Главная
Подписка на RSS-ленту
Хочешь быть в курсе?
Подпишись на RSS!


Вход для пользователей

Статистика и рейтинги

Рейтинг@Mail.ru
Индекс цитирования



Облако популярных категорий

Коммерческие предложения


21.04.2008. XSS больше не влияет на тИЦ

Одна из моих новых статей должна была быть посвящена использованию в своих SEO-целях такого "хакерского" приема, как кросс-сайтовый скриптинг (XSS). Причем очень интересного и прибыльного - обладая знаниями в этой области и качественной базой уязвимых для XSS сайтов, за один-два апа тИЦ можно было поднять значения индекса цитирования более, чем на тысячу пунктов. Почему я пишу в прошедшем времени? Сегодня утром, 21 апреля 2008 года, Яндекс в очередной раз изменил свои алгоритмы и отрубил возможность "накачки" тИЦ таким, справедливо отметить, нечестным, образом. Однако про XSS и чем оно было для сеошников, я все-таки напишу (хотя бы для того, чтобы недобросовестные оптимизаторы не пытались впарить новичкам эти базы), а также постараюсь проанализировать, чем введение таких мер отразится на тенденциях в интернет-бизнесе.

Что казается лично меня, то я рад, что Яндекс делает шаги к улучшению своих алгоритмов. Я не "кулхацкер", не дорвейщик, не шаман с волшебной кнопкой и не делаю говносайты. У меня мышление классического предпринимателя, я делаю ставку на качество своих проектов и их конкурентноспособность в любых условиях. И как профессионал я, конечно, солидарен с теми, кто сейчас на форумах кричит "зарабатывал 30 000р./мес, XSS отрубили, тИЦ упал до десятков, как мне в условиях 300р./мес выплачивать ипотечный кредит?" Но делая сайты для людей, а не для поисковиков, я рад такому изменению алгоритмов. Потому что накрутка тИЦ через XSS - это недобросовестная конкуренция. Ну, если этим занимается кто-то другой, а не мы сами ;)

Итак, межсайтовый скриптинг или как это работало

Идея XSS до банальности проста и чаще всего используется не нашими коллегами, а самые юными из компьютерных взломщиков и прочих хулиганов. Есть сайт, и на сайте присутствует динамическая форма - поиск, поле для ввода электронной почты, окошечко чата. Мы вводим в поиск желаемый запрос, например, "увеличить тИЦ", нажимаем на кнопочку и видим страницу с текстом "Результаты поиска по фразе "Увеличить тИЦ": найдено 12 статей". Где здесь XSS? Так страница генерируется автоматически, в нужное место HTML-кода подставляя данные из формы. И если разработчик сайта не позаботился о фильтровке символов и прочей обработке формы, мы можем ввести туда HTML-код, например, "<A HREF=http://kolosov.biz>Увеличить тИЦ</A>". И он отобразится на странице результатов как ссылка (а хулиган может ввести JS-код, который будет воровать cookies, например, или показать табличку веселую). Да, таких ресурсов до сих пор очень много, например, сайт Государственного Университета Управления (ГУУ) - http://guu.ru.

Плох тот сеошник, который не любит ссылки на свой сайт. А значит, ее хорошо бы скормить поисковой системе. Но страничка динамическая, то есть существует "здесь и сейчас" (как и наша ссылка, и код хулигана), при конкретно введенном нами запросе, на нее не ведут и в принципе не ногут вести ссылки с других страниц подопытного ресурса. Вывод - робота нужно привести на нее за ручку. Вспоминаем, что данные передаются на сервер в основном методами GET и POST. GET - это набор параметров в URI, например, http://сайт.ru/script.php?a=1&b=2&name=John. POST хитрее и в URI ничего не показывает, передавая данные скрыто от пользователя. И если уж программист пропустил фильтрацию HTML'а в запросе, чаще всего он не заморочился и на POST.

Поэтому просто копируем URI из адресной строки браузера в заранее подготовленный текстовый файл, оформляем URI как ссылку, а сам файл - как HTML, выкладываем получившуюся поделку в сеть на быстро индексируемый яндексом хостинг вроде народа и addurl'им его. Ждем. Яндекс-бот идет на "сайт", а оттуда - на XSS-сгенерированную страницу с нашей ссылкой. Ссылка им учитывается со всеми вытекающими для нас последствиями. Можно, конечно, и вручную добавить URI в addurl (если объем работы небольшой). Так было до 21 апреля 2008 года.

Разумеется, у тех, кто поставил это ремесло на поток, все шло отнюдь не вручную. Базы уязвимых сайтов собирались долго и бережно, а потом через автоподстановку автоматически генерировались дорвеи, ведущие роботов на сайты-доноры. Стоимость прогона по средней базе составляла 30$, примерная результативность - от 100 до 300 и выше единиц тИЦа. Лучшие базы увеличивали тематический индекс цитирования более, чем на тысячу.

Доктор, мы его теряем

В начале года этак 2007ого впервые появился слух, что Яндекс прирезал XSS. Выводы, тем не менее, были ложными, и были связаны с тем, что вначале известная лишь узкому кругу профессионалов, технология использования межсайтового скриптинга в SEO-целях внезапно стала общественным достоянием. Спалили тему, что называется. Очень быстро к процессу подключилась основная масса сеошников, массово эксплуатируя известные сайты с XSS-уязвимостями. И в один прекрасный момент эти ссылки перестали учитываться. Потому что, с точки зрения Яндекса, у уязвимых сайтов были тысячи динамических страниц, различающихся только ссылками в их коде. А такое, что логично, банится автоматически как каталог-линкопомойка.

Когда были закрыт публичный просмотр внешних ссылок, ведущих на сайты, XSS-уязвимости стало искать труднее, базы стали приватными и индустрия накрутки вышла на новый виток. Разумеется, слухи о смерти XSS никто и не опровергал, чтобы отвлечь новичков от кормушки. А сейчас эту лавочку прикрыли окончательно. Давайте подумаем, какими последствиями это грозит SEO-индустрии.

  • Уменьшение общего количества сайтов с высоким тИЦ и увеличение их авторитетности. Согласно законам экономики, это повлечет за собой рост цен на ссылочных биржах, а значит, и на оптимизацию в целом.
  • "Накачанные" сайты уступят первые места Яндекс-каталога честным проектам, продвигаемым белыми методами.
  • Новичкам, делающим сайты для людей, скорее всего, будет легче работать в условиях снизившийся конкуренции.

В конечном итоге, в выигрыше пользователь. Оптимизатор в минусе. В очень большом плюсе, как всегда, Яндекс. Интересно высказался один из сеошников на форуме searchengines, "Так Яндекс подталкивает нас к увеличению тИЦ путем регистрации в Яндекс.Каталоге, естественно, за деньги". Я не совсем согласен, так как тИЦ от ЯКа зависит только коэффициентами к тематичности ресурса. Но то, что XSS нужно было отрезать, понятно - за чистоту каталога и справедливое ранжирование его участников тоже стоит бороться. Тем более, что сделать это было совсем просто, думаю, критерием к выявлению XSS является наличие в коде странички ссылки с URL, встречающемся также в тексте ее параметров. Вот, Google и другие поисковики отрезали межсайтовый скриптинг еще в своей юности, а Яндекс вот так, по-садистски - дождался, пока индустрия накруток заколосится и только тогда прихлопнул ее :)

Вывод? XSS'ом теперь тИЦ не поднимешь и это не инсценировка смерти.

P.S.
Кстати, на самом Яндексе тоже обнаруживали XSS-уязивимости, вот одна из них: bugtraq.ru/rsn/archive/2008/01/07.html Фишка была устранена менее, чем за 12 часов и бэки с тИЦем за 50 000 никому получить не удалось :)