Уязвимость в классе Text в старых версиях
Пишу в свой блог, ибо не хватает кармы для написания в багрепорт.
Вообщем-то уязвимость не так страшна в данный момент. Суть ее заключается в неверно составленом регулярнике, а именно:
Метод для обрамления url'ов в noindex:
Дело в том, что символ точки, в регулярных выражениях, не является шаблоном для \n, Соответсвенно, если между тэгами поставить enter, т.е. он же \n, то ссылка не обрамится в ноиндекс.
На сколько я понял, убрали этот метод с выходом версии 0.4.2, в свзяи с тем, что яндекс начал смотреть в ноуфоллоу.
НО как видно из статей довольно знаменитых блогеров, где были проведены эксперементы, вес линка с ноуфолоу вроде как передается, а от ноиндекс, вроде как не отказались. Непонятно чему верить?)
Вообщем выводы можно сделать следущие:
1) Если у вас старая версия движка, то лучше обновитесь.
2) Я бы все же оставил обрамление линков в ноидекс, ибо если даже яндекс действительно начал учитывать nofollow, то до всех спамеров это дойдет не скоро
Вообщем-то уязвимость не так страшна в данный момент. Суть ее заключается в неверно составленом регулярнике, а именно:
Метод для обрамления url'ов в noindex:
public function MakeUrlNoIndex($sText) {
return preg_replace("/(<a .*>.*<\/a>)/Ui","<noindex>$1</noindex>",$sText);
}
Дело в том, что символ точки, в регулярных выражениях, не является шаблоном для \n, Соответсвенно, если между тэгами поставить enter, т.е. он же \n, то ссылка не обрамится в ноиндекс.
На сколько я понял, убрали этот метод с выходом версии 0.4.2, в свзяи с тем, что яндекс начал смотреть в ноуфоллоу.
НО как видно из статей довольно знаменитых блогеров, где были проведены эксперементы, вес линка с ноуфолоу вроде как передается, а от ноиндекс, вроде как не отказались. Непонятно чему верить?)
Вообщем выводы можно сделать следущие:
1) Если у вас старая версия движка, то лучше обновитесь.
2) Я бы все же оставил обрамление линков в ноидекс, ибо если даже яндекс действительно начал учитывать nofollow, то до всех спамеров это дойдет не скоро