Re: SEO a HTTPS

From: Lukáš Holota <L.Holota (zavinac)>
Date: 06. 08. 2006, 09:16 CEST
mimo tema, pokud mate SSL jen jako ochranu proti sniffingu, tak muzete zacit zase balit, 14-lety student/zak dokazal sniffnout heslo pomoci programu Cain behem 10 minut, vsechna hesla pochazela z prihlaseni na seznam e-mail (samozrejme po tom, co se provedly zmeny a sifrovane prihlaseni je primarni). Vytvorili jsme par mechanismu, ktere vuci tomuto typu utoku odolne jsou, yzaduji ovsem zapnuty JavaScript a Cookies (jeden udaj musi putovat skrz session) :(

L.Holota

>  ------------ Původní zpráva ------------
>  Od: Tomas Kapler <kapler@gmail.com>
>  Předmět: SEO a HTTPS
>  Datum: 06.8.2006 03:50:48
>  ----------------------------------------
>  Jedna služba, jejíž web dělám, vyžaduje vyšší úroveň bezpečnosti,
>  zejm. ochranu proti sniffingu a proto obsahuje zatím jen část webu
>  přes HTTPS. Uživatel ale musí na bezpečnou část přepnout a to není pro
>  tuto službu dostatečně chráněné řešení. Proto se zvažuje kompletní
>  přechod, tj. uživatel bude při dotazu na http://server přesměrování
>  pomocí hlavičky na https://server. A teď tedy pointa dotazu - jak je
>  to se SEO zabezpečených domén?
>  
>  Hledal jsem pár minut na google i seznamu na různé dotazy nějaký
>  server, který by měl https a podařilo se mi to jen u jednoho, který
>  byl na 4 místě na google na dotaz "https" - ten je zajímavý tím, že
>  vrátí že je prý 256 milionů výsledků, ale zobrazí jich jen 81 (slovy
>  osmdesát-jedna) a pro zbytek je třeba zobrazit prý "velmi podobné
>  stránky", kde už se to tedy https hemží (adwords a podobně). Seznam
>  dokonce nenajde HTTPS stránku, ani když jí zadám přímo do vyhledávání,
>  i když na ni zjevně několik stránek odkazuje (zkuste hledat třeba
>  https://secure.idnes.cz/mujpas/registrace.asp, nebo jakýkoliv text,
>  který je na této stránce).
>  
>  Připadá mi to jako slušný nesmysl, očekával bych spíš, že
>  profesionální stránky, které investovaly pár set dolarů do
>  kvalifikovaného certifikátu budou naopak mírně upřednostňovány.
>  Znamená to snad, že Seznam neumí procházet SSL weby?! a že možná i
>  google, který to sice umí s k tomu chová nějak divně. A tedy, že bych
>  to raději neměl dělat a nebo nějak vracet vyhledavačům nezabezpečený
>  obsah (jak?) ???? A nebo prostě jen vyhledavače u SSL webů
>  předpokládají, že je nemají z bezpečnostních důvodů indexovat, ale je
>  to třeba explicitně povolit (jak? robots, meta?). Bojím se bojím,
>  zejména ten Seznam mě děsí a uvítal bych kvalifikovanou odpověď od
>  zdroje.
>  
>  A s tím mírně související - když bych dělal přesměrování z HTTP na
>  HTTPS, mám použít klasickou 301 a nebo bych měl použít něco co lépe
>  vyjadřuje důvod (napadá mě třeba 505, HTTP Version Not Supported, kde
>  se předává seznam protokolů, které supported jsou, ovšem pochybuji, že
>  by pak vyhledavač a hlavně prohlížeč navštívil https verzi, kdybych ji
>  předal)
>  
>  Díky
>  T.
>  
>  
>  
Received on Sun, 06 Aug 2006 09:16:16 +0200 (CEST)

This archive was generated by hypermail 2.1.8 : 06. 08. 2006, 09:16 CEST