Hier ist einer meiner Kunden, der eine Aktion ausführt, nachdem er sich in seinem Konto angemeldet hat. Das eindeutige Token ist einfach eine verschlüsselte Benutzer-ID + Zeitstempel.
94.254.xxx.xxx - - [02 / Jul / 2011: 22: 25: 46 +0200] GET / some-action / unique-token-123abc HTTP / 1.1 200 410 - Mozilla / 5.0 (kompatibel; MSIE 9.0; Windows NT 6.1; Trident / 5.0)
Jetzt hat Googlebot diesen einzigartigen Link entdeckt und versucht, eine Woche später auf genau dieselbe URL zuzugreifen.
66.249.71.179 - - [10 / Jul / 2011: 09: 56: 01 +0200] GET / some-action / unique-token-123abc HTTP / 1.1 302 - - Mozilla / 5.0 (kompatibel; Googlebot / 2.1; + http: //www.google.com/bot.html) "
(Statuscode ist 302, da das Token abgelaufen ist)
Lassen Sie mich betonen, dass dies eine eindeutige URL ist, die nur 2 Sekunden lang genau einmal sichtbar war, bevor der Benutzer darauf klickte und diese Seite besuchte. Es wurde nicht in einer E-Mail verschickt oder irgendwo öffentlich veröffentlicht.
Was ist hier los, wie ist es möglich, dass Google diese eindeutige URL gefunden hat?
quelle
Ich habe gerade festgestellt, dass der Benutzer einen ausgehenden Link auf dieser authentifizierten Seite gefunden haben muss und dann die private URL als "" durchgesickert hat
Refererals ob er auf eine andere Website geklickt hätte. Dies ist die einzig mögliche Erklärung und sollte von Anfang an offensichtlich gewesen sein.Nach dem Durchsickern wurde die private URL möglicherweise auf verschiedene Weise für Google bereitgestellt, z. B. hat die Zielsite ihre Zugriffsprotokolle möglicherweise öffentlich veröffentlicht. Hinweis: Keiner der ausgehenden Links verwendete Google Analytics. Dies bedeutet nicht, dass Googlebot Verweis-URLs von Analytics verwendet.
Lektion neu gelernt: Geben Sie niemals vertrauliche Daten in URLs ein, es sei denn, Sie verwenden https. In diesem Fall wäre der Browser
Refererleer geblieben.quelle