модифицированная) в поле ввода…
Пожалуйста, не пишите! Особенно, если это достойный сайт. Лучше их админу пришлите в копилку багов.
6wings
ах, как тонко 😉
о! чисто как админ, включите magic_quotes
ах, как тонко
я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?
сейчас делаю несколько собственных сайтов на вышеописанной конфигурации (как веб-дизайнер).
удел дизайнера - фотошоп.
Чего надо избегать и чего бояться?
избегать: register_globals=on
бояться: sql-injection
я тут помощи прошу (ПАМАГИТЕ), а Вы прикалываетесь, да?
так это, чистА из зависти юзверя обычного виртуального хостинга.
…я сейчас делаю несколько собственных сайтов <…>как веб-дизайнер…
дайте глянуть?