Все наверняка уже слышали о вакханалии нарушения тайны переписки, которую на днях учинил Мегафон. Если нет, то в двух словах: на их сайте отправки СМС Яндексом были проиндексированы более 8,000 отправленных сообщений. С подробностями можно ознакомиться на этой проиндексированной странице . По непонятным причинам оригинал с Хабра уже исчез, что совершенно бесполезно в силу надежности кеша Google и широкого распространения этой новости: вчера слова "Megafon" и "Яндекс" на короткое время попали в тренды Twitter.
После прочтения новости я еще больше разочаровался в Интернет-журналистике. Большинство новостных статей на эту тему явно ассоциировали Яндекс с инцидентом. Хотя на самом деле поисковик просто сделал свою работу: проиндексировал содержимое одного из популярных веб-сайтов рунета. В этой связи ни малейшей вины Яндекса в произошедшем нет.
Виноват сам Мегафон. Вчера я было подумал, что на сайте sendsms.megafon.ruнеправильно настроен файл robots.txt, но как выяснилось сегодня, его там просто не было. В комбинации с "гениальнейшей" идеей хранить отправленные сообщения прямо в одном из подкаталогов сайта мы и получили это происшествие. То есть, резюмируя:
Виноват сам Мегафон. Вчера я было подумал, что на сайте sendsms.megafon.ruнеправильно настроен файл robots.txt, но как выяснилось сегодня, его там просто не было. В комбинации с "гениальнейшей" идеей хранить отправленные сообщения прямо в одном из подкаталогов сайта мы и получили это происшествие. То есть, резюмируя:
- Программисты Мегафона, или кому он там аутсорсит эту функцию, ошиблись в выборе места хранения отправленных сообщений. Для этого было бы безопаснее использовать базу данных, или хотя бы неиндексируемый каталог веб-сервера (см. п. 2).
- Админы Мегафона серьезно напортачили с robots.txt. Для несведущих, в файле с таким названием каждый вебмастер может запретить индексацию всего своего сайта, или его отдельных подкаталогов. Поисковый "паук", наткнувшись на robots.txt, следует изложенным в нем инструкциям. Например, файл следующего содержания скомандует поисковику индексировать все кроме каталогов private и sentsms.
User-agent: *
Disallow: /private
Disallow: /sentsms - Мегафон показал неэффективность или отсутствие контроля над изменениями и анализа рисков в этом контексте. Можно сколько угодно винить админов и программистов веб-сайта, но пока Мегафон не продемонстрирует наличие действующего контроля над изменениями, и админы, и программисты останутся всего лишь "стрелочниками".
Сейчас начнутся всевозможные расследования, анализ законодательства на предмет какие законы были нарушены и прочая возня. Не исключаю, что кого-то из админов, программистов или их руководителей сделают козлом отпущения, но систему это не изменит. Мне хочется надеяться, что произошедшее это исключение из правил, но к сожалению это не так.