Claus Schmidt writes about Page Hijack: The 302 Exploit, Redirects and Google. Although Google is not the only search engine with this problem (Yahoo is no longer vulnerable), Claus asks to spread the word as the problem is long known, but not dealt with by the various search engines (except Yahoo, at least).

The trick is easy: put a script on your website that redirects with a 302 to any other website you would like to hijack. When eg. GoogleBot encounters this redirect, it eventually store the URL to this script into the database and not the URL of the target. That means, if someone uses eg. Google to search the web and the page you hijacked matches the request, it would display an excerpt of the hijacked site, but with the link to your script.

If you know programmed your script to distinguish between GoogleBot and a normal user, you would be able to redirect this user to any of your sites and thus have hijacked the reputation of this website.

The original URL would be removed from the search engine’s database, but this happens on a not predictable way, as Claus describes. Sometimes the page with the higher page rank might win, but he also encountered situations where this is not the case. The search engine would replace the original URL, as it now has two different starting points (your script and the the original URL), but the same page URL (the target of your script’s redirect and the original URL itself). So it removes one of this duplicated entries.

It’s time for the search engines to change this behaviour and Claus asks us for help. I gladly did so.

(Downtown Manhattan, last weekend)

See also: curbed.com

An Spam habe ich mich mittlerweile ja schon fast gewöhnt – so schlimm diese Feststellung selbst auch ist. Die täglichen Sex/Viagra/Online-Casino/Nigeria-Connection-Mails werden halt ausgefiltert und damit ist die Sache auch schon gut. E-Mail Adressen des Absender zu prüfen, um auf den Verursacher zu schließen, lohnt eh nicht den Aufwand und so findet man sich erstmal mit den lästigen Werbebotschaften ab.

Was vor ein paar Minuten aber hier ankam ist so dämlich, dass ich nicht umhin komme, die Mail hier vorzustellen. Ganz unverholen wirbt da das Dating Cafe („Dreifacher Testsieger“, Hört, Hört!) mit seinem Partnerprogramm. Die Mail ist nicht persönlich und bezieht sich auch auf keine meiner Domains, so dass ich nicht davon ausgehen kann, dass mir hier jemand ein ernsthaftes Geschäft anbietet, wie das in der Vergangenheit schon des öfteren vorgekommen ist – OK, nicht soooo oft, aber oft genug, um mir den Unterschied zwischen einem Angebot und Spam zu verdeutlichen.

Das ganze kommt mit dem Betreff „Kooperation mit dem Dating Cafe“, als HTML Mail mit angefügter Powerpoint Präsentation! Neben dem eigentlichen Spam verdächtigen Anschreiben also zwei weitere Dinge, die mir die Ungläubigkeits-Röte ins Gesicht treibt. Wie kann heutzutage sowas noch passieren? Selbst die Hoffnung, dass da irgendein Zwischenhändler Geld mit Provisionen machen will und einfach zu dumm für’s Internet ist, zerschlägt sich recht schnell, da die Adresse unter der E-Mail mit der des Impressums auf DatingCafe.de übereinstimmt:
Michael Kloss

Telefon +49 (0)40-735898-00
Fax +49 (0)40-735898-06
E-Mail partnerprogramm@datingcafe.de

Irgendwie habe ich noch was von einem T5 im Kopf, um gegen sowas vorzugehen. Ob ich aber die Lust und Energie aufbringe, weiß ich noch nicht. Als schlechtes Beispiel kann diese E-Mail auf jeden Fall herhalten.

[via KQE]