Mitunter ist es gar nicht so leicht Webmaster zu sein. Eigentlich will man nur eine Website betreiben doch im Laufe der Zeit stellen sich Probleme ein. Offene Weiterleitungen sind ein Problem mit dem sich alle Webmaster beschäftigen sollten, weil deren Missbrauch die Site in das dunkle Licht einer “schlechten Nachbarschaft” ziehen könnte.
Was sind nun offene Weiterleitungen und wie kann ich deren Missbrauch verhindern?
Der nachfolgende Beitrag beruht auf Informationen aus dem Google Webmaster Centrale Blog.
Folgende Arten Weiterleitungen sind dafür bekannt, missbraucht zu werden:
Offene Weiterleitung per Suchfunktion
Viele Websites verfügen heutzutage über eine Suchfunktion, die vorrangig innerhalb einer Domain Seiten findet. Evtl. wirtd aber auch auf externe Domains verwiesen:
meinedomain.de/search?q=nutzer+suche+suchbegriff&url=
Problematisch ist die Zeichenfolge &url= am Ende der Suchanfrage. Spammer können hier eine beliebige URL anhängen, auf welche weitergeleitet wird. Die Zielseiten können schädliche Software enthalten, welche unbemerkt auf den Computer geladen wird. Oder pornografische Inhalte die nicht unbedingt im Zusammenhang mit einer seriösen Website erscheinen sollten. Vielleicht auch irgendwelche Kaufangebote. Nicht selten bewerben Spammer Potenzmittel u.ä.
Das Problem ist für normale Nutzer der Website gar nicht sichtbar. Die manipulierten URL sind für normale Nutzer nicht zugänglich. Zugänglich werden die URL erst dadurch, dass sie von Spammern bei Suchmaschinen angemeldet werden. Zur Unterstützung werden evtl. zusätzlich externe Verweise gesetzt um der URL eine gewisse Stärke für das Ranking zukommen zu lassen.
Die angemeldete URL erscheint Nutzern als vertrauenswürdig, weil sie als Basis eine vertrauenswürdige Domain enthält. Die Weiterleitung auf eine andere Domain wird von den meisten Nutzern nicht erkannt.
meinedomain.de/search?q=suchbegriff&url=http://www.bösedomain.de
Im Ergebnis kann es passieren, dass die eigene Website in schlechten Ruf gerät, weil die Nutzer glauben, das ungewünschte Angebot ist auf der Ursprungsdomain – im obigen Beispiel also auf meinedomain.de – zu finden.
Weiterleitung per CMS
Content Management Systeme (CMS) und Blogs verfügen häufig über eine Funktion zur Weiterleitung des Log-In.
meinedomain.de/login?url=
Offene Weiterleitung zur Klickverfolgung
Für Affiliate-Programme, Bannerwerbung oder Site-Statistiken werden URL verwendet welche die Klicks auf einen Verweis zählen. Im einfachsten Fall kann die URL sehr kurz sein:
meinedomain.de/kl.html?url=
aber auch sehr viel länger. In der Regel enthält die URL die Zeichenfolge url= mit angehängter Zieladresse.
Offene Weiterleitung über Proxy Seiten
Diese Variante soll laut Google vor allem bei Schulen und Bibliotheken Anwendung finden. Nutzer werden auf andere Seiten geleitet, deren Inhalt normalerweise wertvoll erscheint.
proxy.meinedomain.de/?url=
Scripte für Pop-Up Fenster (Interstitial)
Einige Websites informieren ihre Nutzer in einem zusätzlichen Browserfenster, “Sie verlassen jetzt dieses Angebot” o.ä.
Scripts zum öffnen dieser Fenster können ebenfalls missbraucht werden.
Beispiele für URL:
meinedomain.de/redirect/
meinedomain.de/out?
meinedomain.de/cgi-bin/redirect.cgi?
In diesem Fall gibt es nicht die oben beschriebene Zeichenfolge url= in der URL.
Das Problem für Webmaster ist, dass der Missbrauch häufig nicht leicht zu bemerken ist. Wer diese URL Problematik nicht kennt wird kaum auf die Suche nach “stinkenden URL” gehen.
Erste Erkenntnisse kann eine Suche mit dem site: Operator bringen.
site:meinedomain.de
listet alle URL der Domain, die bekannt sind. Für Webpräsenzen mit überschaubarem Umfang sollten URL, die aus der Rolle, fallen relativ schnell erkennbar werden. Wird die site: Suche mit verdächtigen Begriffen kombiniert liefert das evtl. Anhaltspunkte. Das Problem an diesem Verfahren ist, dass man das Vokabular der Spammer kennen muss um zum Erfolg zu kommen.
Möglich ist auch die site: Suche kombiniert mit inurl:
site:meinedomain.de inurl:url=
oder
site:meinedomain.de inurl:=http:
Die Texte externer Verweise sind ebenfalls ein Anhaltspunkt. Sind Begriffe in den Verweisen enthalten, die keinesfalls etwas mit dem Angebot zu tun haben, so ist Aufmerksamkeit geboten.
Für die Prüfung externer Verweise eignen sich der Site Explorer von Yahoo! oder die Webmaster Tools von Google. In den Webmaster Tools werden auch die TOP-Suchanfragen aufgelistet. Finden sich dort ungewöhnliche Suchanfragen?
Die Beobachtung der Logfiles bzw. der ausgewerteten Daten einer Analyse-Software geben weitere Auskunft.
Technische Hilfe zur Vermeidung offener Weiterleitungen
Abschalten der offenen Weiterleitung
Google Ingenieure beobachten, dass die offenen Weiterleitungen häufig ausschliesslich von Spammern genutzt werden, nicht von regulären Nutzern der Website. Deaktivierung der Weiterleitung ist ein sicherer Weg gegen den Missbrauch der Weiterleitung.
robots.txt
Dateien oder Verzeichnisse welche die Weiterleitung enthalten, können per robots.txt für die Erfassung durch Crawler ausgeschlossen werden. Die wichtigsten Suchmaschinen werden die Weiterleitungs-URL nicht aufnehmen bzw. aus dem Index entfernen. Da die URL vor allem in die Ergebnislisten der Suchmaschinen lanciert werden, ist damit ein grosser Schritt zu mehr Sicherheit geleistet.
Verschlüsselung der URL die weitergeleitet werden
Versierte Webmaster können dafür sorgen, dass unter Verwendung von HASH-Algorithmen, nur verschlüsselte URL weitergeleitet werden.
Entfernen der stinkenden URL
Die Webmaster Tools von Google und Yahoo! (Site Explorer) erlauben die Entfernung von URL. Dieser Schritt erfordert Sorgfalt um nicht versehentlich gewollte URL zu eleminieren.
Offene Weiterleitungen sind kein neues Thema. Die offenen Weiterleitungen funktionieren seit vielen Jahren. Allerdings hat deren Missbrauch stark zugenommen. So stark, dass Google es für sinnvoll hält, Informationen darüber zu publizieren. Informierte Webmaster sind eher in der Lage ihre offenen Weiterleitungen vor Missbrauch zu schützen.
Blogbeitrag Google Webmaster Central Blog (englisch):
Open redirect URLs: Is your site being abused?
Webmaster Angebote von Google, Yahoo! und MSN:
Google Webmaster Tools
Yahoo! Site Explorer
Live.com – Webmaster Center