Perchè filtrare i form di input nei siti? Una falla su un sito di annunci porta all'indicizzazione indiscriminata di contenuti web arbitrari

<span class="entry-title-primary">Perchè filtrare i form di input nei siti?</span> <span class="entry-subtitle">Una falla su un sito di annunci porta all'indicizzazione indiscriminata di contenuti web arbitrari</span>
La falla che segnalo oggi l'ho scovata personalmente: è relativa ad un vecchio sito web di mia conoscenza che, per ovvie ragioni, eviterò di citare (ho alterato i colori per renderlo poco riconoscibile). Di fatto, ho scoperto questo problema praticamente per caso, qualche giorno fa.

La falla in questione spalanca le porte allo spamdexing*

Premesso che non si tratta di una falla che mette a rischio dati sensibili, o che permette di svelare le password del sito, la dico in breve: è un sito di annunci che categorizza vari contenuti su una base geografica, che presenta un mancato controllo su un form di ricerca testuale. Il problema potrebbe, in teoria, essere diffuso su altri siti per quanto dalle mie ricerche non emerga nulla del genere. La falla dovrebbe essere nota a chiunque abbia progettato un sito a regola d'arte, e ne ho parlato anche in altri vecchi post del sito. Il piccolo (grande) problema in questione è che non esiste alcun filtro che impedisca all'utente di cercare stringhe arbitrarie. Per quanto non si possano eseguire comandi (XSS) ho scoperto che qualsiasi contenuto digitato dall'utente crea una pagina a parte che viene resa indicizzabile da Google: senza coda di moderazione, senza check, direttamente. Se faccio 10 ricerche, crea 10 pagine a prescindere da cosa l'utente (anonimo) abbia cercato (stupidaggini incluse).

*indicizzazione di contenuti indiscriminati su Google/Bing

Esempio

Se sto cercando annunci di una città specifica, di regola dovrei poter scegliere tra una lista di elementi predefiniti: nulla di trascendentale, roba che si mette in piedi in mezza giornata o quasi. In genere nessun form di un sito dovrebbe evitare questo tipo di controlli, a maggior ragione se avesse "pretese" in ambito SEO per evitare figuracce col pubblico. Del resto, non si tratta di una ricerca libera (come una che faremmo su Google, per capirci), bensì di una pre-impostata su città e provincia: nonostante questo, posso cercare ciò che voglio. Il formato degli URL supportati è di tre tipi diversi:
  1. URL "categorizzato": http://www.sitoinquestione.net/annunci/per/categoria.htm
  2. URL "geografico": http://www.sitoinquestione.net/annunci/a/citta.htm
  3. URL "categorizzato"+ "geografico": http://www.sitoinquestione.net/annunci/per/categoria/a/citta.htm
dove categoria può valere ad esempio "immobiliare" e citta ad esempio "cagliari". L'idea è anche buona (e piuttosto SEO-friendly) ma possiede una controindicazione pesante: se un utente non loggato / anonimo manipolasse l'URL inserendo stringhe arbitrarie, del tipo
http://www.sitoinquestione.net/annunci/a/paperopoli.htm
oppure
http://www.sitoinquestione.net/annunci/per/scemo-chi-legge.htm
queste pagine sarebbero comunque "create" dinamicamente, volta per volta, dal CMS in questione. Crcando scemo chi legge su questo sito, quindi, esce fuori questa pagina. Screen 2015-01-17 alle 23.03.16Il che non sarebbe nulla di eccessivamente anomalo, se non fosse che questa pagina è pure indicizzabile su Google. Dopo un po' di ricerche incrociate con gli operatori di Google sono infatti uscite fuori pagine indicizzate in precedenza. Screen 2015-01-17 alle 23.04.08 Vedere un sito di annunci (già abbastanza difficile da tenere "pulito" di suo) in cui un utente anonimo possa indicizzare arbitrariamente pagine senza alcun controllo, del resto, senza dubbio è una falla da risolvere in tempi brevi, anche perchè la rimozione dei risultati indesiderati potrebbe diventare quasi impossibile. Quindi la falla in questione (di entità piccola, di per sè) potrebbe aver prodotto centinaia, se non migliaia di pagine inutili, tutte indicizzate da Google, impossibili da tracciare e di cui i proprietari non sanno nulla (o magari ne sono pure orgogliosi). Anzi, sono pronto a scommettere che non gliene importa un accidente, anche se questo potrebbe farli penalizzare da Bing o Google. Del resto è una filosofia molto diffusa tra i principianti: nel dubbio indicizziamo tutto. Incluso il superfluo. Questo, ovviamente, secondo i consulenti "esperti" che hanno messo in piedi questo obbrobbrio, che voglio sperare (quantomeno) sia stata realizzata inconsapevolmente.
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.