Crawler vind valide order ID in magento

Obiter dictum schreef op maandag 12 september 2011 @ 23:15:
Hoe is het mogelijk dat een crawler hier achter is gekomen?

Dat moeten wij in onze glazen bol zien? Je zult toch echt zelf in je site op zoek moeten gaan of er nergens linkjes worden geplaatst naar die pagina('s) en het zou me niets verbazen als een ("gare") crawler hidden input values waarin zich URL's bevinden ook gewoon indexeert.
Het zou overigens ook goed mogelijk zijn dat, bijv., in een bevestigingsmail linkjes door een (mail)virusscanner opgepikt worden en gescand worden (misschien wel door een centrale service ofzo (ik roep maar wat) wanneer 't een smartphone betreft bijvoorbeeld) of gewoon een virusscanner op een desktop-pc die 'meekijkt' tijdens het browsen om te scannen op malafide zaken.

[ Voor 29% gewijzigd door RobIII op 12-09-2011 23:26 ]

Alles wat niet beveiligd is, maar wel een publieke URL heeft, daar moet je vanuit gaan dat het ooit in google terecht gaat komen.

Dit kan van alles zijn, een linkje in GMail, een geïnstalleerde Google Toolbar, etc. De complete bedrijfsvoering van Google is gericht op maar 1 ding: het verzamelen van gegevens.

[ Voor 17% gewijzigd door Bosmonster op 13-09-2011 07:25 ]

Ga er maar van uit dat een bezoeker die bij de klant bestelde virus-beveiliging van Trend Micro heeft.
Die wil dan wel eens url's submitten voor analyse.

Zou bouwen ze een gehele database op van unsafe pages.

Wel interessant om rekening mee te houden als developer, de bekende e-mail in de trant van "Klik op deze link om uw registratie & e-mail te bevestigen" wordt dan al door de virus-scanner bezocht.

mocean schreef op dinsdag 13 september 2011 @ 14:11:
Wel interessant om rekening mee te houden als developer, de bekende e-mail in de trant van "Klik op deze link om uw registratie & e-mail te bevestigen" wordt dan al door de virus-scanner bezocht.

Keyword: Idempotentie / GET/POST
(Hoewel dat, als je afhankelijk bent van gare zut als iDeal (light), wat lastiger is...)

[ Voor 11% gewijzigd door RobIII op 13-09-2011 15:34 ]

Is indexering van zulke mappen/URLs niet eenvoudig tegen te gaan met een robots.txt?

RobIII schreef op dinsdag 13 september 2011 @ 15:52:
[...]

Moet een crawler zich daar wel aan houden; daar is 0 garantie op (en zelfs malafide crawlers die juist dat soort bestanden/directories gaan doorzoeken). Doorsnee zoekmachines als google, bing, weet-ik-het zullen de robots.txt respecteren, de rest is vrij spel.

Oeps, mijn fout. Had even niet door dat het om juist die malafide crawlers ging. Inderdaad erg irritant dat zulke zicht niet aan de richtlijnen houden.

[ Voor 74% gewijzigd door OkkE op 13-09-2011 16:02 ]

OkkE schreef op dinsdag 13 september 2011 @ 15:49:
Is indexering van zulke mappen/URLs niet eenvoudig tegen te gaan met een robots.txt?

Moet een crawler zich daar wel aan houden; daar is 0 garantie op (en zelfs malafide crawlers die juist dat soort bestanden/directories gaan doorzoeken). Doorsnee zoekmachines als google, bing, weet-ik-het zullen de robots.txt respecteren, de rest is vrij spel.

[ Voor 12% gewijzigd door RobIII op 13-09-2011 15:52 ]

mocean schreef op dinsdag 13 september 2011 @ 14:11:
Wel interessant om rekening mee te houden als developer, de bekende e-mail in de trant van "Klik op deze link om uw registratie & e-mail te bevestigen" wordt dan al door de virus-scanner bezocht.

Sowieso moet je dus altijd linken naar een pagina met een actie en niet direct een actie uitvoeren.

Zelfde voor die leuke delete-knopjes die je soms hebt die direct iets weggooien

Bosmonster schreef op dinsdag 13 september 2011 @ 16:44:
[...]


Sowieso moet je dus altijd linken naar een pagina met een actie en niet direct een actie uitvoeren.

Zelfde voor die leuke delete-knopjes die je soms hebt die direct iets weggooien

Dat klopt, binnen sites gaat alles netjes per POST als er een verandering moet optreden. Maar bij veel bevestigings-links in e-mails is dat zeker niet zo.