> Не удивлюсь если ты такой же знаток SQL как и знаток бизнес логики интернет магазинов.)))
Да я как бы и не скрываю что я чайник в MySQL :)

>> Это гугл, а не яндекс, и хз куда именно оно вставляется - будь у них сорцы свободные, можно было бы просто попробовать да посмотреть..
> В основном шаблоне выводится, внизу.
Я имел в виду на какие страницы :) Логика формирования этих страниц в ведении движка, и пользователь действительно не обязан перекапывать и перепроверять весь продукт.

> Заблуждаются то они, а виноваты будут разработчики и админы. Некрасиво.
Ну поэтому и важно с одной стороны разобраться кто собственно виноват. А с другой стороны СМИ могли бы пользуясь случаем рассказать своей аудитории как надо предохраняться от всяких вебмастеров.

> Я где-то слышал, что на западе с СЕО попроще, потому что гугл не так легко поддаётся на уловки сеошников. Так что может Брейвику надо было заскочить и в офис яндекса тоже.
Само слово СЕО тем не менее пришло оттуда. Да и сейчас народ какие-то схемы крутит - мой говнохостинг с пустой страничкой вот неск.месяцев назад поимели по FTP чтобы скормить гуглу какой-то свой спам. Хотя в целом наверное да, поисковики в любом случае диктуют своим сеошникам правила игры и гугл как-то больше озабочен содержательностью искомого контента. Хотя по своим вопросам я всё время нахожу в топе один ёбаный сайт, который хочет платной подписки за доступ к содержимому.

> Причем раньше можно было просто вписать свой собственный OpenID сервер в поле логина, а теперь эта возможность стала исчезать, зато появились кнопки "войти через вконтакт", "войти через фейсбук", и т.д.
Как-то теряется смысл ОпенИда и вообще смахивает на маркетоидный бред. Мне кажется оптимальным было бы позволять юзерам заводить учётку и подвешивать к ней дополнительные логины через другие провайдеры. Ну то есть, если важна идентификация конкретного человека - или он контент от своего лица размещает, или деньги у него на счету или покупки - ну и пусть бы была одна запись. А с ней ассоциированы несколько дополнительных опенИд-шных логинов, которые он там себе забъёт - и пофигу должно быть кто провайдер.

>> Доп.функциональность опять же повышает конкурентосопособность продукта, тут не надо быть гиком чтобы захотеть добавить ещё один пункт в раздел "features" в описании своего продукта.
> И повышает время, а значит и стоимость разработки.
Зато потом висит на сайте и само продаётся, не надо тратить время на доказывание каждому клиенту что эта фича ему не нужна. И случись чо - ты весь в белом: мы предлагаем разные опции нашим клиентам, кто-ж виноват, что они выбрали именно эту.

> Мне вот интересно, что будет при визите туда с яндексбаром.
Ничего - robots.txt :

User-Agent: *

Disallow: /*tracking

> Сейчас это становится всё сложнее и сложнее. Везде обязательна анимация, аякс и плавные переходы, поэтому безскриптовой вариант может очень сильно отличаться от обычного. А значит, по сути, два сайта ради тех самых пары процентов пользователей. Вот так руководители проектов и рассуждают.
Отомрут со временем. Фирмы, которые ставят внешний вид выше контента - обычно пытаются втюхать своим клиентам невыгодный сервис и со временем обычно умирают, потому что их сервис нахер никому не сдался. Вот на ебее теперь сделали джаваскриптовые табы, без скрипта не посмотришь условия доставки - наверное тоже скоро накроется :)

> Может хоть появление html5 history api как-то поможет сгладить это, с ним всё красиво отрисовывается, но безскриптовая версия тоже обязательна.
Мне кажется самым простым и дешёвым подходом было бы просто верстать обычный дизайн, а потом подвешивать дополнительные рюшечки на скрипте. И поддерживать это было бы проще - не было бы критических проблем: если вдруг скрипт не поддерживается каким-то бровсером или глючит, что запросто может произойти, то бизнес-функционал хотя бы не страдает. Иначе же страшно просто: у какой-то части клиентов что-то глючит и они не могут купить себе анальное украшение из-за глюков системы, бизнес летит в жопу, разрабов пинают, они в спешке делают патч и не имея времени на тестирование ставят его прямо продакшен и там оказывается что он рушит остальных клиентов..

Приведи пример в котором JOIN проиграл программному обходу записей и подхвату джоиненной информации. Не удивлюсь если ты такой же знаток SQL как и знаток бизнес логики интернет магазинов.)))

>Это гугл, а не яндекс, и хз куда именно оно вставляется - будь у них сорцы свободные, можно было бы просто попробовать да посмотреть..
В основном шаблоне выводится, внизу.

>Нифига себе перечислил, ты похоже собаку сьел на этом шопе :)
Да пришлось в нём немного покопаться. Я как-то к нему прикручивал древовидные текстовые страницы (он по-умолчанию не умел), и ещё всякие мелочи. Замучался grep-ом разыскивать нужный код. Порадовал русский комментарий в самом верху одного из основных файлов: "Удалить потом".

>Мускуль как-то совсем уёбищен на джойнах.. Я тут зимой вроде рыдаль на форуме: надо было срастить строки из двух таблиц со статистикой, так пришлось вот это самое делать, как ты описываешь - loop'ать по строкам из одной, из другой к ней подбирать доп. значения и в третью выводить, на джоинах оно так и не отработало - быстрее оказалось программку написать.
Да, у него есть такое. Но, имхо, тут сложный вопрос - объёмы данных в магазинах не особо крупные, а нужен то всего один джойн. Мне казалось что проще одним запросом вытащить продукт и его свойства, а потом в пхп циклом пройти и рассортировать что надо в массивы. Как-то пугают меня 10 запросов вместо одного, который тоже не так сложен. Хотя может я и не прав.

>Значит они заблуждаются думая что им пох.
Заблуждаются то они, а виноваты будут разработчики и админы. Некрасиво.

>Забыл про СЕО, Брейвик должен был упомянуть их в самом начале своего манифеста! А лучше найти где они собираются на свои СЕО-шные тусовки.
Я где-то слышал, что на западе с СЕО попроще, потому что гугл не так легко поддаётся на уловки сеошников. Так что может Брейвику надо было заскочить и в офис яндекса тоже.

>Не в курсе. Надо будет почитать что-нибудь об этом.
Все эти сторонние авторизации удобны для пользователя, так как нужен только один логин, да и с фейсбука никто не разлогинивается. С другой стороны - сам фейсбук не является цитаделью приватности.

Причем раньше можно было просто вписать свой собственный OpenID сервер в поле логина, а теперь эта возможность стала исчезать, зато появились кнопки "войти через вконтакт", "войти через фейсбук", и т.д.

>Доп.функциональность опять же повышает конкурентосопособность продукта, тут не надо быть гиком чтобы захотеть добавить ещё один пункт в раздел "features" в описании своего продукта.
И повышает время, а значит и стоимость разработки.

>Да не, просто я у DHL не вижу включения внешних ресурсов в страницу вообще. Если им нужна статистика - всё что им нужно они способны посчитать сами на стороне своего сервера.
Мне вот интересно, что будет при визите туда с яндексбаром.

>Делать сайты, которые без скриптов сохраняют свою функциональность и не испытывают критических проблем с оформлением.
Сейчас это становится всё сложнее и сложнее. Везде обязательна анимация, аякс и плавные переходы, поэтому безскриптовой вариант может очень сильно отличаться от обычного. А значит, по сути, два сайта ради тех самых пары процентов пользователей. Вот так руководители проектов и рассуждают.

Может хоть появление html5 history api как-то поможет сгладить это, с ним всё красиво отрисовывается, но безскриптовая версия тоже обязательна.

> Это скрин части админки прошлогодней версии. Результат вставляется в нижнюю часть шаблона, вроде как на всех страницах.
Это гугл, а не яндекс, и хз куда именно оно вставляется - будь у них сорцы свободные, можно было бы просто попробовать да посмотреть..

> Если бы те самые хомячки задумывались о чём-либо после таких проишествий, мир был бы другим. Вон, в трансформаторы тоже лазить нельзя, даже надпись на двери пишут. Однако ж лезут.
Не в таких количествах лезут

> Достаточно много.
Нифига себе перечислил, ты похоже собаку сьел на этом шопе :)

Вот это не совсем верно: > Сам код иногда сделан совершенно через жопу, на пустом месте делают кучу запросов, когда можно было делать JOIN.
Мускуль как-то совсем уёбищен на джойнах.. Я тут зимой вроде рыдаль на форуме: надо было срастить строки из двух таблиц со статистикой, так пришлось вот это самое делать, как ты описываешь - loop'ать по строкам из одной, из другой к ней подбирать доп. значения и в третью выводить, на джоинах оно так и не отработало - быстрее оказалось программку написать.

> Проблема есть, про неё новости пишут. Просто всем пох до момента возникновения проблемы.
Значит они заблуждаются думая что им пох.

> Пример сайта в теме про СЕО, на котором без скриптов не будет навигации, вполне показателен. А отказываться от сайтов люди не будут, это как переход на линукс с отказом от игр.
Забыл про СЕО, Брейвик должен был упомянуть их в самом начале своего манифеста! А лучше найти где они собираются на свои СЕО-шные тусовки.

> Его можно в браузере один раз запомнить и не разлогиниваться. А тут разные сайты везде. Вообще решением является OpenID и OAuth, но у них тоже есть недостатки с приватностью.
Не в курсе. Надо будет почитать что-нибудь об этом.

> И поддерживать два варианта кода ради 1% посетителей. Тут люди даже от консольных браузеров и безскриптовых пользователей отказываются, а уж городить код для 1% будут только истинные гики.
Да не проблема - во-первых проблемы с утечками наверняка увеличат процент осторожных пользователей до более внушительных величин, а во-вторых по уму этот доп.функционал делается в движке и сайтам вообще ничего не надо делать чтобы он у них заработал. Доп.функциональность опять же повышает конкурентосопособность продукта, тут не надо быть гиком чтобы захотеть добавить ещё один пункт в раздел "features" в описании своего продукта.

> В РФ тоже есть отслеживание посылок, например у EMS. Видимо на западе либо поисковики честнее (яндекса то нет), либо РФ впереди планеты всей, и на запад оно тоже придёт.
Да не, просто я у DHL не вижу включения внешних ресурсов в страницу вообще. Если им нужна статистика - всё что им нужно они способны посчитать сами на стороне своего сервера.

> То есть делать простые сайты без скриптов и наворотов?
Делать сайты, которые без скриптов сохраняют свою функциональность и не испытывают критических проблем с оформлением. Взять тот же DHL, раз уж я заглянул на их сайт - у них там формочка, куда ты тракинги вбиваешь, так у них там даже noscript тег вставлен и нём написано что без скрипта тут ну никак. Вот чего было вместо "Java Script required" не прописать в нём другую, нормальную форму, не требующую JS, чтобы ихний пользователь, нервно ожидающий прибытия своей анальной пробочки, всё-таки мог проверить свой долбаный тракинг не включая скрипты?

>Ничего страшного, всеочищающий огонь технофашизма сделает наш мир лучше освободив рынок от таких бракоделов.
Теоретически рынок уже должен был этих бракоделов уничтожить. Однако же они есть, и будут, пока есть спрос.

>А-а-а, при таком раскладе я думаю они виноваты! Я не видел их аминку и скрипт. Но если ИХ средствами размещается скрипт или счётчик - то они обязаны были подумать: а стоит ли размещать скрипты и счётчики на сугубо приватных страницах - реферрер-то оттуда всё равно уйдёт третьей стороне со всем гетом!

Это скрин части админки прошлогодней версии. Результат вставляется в нижнюю часть шаблона, вроде как на всех страницах.

>Да не, просто мало пока ещё хомячков с анальными украшениями палятся так массово :) Теперь вот станут относиться аккуратнее.
Если бы те самые хомячки задумывались о чём-либо после таких проишествий, мир был бы другим. Вон, в трансформаторы тоже лазить нельзя, даже надпись на двери пишут. Однако ж лезут.

>А что кривого в коде этого шопа?
Достаточно много. Не знаю, как там в свежих версиях, но в той же прошлогодней очень много лишнего кода, разбросанного везде. Как будто они в постоянном процессе дописывания. Но это было бы не так страшно, если бы сам код был нормальный. Например, там есть три функции для работы с БД, дублирующие друг друга и отличающиеся синтаксисом (обёртки над mysql_query). В коде встречаются все три вида.

Шаблоны смешаны с чистым php, причем где-то всё сделано через тэги smarty, а где-то выводится прям через echo. Это создаёт неудобства при редактировании шаблонов. Сами шаблоны редактировать сложно, т.к. в теме позволено менять только пару элементов, остальное через редактирование "ядра".

Местами абсолютно нелогичное расположение функций, которые делают аналогичные вещи. То есть весь код вывода страницы товара и списка категорий в одном виде, а код вывода списка товаров вообще хрен знает где, в отдельных файлах, и написан в другом стиле. Сам код иногда сделан совершенно через жопу, на пустом месте делают кучу запросов, когда можно было делать JOIN. А, да, чистый SQL, никаких ORM и кросс-БД решений. Только mysql.

Но бывают движки и похуже, этот ещё ничего. Как минимум работает быстро и местами сделан красивее, чем какой-нибудь vamshop. Хотя бы smarty есть.

>Если им действительно пох - то нет и проблемы жэ.
Проблема есть, про неё новости пишут. Просто всем пох до момента возникновения проблемы.

>Ну да, но нужна вот такая вот демонстрация на весь рунет чтобы они пришли к тебе и спросили что делать, а ты бы им сказал - отключите все скрипты и никогда не включайте. Это же они в состоянии усвоить.
Сомневаюсь, скрипты сейчас везде, пользователи без них не проживут. Пример сайта в теме про СЕО, на котором без скриптов не будет навигации, вполне показателен. А отказываться от сайтов люди не будут, это как переход на линукс с отказом от игр.

>Ну так гуг тоже наверное логина хочет?
Его можно в браузере один раз запомнить и не разлогиниваться. А тут разные сайты везде. Вообще решением является OpenID и OAuth, но у них тоже есть недостатки с приватностью.

>Чекбокс: "как бы вы хотели: зарегистрировать аккаунт, получить страницу вашего заказа простой ссылкой или ссылкой с паролем (контрольным словом) - если не уверены, ткните сюда".
И поддерживать два варианта кода ради 1% посетителей. Тут люди даже от консольных браузеров и безскриптовых пользователей отказываются, а уж городить код для 1% будут только истинные гики.

>Вне России это используется давно и если бы приводило к серьёзным проблемам, то от этого давно отказались бы.
В РФ тоже есть отслеживание посылок, например у EMS. Видимо на западе либо поисковики честнее (яндекса то нет), либо РФ впереди планеты всей, и на запад оно тоже придёт.

>Да не лучше! От напасти есть три способа избавиться не напрягая никого по RFC: не ставить троянов или использовать роботсов на стороне сервера и запретить скрипты на стороне клиента.
То есть делать простые сайты без скриптов и наворотов? Тогда владельцы магазинов расплачутся, что их модный флеш и html5 не работают. Да и пользователь тоже непрочь быть привлечённым красивой картинкой, аяксовой корзиной и прочими наворотами.

> либо заказной, либо вообще ворованный с интернета.
В этом случае разработчики Shop Script не виноваты - ответственность на тех, кто заказал или украл шаблоны с троянцами

> Лично видел предприятие, которое занимается созданием сайтов

Ничего страшного, всеочищающий огонь технофашизма сделает наш мир лучше освободив рынок от таких бракоделов. Да и прокуратура вот тоже возбудилась:  http://lenta.ru/news/2011/07/27/genproc/

> Кроме того, в сабжевом shopscript в админке даже специальное поле для счётчиков есть. Минимум движений - и троян уже на сайте. А если разработчики этого шопскрипта не сделают такое, то их продукт будет не так успешен, т.к. пользователь именно хочет простой вставки троянов, так как это модно и удобно.

А-а-а, при таком раскладе я думаю они виноваты! Я не видел их аминку и скрипт. Но если ИХ средствами размещается скрипт или счётчик - то они обязаны были подумать: а стоит ли размещать скрипты и счётчики на сугубо приватных страницах - реферрер-то оттуда всё равно уйдёт третьей стороне со всем гетом! Так что тут вопрос принципиальный - если действительно ИХ админка вставляет эти счётчики, то ИМХО претензии к ним! Хотя в том, что я скачал - ничего такого я не нашёл при поверхностном просмотре.

> Да хрен там. Они бы уже должны помереть, а их число только растёт. Проблема веба - низкий уровень вхождения
Да не, просто мало пока ещё хомячков с анальными украшениями палятся так массово :) Теперь вот станут относиться аккуратнее.

> кривой пхп код от школьников ставят на сайт
А что кривого в коде этого шопа?

> А пользователи рассуждают "нам пох на приватность, пусть следят, у нас ничего секретного нет". Результат налицо.
Если им действительно пох - то нет и проблемы жэ.

> Сначала надо им объяснить, что такое скрипт. Стараниями разработчиков произошло упрощение интерфейсов, и пользователи стали думать, что компьютер должен быть прост настолько, чтобы им мог пользоваться даже человек с половиной мозга. Если этим пользователям начать объяснять, что жизнь жестока, и такой простоты сейчас не добиться, то они начинают обвинять собеседника в красноглазии и в том, что он просто завидует. Мол, компьютер должен быть проще микроволновки, и мы ничего учить не будем.
Ну да, но нужна вот такая вот демонстрация на весь рунет чтобы они пришли к тебе и спросили что делать, а ты бы им сказал - отключите все скрипты и никогда не включайте. Это же они в состоянии усвоить. И когда магазинщики вдруг случайно обнаружат, что ставить дизайн сайта в зависимость от скриптов там, где без них можно обойтись означает потерять покупателей и разориться - вот тогда сеть сразу улучшится ровно в два с половиной раза.

> Причем в других сферах всё лучше - нельзя быть директором обычного магазина, не понимая принципов торговли и без минимального знания законов. В инете же можно организовывать магазин, даже не понимая принципов работы интернета. Я когда-то два часа человеку объяснял, что размеры элементов сайта на экране компьютера не могут до миллиметров совпадать с размерами на распечатке дизайна. А он, точнее она, меряла экран линейкой прямо при мне. И это начальница крупного инет-магазина, которая решила залезть своими грязными руками в дизайн, мол, ей виднее.
Твоё дело предупредить. Если они не хотят прислушиваться - ССЗБ. Я так думаю. Кстати, почему не могут? Если dpi в системе установлен правильно, а размеры заданы в дюймах или миллиметрах - то почему бы и нет.

> Неудобно же. Какие-то программы, логины, пароли.
Ну так гуг тоже наверное логина хочет?

> Если сделать gpg обязательным для исходящей почты магазина, то клиенты просто разбегутся. Ключики какие-то, жуть.
Зачем же обязательной? У клиента должен быть выбор.

> Разработчикам тогда придётся держать два куска кода, для простых юзеров и для продвинутых. При этом надо будет ещё сделать так, чтобы простой юзер не мог из-за глупости использовать продвинутый метод, иначе он отстрелит себе ногу.
Чекбокс: "как бы вы хотели: зарегистрировать аккаунт, получить страницу вашего заказа простой ссылкой или ссылкой с паролем (контрольным словом) - если не уверены, ткните сюда". По дефолту ставится наиболее предпочитаемый юзерами вариант, выбор конкретного пользователя сохраняется в кукисах на случай если ему ещё одна анальная пробочка потребуется в будущем и он снова будет оформлять заказ.

>> Как пример, существует практика проверки доставки почты по тракинговому номеру - любой может проверить состояние доставки по заданному номеру. И никто от этого ещё не умер. При этом куда удобнее передать URL прямо на страницу, чем заставлять людей искать по всему сайту - где именно они должны вбивать этот нумбер.
> Пока да, всё удобно. Но последние события, видимо, заставят делать как минимум проверку через ввод фамилии или почту.
Вне России это используется давно и если бы приводило к серьёзным проблемам, то от этого давно отказались бы. Просто это разумный компромисс, а тех, кто злоупотребляет данной возможностью проще поймать и наказать, чем заставлять вообще всех ебаться с огромными списками паролей (ведь один и тот же пароль на всех сайтах оставлять ещё хуже, значит надо их как-то запоминать-записывать, что тоже хуже - не дай бог утечёт такой список и кто-то получит список вообще всех ресурсов где ты бываешь и паролей от них).

> Он защитит от "официальных троянов", типа яндексовых и гугловых, которые хотя бы соблюдают правила игры. Вероятность напороться на такой троян несравнимо больше, чем вероятность получить настоящий троян, который ещё и данные с паролями вытягивает. Уж лучше хотя бы так.
Да не лучше! От напасти есть три способа избавиться не напрягая никого по RFC: не ставить троянов или использовать роботсов на стороне сервера и запретить скрипты на стороне клиента. Неудобства связанные с защитой должны соответствовать уровню проблемы.

> Ничего не поделаешь, привет 21-му веку, вебдванолю и облакам.
Брейвик не на то себя потратил. Ну что ему стоило упомянуть жопоруких веб-дезигнеров, облака и вебдваноль в своём манифесте..

Ты еще не устал с этим школьником беседовать, который считает что заказчик анальных украшений должен разбираться скриптах, закладках, gpg ключиках и т.д ?)))

Кроме того, в сабжевом shopscript в админке даже специальное поле для счётчиков есть. Минимум движений - и троян уже на сайте. А если разработчики этого шопскрипта не сделают такое, то их продукт будет не так успешен, т.к. пользователь именно хочет простой вставки троянов, так как это модно и удобно.

>Даврвиновские процессы в экономике оставят на плаву те магазины, которые не жлобятся на нормальных специалистов.
Да хрен там. Они бы уже должны помереть, а их число только растёт. Проблема веба - низкий уровень вхождения, причем это верно для всех сторон. И для пользователей, и для вебмастеров, и для владельцев сайтов, и для разработчиков. В результате они все находят друг друга: кривой пхп код от школьников ставят на сайт люди, которые не отличают монитор от системного блока. А пользователи рассуждают "нам пох на приватность, пусть следят, у нас ничего секретного нет". Результат налицо.

>Хомячки с их анальными украшениями не должны понимать, они должны просто знать что не надо доверять сайтам с закладками третьей стороны и не надо разрешать скрипты в броузере.
Сначала надо им объяснить, что такое скрипт. Стараниями разработчиков произошло упрощение интерфейсов, и пользователи стали думать, что компьютер должен быть прост настолько, чтобы им мог пользоваться даже человек с половиной мозга. Если этим пользователям начать объяснять, что жизнь жестока, и такой простоты сейчас не добиться, то они начинают обвинять собеседника в красноглазии и в том, что он просто завидует. Мол, компьютер должен быть проще микроволновки, и мы ничего учить не будем.

Причем в других сферах всё лучше - нельзя быть директором обычного магазина, не понимая принципов торговли и без минимального знания законов. В инете же можно организовывать магазин, даже не понимая принципов работы интернета. Я когда-то два часа человеку объяснял, что размеры элементов сайта на экране компьютера не могут до миллиметров совпадать с размерами на распечатке дизайна. А он, точнее она, меряла экран линейкой прямо при мне. И это начальница крупного инет-магазина, которая решила залезть своими грязными руками в дизайн, мол, ей виднее.

>Хомячки с анальными украшениями должны знать, что кроме гугл-майла и гугл-офиса существуют ещё и другие способы хранения почты - например локально на своём собственном компьютере.
Неудобно же. Какие-то программы, логины, пароли.

>Да почему же? Настройкой почтового клиента и отправкой почты же как-то они овладели. Что мешает ещё и gpg ключик установить и использовать?
Если сделать gpg обязательным для исходящей почты магазина, то клиенты просто разбегутся. Ключики какие-то, жуть.

>Надо давать пользователям возможность выбора, я думаю. Для своих покупок я не настаивал бы на лишних наворотах ценой необходимости вводить какие-то пароли.
Разработчикам тогда придётся держать два куска кода, для простых юзеров и для продвинутых. При этом надо будет ещё сделать так, чтобы простой юзер не мог из-за глупости использовать продвинутый метод, иначе он отстрелит себе ногу.

>Как пример, существует практика проверки доставки почты по тракинговому номеру - любой может проверить состояние доставки по заданному номеру. И никто от этого ещё не умер. При этом куда удобнее передать URL прямо на страницу, чем заставлять людей искать по всему сайту - где именно они должны вбивать этот нумбер.
Пока да, всё удобно. Но последние события, видимо, заставят делать как минимум проверку через ввод фамилии или почту.

>И.. rfc 2616 не поможет от вебмастера включающего троянцев в страницы!
Он защитит от "официальных троянов", типа яндексовых и гугловых, которые хотя бы соблюдают правила игры. Вероятность напороться на такой троян несравнимо больше, чем вероятность получить настоящий троян, который ещё и данные с паролями вытягивает. Уж лучше хотя бы так.

>А яндекс очень удобная штука для централизованного давления на него: все вебмастеры зачем-то всталяют его троянцев
Ничего не поделаешь, привет 21-му веку, вебдванолю и облакам.

Ладно школоло, слив засчитан))) "из сотен покупок, сделанных мною в сети"))) Надо было написать "из стопятьсот покупок, сделанных мною в сети".)))

>> Ты школоло и еще ничего не покупал через интернет, либо ты где-то за бугром и делаешь покупки по кредитной карте с доставкой
> Не вижу что бы я мог ответить на это.
Ответил бы честно - "первый вариант".)))

> Для особо одаренных напомню, мы рассматриваем обычные отечественные магазины, аналогичные попаленным.
Да что уж там, давай рассматривать вообще только попаленные магазины. Для полноты картины. А то нехорошо как-то получается: на одном и том же движке какие-то магазины попалились, а остальные магазин на том же движке не попалились - какая-то неполная картина получается.

> Из твоего утверждения можно сделать следующий вывод. Ты школоло и еще ничего не покупал через интернет, либо ты где-то за бугром и делаешь покупки по кредитной карте с доставкой через DHL и etc. В первом случае с тобой всё ясно, иди делать уроки. Во втором ты рассуждаешь о вкусе омаров, которых никогда не пробовал, что тоже нам как бэ намекает.)))
Не вижу что бы я мог ответить на это.

> В такой ситуации разработчикам приходится принимать во внимание то, что пользователь-владелец магазина ничего не сделает в плане безопасности. И писать движок надо так, чтобы он был максимально дуракоустойчивым.
Даврвиновские процессы в экономике оставят на плаву те магазины, которые не жлобятся на нормальных специалистов.

> Потому что пользователь-клиент, который совершенно не обязан всё это понимать, не будет выяснять, нормально ли защищены его данные при покупке в магазине.
Хомячки с их анальными украшениями не должны понимать, они должны просто знать что не надо доверять сайтам с закладками третьей стороны и не надо разрешать скрипты в броузере. К сожалению именно об этом в новостных анонсах им не сообщают предпочитая валить с больной головы на здоровую (в этом ведь все заинтересованы: магазины отводят от себя стрелки, яндекс не хочет лишиться таких вкусных разведданных, вебмастера не хотятся сознаваться в том, что они идиоты).

> Кроме того, там же, на хабре, написали интересную вещь про то, что поисковики лезут даже по ссылкам в письмах
Хомячки с анальными украшениями должны знать, что кроме гугл-майла и гугл-офиса существуют ещё и другие способы хранения почты - например локально на своём собственном компьютере. А ещё есть gpg и pkcs которые можно использовать для шифрования почты. Где-нибудь в СМИ им расскажут об этом?

> А заставить пользователей шифровать письма или не пользоваться левыми почтовиками тем более не получится.
Да почему же? Настройкой почтового клиента и отправкой почты же как-то они овладели. Что мешает ещё и gpg ключик установить и использовать?

> Так что надо брать в руки rfc 2616 и делать так, как там написано: все важные данные только через авторизацию и POST.
Надо давать пользователям возможность выбора, я думаю. Для своих покупок я не настаивал бы на лишних наворотах ценой необходимости вводить какие-то пароли. Как пример, существует практика проверки доставки почты по тракинговому номеру - любой может проверить состояние доставки по заданному номеру. И никто от этого ещё не умер. При этом куда удобнее передать URL прямо на страницу, чем заставлять людей искать по всему сайту - где именно они должны вбивать этот нумбер.

И.. rfc 2616 не поможет от вебмастера включающего троянцев в страницы! Кто, например, мешает троянскому скрипту сдёрнуть контент страницы и аякснуть его своему хозяину? А яндекс очень удобная штука для централизованного давления на него: все вебмастеры зачем-то всталяют его троянцев. Т.е. кровавая гебня может просто попросить яндекс для некоторых пользователей отдавать немного другой скриптик - и всё. По всем сексшопам они замучаются бегать и убеждать, а вот убедить одну контору - не проблема. И фиг ты обнаружишь факт того, что изредка яндекс или кто-то ещё подкидывает тебе немного другой скрипт..

Из твоего утверждения можно сделать следующий вывод. Ты школоло и еще ничего не покупал через интернет, либо ты где-то за бугром и делаешь покупки по кредитной карте с доставкой через DHL и etc. В первом случае с тобой всё ясно, иди делать уроки. Во втором ты рассуждаешь о вкусе омаров, которых никогда не пробовал, что тоже нам как бэ намекает.)))

Но в реальности есть проблема того, что вебмастер либо не понимает даже разницы между доменным именем и хостингом, либо вообще отсутствует. Большинство этих интернет-магазинов ставятся без участвия какого-либо специалиста в принципе. То есть группа из пары человек подписывает договор со складом поставщиков и с курьерами, нанимает бухгалтера - и вот вам интернет-магазин. А сам движок покупается после недолгого поиска в гугле, и ставится через пхп-инсталлятор на сервере. Всё. Слово "троян" и нюансы этих открытых ссылок они не знают.

В такой ситуации разработчикам приходится принимать во внимание то, что пользователь-владелец магазина ничего не сделает в плане безопасности. И писать движок надо так, чтобы он был максимально дуракоустойчивым. Потому что пользователь-клиент, который совершенно не обязан всё это понимать, не будет выяснять, нормально ли защищены его данные при покупке в магазине. А значит, что о защите пользователя может позаботиться только автор движка, не надеясь на разум вебмастеров. Эдакая ответственность перед обществом, как бы это смешно не звучало. А если что-то сломается, то всё равно будут в первую очередь обвинять автора движка, что мы и видим сейчас.

Кроме того, там же, на хабре, написали интересную вещь про то, что поисковики лезут даже по ссылкам в письмах. А заставить пользователей шифровать письма или не пользоваться левыми почтовиками тем более не получится. Опсосы вообще все письма через свои smtp-серверы пересылают. А ведь есть ещё и провайдерские прокси, офисные прокси, яндекс-бары и т.д., которые в принципе не проконтролировать на стороне сервера.

Так что надо брать в руки rfc 2616 и делать так, как там написано: все важные данные только через авторизацию и POST.

> А шопскрипт - куча кривого быдлокода. Тем более заказ без регистрации можно делать с автоматической генерацией логина и пароля, как делает даже не менее быдлокодерский битрикс.
Я так понял по ссылке, что была задача сделать опцию при которой магазин предоставлял бы ссылку по которой можно проверить состояние заказа без лишних телодвижений - и такая опция нужна и полезна. И отлично работала бы, если бы веб-мастера не использовали троянский код третьей стороны (ну что стоит самому собирать свою статистику в своей базе!?). Лично мне было бы намного удобнее именно так работать с инет-магазинами, как у них сделано.

Наверное ничего бы не случилось если бы пользователи пользовались no-script'ом хотябэ. Я сказал "наверное" потому что я не уверен, предотвращает ли он закачки скрипта или только его выполнение. Если он не предотвращает закачки - яндекс или любая другая третья сторона, шпионский код которой внедрил ленивый веб-мастер, всё равно увидит реферрер. Поэтому я просто режу всю джавоскриптяную хуйню проксиком.

Вобщем я не вижу проблемы разработчика здесь. Есть проблема вебмастера - не надо внедрять мне на страницу шпионские закладки третьей стороны. Если я доверяю твоей фирме, это ещё не значит что я доверяю и тем, кому доверяешь ты.

Ты долбоём или притворяешься.? Или афтор этого поделия.

Я делая заказ на сайте могу назвать любую в принципе фамилию и забыть её через 3 мин. А вот номер телефона введу правильный, так как мне должны перезвонить для подтверждения заказа.

А шопскрипт - куча кривого быдлокода. Тем более заказ без регистрации можно делать с автоматической генерацией логина и пароля, как делает даже не менее быдлокодерский битрикс.

Админа, наверное, уже гноят в подвалах Лубянки. А то и вовсе того, за измену Родине.

Хотелось бы услышать мнение специалиста по данному вопросу. Если он конечно сильно не занят сейчас вычищением своего сайта.)))

Удалить успели, но гугля помнит))) Для тех не въехал - посмотрите на адрес сайта.

Кто следующий?)))

А вот что касается собственно мудаков - то в роли таковых оказываются вебмастера, которые зачем-то вешают на свои странички скрипты с третьей стороны. Зачем сексшопу нужно чтобы яндекс знал что человек там был? Они фаллоимитаторы продают или стукачами у яндекса работают?

В краце "я не я и жопа не моя он (Яндекс) сам пришел". Мне интересно, это же легко решалось проверкой куки и запросом телефона если куки нет.

Сейчас они в попыхах видимо включили подобную проверку, спрашивают фамилию. При этом виден маил заказчика. Ну и соответственно если у пользователя маил типа имя-фамилия@где.то, ничего не мешает ознакомиться со степенью его сексуального извращения.)))