Весёлый продавец, или прямое попадание в Яndex

Не мог пройти мимо, тема для меня можно сказать наболевшая после мытарств с Virtuemart`ом. Еще не утихли страсти по обнародованию Яndex`ом сисимэсок нашего родного Мегафона, как вчера разгорелся новый скандал месяца. Источники пожелавшие остаться неизвестными сообщают, что под раздачу попал коммерческий движок Webassist. В выдаче поисковой системы Яndex были обнаружены страницы с оформленными заказами некоторых интернет-магазинов.

И, что придает некоторую пикантность, в том числе магазинов конфиденциально рассылающих товары интимного свойства. Не позавидуешь отдельным покупателям, имена которых вместе с адресами проживания стали достоянием общественности в связи с покупкой резиновых женщин и всяческих анальных украшений.

Виновником этого непотребства стал широко известный Webassist, коммерческий фреймворк интернет-магазина.

Почитав на форумах обсуждение "технических" подробностей, не могу не добавить свои пять копеек. Обвинения многострадального Яndex`а, а тем более первая реакция его сотрудников, что-то там про файлик robots.txt вызвала не более чем улыбку. Но обыватели всегда были склонны к драматизму, и версия с диверсией от поисковой системы заняла немало места на форумах и в блогах.

Мы были искренни в своих заблуждениях! (с)

Как известно, многие современные CMS имеют собственный механизм кэширования опубликованных страниц. Функция надо сказать востребованная, не всегда можно позволить себе выполнять десяток другой запросов к БД для показа одной и той же страницы множеству посетителей. Так и здесь первоначально возникла мысль о случайном кэшировании страницы оформленного заказа. А выдать ее из кэша поисковому роботу обычно никто не мешает, разве что когда у администратора голова на плечах присутствует, тогда конечно и обсуждать было бы нечего.

Однако поиски по горячим следам показали, что иногда, при попытке просмотреть конфиденциальную информацию программа "почему-то" запрашивает фамилию заказчика. Ввод фамилии, взятой кстати в той же выдаче Яndex`а, позволяет ознакомиться со всеми подробностями заказа и заказчика без каких либо дальнейших препятствий.

Теперь у меня осталась только одна теория, движок магазина вопреки логике не проверяет авторизацию посетителя при просмотре страниц личного кабинета. Если же мое предположение верно, то как говорится, выстрел в ногу через трусы засчитан.

---

P.S.: Покамест такие скандалы носят скорее кухонный характер, но что будет когда в моду войдет использование кредитных карт для оплаты? Страшно представить.

---

P.P.S.: Впрочем, пожалуй гром грянет еще раньше: "Роскомнадзор выявил более 80 интернет-магазинов, допустивших незаконное распространение персональных данных покупателей".