Security

Google網路記憶體:儘管需要登錄,但資訊洩露

  • March 14, 2011

幾個小時以來一直在瘋狂地尋找。

發生了什麼:

在Google搜尋我的網站以檢查某些關鍵字時,我使用了他們的網站預覽功能(您可以在其中獲得帶有頁面圖像表示的那個小彈出視窗),它顯示了我網站上 Google 的頁面記憶體版本。

我一直認為Google只能看到匿名使用者可用的網站內容。我天真嗎?

令我驚訝的是,這個記憶體版本顯示的內容只有在站點使用者登錄我的站點時才能在網路瀏覽器中看到。相關頁面的 URL 是相同的,只有內容會根據登錄者/如果使用者是匿名的而變化。更麻煩的是,它是只有在員工使用者登錄時才能看到的資訊。

我在應用程序級別使用 Django/ModWSGI。我三重檢查匿名使用者將無法看到所述內容。

現在,除非 Google 可以訪問我網站的員工使用者的登錄資訊並在抓取我的網站時使用該資訊(我覺得很難相信),否則原因應該在客戶端的某個地方。

問題:

是否存在出於某種原因將瀏覽過的網站內容推送到 Google 的網路瀏覽器外掛?當然,在這種情況下我想問我的員工使用者,但是知道要尋找什麼會更有成效。使用的客戶端是 Win/Mac/Ubuntu 上的 Firefox 3.x、IE 7/8、Win/Mac 上的 Safari。

在這方面我如何保護我的網站以避免此類資訊洩露?

謝謝!

編輯

進一步的觀察/資訊:

我可以使用通常只對某些員工使用者可見的關鍵字來搜尋我的網站,因此我得出的結論是,Google必須將該關鍵字與儲存在其數據庫中某處的我的網站相關聯(至少我不確定它會如何工作) .

我網站上所述頁面的網路記憶體版本大約有一周的歷史(根據Google),當我查看這個記憶體版本時,搜尋的關鍵字會突出顯示,即使在網路瀏覽器清除了自己的記憶體並且我目前沒有登錄到我的地點。

Google 只能匿名訪問它抓取的任何網站。

您選擇的 CMS可能會向 Google 發送不同的內容,但這應該是可配置的。另請記住,Google 可能在內容公開時抓取了該網站,如果隨後將其設為私有,他們可能沒有更新其索引。

我非常懷疑是否有任何瀏覽器外掛會出於這個原因將網站內容髮送給 Google。受使用者登錄保護的機密網頁無止境,如果Google保留這些資訊,更不用說將其顯示為搜尋結果,它會陷入困境。

清空瀏覽器的記憶體,然後嘗試搜尋或在從未登錄過您網站的機器上嘗試搜尋,我敢打賭,機密資訊不會出現在搜尋結果中。

我認為這只是您看到的記憶體資訊(在您的本地電腦上),特別是考慮到 URL 可以通過匿名資訊看到,並且頁面上的“內容”會隨著登錄而改變。

引用自:https://serverfault.com/questions/246886