Главная
Подписка на RSS-ленту
Хочешь быть в курсе?
Подпишись на RSS!


Вход для пользователей

Партнерская программа
Я зарабатываю в SAPE,
с системой RotaPost RotaPost - Эффективная реклама в блогах
и с сервисом Loveplanet

Статистика и рейтинги

Рейтинг@Mail.ru
Индекс цитирования



Облако популярных категорий

Коммерческие предложения

А это баннер



21.04.2008. XSS больше не влияет на тИЦ

Одна из моих новых статей должна была быть посвящена использованию в своих SEO-целях такого "хакерского" приема, как кросс-сайтовый скриптинг (XSS). Причем очень интересного и прибыльного - обладая знаниями в этой области и качественной базой уязвимых для XSS сайтов, за один-два апа тИЦ можно было поднять значения индекса цитирования более, чем на тысячу пунктов. Почему я пишу в прошедшем времени? Сегодня утром, 21 апреля 2008 года, Яндекс в очередной раз изменил свои алгоритмы и отрубил возможность "накачки" тИЦ таким, справедливо отметить, нечестным, образом. Однако про XSS и чем оно было для сеошников, я все-таки напишу (хотя бы для того, чтобы недобросовестные оптимизаторы не пытались впарить новичкам эти базы), а также постараюсь проанализировать, чем введение таких мер отразится на тенденциях в интернет-бизнесе.

Что казается лично меня, то я рад, что Яндекс делает шаги к улучшению своих алгоритмов. Я не "кулхацкер", не дорвейщик, не шаман с волшебной кнопкой и не делаю говносайты. У меня мышление классического предпринимателя, я делаю ставку на качество своих проектов и их конкурентноспособность в любых условиях. И как профессионал я, конечно, солидарен с теми, кто сейчас на форумах кричит "зарабатывал 30 000р./мес, XSS отрубили, тИЦ упал до десятков, как мне в условиях 300р./мес выплачивать ипотечный кредит?" Но делая сайты для людей, а не для поисковиков, я рад такому изменению алгоритмов. Потому что накрутка тИЦ через XSS - это недобросовестная конкуренция. Ну, если этим занимается кто-то другой, а не мы сами ;)

Итак, межсайтовый скриптинг или как это работало

Идея XSS до банальности проста и чаще всего используется не нашими коллегами, а самые юными из компьютерных взломщиков и прочих хулиганов. Есть сайт, и на сайте присутствует динамическая форма - поиск, поле для ввода электронной почты, окошечко чата. Мы вводим в поиск желаемый запрос, например, "увеличить тИЦ", нажимаем на кнопочку и видим страницу с текстом "Результаты поиска по фразе "Увеличить тИЦ": найдено 12 статей". Где здесь XSS? Так страница генерируется автоматически, в нужное место HTML-кода подставляя данные из формы. И если разработчик сайта не позаботился о фильтровке символов и прочей обработке формы, мы можем ввести туда HTML-код, например, "<A HREF=http://kolosov.biz>Увеличить тИЦ</A>". И он отобразится на странице результатов как ссылка (а хулиган может ввести JS-код, который будет воровать cookies, например, или показать табличку веселую). Да, таких ресурсов до сих пор очень много, например, сайт Государственного Университета Управления (ГУУ) - http://guu.ru.

Плох тот сеошник, который не любит ссылки на свой сайт. А значит, ее хорошо бы скормить поисковой системе. Но страничка динамическая, то есть существует "здесь и сейчас" (как и наша ссылка, и код хулигана), при конкретно введенном нами запросе, на нее не ведут и в принципе не ногут вести ссылки с других страниц подопытного ресурса. Вывод - робота нужно привести на нее за ручку. Вспоминаем, что данные передаются на сервер в основном методами GET и POST. GET - это набор параметров в URI, например, http://сайт.ru/script.php?a=1&b=2&name=John. POST хитрее и в URI ничего не показывает, передавая данные скрыто от пользователя. И если уж программист пропустил фильтрацию HTML'а в запросе, чаще всего он не заморочился и на POST.

Поэтому просто копируем URI из адресной строки браузера в заранее подготовленный текстовый файл, оформляем URI как ссылку, а сам файл - как HTML, выкладываем получившуюся поделку в сеть на быстро индексируемый яндексом хостинг вроде народа и addurl'им его. Ждем. Яндекс-бот идет на "сайт", а оттуда - на XSS-сгенерированную страницу с нашей ссылкой. Ссылка им учитывается со всеми вытекающими для нас последствиями. Можно, конечно, и вручную добавить URI в addurl (если объем работы небольшой). Так было до 21 апреля 2008 года.

Разумеется, у тех, кто поставил это ремесло на поток, все шло отнюдь не вручную. Базы уязвимых сайтов собирались долго и бережно, а потом через автоподстановку автоматически генерировались дорвеи, ведущие роботов на сайты-доноры. Стоимость прогона по средней базе составляла 30$, примерная результативность - от 100 до 300 и выше единиц тИЦа. Лучшие базы увеличивали тематический индекс цитирования более, чем на тысячу.

Доктор, мы его теряем

В начале года этак 2007ого впервые появился слух, что Яндекс прирезал XSS. Выводы, тем не менее, были ложными, и были связаны с тем, что вначале известная лишь узкому кругу профессионалов, технология использования межсайтового скриптинга в SEO-целях внезапно стала общественным достоянием. Спалили тему, что называется. Очень быстро к процессу подключилась основная масса сеошников, массово эксплуатируя известные сайты с XSS-уязвимостями. И в один прекрасный момент эти ссылки перестали учитываться. Потому что, с точки зрения Яндекса, у уязвимых сайтов были тысячи динамических страниц, различающихся только ссылками в их коде. А такое, что логично, банится автоматически как каталог-линкопомойка.

Когда были закрыт публичный просмотр внешних ссылок, ведущих на сайты, XSS-уязвимости стало искать труднее, базы стали приватными и индустрия накрутки вышла на новый виток. Разумеется, слухи о смерти XSS никто и не опровергал, чтобы отвлечь новичков от кормушки. А сейчас эту лавочку прикрыли окончательно. Давайте подумаем, какими последствиями это грозит SEO-индустрии.

  • Уменьшение общего количества сайтов с высоким тИЦ и увеличение их авторитетности. Согласно законам экономики, это повлечет за собой рост цен на ссылочных биржах, а значит, и на оптимизацию в целом.
  • "Накачанные" сайты уступят первые места Яндекс-каталога честным проектам, продвигаемым белыми методами.
  • Новичкам, делающим сайты для людей, скорее всего, будет легче работать в условиях снизившийся конкуренции.

В конечном итоге, в выигрыше пользователь. Оптимизатор в минусе. В очень большом плюсе, как всегда, Яндекс. Интересно высказался один из сеошников на форуме searchengines, "Так Яндекс подталкивает нас к увеличению тИЦ путем регистрации в Яндекс.Каталоге, естественно, за деньги". Я не совсем согласен, так как тИЦ от ЯКа зависит только коэффициентами к тематичности ресурса. Но то, что XSS нужно было отрезать, понятно - за чистоту каталога и справедливое ранжирование его участников тоже стоит бороться. Тем более, что сделать это было совсем просто, думаю, критерием к выявлению XSS является наличие в коде странички ссылки с URL, встречающемся также в тексте ее параметров. Вот, Google и другие поисковики отрезали межсайтовый скриптинг еще в своей юности, а Яндекс вот так, по-садистски - дождался, пока индустрия накруток заколосится и только тогда прихлопнул ее :)

Вывод? XSS'ом теперь тИЦ не поднимешь и это не инсценировка смерти.

P.S.
Кстати, на самом Яндексе тоже обнаруживали XSS-уязивимости, вот одна из них: bugtraq.ru/rsn/archive/2008/01/07.html Фишка была устранена менее, чем за 12 часов и бэки с тИЦем за 50 000 никому получить не удалось :)


 
Shipped From the US canada pharmacy **] order viagra professional works with a drugstore. Shopping on the Internet: cheap, fast, convenient! Visit canadian drugs *[>< buy effexor We constantly offer promotions for our customers. The details of the bonus program, see Special Offer. Quality of medicines is one of the criteria that guide the client canadian pharmacy {>[" imitrex online . Storage of products takes place only under appropriate conditions, we are responsible for integrity of packaging and proper transportation.