12 марта 2015 года в Киеве прошла конференция для профессионалов SEMPRO 2015. Это мероприятие уже стало традиционной точкой сбора SEO-специалистов Украины и СНГ. В этом году свои доклады здесь представили лучшие SEO-эксперты Европы, России и Украины.
Особенностью SEMPRO 2015 стало освещение реальных подходов в продвижении успешных проектов на западных рынках. Специалисты говорили о том, о чем на конференциях говорить не принято - о дорвеях, накрутке поведенческих факторов, негативном SEO и множестве других интересных и «глубоких» тем. Уровень докладов действительно был средним и выше, как и было заявлено организаторами конференции.
Доклад, посвященный онлайн-безопасности в SEO представил директор по развитию компании «Ольшанский и партнеры» Юрий Титков.
В начале своего выступления Юрий напомнил собравшимся специалистам о том, что уровень развития отрасли в стране довольно высок, и поэтому украинских SEO-специалистов по праву можно назвать двигателем прогресса не только украинского, но и всего мира. Однако, бизнес – это война. И эта война продолжается в интернете, и кто как и с кем воюет, можно посмотреть на сайте, наглядно демонстрирующем, кто кого в мире не любит:
Сайт http://map.ipviking.com/ показывает точки DDOS-атак, направленных на другие страны. Но сегодня речь пойдет о другом.
Докладчик сообщил, что на сегодняшний день 5 из 10 российских интернет-магазинов не имеют нормальных защитных настроек, а следовательно – легко уязвимы. Более того, 7 из 10 американских онлайн-магазинов уязвимы, регулярно подвергаются фишингу и кросс-сайтовому скриптингу. И Google - это надоело, надоели все эти доры в выдаче, надоели взломанные сайты.
Множество последних нововведений Google позволяют сделать вывод о том, что Google собирается запустить новый мобильный алгоритм ранжирования. Разработчики Google экспериментируют с ним с ноября 2014 года. Был запущен инструмент проверки дружественности сайта к мобильным устройствам, появились отчеты о мобильном юзабилити в Google Webmaster Tools и соответствующие пометки в результатах поисковой выдачи.
Как известно, Google предупредил всех, что с 21 апреля 2015 года мобильная и обычная выдача будут совершенно разными. Это будут два параллельных апдейта, мобильная и основная выдача перестанут как-либо коррелировать. Google также предупредил, что все сайты, которые, так или иначе могут быть подвержены различным родам взлома, также будут понижены в выдаче.
Юрий Титков призывает вебмастеров забыть о мобильной выдаче и позаботиться о своей онлайн-безопасности. Для этого необязательно быть хакером и специалистом по безопасности. Многие думают - мы SEO-специалисты, что нам надо в этом мире? Кроме ссылок нам не надо ничего. Чем больше их будет, тем выше мы будем в ТОПе. Однако, не все так просто.
Докладчик рассказал о том, как решил зайти в Яндекс и проверить на уязвимость магазины, которые находятся в ТОПе, и сразу обнаружил там XSS- уязвимость:
Почему-то программисты не уделяют XSS-уязвимостям должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платежных документов). Кроме того, кросс-платформенный скриптинг может быть использован для проведения DoS-атак.
Но действительно ли все так плохо? Если говорить с точки зрения сеошника – то нет, все наоборот очень хорошо. Докладчик привел пример, когда одни ребята залезли на сайт Палац Украины и поменяли мета-дескрипшн, вот просто так решили посмеяться:
И это еще цветочки.
Какие-то пять строчек кода способны положить любой сайт на ближайшие пять лет:
Надо понимать, как злоумышленники все это делают – используют уязвимости наших сайтов и браузеров, не используют трояны и прочую вирусню, они используют нас. Пока мы серфим в интернете, они используют нас. Маленький скрипт – большие проблемы.
Безусловно, можно и нужно закрывать все это – серчформы и прочие места возможных уязвимостей. Плохо, что многие программисты не задумываются о том, что они пишут. Клиент просит их сделать сайт, они делают сайт, и больше их ничего не волнует. При этом они, ничтоже сумняшеся, могут использовать бесплатные шаблоны, основательно поработав над дизайном. А потом клиент удивляется, почему ему так легко поломали сайт.
Далее Юрий Титков рассказал о Likejacking-атаках на Facebook. Один из самых интересных скриптов, который непонятно почему не закрывает Facebook это likejacking, он собирает трафик, но кому и зачем он нужен – непонятно.
Что для этого надо?
- Скрипт: http://goo.gl/h1t6Ql
- Какое-то крутое видео с котиками или сиськами.
- И крутая картинка для Facebook share с веселым текстом типа «Не ожидал видеть себя в ЭТОМ видео! )))))»
Получаем на выходе:
Вот только что с этим делать?
Но самая интересная вещь, по мнению докладчика, заключается в том, что Google помогает хакерам ломать сайты. «Кто из сидящих в зале использует https? – спросил Юрий. - Все? Вы – в глубокой ж..е. Если у вас нет специалиста по безопасности в интернете – не в коем случае не переходите на этот протокол!». Хотя сам Юрий говорит, что благодарен Google за введение SSL, потому что после этого большое количество клиентов заимели кучу проблем, и они все становятся его клиентами.
Проблема с собачкой-пуделем не решена. Люди в течение 50 минут заходят в базы клиентов и используют их. И это могут делать даже школьники. Они просто спрашивают у Google – скажи нам, какие сайты взломаны? И поисковик показывает:
Вся проблема в том, что Google индексирует любые урлы, до которых может дотянуться гуглбот, проще говоря, Google любит индексировать все что попадается под руки.
А самое интересное состоит в том, считает Юрий, что безопасность начинается с нас самих – с тех людей, которые занимаются работой и выполняют ее. Facebook – это отличный инструмент, его можно использовать везде – получить любую инсайд-информацию, нужную базу данных и проч. Как это делается? Просто:
- Социальные сети дают возможность найти сотрудников нужной компании.
- Познакомиться.
- Нажать кнопку Restore Password (лучше это делать ночью)
- Узнать ответ на Secret Questions (помните фильм Иллюзия Обмана? )
- Посмотреть, какие сервисы подвязаны под Facebook account. Зайти туда …
- Продолжить свой путь до личной почты.
Через личную почту можно попасть на корпоративную. Потом на внутренние интерфейсы. И среди них можно найти пароль от Gmail, а Gmail – наше все.
Докладчик считает, что не надо быть хакером, чтобы получить доступ в систему, просто надо уметь общаться с людьми. Он настаивает на том, что безопасность пользовательской информации зависит от самого пользователя. Нельзя соглашаться на использование своего доступа от Facebook для авторизации на сторонних сервисах. Любая подобная регистрация на сторонних сервисах – это возможность взлома и утечки информации.
Выводы:
1. При наличии на сайте любых поисковых форм – обязательно нужно поставить задачу по их защите перед программерами. Они знают, как ее решить, ее просто надо перед ними поставить.
2. Не нужно переходить на https просто потому, что это круто. Не нужно делать мобильную версию сайта просто потому, что это круто.
3. Open source – это очень опасно. При его использовании нужно позаботиться о том, чтобы он был безопасен.
Юрий Титков: «Задумайтесь о своей безопасности онлайн, а потом уже думайте о безопасности вашего сайта. Особенно нужно задуматься тем, кто использует продукты Microsoft. Сегодня SEO-специалист – это не просто тот, кто умеет покупать ссылки, это тот, кто умеет защищаться сам и может помочь защититься своему клиенту».