Concept :

La première apparition de ces failles dateraient de début 2004, nous l'avons constaté début Février 04. Trés vite, il semblait que faire des redirections sauvages vers d'autres sites avaient pour conséquence de générer des comportements étranges de Googlebot et des pages de résultats de Google. Tous les types de redirections sont concernées :

  • Redirection 301 : Moved Permanently
  • Redirection 302 : Moved Temporarily
  • Meta-Refresh à 0 secondes
  • Iframes, frames et javascript

Chacune de ces redirections selon la popularité de la page émettrice de la redirection peut avoir des conséquences énormes sur la cible de la redirection.

Le mot pagerank aujourd'hui ne signifie plus grand chose, ou si justement, il a désormais plusieurs significations qu'il faut bien distinguer :

  • le pagerank affiché dans le navigateur via l'obtention de votre checksum (ie ou ff) : il correspond plus à un indice de crawl ou un vieux pagerank qui ne serait plus remis à jour que de manière sporadique.
  • le pagerank du directory Google, soit Dmoz.
  • le pagerank 'réel', celui utilisé par Google de manière caché dans son algorithme de classement.
Impact sur les OR's :

COOL   PAS COOL
Pour indexer un nouveau site, si on commence par obtenir le PR10, et qu'on l'enleve une fois obtenu, il semblerait que les nouveaux sites en cause ne subissent pas l'effet sandbox. Les positionnements sont à portée de main dès les premiers jours.   Permet de faire disparaître un concurrent qui a une popularité moins élevée que la page comportant la redirection. (Peut aussi être considérée comme un avantage :p)
Avoir un site PR10 pour trouver une copine .. :p   Certains types de redirections permettent de switcher les positions avec celles de son concurrent. Ainsi, un concurrent mieux placé que vous sur certaines requêtes serait 'atomisables' avec une simple redirection.
Nous n'avons et ne voulons pas tester cela, mais que se passerait-il si nous placions un robots.txt Disallow: / à la racine de notre site PR10 (pointé sur Google.com et ensuite partions sur Google Remove pour mettre à jour ce robots.txt en 24H ? Google s'auto-déréférencerait-il ?   Dans le cadre d'échange de liens, n'importe qui peut donc simuler des sites avec un PR5,6,7 ou 8 pour être plus discret et négocier à son avantage des liens plus intéressants .. A en voir l'attitude de certains webmasters préférant se concentrer sur le PR plutôt que sur le contenu, il va être d'autant plus important désormais de vérifier le bon PR du site directement dans Google et sans croire le webmaster-pirate.

Certaines techniques que nous avons imaginé n'ont pas encore été testé, les seules conséquences immédiates ont été de supprimer les pages du site www.pr10.darkseoteam.com prévues pour obtenir un PR4, PR3, PR2, PR2 et PR0. Ces pages ayant un PR faible, nous étions susceptibles de les faire disparaître pendant le test, raison pour laquelle nous les avons supprimées.

En terme de crawl et de passage des robots Google, celle ci correspond toujours à la fréquence de votre vrai site. Une page PR10 ne sera pas plus crawlée ou mieux indexée. Les pages linkées ne recoivent aucune transmission du PR10 puisque comme vous le voyez dans le script joint, nous simulons simplement le fait d'être un autre site, et dans notre cas, nous avons au final fait croire à Google .. que nous étions Google (comme a pu trés bien remarquer Sam ;-) ).

D'aprés nos observations, il semblerait que la balise meta-refresh pertube également Yahoo! qui lui aussi commence à perdre la tête lors de commandes de type :
site:site1.com qui affiche dans la liste des résultats des pages du site1 l'url de www.site2.com vers lequel site1 a fait une redirection (c'est clair ? ;p)

Aux questions vues sur les forums, comment pourrait on alors exploiter ce bug, la solution réside certainement dans le fait de pouvoir sortir aprés ce 'trick' de la sandbox et de pouvoir afficher le PR souhaité à sa guise et à volonté. Cependant, ses conséquences néfastes sont de plus en plus répandues.
Nous ne sommes pas en effet les premiers au courant, et déjà de nombreux webmasters s'amusent de ce type de conséquences, comme d'autres qui les utilise sans connaître les réelles conséquences. Un carton rouge et une mention exécrable sera cependant décernée à certaintes grandes sociétés d'affiliation qui travaillent uniquement à partir de ce type de redirections, et qui en profitent largement pour positionner leur lien de redirection (sous pretexte de ne pas maîtriser ce phénomène).
Le danger est grand pour chacun des acteurs du web, webmasters, entreprises, sociétés de services, etc, chacune est soumise au bon vouloir de Google qui décide alors à quelle page il doit attribuer le contenu des redirections.

La mention A BANNIR et la plus dangeureuse observée en terme de 'vol' de pagerank et de position est cependant décernée aux meta-refresh et aux groupes Iframes, frames et javascrip qui permettent carrément le pire et qui semble irréversible pour le moment. Les redirections 301 et 302 sont certes tout aussi dangereuses, mais lors du retrait des redirections, la situation revient à la normale aprés un certain laps de temps

Nous vous avons suffisamment fait attendre, voici le code utilisé :

<?php
// Dark Seo Team Powered
Cloakin' Stuff // -> MakeYouWorkALittle (-;
if (GooglebotStealMyPage&Content)
{       // Code only for Google

	header("Status: 301 Moved Permanently");
	header("Location: http://www.google.com"); 
	exit();

}
else {
echo "I Steal His PR""; // visual page for all
// copy here all cool stuff u want
}
?>

Related links : http://www.pandia.com/sw-2004/40-hijack.html (us)

Credits : thanks to Seroundtable, Seo Chat, Philippe, Namepros, Seo Guy and all our spanish friends but too : fr, co.uk, .ru, .po, .ro, .jp, .dk .. to talk about our project and our team on your forum. We are very impressed of all about that.

Keep the line up !

++++++++++++++++++++++++++++++++++
Stuff Brainstormed By search engine hackers :
Vuln, Balmung, Noarchive, MrNice, Referer, Alexandra, Abendigo and Beslou.