Вот один из моих клиентов, выполнивший некоторые действия после входа в свою учетную запись. Уникальный токен - это просто зашифрованный идентификатор пользователя + метка времени.
94.254.xxx.xxx - - [02 / Jul / 2011: 22: 25: 46 +0200] "GET / some-action / unique-token-123abc HTTP / 1.1" 200 410 "-" "Mozilla / 5.0 (совместимо; MSIE 9.0; Windows NT 6.1; Trident / 5.0) "
Теперь робот Google каким-то образом узнал об этой уникальной ссылке и попытался получить доступ к тому же URL-адресу через неделю.
66.249.71.179 - - [10 / Jul / 2011: 09: 56: 01 +0200] "GET / some-action / unique-token-123abc HTTP / 1.1" 302 - "-" "Mozilla / 5.0 (совместимо; Googlebot / 2.1; + http: //www.google.com/bot.html) "
(код состояния 302, потому что срок действия токена истек)
Позвольте мне подчеркнуть, что это уникальный URL, который был виден ровно один раз, всего за 2 секунды до того, как пользователь щелкнул его и продолжил посещать эту страницу. Он не был отправлен по электронной почте или опубликован в открытом доступе.
Что здесь происходит, как это возможно, что Google нашел этот уникальный URL?
источник
Я только что понял, что пользователь должен был найти исходящую ссылку на этой аутентифицированной странице, а затем просочился частный URL, как
Refererпри переходе на другой сайт. Это единственно возможное объяснение, и оно должно было быть очевидно с самого начала.После утечки частный URL-адрес мог быть открыт для Google несколькими способами, например, целевой сайт мог опубликовать свои журналы доступа публично. Примечание. Ни одна из исходящих ссылок не использовала Google Analytics, поэтому это не означает, что робот Google использует URL-адреса переходов из Google Analytics.
Повторный урок: никогда не помещайте конфиденциальные данные в URL-адреса, если вы не используете https, и в этом случае браузер остался бы
Refererпустым.источник