Почему Яндекс отказался от подтверждения сайтов txt-файлом и кто на этом заработал

Как известно, в июле 2015 года Яндекс отказался от способа подтверждения прав на сайт через txt-файл. В качестве основания принятия такого решения Яндекс привел тот факт, что данный метод практически полностью дублируется возможностями подтверждения через HTML-файл, однако технически его поддержка является более сложной.

О том, что же стало первопричиной и почему Яндекс отказался от подтверждения сайтов txt-файлом подробно рассказал пользователь Хабрахабра, который имеет к произошедшему непосредственное отношение.

Эта история про забавное стечение обстоятельств и один крошечный баг, который до недавнего времени имел место быть в сервисе «Я.Вебмастер». Вебмастер опытным путем обнаружил, что метод подтверждения «txt-файл» для некоторых конфигураций сайтов может позволить подтвердить сайт злоумышленникам. Об этом был отправлен отчет в «Yandex Bug Bounty».

Сотрудники Яндекса среагировали очень быстро. В этот же день вебмастер получил ответ на свое письмо и сообщение о том, что команда Яндекса начала разбираться с присланным репортом. А еще через день, вебмастеру присудили награду в размере 41337 рублей (примерно $700 в тот момент) за найденную уязвимость. Через несколько дней Яндекс отказался от способа подтверждения прав на сайт через txt-файл.

Подробности отчета можно посмотреть здесь

Журналист, новостной редактор, работает на сайте с 2009 года. Специализация: интернет-маркетинг, SEO, поисковые системы, обзоры профильных мероприятий, отраслевые новости рунета. Языки: румынский, испанский. Кредо: Арфы нет, возьмите бубен.