Мої вітання...

Преамбула

Довго вагався чи розпочинати дану серію статей...
Радився з hip та jarofed, та ще з одним партнером....

І вирішили, що дана серія, при коректному використанні буде корисною для вебсайтів в цілому.

Отже - Рейтинги... Каталоги, Топи, міряння довжиною органів... І тому подібна лабуда...
Загалом - це не лабуда. Аналізувати рейтинговість - це важлива частина будь-якого процесу з багатьма учасниками, а інтернет - саме такий процес.
От тільки аналіз повинен бути якщо не ідеальним, то хоча б наближеним до реальності.
З Ваших відгуків буду визначати, чи варто продовжувати аналіз в даному напрямку, а також для "жертв" даного циклу можу запропонувати реальну допомогу в тестуванні та виправленні виявлених помилок.
Коротка преамбула закінчилась...
Сьогодні я буду розповідати про три, нещодавно потрапивших мені під руку каталоги, що мають невелике відношення до Українського інтернету.

Відмова від відповідальності

Я жодним чином не намагаюсь нашкодити цим трьом(і можливо всім наступним) проектам. Навпаки!
Коректне ведення статистики буде відображати більш-менш правильну рейтинговість і дозволить робити +- вірну оцінку сайтам.
Всі коди, що використані в даній статті приховані від очей і їх можна переглянути в сорцях цієї сторінки.
Якщо дана сторінка буде некоректно відображатись - значить власники відповідних сайтів зробили деякі зміни - не лякайтесь - найближчим часом я все поправлю. Можете посприяти мені, підказавши проблему.

top.blog.net.ua

Даний php скрипт - дуже і дуже популярний в інтернеті. І в світлі знайдених в ньому багів - всі рейтинги, що побудовані на базі нього - некоректні.
Одназу прошу пробачення за наступний блок.

Проблема в вигляді exploit

Одразу прошу пробачення за завідомо збій в роботі каталогу. Моя мета - вказана вище.
Нагадую - код в сорцях вебсторінки і в даний момент Ви його виконали 8).(на екрані - результат виконання коду)

В цьому блоці, банальний набір коду, який пропонується вставляти кожному користувачеві, що приймає участь в рейтингу. Код частково змінений, для того, щоб його не хватали пошуковики. Для даної статті було обрано сорок блогів, які знаходяться на останній сторінках каталогу - щоб не дуже сильно портити картину для майбутньої роботи даного сервісу.

Логіка проблеми

Як тільки користувач будь-якого вебсайту, на якому встановлений лічильник заходить на сторінку, де цей лічильник заходиться - автоматично додається +1 до рейтингу вебсайта (в конкретно даному випадку - блога). І все було б добре, але якщо розмістити цей лічильник на іншому вебсайті - кожен з користувачів іншого вебсайту також буде робити +1 до рейтингу...

І сама проблема

Не перевіряється referrer , з якого відбулось завантаження лічильника.
Ну і що? - скажете Ви.. Кому вигідно вішати чужий лічильник на своєму сайті...
Відповідь - власнику свого ж вебсайта...
Наскільки мені відомо - багато блогерів ведуть по кілька щоденників, роблять кроспостінг в інші відомі блогерські портали, роблять коментарі з допомогою HTML.
Якщо взяти це до уваги - тоді можна робити відповіді в тому ж ЖЖ, і до кожної відповіді вішати свій лічильник, або набір лічильників(приховавши їх в квадратику розміром 1х1 піксель). В результаті рейтинг буде некоректним.

Всі блоги, що вішають даний лічильник на своїх ЖЖ - мають конкретно завищений показник, особливо ті, що додані до friend-полос - тоді дуже багато учасників, навіть не читаючи такі повідомлення, - "віддають свій голос" за блог, повідомлення якого вони пропускають

Ве було б нічого, але на базі цього рейтингу інші учасники роблять помилкові висновки ( jarofed підтвердить )

Побажання власнику top.blog.net.ua

Додати в код підрахунку хітів та хостів перевірку referrer - там роботи на 2-3 стрічки php коду.

blogmir.net

Досить відомий каталог. І функціональність його - на висоті! Дуже часто користуюсь ним для швидкого аналізу pr+technorati.
Більше того, власник в мене взяв інтерв'ю 8))). Керуючись помилковими даними, які я йому підсунув. На жаль - таке життя.
Отже - позиція Вашого блогу напряму залежить від кількості голосів, відданих за Вас.
Поки з каталога переходів на блоги дуже мало - є шанс все поправити.

Проблема exploit

Накрутка даного голосування - дуже елементарна і також без перевірок та захистів.
Голосування відбувається методами Ajax - банальний GET запит без додаткових перевірок.
Нагадую - код в сорцях вебсторінки і в даний момент Ви його виконали 8).(на екрані - результат виконання коду)

Замість цифри 3215 - вставляєте код будь-якого інснуючого в каталозі, і всі Ваші користувачі "проголосують" за відповідний блог.

Побажання власнику

Потрібна мабуть або якась мінімальна Captcha, або - javascript event вікно з підтвердженням про голос - тоді шанси накрутити - набагато менші.

www.catalоg2.co.ua

Заявлена вебдванольність - також недосконала.

Exploit ака антиDIGG

Накрутка також здійснюється елементарно засобами користувачів на будь-якому html вебсайті
Нагадую - код в сорцях вебсторінки і в даний момент Ви його виконали 8).(на екрані - результат виконання коду)

Замінивши цифру 50 порядковим номером Вашого улюбленого сайту - можна за кілька днів просунути сайт в ТОР.

Побажання власнику

Загалом - принцип взлому - аналогічний до
document.write('blog'+'mir.net'); , тому рекомендації будуть аналогічні.

Висновки

Думаю тема точно є цікавою для власників даних рейтингових систем. І сумніваюсь, що ці дані були підмічені лише тим, хто був ініціатором даної статті.
Якщо дивитись на сторону користувачів даних сервісів, то можна допустити, що через ймовірні помилки деякі вебсайти програють в нечесній грі іншим. Тому гадаю виправлення помилок потрібне.
Якщо Вас зацікавила дана тематика, то я її можу продовжувати майже постійно, в залежності від надходження даних та від Ваших побажань через відповідну форму Пропозиції і тематики на даному вебсайті

Код цих exploit - ів буде досить швидко відображено голим текстом, бо існує імовірність підміни його власниками даних сервісів, хоча він побудований так, що для цілісності даних на вебсайті, де він розміщений особливих проблем немає - є лише ймовірність порушення дизайну та відображення саме тої сторінки, на якій він викладений.
Крім того кожен, хто відобразить цей код в себе на вебсайті може закрити його в рамки 1х1 блоку + забезпечити перевірку на зміни.
Успіху Вам, і бажаю здорового скептицизму в аналізі рейтингів в інтернеті.

PS

Якщо будуть бажаючі - дана тематика буде вестись на сторінках веблогу з певною періодичністю. Повірте - навіть такі лічильники як i.ua, li.ru, mail.ru etcetera - мають аналогічні проблеми. І в Наших силах зробити їх більш актуальними.