Утечка данных через Яндекс

Телеканал Россия 24 сегодня передал сюжет об утечке данных покупателей интернет-магазинов через поисковую систему Яндекс.

“Яндекс” рассекретил данные о клиентах интернет-магазинов

В сообщении фигурирует упоминание некорректного использования файла, защищающего информацию от индексирования поисковиками. Объясняю подробнее, что это такое на самом деле. Речь идет о некорректном использовании файла robots.txt. Существует два варианта утечки данных при некорректном заполнении этого файла.

Файл robots.txt содержит указания для поисковиков, какие разделы сайта НЕ надо индексировать. Современные поисковые машины Яндекс и Googl в обязательном порядке запрашивают этот файл и строго исполняют директивы, включенные в него. Так вот, существует две серьезные ошибки в использовании этого файла, приводящие к разглашению закрытой информации.

Ошибка первая при работе с файлом robots.txt

Ошибкой будет, если в файл забыли внести разделы сайта, содержащие конфиденциальные данные (например, информацию о заказах клиентов интернет-магазинов, как в данном сообщении).

Поэтому поисковику не запрещено заходить в эти, не предназначенные для разглашения, директории, считывать находящиеся в них файлы и включать информацию из них в результаты поиска. Вот таким образом и  происходит публикация закрытой информации на страницах поисковой системы Яндекс или Гугл, о чем говорилось в сообщении в выпуске новостей.

Вы думаете, что для того, чтобы исправить эту ошибку надо внести эти директории в перечень закрытых для индексирования разделов? Нет! Ни в коем случае, потому что тогда Вами будет совершена другая, вторая ошибка.

Ошибка вторая при заполнении файла robots.txt

Вторая ошибка случается, когда в файл robots.txt внесли директории, запрещенные к индексированию поисковыми машинами. Да, это более серьезная ошибка!

Например, предположим, что в этом файле запрещены к индексации те директории, где у Вас на сайте хранятся регистрационные данные покупателей, из заказы, платежная информация и все остальное, что клиенты вводят при заказе товара через интернет-магазин. Теперь, конечно, Яндекс  не включит в свою базу эти конфиденциальные данные, и эта информация никогда не будет показана в результатах поиска.

Но ведь файл robots.txt находится на открытом доступе, его положение и его название определяются стандартом. Т.е. получается, что любой любопытствующий легко может получить список мест, где на вашем сайте хранится секретная информация, и самостоятельно просмотреть ее. Достаточно набрать в браузере строку http://ваш_сайт/robots.txt и увидеть, где Вы храните свои секреты.

Что же делать?

А надо делать следующее. Бессмысленно запрещать для индексации поисковиками определенные разделы сайта. Даже лучше этого не делать, не перечислять секретные разделы в этом файле, а, наоборот,  надо скрыть названия этих разделов, переименовать их, если на сайте используется стандартная CMS, и позаботится, чтобы нигде на сайте не было ссылок на эти разделы. Но и этого мало. Надо позаботиться о том, чтобы эти разделы были доступны только администраторам интернет магазина и его клиентам, и чтобы вход в эти разделы был закрыт надежным паролем. Только тогда можно быть уверенным, что эта информация не станет достоянием всего интернета.