Google włazi mi na sesje...

[Dżyszla]

Chyba mam dziurę gdzieś na stronie... Google zdążył mi wleźć na moją sesję (numer sesji w GET podał) i indeksować dane, których nie powinien widzieć... Nie mam pojęcia, jak on to zrobił, bo raczej nigdzie na stronie nie mam linku z numerem sesji (choć w bazie jest to odnotowane). Jakieś pomysły? Bo trudno mi powiedziec, skąd on mój ID sesji wytrzasnął.... Może ja czegoś nie widze u siebie na stronie?

A zasadnicze pytanie - jakaś dziura w PHP i sesjach, czy może moja wina w skryptach? Ew. gdzieś na stronie...

[piotrek]

Dżyszla a gdzie ta sesja?

W odpowiedzi serwera jej nie masz

0 | HTTP/1.1 200 OK

1 | Date: Fri, 20 May 2005 18:35:08 GMT

2 | Server: Apache

3 | X-Powered-By: PHP/4.3.10

4 | Connection: close

5 | Content-Type: text/html

Linki wewnętrzne są czyste

0 | www. dzyszla.aplus.pl/ads/adclick.php?bannerid=...... | pc

1 | www. dzyszla.aplus.pl/webmaster.php | webmaster o sobie

2 | www. dzyszla.aplus.pl/konkurs.php | konkurs

3 | www. dzyszla.aplus.pl/tworczosc.php | moje programy i teksty

4 | www. dzyszla.aplus.pl/download.php | download

5 | www. dzyszla.aplus.pl/teksty.php | opowiadania i wiersze

6 | www. dzyszla.aplus.pl/hobby.php | hobby kolej

7 | www. dzyszla.aplus.pl/galerie.php | galerie

8 | www. dzyszla.aplus.pl/porady.php | porady

9 | www. dzyszla.aplus.pl/humor.php | humor

10 | www. dzyszla.aplus.pl/pogoda.php | prognoza pogody

11 | www. dzyszla.aplus.pl/profit.php | zarabianie w internecie

12 | www. dzyszla.aplus.pl/linki.php | linki

13 | www. dzyszla.aplus.pl/mapa.php | mapa seriwisu

14 | www. dzyszla.aplus.pl/stat.php | statystyki serwisu

15 | www. dzyszla.aplus.pl/reklama.php | reklama

16 | www. dzyszla.aplus.pl/forum.php | miniforum

17 | www. dzyszla.aplus.pl/kontakt.php | kontakt

18 | www. dzyszla.aplus.pl/dekoder.php | dekoder elektryka

19 | www. dzyszla.aplus.pl/dekoderonline.php | de wersja on line

22 | www. dzyszla.aplus.pl/forum.php?action=view&topicid=1 | księga gości

23 | www. dzyszla.aplus.pl/forum.php?action=view&topicid=3 | znalazłem błąd na stronie

24 | www. dzyszla.aplus.pl/sondy/arch.php?id=s6 | pokaż wyniki

25 | www. dzyszla.aplus.pl/sondy/arch.php | archiwum sond

39 | www. dzyszla.aplus.pl/?msc=6 | pokaż starsze wiadomości

40 | www. dzyszla.aplus.pl/ads/adclick.php?bannerid=....... | bajera pl

Podaj przykład gdzie Google to zindeksował. Chyba że w ogóle chodzi o inny adres niż Twój ze stopki?

[Dżyszla]

Przepraszam, źle się wyraziłem - nie zindeksowało, ale coś, co podpisało się Googlebot chodziło tam, gdzie nie miało korzystając z moich uprawnień (znaczy z mojej sesji) - wniosek na podstawie logów serwera.

Aha - sesja jest wyłącznie na stronie miniForum mojego.

[piotrek]

To może być dowolne narzędzie internetowe. Choćby takie które porównuje jak Twoja strona jest widziana przez roboty a jak przez przeglądarkę.

Ustawiasz ini_set(user_agent, 'Googlebot'); i już jesteś "Googlebotem"

[Dżyszla]

No dobra, ale skąd mój numer sesji? Poza tym IP należał do Google.

[pneuma]

jeżeli dobrze rozumiem to znasz swój numer sesji ? tak jak w kopii https://tinyurl.com/7clfh google indeksuje wszystkie strony główne for dyskusyjnych, ciekawsotką jest tylko to że na stronie głównej widzie sesej a już tutaj https://tinyurl.com/dztko ich brak

[Dżyszla]

Dokładnie to jest tak:

każde wywołanie strony forum.php powoduje wywołanie start_session() Już w tym momencie jest przydzielany numer, jesli się nie mylę, jednak dalej będzie on przechowywany w ciasteczku (w przypadku odrzucenia - będzie wstawiany do parametry SID). No i zalogowałem się, połaziłem...

W tym czasie w logach serwera zauważyłem googlebota, który wykorzystując ten sam identyfikator sesji (przekazany przez GET) zaczął też łazić "za mną". Skąd wiadomo, ze byl to ten sam identyfikator? A bo ponieważ (ale gram. ) moje logowanie (w tym porównanie hasła) powoduje wyświetlanie zasobów normalnie niewidocznych. I to właśnie po nich zaczął chodzić bot. Nie wiem, czy coś odczytał, ale na pewno dojrzał linki, ktorych nie powinien. Mało tego - stowrzyłem sobie wątek, który po krótkim czasie usunąłem. A to coś już do niego weszło. (oczywiście swoje wejścia także widziałem, ale jeszcze te drugie...)

Wogóle obserwuję ostatnio dziwną sytuację, że gdzie jakieś linki ktoś nie kliknie (np forumarz, generujący link z parametrami via GET), to zaraz tam google się rzuca... Czyżby google podlądał razem ze mną logi serwera? (BTW: robot moze wejść na stronę przekazywana na porcie innym, niż 80?) I wygląda, jakby tyko chatował na takie coś. Czy indeksuje - nie wiem, ostatnio nic nie przybyło. Niemniej - coś łazi...

Była wcześniej strona, gdzie były pokazywane ostatnie linki (ale były wycinane numery sesji!) i tam też reakcje google były prawie natychmiastowe na pojawienie sie nieznajomego mu linku.

A może to nie googlebot? W każdym bądź razie jedno jest faktem - coś lub ktoś wlazło tam, gdzie włazić miałem tylko ja sam (tak do rymu). Więc moje główne pytanko bardziej dotyczy tego - gdzie jest dziura i co podgląda numery sesji. Może janaprawdę coś na swojej stronie przeoczyłem? :roll:

[Dżyszla]

O, właśnie podobne zachowanie przyłapałem. I chyba zagadkę rozwiązałem... #-o

80.51.180.182

/dekoderonline.php?codetype=3&kolorpasek1=3&kolorpasek4=-1&kolorpasek2=2&kolorpasek3=1

Http Code: 200  Date: May 21 18:53:45  Http Version: HTTP/1.0  Size in Bytes: 26239

Referer: https://www.dzyszla.aplus.pl/dekoderonline.php

Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

66.249.66.1

/robots.txt

Http Code: 200  Date: May 21 18:53:46  Http Version: HTTP/1.1  Size in Bytes: 300

Referer: -

Agent: Mediapartners-Google/2.1

|

|

|

 

/dekoderonline.php?codetype=3&kolorpasek1=3&kolorpasek4=-1&kolorpasek2=2&kolorpasek3=1

Http Code: 200  Date: May 21 18:53:46  Http Version: HTTP/1.1  Size in Bytes: 26238

Referer: -

Agent: Mediapartners-Google/2.1

Co prawda, to nie sam Google, ale robot, który też dorwał adres strony utworzonej z formularza... A dorwał go poprzez umieszczenie reklamy na tej stronie. No i teraz tylko by trzeba srpawdzić, czy:

1. Właściwy googlebot nie zrobi takiegu numeru, aby już całkowicie wykluczyć

2. Czy Mediapartners-Google nie przekazuje adresów do GoogleBot.

Niemniej, to nie bardzo mi się podoba to zachowanie. :/ A może zna już ktoś odpowiedź na 2 z pytań?

[michal]

2. Czy Mediapartners-Google nie przekazuje adresów do GoogleBot.

Nie przekazuje, to jest zupelnie inny robot i zupelnie inna baza danych.

[Dżyszla]

Ok, to dzięki... Chyba niepotrzebnie wszcząłem alarm ale ten skubaniec MP-G szybko reaguje...

nie zauwazyłem analogicnych zjawisk u Google. Więc temat można zamknąć... Mój błąd w sumie.

[Juzek112]

To może być dowolne narzędzie internetowe. Choćby takie które porównuje jak Twoja strona jest widziana przez roboty a jak przez przeglądarkę.

Ustawiasz ini_set(user_agent, 'Googlebot'); i już jesteś "Googlebotem"

Jak mogę to zrobić ???

[Mion]

Zainteresuj się parametrami konfiguracji sesji typu:

session.use_only_cookies

session.use_trans_sid

możliwość ustawienia w php.ini, lub htaccess