Индексируют ли Google и Yandex страницы с рандомным и сложным URL (и можно ли хранить в URL ID сессии)?

Question

[razielvamp]

Предположим, что на моем web-сервере есть URL типа

https://example.com/lkfrngiea75gulorgjoy56pwkhbmbw94hgfb4y5ugt.html

Смогут ли поисковые боты найти и проиндексировать его (при условии, что он не указан в robots.txt)? И если да, то каким образом?
Иногда ID сессии хранится в URL (https://example.com/session_id/index.html), понятно, что session_id быстро устаревает, но все же, если боты способны обнаруживать такие URL, в теории такой механизм авторизации не безопасен?

Answer 1

[galaxy]

Смогут ли поисковые боты найти и проиндексировать его

разумеется. Если у вас на сайте есть счетчики, например. Но даже если нет, браузеры и расширения для браузеров могут это сливать и сливают. Ссылка может засветиться где-нибудь в Referer.

в теории такой механизм авторизации не безопасен

вообще нет причин его использовать, и конечно он небезопасен. Ссылка вообще вещь не секретная. Она сохраняется в истории браузера (да и просто светится в адресной строке), так что любой человек, который на короткое время получил доступ к компьтеру после вас или когда вы отошли (даже доступ не нужен, если зрение хорошее) без каких-либо знаний и навыков получит доступ к закрытому содержимому. Человек может поделиться ссылкой (в этом люди не видят угрозы обычно).

Comments

[razielvamp]

Если у вас на сайте есть счетчики, например. Но даже если нет, браузеры и расширения для браузеров могут это сливать и сливают. Ссылка может засветиться где-нибудь в Referer.

В Referer она может засветиться только если будут переходы по ссылкам со страницы. Конечно, теоретически это возможно, но предположим, что таких ссылок на поисковик на странице нет.

Но даже если нет, браузеры и расширения для браузеров могут это сливать и сливают

Опять же теоретически, браузеры (в особенности расширения) могут сливать и логин/пароль напрямую из POST запроса.

Конечно, не буду спорить, URL не считается чувствительной информацией, и условия его публикации и распространения более мягкие чем у других частей запроса. Но, все же, выше описанный способ - косвенный. Есть ли какие-нибудь прямые способы у поисковиков узнать о подобном URL?

[galaxy]

razielvamp,

Опять же теоретически, браузеры (в особенности расширения) могут сливать и логин/пароль напрямую из POST запроса

ну это уже поведение малвари, за такое они бы сразу огребли. А вот отправка урлов - вещь вполне приемлемая (не, нормальные браузеры вроде так не делают, но кое-кто особо и не стесняется, с другой стороны).
Ну и не забывайте про расширения, все эти алексы, яндекс, мать их, бары и пр.

Есть ли какие-нибудь прямые способы у поисковиков узнать о подобном URL?

у них всего две опции: либо паук сам найдет (по ссылкам или через sitemap), либо кто-то подскажет - тут утечка вероятнее всего через браузер или через юзера. Если соблюдаете цифровую гигиену, шанс невелик, думаю.

[Василий Банников]

razielvamp,

Опять же теоретически, браузеры (в особенности расширения) могут сливать и логин/пароль напрямую из POST запроса.

Это из категории вредоносного кода.
А вот адрес вполне сливает хром, яндекс, и едж

Answer 2

[Олег]

- можно ли хранить в URL ID сессии ?
- нельзя.