Google - HTTPS as a ranking signal

HUP cikkturkáló

http://googleonlinesecurity.blogspot.hu/2014/08/https-as-ranking-signal…

  • 7142 megtekintés

( gelei v | 2014. 08. 07., cs – 16:30 )

Igen, mert amúgy tényleg iszonyatos módon szükséges SSL tanúsítványt venni olyan site-okhoz, amik hasznos, de statikus infót közölnek.

Szóval már megint a gúgli akar "gondolkodni" a felhasználók helyett. Náluk van a legtöbb adat összegyűjtve, ugyanakkor lassan az övék az egyik leghasználhatatlanabb kereső, mert nem a keresőkifejezéshez leginkább illeszkedő találatokat sorolja előre, hanem mindenféle, általa odaillőnek gondolt szemeteket.

Friss élmény, csak mint újabb példa erre: kerestem egy Ede nevű úriemberről szóló anyagokat. Keresőkifejezésbe idézőjelek közé tettem az illető teljes nevét. Erre kapok olyan találatokat, ahol csak a vezetékneve szerepel, olyat, ahol Ede szerepel, de még a lista elején csupa Édes, Éden meg a bánat tudja, milyen szavakat, mint találatot.

Ha azt vesszük, hogy az idő pénz, akkor a google jókora összeggel károsítja meg a felhasználóit minden pillanatban ezekkel a fals találatokkal.
És akkor most jönnek ezzel az újabb fassággal. :(((

Tudod, Rákosi alatt sem tud...ott senki sem jobbat mondani, csinálni.
Persze: valami jól csinálnak... minden tőlük függ a neten, mindenki utánuk megy. Holott az egyetlen pozitívum az óriási adatbázis, amit összegyűjtöttek. Amíg létezett az altavista eredeti formájában, addig azt használtam. Kb. akkor kezdtem a G-t használni, amikor a DEC levette a kezét az altavista-ról.

A "csak"-on van a hangsúly. Az én igényeimnek egy olyan kereső felelne meg, amiben én döntöm el, hogy mit akarok megtalálni, nem egy mesterségesen unintelligens algoritmus.
Bármelyik keresőt megnézed, abból a 8-10 releváns találatból, amit a gúgli kihoz, általában 4-5 jön elő (a hasamra ütve mondtam egy számot, ne kezdd el számolgatni a találatokat! :) )
Ez utóbbiból én úgy gondolom, nem algoritmussal kapcsolatos hiányosság, pusztán az adatbázis nem elég kiterjedt. Más kérdés, hogy pl. egy google-től elvárnám, hogy a kezdetekig vissza tudjon menni az időben, ehhez képest rengeteg tartalom tűnt el belőle az elmúlt években. Például levelező listák archívuma. (tudom, máshol is lehet keresni, de bosszantó, hogy épp tőlük tűnt el)

Na ne mondd nekem, hogy akár az MS, vagy a Yahoo nem ölt bele rengeteg pénzt egy-egy adatbázis "csak" felépítésébe.

Egyszerűen nincs meg a know-how hozzá, nincs annyi user-data, nem tudnak rólad annyi mindent. Tetszik, nem tetszik, a Google azért ad nagyon jó találatokat, mert azok a találatok arrafelé vannak, amerre te jársz a neten.
--
blogom

Nekem úgy tűnik, hogy sokkal kevésbé töltik az adatbázisukat.
Valamikor pár éve, amikor még lehetett normális, ingyenes tárhelyet találni itthon, ahol futtatható volt PHP, készítettem statisztikákat arról, hogy honnan, milyen böngészővel stb. érkeznek a látogatók. (semmi hasznos tartalom nem volt rajta, PHP-t próbálgattam)
Na ott pl. feltűnt, hogy a google bot asszem heti rendszerességgel visszajött, rajta kívül csak olyan automaták látogatták a lapot, amelyek biztonsági rések után kutattak.
Se yahoo, se M$, se más nem nézett be.
(sehol sem regisztráltam az oldalt, csak valamelyik fórumra raktam ki egy linket!)

Google-lel épp az a baj, hogy nem jó találatokat ad, hanem olyanokat, amiket üzletileg előnyösnek tart (a saját szemszögéből természetesen).
Az egyetlen ok, amiért sokszor mégis ezt használom, az az említett probléma: eldugottabb fórumokról, lev.listákról a többi nem is tud. Sok esetben úgy sem, ha direktben rákeresel.

Nézd úgy, hogy latbaveti befolyását azért, hogy biztonságosabb legyen az internet.
Az meg, hogy mi számít bizalmas infónak az relatív. Pl. egy enciklopédia jellegű oldal sokak szerint egyáltalán nem bizalmas infó, de az már érdekesebb lehet, ha valaki sok időt tölt hiv fertőzésről vagy rákos megbetegedésekről olvasással. Az jobb ha nem tartozik másra. Lehet még ezer példát kitalálni, lényeg, hogy itt nincs mérlegelés: a biztonságos az rosszabb nem lehet az end usernek, mint a nem biztonságos. (ok, ebbe is bele lehet kötni, lásd hamis biztonságérzet)

Max annyit, hogy a username és a password nem kerül máshoz. Nyilván el lehet lopni a session-t is, nem is kérdés, de talán az 1 bites haxor estvánt megfogod ezzel. Plusz ugye ha kilépsz az jó eséllyel session destroy (bár a mai világban ki tudja), míg ha a jelszavad megszerzik akkor szopó.

Ha a session-t el lehet téríteni/lopni, akkor már rég rossz: a regisztrálós odlalakon van olyan, hogy saját adatok, ott meg szokott szerepelni az usernév, meg elő szokott fordulni jelszó- meg e-mail cím cserélő lehetőség is, úgyhogy ha ellopják a session-t, akkor nagyjából mindegy, hogy ssl-en megy a jelszó vagy sem.

A jelszócsere azért nézzen már úgy ki, hogy a régi jelszót is meg kell hozzá, illetve az újat 2x. Ha nem, akkor ez öreg hiba.
Az elfelejtett jelszóval ezt ki lehet játszani, ahhoz meg az email címet kell átütni. Ehhez nem tudom kérnek-e bármilyen "erősebb" autentikálást a szolgáltatások, vagy elég hozzá egy session...

A régit is bekérni, persze, de nagyon kevesen csinálják. Az e-mail cím lecserélésénél meg legfeljebb küld a egy levelet a régi címre, hogy címcserét kértél... Egyébként a session-t is lehet úgy csinálni, hogy a tényleges kliensgéphez legyen kötve - de ezt sem igazán csinálják.

Ha tényleg annyira hasznos, akkor gondolom https nélkül is eléggé előre kerül a site.
Az viszont tényleg zavaró, hogy rengeteg olyan oldal van, ahol be kell lépned (akár interakció, akár a tartalom elérése érdekében), és még egy szaros self signed cert-es megoldás sincs, hogy legalább a login folyamat https-en menjen keresztül.