Топ секретно. ДжеНах.

Топ секретно. ДжеНах.

Поскольку данный блог пополняется постами, написанными строго в ответ на вопрошалки читателей, да ещё и при обязательном наличии интереса автора к спрошенному, очень трудно спрогнозировать, про что будет очередной опус.

Но так случилось, что сегодняшние вирши очень даже про то, что надо.
На радость вебмастерам и прочим манимейкерствующим юзерам.
А также саповодам и саповедам.

Будет не лишним потратить толику жизни на постижение того, что всё равно рано или поздно постичь придётся.

Пузяка — наше всё.

В SEO тусовке очень много внимания уделяется не только индексируемости сайтов и прочим действительно важным вещам, но и всякого рода пузомеркам. По поводу последних местный автор совершенно спокоен, они лично его не волнуют ни в малейшей степени. Ибо ни на что не влияют столь сильно, чтоб про то греть голову. Но, поскольку рынок SEO-услуг крайне маргинализирован, далеко не все его игроки выглядят столь же спокойными удавами.

Мы намеренно не затрагиваем вопрос, какие цели преследует процедура откорма и возбухания пузомерок — кто этим занимается, тот, видимо, осознаёт. Нас интересует исключительно сам процесс в одной из его реализаций.

Понятно, что есть десятки способов наращивания показателей ТИЦ и PR, и все они ни разу не равноценны. Одно требует вложения сил, другое прожорливо до денег, третье убивает много времени. Да и итог всегда разный. Но каждому хочется затрачивать как можно меньше невосполнимых ресурсов для откорма «пуза» сайта.

Поэтому всегда и в обязательном порядке будут всплывать «темы», которые хочется «спалить». Вокруг чего непременно разворачивается коммерческая деятельность, плодятся мифы, текут сопли и слюни. «Темы» сдыхают, реинкарнируются во что-то чуть иное. Постоянно происходит какой-то движняк и мельтешит в глазах. Мозг выносится постоянно.

Тем не менее, понимание немногих общих моментов освобождает от знания кучи частностей. Поэтому, пригласив на трибуну местного автора в лице Мастера Ласто, давайте заслушаем теоретический курс по одной из версий XSS.

В жизни оно пригодится тыщу раз.

XSS – импортное слово.

Если кому невдомёк, то это так называемый Сross Site Sсriрting — «межсайтовый скриптинг». Чтоб не было путаницы с CSS, аббревиатура намеренно чуток искажена.

Как и любая другая гомосятина, XSS бывает пассивным и активным. Активный вариант мы сегодня трогать ни за что не будем, так как без должной подготовки будет больно, и рядовому вебмастеру с ним точно не совладать. А вот пассивный XSS легко доступен в самых разных реализациях. С ним можно извращаться, как бог на душу положит.

В общем случае Вам даже не потребуется серьёзных знаний и умений. Просто достаточно узнать (с помощью Гугла или стаи товарищей), что в таком-то движке есть возможность сформировать ссылку на себя, просто обратившись к любому сайту на этом движке по определённым образом сконструированному URL-у. Далее, вдумчиво применяя синтаксис поисковых запросов Гугла или Яндекса, получаем море подобных сайтов. Проверяем их чекером, и обретаем базу для данного варианта XSS.

На словах вроде всё просто, но остался неясным самый главный момент:

Почему разработчики движков не противостоят XSS?

Прежде чем понять это, давайте обратим внимание, на чём именно паразитирует большинство вариантов пассивного XSS.

Мы доподлинно знаем две вещи: практически все движки разрабатываются за бугром (либо имеют прототипами то, что родилось там же). А рядовой серфер буржунета абсолютно не искушен в серфинге, и постоянно попадает в странные ситуации, по поводу которых очень любит бодаться и судиться.

Например, если на сайте есть внешняя ссылка, а по ту сторону клика открывается примерно такой же с виду сайт (по дизайну), то рядовой серфер буржунета искренне считает, что это одно и то же, и он продолжает находиться в том же самом месте. Про смену URL-а рядовой серфер ничего не понимает, про структуру Сети он вообще в большинстве случаев не в курсе. Для него Сеть — это то, что открылось на стартовой странице его браузера.

И если на втором сайте его как-то обманули, то претензии предъявляются к владельцу первого.

Чтобы так не получалось, наученные горьким опытом сайтовладельцы заставили разработчиков движков сделать страницу-прокладку. Которая молвит человеческим голосом чёрным по белому: «Ты, дорогой товарищ, покидаешь наш сайт, и переходишь на другой. Мы понятия не имеем, что ты там собрался делать. Но в любом случае мы не несём никакой ответственности за все твои дальнейшие действия, и ничем за то не отвечаем. Если согласен, кликни тут. Думаешь иначе — на внешний сайт лучше не ходи.»

Что самое примечательное, адрес перехода на внешний сайт в большинстве случаев содержится в URL-е страницы-прокладки. Либо в явном виде, либо в несложном urlencode() каком-нибудь. Что само по себе заставляет кричать «Бинго!»

Местный автор не думает, что в Рунете страницы-прокладки применяются с той же целью. Но, учитывая тотальную озадаченность вебмастеров по поводу «утекания ПиАра» и прочих мифических штук, а также дефолтностью страниц-прокладок в настройках движков, можно предположить, что сами страницы-прокладки не переведутся никогда и у нас.

А потому «Бинго» будет скандироваться ещё долго. И хором.

Понимают ли разработчики движков и сайтовладельцы смысл поводов для воплей про бинго? Есть два разных ответа:

1. Нет, обстоятельства паразитирования на страницах-прокладках не считаются существенными, их ЧПУ сделано максимально простым и прозрачным строго для того, чтоб лишний раз не заморачиваться там, где никому никакая морока даром не нужна.

2. Да, все всё прекрасно понимают. Но специально оставляют возможность организации пассивного XSS для бесплатного приобретения входящих ссылок на внутренние страницы сайта, чтобы повысить цитируемость домена сайта, а через то и видимость домена в искалках. Как и что, далее по тексту.

В реальности верны оба варианта, и при желании в любой момент времени можно напарсить большую базу под ту или иную уязвимость. Вчера, сегодня, завтра. Да, есть тонкости, но пассивный XSS в силу его заточенности под юзабилити сайта будет жив всегда.

А раз так, станем изучать тему глубже.

Дженах.

В последнее время наиболее популярным в Рунете было паразитирование именно на страницах-прокладках, как это описано выше. И организовано посредством софта (в разных реализациях) под таким вот странным именем.

Добро, давайте думать про пассивный XSS на этом наглядном примере.

Выдумыватель тулзы, понимая, что доход от неё будет строго с продаж софта и баз под этот софт (а не от собственно деятельности тулзы), сразу озадачился выбором подходящего названия. Потому как правильное название — это 90% финансового успеха.

Как вы яхту назовёте, так она и поплывёт.
С детства понятно.

Доподлинно известно, что изначально было выбрано название «Джедай». Чувак крут, гнёт силой мысли телеграфные столбы буквою «зю», лёгким движением руки превращает брюки в элегантные шорты, а брутального агрессора в хронического засранца, и всё такое.

Но, по врожденной привычке хайкаслагателя (да, это наш человек, всяко в душе самурай), разбив слово на слоги, выдумыватель тулзы обнаружил резкую потерю смысла. Ибо «Дже-дай» символизирует собой что-то вроде «дай мне двадцать седьмую букву армянского алфавита». Да и не найдётся тулза по такому названию в поиске никогда. Нах такое.

Кстати, о нахе.

Прекрасный предлог направленного движения. Что в русском языке, что в немецком. Что такое «Дже» по-немецки, пока не понятно (просветите, кто может), но и по-русски это уже звучит вполне привычно. Не пренебрегайте менталитетом целевой аудитории.

А потому да будет так.

И если с этимологией всё стало понятно, то далее обратимся к физиологии.

Смысл ДжеНаха.

Понятно, что ради написания развёрнутого ответа на заданный местному автору частный вопрос Мастер Ласто не ринулся затариваться тулзой от производителя, а просто сделал запрос в Гугл. Хотя, видимо, и запрос к автору тулзы дал бы тот же результат. Но провинциальные самураи не беспокоят друг друга на ночь глядя, без особой на то нужды, особо после кувшинчика вечернего сакэ.

У местного автора выгуглилась некая софтина на PHP, с тремя полями формы и кучкой чекбоксов на тёмном фоне. В подписи значилось «WEB-6» - что это такое, либо кто это такой, неведомо. Активной ссылки нет.

Софтина простая, написана грамотно, но местами есть неимоверные косяки. О косяках позднее, сначала о функционале.

Тут все просто — берем с уже имеющейся базы URL-ы по очереди, внедряем в них домен нужного нам сайта, и без всякого прокси смотрим, чего в этом урле откроется. Если есть упоминание нужного нам домена в коде страницы, то помечаем URL донора как адекватный, и пингуем его через pingomatic.com (ищите об этом сервисе информацию самостоятельно).

Когда база закончится, начинаются приятности.

По ФТП доступу скрипт ходит на сказанный ему сайт, и создаёт в нужном месте несколько файлов индекса со ссылками на прочеканные страницы. Файлы статичные, перелинкованные, и являют собой заурядную линкферму (давайте называть вещи своими именами) на странички-прокладки с тем самым пассивным XSS, про которые так много говорили большевики.

Собственно, вот эти статичные html документы и являются результатом работы скрипта. Их надо скормить яндексу для реализации теоретически возможного роста ТИЦа того сайта, что прокачивается данной ссылочной массой, либо Гуглу, если интересен PR.

Это делается через пингование URL-ов страниц линкфермы в блог-сервисы Яндекса и Гугла (если указано настройками), но не факт, что сиё возымеет хоть какое-то действие. А потому индексировать эти странички, скорее всего, каким-то макаром надлежит всё-таки Вам.

Как вариант (помним, что софт многообразен), предлагается никакой линкфермы не создавать, никуда ничего не пинговать, а тупо засунуть UIRL-ы доноров с XSS в аддурлку Яндекса. Предполагая, что тот будет аж пищать от восторга.

Это работает?

Местный автор очень сильно сомневается, что пингование в pingomatic.com кучки мусорных страниц доноров (снова смело назовём вещи своими именами) хоть чего-то даёт. Роботы Гугла и так без проблем находят всё, что им интересно, по обычным линкам (для чего скрипт и заливает линкферму на указанный ему домен). Наоборот, излишняя суета с пингованием, особо если доноры откровенно паршивого качества, может даже наказываться. Чтоб неповадно было.

Совсем никакого результата не получится, если вообще не формировать отчёта в виде линкфермы. Тысячи пингов разных мусорных страниц были, а толку с того нет. Это запросто так в вебмастеринге.

Так что, пользуя подобный софт, понимайте, в чём его назначение.

Поэтому тема работоспособности и полезности софта сводится к вопросу, насколько действенна именно линкферма, получаемая на выходе. Работают ли с ней искалки, индексируют ли саму линкферму, а также то, что доступно с неё по многочисленным ссылкам.

Напомню тем, кто потерял нить рассуждений, что продвигают Ваш домен или сайт в нём именно документики, доступные по ссылкам с линкфермы.

Это можно оценить.

Изготовленная в ходе тестирования местным автором линкферма имела такую подпись: «Все права защищены. Копирование ссылок с моего сайта запрещено!».

Представляется очевидным (хотя с этим можно до хрипоты спорить), что потенциальный пользователь тулзы не станет менять шаблон. Он просто не умеет этого делать — такова уж целевая аудитория подобных решений. Так что можно взять эту фразу, вбить в Гугла, и провести поиск по строгому соответствию.

Ну и проделать то же самое с Яндексом.
Опять-таки по строгому соответствию.

Неожиданно окажется, что Гугл гораздо сильнее любит линкфермы, нежели Яндекс. Либо Яндекс любит их столь же сильно и даже больше, но совсем недолго. И быстро очищает свой серп от подобного.

Но то, что в Яндексе на момент написания опуса сыскалось всего две линкфермы (против сотни в Гугле) сильно о многом говорит. Судя по кэшу Яндекса, такие вещи в серпе живут всего несколько дней.

Как заставить это работать?

Местный автор отчётливо понимает, что взятый наудачу софт может являть собой всё что угодно, но ёлы-ж-палы. Либо надлежит делать тулзу толково, либо вообще не надо городить огород.

Соображения:

1. Если уж в тулзе использован Curl, то просто взять код страницы донора и увидеть (или не увидеть) в её коде (даже не в ссылке!) нужный домен — то ли детство, то ли глупость.

   Ну давайте припишем Курлу ещё один оператор про CURLOPT_HEADER, и посмотрим ещё и на хедер документа. Который HTTP_1.1

   Если там 404, то тогда не важно, что в коде.
   Это нерабочий URL, и его в баню.
   Если 300 серия, то там редирект (и не факт, что на Ваш сайт).
   И это тоже далеко не то, что нам нужно и хочется.

   А ещё бывают хедеры 500 серии.
   И всякие-разные, окромя 200...

   Далее смотрим ссылки, ищем все прямые, не в ноиндексе и не в нофаллове, а среди них — на себя. И только если есть такая, чекаем этого донора как правильного.

   В исходном же виде тулза вообще с радостью принимает страницу, хедер которой вопит о 404 ошибке, а в коде Апач рапортует, что документ с таким-то URL-ом ни разу не найден. Ну не дурдом ли?

   Тем паче, что путь от дурдома до работающего как надо скрипта отделяет дюжина совсем несложных строк на РНР. Стоит их дописать, и половина «тщательно отобранных доноров» сразу же уходит в категорический неадекват.

   Примечание:

   При этом помните (или знайте), что по дефолту источником трафика в Curl подставлен сайт Гугла, и, если блок статистики анализирует и показывает трафик продвигаемого сайта, то сотни визитов с Гугла вовсе не означают сотни визитов с Гугла. Это то, что упало со скрипта ДжеНаха через доноров к Вам по редиректу, то есть абсолютно фиктивные вещи.

   Прогон сайта скриптом по базе ДжеНаха никак на самом деле не влияет на трафик сайта. А видите в статсах суету — так это Вами же и созданная суета, не более того.

2. Про пингование несчастного Пингоматика адресами мусорных страниц местный автор выразился достаточно определённо чуть ранее.

   Можете не соглашаться.

   Если склонны так делать, то изыщите в своём городе бюро находок, и попробуйте начать сдавать туда бумажные пакетики со всяким дерьмом собачьим.

   Потом обязательно расскажите в комментах, с какой по счёту попытки Вам набили морду.

3. Сотворение линкфермы в ретро стиле, это, конечно, сильно. У кого-то есть надежда, что это будет индексироваться и далее приниматься к сведению для дальнейшей индексации всего там прилинкованного?

   Поднимите руки.
   Очень хочется видеть этих людей.

   А если серьёзно, то имело бы смысл раскидать ссылки на странички с XSS сотни тщательно отобранных доноров по страничкам своего сайта (силами движка, естественно — десяток строк PHP кода творит буквально чудеса), и вот тогда может быть это бы неспешно, но худо-бедно хоть как-то сработало.

4. Про то, что массовые технологии работают только в воображении алчущих масс, рассказывать, видимо, не нужно. Индивидуально тюнингованные вещи на порядок круче. Не умеете такие штуки создавать самостоятельно, либо находить, где их можно заказать и изготовить, не ждите чуда.

В целом же было интересно потестить такую штучку. Буду внимательно наблюдать за противостоянием Яндекса и любителей халявных пузомерок.

Ну а Вы теперь маленько в курсе, как работает (или пытается работать) пассивный XSS на примере того же ДжеНаха, какие стоят засады перед технологией, и куда ей надлежит грести дальше.

P.S.

При всяком упоминании чего-то этакого и хитропопого вдруг откуда ни возьмись слетаются всякие пионэры, и начинают осложнять жизнь своей суетой и глупыми вопросами.

Чтобы так не получилось и в этот раз, специально для пионэров и прямым текстом даю совет, как можно бесплатно приобщиться к супертехнологиям взрослых дядек. А то же сами не догадаются.

По означенному в тексте поста поисковому запросу следует сыскать в Гугле чью-то линкферму, ведущую на вменяемых доноров, то бишь созданную по «элитной» базе за сто уёв, всю многостраничную линкферму выкачать, и в HTML коде документов заменить по маске чужой домен на свой, а получившееся куда-нибудь закачать и проиндексировать.

Потом держать карман шире, и терпеливо ждать тысячи ТИЦа и тройки ПиАра.

Объявлен набор в волонтёры. С IQ пониже.

Усердно занимаясь летним отпускованием, когда религия строжайшим образом запрещает даже включать телевизор, местный автор тем не менее ежедневно украдкой просматривает окошко RSS ридера. В который вбито с десяток лент, могущих своевременно предупредить о приходе песца, откуда бы тот ни подкрался. Ну а поскольку песец в современном мире — это не только дефолт и нежданная денежная реформа, объявленный с бодуна призыв резервистов или восстание архаров супротив вертолёта, но и всякие разные нишевые казусы и конфузии.

Откуда все знают про кристалл Сваровски в Вашей заднице.

Исторически так повелось, что местный автор слегка интересуется вопросами SEO и прочего юзабилити, и потому иногда развлечения ради сочиняет опусы на эту тему, кому-то даже интересные. Категория «Три весёлых буквы» как раз для них, и, как уже стало понятно уважаемому читателю, сегодня мы в очередной раз приступим к увеселению трёх заветных букв.

Фатален ли единый айпишник?

Как всем нам (теперь уже) хорошо известно, вебмастер делает сайт вовсе не для того, чтобы на нём завёлся целевой посетитель, и выполнил какое-то полезное вебмастеру действие, потребив предлагаемую сайтом услугу. Это было бы слишком просто. Нет, конечно. Сайт делается с иной целью.

№ 1Не может быть!

Охренеть!!!

Неужто сработает?
Кто-нибудь подобное проделывал?

По любому огромное спасибо Мастеру за идею!
Сегодня же и реализуем.

Дмитрий

№ 2Re: Не может быть

Увы, такое работало раньше.
Но пробовать никто не мешает :)

Автор абсолютно прав насчет правильного использования ресурсов (HEAD запросы, анализ) - а то будет как с рефспамом ласто-блога ;)

Ну, а "Но провинциальные самураи не беспокоят друг друга на ночь глядя, без особой на то нужды, особо после кувшинчика вечернего сакэ." - это действительно шедевр.
Обожаю ваш стиль.

Евгений

№ 3Не будет ли санкций?

А не подумает ли многоумный поисковик: "одинаковые ссылки идут на сайты, возможно, имеет место прокачка пузомерок! Давай-ка я их всех под фильтры загоню..."?

Это регулярно случается.

Тот тип XSS, что начинает юзаться массово, практически сразу (2-3 апа) попадает под фильтр.

За действительно пока еще не попаленный вариант XSS могут запросить от тысячи баксов :)

joshi

№ 4Штука боевая, но строго под доры имхо

Просили попробовать такое весной с.г., но делал не страничками линкофермы, а тупо прямыми ссылками типа постового со страниц продвигаемого сплога. тИЦ действительно поднимается, но затем сам блог банят (яша). Возможно этот результат нерепрезентативен: три сплога всего было "приподнято" - сдохли все. Опять же с хидерами я не заморачивался, список доноров тица был уже дан готовый, возможно из-за этого и негативный результат.

Да, предложение в пункте 3 поста, видимо, не актуально.

Не важно, что именно торчит ссылками на страницы с XSS - линкферма или не линкферма.

Это одинаковое детство, и выкидывается из индекса за одно междуапье.

Александр Хмелев