0
Другие записи за это число:
2013/09/12 - ошибки корпоративной сети
<< предыдущая заметкаследующая заметка >>
12 сентября 2013
Добро пожаловать в ботнет!

За последний месяц мне пришло сразу несколько предложений установить на сайте рекламный блок с автоматически ротирующимися SEO-ссылками. Но моя рекламная политика до сих пор позволяла устанавливать ссылки только вручную — мне казалось, что именно здесь проходит грань между честной рекламой и SEO-накруткой. Я понял, что у меня нет четкого понимания и написал письмо в Яндекс с просьбой пояснить, где проходит грань между рекламой и накруткой. За две недели Яндекс ничего мне не ответил, и тогда я сформулировал (в UPD) свои принципы, по которым рекламный блок ссылок нельзя считать накруткой лишь на том основании, что ссылки вписаны не руками, а механизмом рекламной сети.

А вот с самим механизмом, который мне предложили (21 файл PHP общим объемом 256кб), обнаружились проблемы.

Date: Thu, 12 Sep 2013 17:02:40 +0400
From: Leonid Kaganov <lleo@lleo.me>
To:   *****
Subj: Re: Сотрудничество.

*****, добрый день.

Получил архив с кодом. Очень много файлов, очень велик общий объем кода, очень много времени и сил потребуется на его аудит.

Но даже беглый взгляд показывает, что пакет содержит, например, систему теневых самообновлений:

// ЗАГРУЗКА ОБНОВЛЕНИЙ. МОЖЕМ ОБНОВИТЬ ЛЮБЫЕ ФАЙЛЫ
if(move_uploaded_file($_FILES['updateLinkatorFile']['tmp_name'],$fileName)) {

На моем сайте это недопустимо, потому что он является не только моей собственностью, но и движком-маткой, с которого происходят обновления (хотя и не теневые) всех остальных сайтов, где установлен мой движок.

Грубо говоря, если ваш сайт будет взломан хакерами, то они получат мгновенный доступ не только к вашему серверу, но и к моему. А это уже поставит под угрозу и все остальные сервера, где используется мой
движок (если их админ решит сделать апгрейд, не зная, что мой сервер захвачен).

Кроме того, вообще не факт, что ваш обширный пакет заработает с моим движком — они могут конфликтовать, потому что оба претендуют на работу с .htaccess и остальными ресурсами.

Варианта я вижу два:

1. Вы присылаете мне один короткий PHP-файл, который занимается только связью с вашей базой и выдачей блока ссылок, и не содержит ни руткитов, ни теневых самообновлений. Наверняка у вас такой простой вариант есть. Все остальное я сделаю сам.

2. Вы устанавливаете ваш могучий самообновляющийся пакет на собственном сервере, а мне даете код iframe-окна, куда будет подгружаться блок ссылок. И я его вставляю в код своей страницы.

Надеюсь на понимание.

Как видите, я написал мягко, но вообще остался в некотором шоке. А что, господа админы, вы реально ставите на свой сайт внешний код без аудита?

И второй вопрос: что, это теперь нормально предлагать для установки PHP-код, который умеет САМООБНОВЛЯТЬСЯ в произвольный момент без ведома админа? Если я когда-нибудь сделаю в движке возможность его обновить по инициативе извне — застрелите меня, пожалуйста.

А потом мы удивляемся, откуда получаются ботнеты.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий


Include not found: `/home/www/lleo.me/blog/template/_reklamnaya_lirica.htm`