Топ секретно. Объявлен набор в волонтёры. С IQ пониже. Откуда все знают про кристалл Сваровски в Вашей заднице.

Поскольку данный блог пополняется постами, написанными строго в ответ на вопрошалки читателей, да ещё и при обязательном наличии интереса автора к спрошенному, очень трудно спрогнозировать, про что будет очередной опус.

Но так случилось, что сегодняшние вирши очень даже про то, что надо.
На радость вебмастерам и прочим манимейкерствующим юзерам.
А также саповодам и саповедам.

Будет не лишним потратить толику жизни на постижение того, что всё равно рано или поздно постичь придётся.

Пузяка — наше всё.

В SEO тусовке очень много внимания уделяется не только индексируемости сайтов и прочим действительно важным вещам, но и всякого рода пузомеркам. По поводу последних местный автор совершенно спокоен, они лично его не волнуют ни в малейшей степени. Ибо ни на что не влияют столь сильно, чтоб про то греть голову. Но, поскольку рынок SEO-услуг крайне маргинализирован, далеко не все его игроки выглядят столь же спокойными удавами.

Мы намеренно не затрагиваем вопрос, какие цели преследует процедура откорма и возбухания пузомерок — кто этим занимается, тот, видимо, осознаёт. Нас интересует исключительно сам процесс в одной из его реализаций.

Понятно, что есть десятки способов наращивания показателей ТИЦ и PR, и все они ни разу не равноценны. Одно требует вложения сил, другое прожорливо до денег, третье убивает много времени. Да и итог всегда разный. Но каждому хочется затрачивать как можно меньше невосполнимых ресурсов для откорма «пуза» сайта.

Поэтому всегда и в обязательном порядке будут всплывать «темы», которые хочется «спалить». Вокруг чего непременно разворачивается коммерческая деятельность, плодятся мифы, текут сопли и слюни. «Темы» сдыхают, реинкарнируются во что-то чуть иное. Постоянно происходит какой-то движняк и мельтешит в глазах. Мозг выносится постоянно.

Тем не менее, понимание немногих общих моментов освобождает от знания кучи частностей. Поэтому, пригласив на трибуну местного автора в лице Мастера Ласто, давайте заслушаем теоретический курс по одной из версий XSS.

В жизни оно пригодится тыщу раз.

XSS – импортное слово.

Если кому невдомёк, то это так называемый Сross Site Sсriрting — «межсайтовый скриптинг». Чтоб не было путаницы с CSS, аббревиатура намеренно чуток искажена.

Как и любая другая гомосятина, XSS бывает пассивным и активным. Активный вариант мы сегодня трогать ни за что не будем, так как без должной подготовки будет больно, и рядовому вебмастеру с ним точно не совладать. А вот пассивный XSS легко доступен в самых разных реализациях. С ним можно извращаться, как бог на душу положит.

В общем случае Вам даже не потребуется серьёзных знаний и умений. Просто достаточно узнать (с помощью Гугла или стаи товарищей), что в таком-то движке есть возможность сформировать ссылку на себя, просто обратившись к любому сайту на этом движке по определённым образом сконструированному URL-у. Например, такому: http://lasto.com/blog/go.html?url=google.com

Далее, вдумчиво применяя синтаксис поисковых запросов Гугла или Яндекса, получаем море подобных сайтов. Проверяем их чекером, и обретаем базу для данного варианта XSS.

На словах вроде всё просто, но остался неясным самый главный момент:

Почему разработчики движков не противостоят XSS?

Прежде чем понять это, давайте обратим внимание, на чём именно паразитирует большинство вариантов пассивного XSS.

Мы доподлинно знаем две вещи: практически все движки разрабатываются за бугром (либо имеют прототипами то, что родилось там же). А рядовой серфер буржунета абсолютно не искушен в серфинге, и постоянно попадает в странные ситуации, по поводу которых очень любит бодаться и судиться.

Например, если на сайте есть внешняя ссылка, а по ту сторону клика открывается примерно такой же с виду сайт (по дизайну), то рядовой серфер буржунета искренне считает, что это одно и то же, и он продолжает находиться в том же самом месте. Про смену URL-а рядовой серфер ничего не понимает, про структуру Сети он вообще в большинстве случаев не в курсе. Для него Сеть — это то, что открылось на стартовой странице его браузера.

И если на втором сайте его как-то обманули, то претензии предъявляются к владельцу первого.

Чтобы так не получалось, наученные горьким опытом сайтовладельцы заставили разработчиков движков сделать страницу-прокладку. Которая молвит человеческим голосом чёрным по белому: «Ты, дорогой товарищ, покидаешь наш сайт, и переходишь на другой. Мы понятия не имеем, что ты там собрался делать. Но в любом случае мы не несём никакой ответственности за все твои дальнейшие действия, и ничем за то не отвечаем. Если согласен, кликни тут. Думаешь иначе — на внешний сайт лучше не ходи.»

Что самое примечательное, адрес перехода на внешний сайт в большинстве случаев содержится в URL-е страницы-прокладки. Либо в явном виде, либо в несложном urlencode() каком-нибудь. Что само по себе заставляет кричать «Бинго!»

Местный автор не думает, что в Рунете страницы-прокладки применяются с той же целью. Но, учитывая тотальную озадаченность вебмастеров по поводу «утекания ПиАра» и прочих мифических штук, а также дефолтностью страниц-прокладок в настройках движков, можно предположить, что сами страницы-прокладки не переведутся никогда и у нас.

А потому «Бинго» будет скандироваться ещё долго. И хором.

Понимают ли разработчики движков и сайтовладельцы смысл поводов для воплей про бинго?
Есть два разных ответа:

• Нет, обстоятельства паразитирования на страницах-прокладках не считаются существенными, их ЧПУ сделано максимально простым и прозрачным строго для того, чтоб лишний раз не заморачиваться там, где никому никакая морока даром не нужна.

  
  

• Да, все всё прекрасно понимают. Но специально оставляют возможность организации пассивного XSS для бесплатного приобретения входящих ссылок на внутренние страницы сайта, чтобы повысить цитируемость домена сайта, а через то и видимость домена в искалках. Как и что, далее по тексту.

  
  

В реальности верны оба варианта, и при желании в любой момент времени можно напарсить большую базу под ту или иную уязвимость. Вчера, сегодня, завтра. Да, есть тонкости, но пассивный XSS в силу его заточенности под юзабилити сайта будет жив всегда.

А раз так, станем изучать тему глубже.

Дженах.

В последнее время наиболее популярным в Рунете было паразитирование именно на страницах-прокладках, как это описано выше. И организовано посредством софта (в разных реализациях) под таким вот странным именем.

Добро, давайте думать про пассивный XSS на этом наглядном примере.

Выдумыватель тулзы, понимая, что доход от неё будет строго с продаж софта и баз под этот софт (а не от собственно деятельности тулзы), сразу озадачился выбором подходящего названия. Потому как правильное название — это 90% финансового успеха.

Как вы яхту назовёте, так она и поплывёт. С детства понятно.

Доподлинно известно, что изначально было выбрано название «Джедай». Чувак крут, гнёт силой мысли телеграфные столбы буквою «зю», лёгким движением руки превращает брюки в элегантные шорты, а брутального агрессора в хронического засранца, и всё такое.

Но, по врожденной привычке хайкаслагателя (да, это наш человек, всяко в душе самурай), разбив слово на слоги, выдумыватель тулзы обнаружил резкую потерю смысла. Ибо «Дже-дай» символизирует собой что-то вроде «дай мне двадцать седьмую букву армянского алфавита». Да и не найдётся тулза по такому названию в поиске никогда. Нах такое.

Кстати, о нахе.

Прекрасный предлог направленного движения. Что в русском языке, что в немецком. Что такое «Дже» по-немецки, пока не понятно (просветите, кто может), но и по-русски это уже звучит вполне привычно. Не пренебрегайте менталитетом целевой аудитории.

А потому да будет так.

И если с этимологией всё стало понятно, то далее обратимся к физиологии.

Смысл ДжеНаха.

Понятно, что ради написания развёрнутого ответа на заданный местному автору частный вопрос Мастер Ласто не ринулся затариваться тулзой от производителя, а просто сделал запрос в Гугл. Хотя, видимо, и запрос к автору тулзы дал бы тот же результат. Но провинциальные самураи не беспокоят друг друга на ночь глядя, без особой на то нужды, особо после кувшинчика вечернего сакэ.

У местного автора выгуглилась некая софтина на PHP, с тремя полями формы и кучкой чекбоксов на тёмном фоне. В подписи значилось «WEB-6» - что это такое, либо кто это такой, неведомо. Активной ссылки нет.

Софтина простая, написана грамотно, но местами есть неимоверные косяки. О косяках позднее, сначала о функционале.

Тут все просто — берем с уже имеющейся базы URL-ы по очереди, внедряем в них домен нужного нам сайта, и без всякого прокси смотрим, чего в этом урле откроется. Если есть упоминание нужного нам домена в коде страницы, то помечаем URL донора как адекватный, и пингуем его через pingomatic.com (ищите об этом сервисе информацию самостоятельно).

Когда база закончится, начинаются приятности.

По ФТП доступу скрипт ходит на сказанный ему сайт, и создаёт в нужном месте несколько файлов индекса со ссылками на прочеканные страницы. Файлы статичные, перелинкованные, и являют собой заурядную линкферму (давайте называть вещи своими именами) на странички-прокладки с тем самым пассивным XSS, про которые так много говорили большевики.

Собственно, вот эти статичные html документы и являются результатом работы скрипта. Их надо скормить яндексу для реализации теоретически возможного роста ТИЦа того сайта, что прокачивается данной ссылочной массой, либо Гуглу, если интересен PR.

Это делается через пингование URL-ов страниц линкфермы в блог-сервисы Яндекса и Гугла (если указано настройками), но не факт, что сиё возымеет хоть какое-то действие. А потому индексировать эти странички, скорее всего, каким-то макаром надлежит всё-таки Вам.

Как вариант (помним, что софт многообразен), предлагается никакой линкфермы не создавать, никуда ничего не пинговать, а тупо засунуть UIRL-ы доноров с XSS в аддурлку Яндекса. Предполагая, что тот будет аж пищать от восторга.

Это работает?

Местный автор очень сильно сомневается, что пингование в pingomatic.com кучки мусорных страниц доноров (снова смело назовём вещи своими именами) хоть чего-то даёт. Роботы Гугла и так без проблем находят всё, что им интересно, по обычным линкам (для чего скрипт и заливает линкферму на указанный ему домен). Наоборот, излишняя суета с пингованием, особо если доноры откровенно паршивого качества, может даже наказываться. Чтоб неповадно было.

Совсем никакого результата не получится, если вообще не формировать отчёта в виде линкфермы. Тысячи пингов разных мусорных страниц были, а толку с того нет. Это запросто так в вебмастеринге.

Так что, пользуя подобный софт, понимайте, в чём его назначение.

Поэтому тема работоспособности и полезности софта сводится к вопросу, насколько действенна именно линкферма, получаемая на выходе. Работают ли с ней искалки, индексируют ли саму линкферму, а также то, что доступно с неё по многочисленным ссылкам.

Напомню тем, кто потерял нить рассуждений, что продвигают Ваш домен или сайт в нём именно документики, доступные по ссылкам с линкфермы.

Это можно оценить.

Изготовленная в ходе тестирования местным автором линкферма имела такую подпись: «Все права защищены. Копирование ссылок с моего сайта запрещено!».

Представляется очевидным (хотя с этим можно до хрипоты спорить), что потенциальный пользователь тулзы не станет менять шаблон. Он просто не умеет этого делать — такова уж целевая аудитория подобных решений. Так что можно взять эту фразу, вбить в Гугла, и провести поиск по строгому соответствию.

Ну и проделать то же самое с Яндексом. Опять-таки по строгому соответствию.

Неожиданно окажется, что Гугл гораздо сильнее любит линкфермы, нежели Яндекс. Либо Яндекс любит их столь же сильно и даже больше, но совсем недолго. И быстро очищает свой серп от подобного.

Но то, что в Яндексе на момент написания опуса сыскалось всего две линкфермы (против сотни в Гугле) сильно о многом говорит. Судя по кэшу Яндекса, такие вещи в серпе живут всего несколько дней.

Как заставить это работать?

Местный автор отчётливо понимает, что взятый наудачу софт может являть собой всё что угодно, но ёлы-ж-палы. Либо надлежит делать тулзу толково, либо вообще не надо городить огород.

Соображения:

1. Если уж в тулзе использован Curl, то просто взять код страницы донора и увидеть (или не увидеть) в её коде (даже не в ссылке!) нужный домен — то ли детство, то ли глупость.
   
   Ну давайте припишем Курлу ещё один оператор про CURLOPT_HEADER, и посмотрим ещё и на хедер документа. Который HTTP_1.1
   
   Если там 404, то тогда не важно, что в коде. Это нерабочий URL, и его в баню.
   Если 300 серия, то там редирект (и не факт, что на Ваш сайт), и это тоже далеко не то, что нам нужно и хочется.
   
   А ещё бывают хедеры 500 серии, и всякие-разные, окромя 200...
   
   Далее смотрим ссылки, ищем все прямые, не в ноиндексе и не в нофаллове, а среди них — на себя. И только если есть такая, чекаем этого донора как правильного.
   
   В исходном же виде тулза вообще с радостью принимает страницу, хедер которой вопит о 404 ошибке, а в коде Апач рапортует, что документ с таким-то URL-ом ни разу не найден. Ну не дурдом ли?
   
   Тем паче, что путь от дурдома до работающего как надо скрипта отделяет дюжина совсем несложных строк на РНР. Стоит их дописать, и половина «тщательно отобранных доноров» сразу же уходит в категорический неадекват.
   
   Примечание:
   
   При этом помните (или знайте), что по дефолту источником трафика в Curl подставлен сайт Гугла, и, если блок статистики анализирует и показывает трафик продвигаемого сайта, то сотни визитов с Гугла вовсе не означают сотни визитов с Гугла. Это то, что упало со скрипта ДжеНаха через доноров к Вам по редиректу, то есть абсолютно фиктивные вещи.
   
   Прогон сайта скриптом по базе ДжеНаха никак на самом деле не влияет на трафик сайта. А видите в статсах суету — так это Вами же и созданная суета, не более того.

   
   

2. Про пингование несчастного Пингоматика адресами мусорных страниц местный автор выразился достаточно определённо чуть ранее.
   
   Можете не соглашаться.
   
   Если склонны так делать, то изыщите в своём городе бюро находок, и попробуйте начать сдавать туда бумажные пакетики со всяким дерьмом собачьим.
   
   Потом обязательно расскажите в комментах, с какой по счёту попытки Вам набили морду.

   
   

3. Сотворение линкфермы в ретро стиле, прямо допутинской эпохи, это, конечно, сильно. У кого-то есть надежда, что это будет индексироваться и далее приниматься к сведению для дальнейшей индексации всего там прилинкованного?
   
   Поднимите руки.
   Очень хочется видеть этих людей.
   
   А если серьёзно, то имело бы смысл раскидать ссылки на странички с XSS сотни тщательно отобранных доноров по страничкам своего сайта (силами движка, естественно — десяток строк PHP кода творит буквально чудеса), и вот тогда может быть это бы неспешно, но худо-бедно хоть как-то сработало.

   
   

4. Про то, что массовые технологии работают только в воображении алчущих масс, рассказывать, видимо, не нужно. Индивидуально тюнингованные вещи на порядок круче. Не умеете такие штуки создавать самостоятельно, либо находить, где их можно заказать и изготовить, не ждите чуда.

   
   

В целом же было интересно потестить такую штучку. Буду внимательно наблюдать за противостоянием Яндекса и любителей халявных пузомерок.

Ну а Вы теперь маленько в курсе, как работает (или пытается работать) пассивный XSS на примере того же ДжеНаха, какие стоят засады перед технологией, и куда ей надлежит грести дальше.

P.S.

При всяком упоминании чего-то этакого и хитропопого вдруг откуда ни возьмись слетаются всякие пионэры, и начинают осложнять жизнь своей суетой и глупыми вопросами.

Чтобы так не получилось и в этот раз, специально для пионэров и прямым текстом даю совет, как можно бесплатно приобщиться к супертехнологиям взрослых дядек. А то же сами не догадаются.

По означенному в тексте поста поисковому запросу следует сыскать в Гугле чью-то линкферму, ведущую на вменяемых доноров, то бишь созданную по «элитной» базе за сто уёв, всю многостраничную линкферму выкачать, и в HTML коде документов заменить по маске чужой домен на свой, а получившееся куда-нибудь закачать и проиндексировать.

Потом держать карман шире, и терпеливо ждать тысячи ТИЦа и тройки ПиАра.

Усердно занимаясь летним отпускованием, когда религия строжайшим образом запрещает даже включать телевизор, местный автор тем не менее ежедневно украдкой просматривает окошко RSS ридера. В который вбито с десяток лент, могущих своевременно предупредить о приходе песца, откуда бы тот ни подкрался.

Ну а поскольку песец в современном мире — это не только дефолт и нежданная денежная реформа, объявленный с бодуна призыв резервистов или восстание архаров супротив вертолёта, но и всякие разные нишевые казусы и конфузии.

Например, вебмастера очень даже колышет любое изменение в его взаимоотношениях с поисковой системой. Ведь случись какое досадное недопонимание — и будет ему ощутимый урон в карманных средствах, как пить дать.

Вместе с тем, как и в любой другой профессии/хобби, в основной своей массе среднестатистический вебмастер — существо бестолковое, ибо человек. И, в полном соответствии с русской поговоркой про услышанный звон, дезориентирующий в пространстве, вебмастер всегда готов заниматься всевозможной фигнёй, даже когда оно ему нафиг не надо, и ни в куда не упёрлось.

Очевидно, что очень многие вебмастера, изучив с чьей-либо подачи парочку связанных документов от Яндекса (раз и два), способны возрадоваться либо опечалиться, и броситься предъявлять искалке свой «уникальный контент».

Походя выяснится, что «уникальный контент» начинается от двух тысяч знаков, а произведён он может быть лишь на сайтах с ТИЦ от десятки и выше. С первой цифрой всё логично, вторая лукава, и на самом деле по факту является нулём. Но спич не про то.

При обдумывании буковок, скрывающихся за двумя вышеприведёнными ссылками, становится предельно очевидно, что, раз затеян такой сервис по обучению алгоритмов Яндекса находить первоисточник оригинального текста, и выводить в поиск именно его, в настоящий момент алгоритмы Яндекса этого делать не умеют.

Что и так понятно любому вебмастеру, родившемуся не вчера.

Но означает ли появление подобного сервиса, что, начав им дружно пользоваться, мы тем самым повысим документы своего сайта в поиске, встав выше копипастеров, дерущих наш контент, а также всевозможных сервисов, куда мы сами сливаем по недомыслию свой контент через всякие там RSS потоки?

Совершенно не означает.

Если, по старой доброй советской привычке, читать мимо строк и вдоль смысла, то на самом деле мессидж по ту сторону ссылок гласит буквально следующее:

«Мы, команда Яндекса, понимаем, что копирайтеры, производящие качественный и интересный контент, вовсе не обязаны владеть трастовыми сайтами, которые за счёт своего веса всегда будут в топе выдачи, даже со стопроцентным копипастом и сворованными статьями.

Мы бы хотели, чтобы копирайтеры не бросали своё занятие по причине его бесперспективности, а, манимые надеждой, сэкономили нам кучу денег, бесплатно поучаствовав в эксперименте по прослеживанию путей и механизмов распространения их уникального контента в Интернете.

Мы, хотя ничего и не обещаем, но попробуем постараться написать алгоритмы так, чтобы первоисточник материала был в выдаче Яндекса не в самой заднице, как это бывает обычно, а хотя бы где-нибудь на пару цуней выше уровня пупка.

Авось у нас чего-нибудь да получится. Спасибо.»

Прочтя правильную версию текста, Вы должны понять, что, участвуя в данном волонтёрском движении, тем самым никоим образом не защищаете свой контент от воровства, копипаста, и прочего парсинга. Ваши усилия будут вообще напрасны, если Ваш контент никто не ворует. Либо ворует не в промышленных масштабах — для обкатки экспериментальных алгоритмов Ваш случай не интересен ни с какого ракурса.

Думающие на ход дальше, и желающие присвоить себе контент не проиндексированных сайтов (или сайтов тех вебмастеров, что не знают и/или никогда не узнают про эту фичу Яндекса) также ничего не добьются — фича не служит (и не может служить) подобной цели.

Каких-либо иных гешефтов за ней не просматривается.

Отбой воздушной тревоги :)

Исторически так повелось, что местный автор слегка интересуется вопросами SEO и прочего юзабилити, и потому иногда развлечения ради сочиняет опусы на эту тему, кому-то даже интересные. Категория «Три весёлых буквы» как раз для них, и, как уже стало понятно уважаемому читателю, сегодня мы в очередной раз приступим к увеселению трёх заветных букв. А то чего-то они заскучали.

Вообще, SEO-шники весьма неровно дышат ко всякого рода поисковикам. И все поголовно дивятся, насколько трудно иной раз скормить искалке нормальный сайт, дабы он встал в индекс. И вместе с тем уму непостижимо, как легко и просто попадает в индекс всевозможная хрень, которую никто и не думал даже пытаться индексировать.

Ну к примеру.

Вот совсем недавно случилось очередное бурление говн, когда вдруг внезапно обнаружилось, что SMS-ки, отправляемые с сайта Мегафона, весьма просто изыскиваются Яндексом, причём любой любопытствующий может читать не только отправленный текст, но и видеть номера телефонов. А как же прайверси и всё такое?

Понятно, что в результате скандала и замелькавшего на горизонте судебного иска дырку экстренно закрыли, но сам-то эффект устойчивый и стабильный. Заинтересовавшиеся люди могут пойти в их любимый поисковик, и исследования для сотворить нехитрый запрос:

Яндекс: inurl:0 inurl:1 inurl:c статус заказа
Гугл: inurl:ukey=order_status IP покупателя

Для этих случаев можете наслаждаться наблюдением покупок, ФИО и адресов-телефонов реальных людей (особо интересны варианты с разными там сексшопами), но немного другие запросы дадут доступ и к действительно критической информации — дразнить гусей мы, естественно, не будем (могут и привлечь), и ограничимся этой элементарной демонстрашкой крайне неприглядной ситуёвины.

Но даже и тут возникает много вопросов.

Да, владельцы сайтов, конечно, феерические идиоты, использовавшие для поднятия в сайтах магазинов движки, написанные другими феерическими идиотами. Ничего не слышавшими про метод передачи данных POST, и тупо малюющих хэш прямо в урле страниц.

Но мы не об этом. Думка совсем про другое.

Задайте-ка себе вопрос, станет ли человек мужского пола, купивший в сексшопе костюм монахини и украшение для ануса с кристаллами Сваровски (очень будем надеяться, что не для себя), и заказавший доставку всего этого добра через EMS (исключительно чтоб не ходить на почту и не заполнять бумажки про кто когда чего откуда получил), публиковать где-то прямой урл странички с результатами обработки своего заказа?

Очень в этом сомневаюсь.

Будет такой URL публиковать у себя чуть ли не на главной странице сам сексшоп?

Сомневаюсь в этом ещё сильнее.

Тогда как такая внутренняя страница попала в индекс Яндекса?

Естественно, у Яндекса такое спрашивали. В ответ получили бред про файл роботса, который обязан существовать, в нём должна быть запись про закрытые разделы, и тому подобную чушь для умственно отсталых. Потому как мы-то не клинические дебилы, и прекрасно понимаем, что это никак не снимает вопрос проникновения нигде не опубликованного URL-а в индекс, да ещё и знаем в точности: файл роботса носит всего лишь рекомендательный характер, и роботы того же Яндекса толпами ходят и по страницам закрытых от индексации (файлом роботса) разделов.

С этого момента будьте внимательны, ибо, если Вы вебмастер, и владеете хоть одним магазинчиком, но не осилите суть саги, то легко можете получить иск по моральному ущербу и вреду репутации своего клиента.

1. Самое первое, что необходимо сделать, так это выкинуть нафиг движок, написанный феерическими идиотами. Ни в админке, ни в логинке партнёра, ни в зоне юзера (покупателя), ни где-либо ещё в адресной строке браузера не должно быть никаких хэшей, уникализирующих страницу и её контент. Иначе URL этого места обязательно покажет все интимные секреты любому желающему.

   
   

   Если не выкинуть нафиг движок от феерических идиотов, то далее ситуацию контролировать Вы не сможете. Абсолютно точно.

   
   

2. Также на сайтах с интимными секретами не стоит ставить код Яндекс-метрики и прочих аналогичных сервисов. Ибо, как Вы уже догадываетесь, URL-ы всех документов с таким кодом скармливаются индексирующему боту, а сами документы попадают в индекс. Где и могут быть найдены по разным хитрым запросам абсолютно без проблем.

   
   

3. Если Вы думаете, что неиспользование Яндекс-метрики и прочих аналогичных сервисов хоть как-то Вас защитит, то очень зря думаете так. Потому что идиотизм многогранен, и может проявляться не только у разработчиков движков и владельцев сайтов, но и на стороне юзеров.

   
   

   Только полный недоумок способен повесить на свой браузер SpyWare в лице Яндекс-бара (или любого другого бара), который и станет (вот ведь сюрприз) делать ровно то же самое, что и Яндекс-метрика на сайте. Отправлять URL-ы просматриваемых серфером страниц прямиком в Яндекс или иную контору, произведшую на свет этот Bar.

   
   

   Но, судя по количеству пользователей всякого рода Баров, поток недоумков не иссякнет никогда.

   
   

4. Также не стоит себя тешить мыслью, что Вы никак не относитесь к племени блаженных, если не используете вообще никаких нахлобучек на браузер. Сам браузер может сливать все посещаемые URL-ы вообще без всяких дополнительных плагинов — Гугл Хром тому примером. Если шибко нравится его функционал, используйте заместо него Iron – визуально и по сути то же самое, но без встроенных SpyWare.

   
   

Ну а пока владельцы сайтов не взялись за ум, всевозможные «утечки» конфиденциальной информации будут постоянно. Потому что слово «утечки» взято в кавычки неспроста — никаких утечек и сложного хакинга тут нет и в помине. Создатели движков (те самые феерические идиоты) вообще не предусмотрели никакой защиты изначально.

Про вменяемость же пользователей (не юзать метрики, не пользовать Яндекс-бары) вообще речи не идет. Никто никакой вменяемости их поведения даже не ожидает.

Когда будете создавать какой-нибудь сервис с юзерзоной или поднимать магазинчик, вспомните про этот пост. Он реально полезный.