Találós security kérdés (Google vs SSL)

Adott egy oldal SSL certtel (attól most tekintsünk el, hogy lejárt). Legyen mondjuk foo.hu

Ugyanazon a szerveren van több másik oldal (attól most tekintsünk el, hogy miért nem csak arra a domainre van beállítva a vhost a :443-ra, amire a cert szól.), abból egy legyen mondjuk bar.hu

Tehát a https://bar.hu -ra a http://foo.hu alatt megjelenő tartalom jelenik meg.

Viszont adja magát a találós kérdés:
- Hogy került a GoogleBot a https://bar.hu -ra, ha soha sehol nem használtuk?
- Ha már odakerült, mégis mi a retkes lóherének indexeli, ha "ssl_error_bad_cert_domain"?
- De ha már beindexelte, akkor mégis miért szerepel előrébb, mint a rendes oldal (mondom, tekintsünk el attól, hogy lejárt), mikor ezzel az erővel egy adathalász oldal is lehet?

( log69 | 2011. 10. 11., k – 08:05 )

"Hogy került a GoogleBot.."

Nem nézted meg az oldalt Chrome alól?

Az nem rémlik, hogy én néztem volna, de van itt nálunk olyan, aki igen. De ez nem magyarázat arra, hogy hogy került bele, mert mi is csak a Google találatokból vettük észre, hogy beindexelte. (Bennem pl. fel se merült, hogy így legyen bekonfolva a szerver, igaz, nem is én tartom karban).

Viszont továbbra is adja magát a kérdés: miért indexel és ajánl a Google érvénytelen SSL certifikációval rendelkező oldalakat?

----------------
Lvl86 Troll

( Nyosigomboc v | 2011. 10. 11., k – 20:39 )

-A http://bar.hu viszont (gondolom) letezik, logikus, hogy kiprobalja letezik-e a biztonsagos valtozat is.
-Valoszinuleg kap a bad certert minuszpontot, de miert ne indexelje, ha mar van rajta tartalom?
-Az eredeti SEO-ja valoszinuleg annyira szar, hogy meg igy is megelozi (relevans domain nev rengeteget szamit). Esetleg lehet, hogy megis van valami bejovo link, es amiatt (yahoon pl. tudod ellenorizni). Vagy lehet, hogy https kap valami elonyt.

--
Az emberek azt állítják, hogy múlik az idő, az idő viszont csak mosolyog, mert látja, hogy az emberek múlnak. - tibeti közmondás

"de miert ne indexelje, ha mar van rajta tartalom?"

Mivel totálisan ellentmond az SSL cert céljának és lényegének. Az SSL certnek pont az lenne a lényege, hogy hitelesíteni tudom vele, hogy az vagyok, akinek állítom magam. Itt meg pont az ellenkező történik.

De akkor most ugyanezzel a logikával élve:
- fogom mondjuk az otp.hu tartalmát leklónozom az otp.gonoszvagyok.hu -ra
- hakkolok rá valami érvénytelen SSL certet, hogy úgy tűnjön, mintha ez valójában egy nagyon biztonságos oldal akarna lenni.

"-Az eredeti SEO-ja valoszinuleg annyira szar, hogy meg igy is megelozi (relevans domain nev rengeteget szamit). "

Hát valami szar van a palacsintában, az tény. Csakhogy: egyrészt a másik oldal domainje (és a http-s tartalma) köszönőviszonyban sincs a valós domainnel, másrészt simán vehette volna még tartalomlopásnak is.

----------------
Lvl86 Troll

( Nyosigomboc v | 2011. 10. 11., k – 20:49 )

Egyebkent egyszer volt valami szerzodes (nem aszf, igazabol hivataltol kikerheto, szoval semmi titkos nem volt benne). Viszont a szabalyok miatt pdf-be csomagolt kepekbol allt, e-aktaba zarva, szoval jo nagy lett a vege, mailben mar nem ment volna at annak, akinek kellett volna, ezert egy ismerosom keresere kitettem a sajat gepemre public_html-be, (directory listing letiltva), es elkuldtem mailben a linket. Joval kesobb elkezdte a google bot letolteni azt a dokumentumot, fogalmam sincs honnan talalta ki a linket (nemtrivialis nev alatt volt kiteve, es a konyvtarra nem volt semmi link az elkuldott mailen kivul). Azt nem tudom, hogy a fogado milyen bongeszot hasznalt, ill. milyen levelezot (lehet gmail), de valahonnan kitalalta.

--
Az emberek azt állítják, hogy múlik az idő, az idő viszont csak mosolyog, mert látja, hogy az emberek múlnak. - tibeti közmondás