作者 Loren Donelson - 产品经理

今天， AdSense for domains 中文正式发布了，所有中国的发布商现在就可以开始投放这种广告了！

您可以在帐户的“AdSense 设置”的产品列表中看到AdSense for domains 。


通过 AdSense for domains, 当用户访问空域名时，就可以看到相关的信息，而不是空白页或“网页无法打开”。现在我们可以在页面上展示相关广告、链接、和搜索结果，将来会添加更多信息。 为了保证良好的用户体验，我们会监督网站是否遵守政策。

如果您想学习更多关于AdSense for domains 的介绍，请访问我们的帮助中心。

发表者: Jason Morrison, 搜索质量组

原文：Open redirect URLs: Is your site being abused?
发表于：2009年1月30日星期五，下午5:17

没有人愿意被恶意软件或网络垃圾侵扰，这正是我们都乐意遵守网站安全运营推荐方法的原因。但是否有一种方式能让网络垃圾制造者无需在您的服务器中设置虚拟脚本就可以利用您的网站呢？ 的确有，那就是通过滥用开放重定向网址。

网站管理员们经常会面对诸多需要帮助用户重定向到其他页面的情况。不幸的是，对任意目的地开放的重定向很可能被滥用。这是一个防不胜防的滥用形式，因为它充分利用了您网站的功能，而不是利用您网站的潜在缺陷或安全漏洞。网络垃圾制造者试图利用您的域名作为临时登陆页以将用户、搜索用户和搜索引擎诱骗到看似指向您的网站，实际上却重定向到其垃圾网站的链接。

我们正在努力把滥用网址排除在我们的索引之外，但从您的角度确保您的网站没有以这种方式被滥用也是非常重要的。您一定不希望您域名上的链接把用户带到一些充斥着色情图片、恼人病毒、恶意软件以及欺骗性企图的网页上来。网络垃圾制造者会生成链接，并使之出现在搜索结果中，而这些链接往往指向那些您不想与之有任何瓜葛的垃圾网站。

最近这种滥用比较普遍，所以我们想让您和其他网站管理员们对此有所了解。首先，我们将举出一些重定向被滥用的例子，随后我们将探讨如何发现被滥用的网站以及如何对此进行处理。

被网络垃圾制造者滥用的重定向
我们注意到，网络垃圾制造者盯上了从大型知名企业到小型地方政府机构在内的各类网站。下面的列表是各种被广泛使用的重定向的示例。这些都是合法的技术手段，但如果这些技术手段也正在您的网站上被应用的话，您要谨防滥用的发生。

• 将用户重定向到服务器某一文件（如PDF文件）的脚本有时会很脆弱，容易被恶意利用。如果您使用的是可以上传文件的内容管理系统（ CMS ） ，您应该确认您网站下载区的链接是直接指向文件而不是通过重定向来指向的。请留意这样的链接形式：

example.com/go.php?url=
example.com/ie/ie40/download/?

• 网站的内部搜索结果页上有时有自动重定向选项，这也比较容易被恶意利用。请留意下面形式的网址，它们会将用户自动重定向到“url="后所跟的网址上：

• 跟踪点击量的联盟计划系统、广告程序或网站统计信息也是有被滥用危险的。示例网址包括：
  

• 代理网站，虽然这不完全是技术上的重定向，但它被设计成帮助用户登录其他网站，因此也比较容易遭到滥用。包括用于学校和图书馆的代理网站。例如：

proxy.example.com/?url=

• 在某些情况下，登录页会将用户重定向回他们登录前试图访问的页面，而这也是容易遭恶意利用的。请留意类似这样的网址参数：

example.com/login?url=

• 用户离开网站时向用户提供信息的缓冲网页的脚本易被滥用。大量的教育机构，政府部门以及大型企业的网站采用这样的脚本来让告知用户，您正在离开本站而前往访问外部网站上的信息，例如以下网址模式：
  

我的网站被恶意利用了么？
除了上述网址实例外，您的网站还有可能开放了其他重定向方式。即使您本身不是网站程序开发人员，还是有许多简单易行的方法可以检查您的网站是否有被恶意利用的危险：

• 检查被滥用的网址是否在谷歌搜索结果中出现。尝试在搜索框中输入[site:您的域名]搜索您的网站，看看是否有您不熟悉的内容出现在搜索结果中。您还可以在搜索词中输入一些按理说不应出现在您内容中的关键词，如商业意味非常重的词汇或是某些色情词汇。正常情况下，搜索[site:您的域名 某色情词汇]应该没有结果，但如果您搜索到结果的话，那么您就应该提高警惕了。您可以使用谷歌快讯进行自动搜索检查。

• 您也可以留意显示在网站管理员工具热门搜索查询中的看起来不太正常的搜索词。如果您的网站是关于家族谱系学的，但在搜索查询中却大量出现色情、博彩等词汇，那么这可能是一个危险的信号。另一方面，如果您有一个药物信息的网站，如果某名人的名字频繁出现在您的热门查询中，那么这也是不太正常的。请密切留意网站管理员工具消息中心中来自谷歌的任何信息。

• 检查您的服务器日志或网络分析软件包，看看有没有陌生网址参数(比如 "=http:" 或 "=//")或某段时间某一重定向网址的访问量突然增大的情况。您也可以在网站管理员工具中查看含有外部链接的网页。

• 如果有用户抱怨您网站的有不良内容或恶意软件，而您又能极为肯定您的网站肯定不存在这些问题的话，那么您也应该提高警惕。您的用户可能被您域名上的某些网址带到了含有恶意内容的其他网站上，而误以为这些内容是属于您的网站的。

我可以做些什么呢？
遗憾的是，没有一种简单的方法能百分之百地确定您的重定向没有被恶意利用。一个开放的重定向本身不是一个缺陷或安全漏洞，对一些用户来说，重定向需要保持相对开放。但也有一些事情您是可以做的，以防止您的重定向被滥用，或者至少使它们不那么容易成为恶意利用的目标，其中有些可能不是那么简单，您可能需要编写一些自定义代码，或是与您的供应商沟通看看能否使用给系统软件打补丁的方式解决。

• 改变重定向代码，增加检查referer的环节。因为在大多数情况下，每个对重定向脚本的合法访问和使用都应当通过您的网站，而不是搜索引擎或其他地方。您可能需要多一些理解，因为一些用户的浏览器可能不会发送referer信息，但如果您发现有用户来自外部网站，您可以予以阻止或警告。

• 如果您的脚本本意只是向用户发送内部网页或文件（例如，文件下载的网页） ，您应该明确禁止任何指向外部的重定向。

• 考虑制定一个安全目的地网站的名单。在这种情况下，您的代码将记录所有向外重定向的链接，然后在向用户进行重定向之前先根据这个名单进行检查以确保重定向目的地是一个合法的经您许可的网站。

• 将您的重定向签名加密。如果您的网站确实需要提供网址重定向，您可以将目标网址打散，并将加密签名作为另外一个参数包含在实施重定向的网址上。这可以使您的网站在做重定向时无需向公众开放你的网址转向器。

• 如果重定向功能对您的网站来说可有可无，那么建议您还是禁用或取消重定向功能。我们经常发现，对很多网站来说，网络垃圾制造者是这些网站重定向功能的唯一使用者，这仅仅是因为网站建设初期这项功能被默认为启用，而您对此毫无察觉。

• 使用robots.txt将搜索引擎排除在网站重定向脚本之外。尽管这不能完全解决问题，因为攻击者仍然可以在垃圾邮件中使用您的域名，但这样做可以使您的网站不那么容易成为黑客的攻击目标，而且用户也不会被搜索结果中的恶意重定向网址欺骗。如果您的重定向脚本与其他脚本保存在同一个子文件夹里，而且另外的脚本也没有必要出现在搜索结果中的话，建议您将包含脚本的整个子目录对搜索引擎封闭，这将增加攻击者找到您脚本的难度，从而起到保护作用。

• 您也可以使用网站管理员工具移除那些被恶意利用的网址。但是，网络垃圾制造者可能还攻击、滥用了其他网站，并产生了大量指向您网站上垃圾网址的链接。如果您看到可疑的网站或垃圾论坛链接到您的网站，可以随时向我们举报网络垃圾，当然我们更欢迎您注册网站管理员工具并提交经过身份验证的垃圾网站举报。

目前，开放重定向的滥用成为一个越来越严重的问题，我们认为，如果更多的网站管理员对此有所了解，就会使攻击者恶意利用的行为变得愈加困难。欢迎您在文后或网站管理员支持论坛中发表您在这方面的心得体会。

发表者: Jason Morrison, 搜索质量组

原文：Open redirect URLs: Is your site being abused?
发表于：2009年1月30日星期五，下午5:17

没有人愿意被恶意软件或网络垃圾侵扰，这正是我们都乐意遵守网站安全运营推荐方法的原因。但是否有一种方式能让网络垃圾制造者无需在您的服务器中设置虚拟脚本就可以利用您的网站呢？ 的确有，那就是通过滥用开放重定向网址。

网站管理员们经常会面对诸多需要帮助用户重定向到其他页面的情况。不幸的是，对任意目的地开放的重定向很可能被滥用。这是一个防不胜防的滥用形式，因为它充分利用了您网站的功能，而不是利用您网站的潜在缺陷或安全漏洞。网络垃圾制造者试图利用您的域名作为临时登陆页以将用户、搜索用户和搜索引擎诱骗到看似指向您的网站，实际上却重定向到其垃圾网站的链接。

我们正在努力把滥用网址排除在我们的索引之外，但从您的角度确保您的网站没有以这种方式被滥用也是非常重要的。您一定不希望您域名上的链接把用户带到一些充斥着色情图片、恼人病毒、恶意软件以及欺骗性企图的网页上来。网络垃圾制造者会生成链接，并使之出现在搜索结果中，而这些链接往往指向那些您不想与之有任何瓜葛的垃圾网站。

最近这种滥用比较普遍，所以我们想让您和其他网站管理员们对此有所了解。首先，我们将举出一些重定向被滥用的例子，随后我们将探讨如何发现被滥用的网站以及如何对此进行处理。

被网络垃圾制造者滥用的重定向
我们注意到，网络垃圾制造者盯上了从大型知名企业到小型地方政府机构在内的各类网站。下面的列表是各种被广泛使用的重定向的示例。这些都是合法的技术手段，但如果这些技术手段也正在您的网站上被应用的话，您要谨防滥用的发生。

• 将用户重定向到服务器某一文件（如PDF文件）的脚本有时会很脆弱，容易被恶意利用。如果您使用的是可以上传文件的内容管理系统（ CMS ） ，您应该确认您网站下载区的链接是直接指向文件而不是通过重定向来指向的。请留意这样的链接形式：

example.com/go.php?url=
example.com/ie/ie40/download/?

• 网站的内部搜索结果页上有时有自动重定向选项，这也比较容易被恶意利用。请留意下面形式的网址，它们会将用户自动重定向到“url="后所跟的网址上：

• 跟踪点击量的联盟计划系统、广告程序或网站统计信息也是有被滥用危险的。示例网址包括：
  

• 代理网站，虽然这不完全是技术上的重定向，但它被设计成帮助用户登录其他网站，因此也比较容易遭到滥用。包括用于学校和图书馆的代理网站。例如：

proxy.example.com/?url=

• 在某些情况下，登录页会将用户重定向回他们登录前试图访问的页面，而这也是容易遭恶意利用的。请留意类似这样的网址参数：

example.com/login?url=

• 用户离开网站时向用户提供信息的缓冲网页的脚本易被滥用。大量的教育机构，政府部门以及大型企业的网站采用这样的脚本来让告知用户，您正在离开本站而前往访问外部网站上的信息，例如以下网址模式：
  

我的网站被恶意利用了么？
除了上述网址实例外，您的网站还有可能开放了其他重定向方式。即使您本身不是网站程序开发人员，还是有许多简单易行的方法可以检查您的网站是否有被恶意利用的危险：

• 检查被滥用的网址是否在谷歌搜索结果中出现。尝试在搜索框中输入[site:您的域名]搜索您的网站，看看是否有您不熟悉的内容出现在搜索结果中。您还可以在搜索词中输入一些按理说不应出现在您内容中的关键词，如商业意味非常重的词汇或是某些色情词汇。正常情况下，搜索[site:您的域名 某色情词汇]应该没有结果，但如果您搜索到结果的话，那么您就应该提高警惕了。您可以使用谷歌快讯进行自动搜索检查。

• 您也可以留意显示在网站管理员工具热门搜索查询中的看起来不太正常的搜索词。如果您的网站是关于家族谱系学的，但在搜索查询中却大量出现色情、博彩等词汇，那么这可能是一个危险的信号。另一方面，如果您有一个药物信息的网站，如果某名人的名字频繁出现在您的热门查询中，那么这也是不太正常的。请密切留意网站管理员工具消息中心中来自谷歌的任何信息。

• 检查您的服务器日志或网络分析软件包，看看有没有陌生网址参数(比如 "=http:" 或 "=//")或某段时间某一重定向网址的访问量突然增大的情况。您也可以在网站管理员工具中查看含有外部链接的网页。

• 如果有用户抱怨您网站的有不良内容或恶意软件，而您又能极为肯定您的网站肯定不存在这些问题的话，那么您也应该提高警惕。您的用户可能被您域名上的某些网址带到了含有恶意内容的其他网站上，而误以为这些内容是属于您的网站的。

我可以做些什么呢？
遗憾的是，没有一种简单的方法能百分之百地确定您的重定向没有被恶意利用。一个开放的重定向本身不是一个缺陷或安全漏洞，对一些用户来说，重定向需要保持相对开放。但也有一些事情您是可以做的，以防止您的重定向被滥用，或者至少使它们不那么容易成为恶意利用的目标，其中有些可能不是那么简单，您可能需要编写一些自定义代码，或是与您的供应商沟通看看能否使用给系统软件打补丁的方式解决。

• 改变重定向代码，增加检查referer的环节。因为在大多数情况下，每个对重定向脚本的合法访问和使用都应当通过您的网站，而不是搜索引擎或其他地方。您可能需要多一些理解，因为一些用户的浏览器可能不会发送referer信息，但如果您发现有用户来自外部网站，您可以予以阻止或警告。

• 如果您的脚本本意只是向用户发送内部网页或文件（例如，文件下载的网页） ，您应该明确禁止任何指向外部的重定向。

• 考虑制定一个安全目的地网站的名单。在这种情况下，您的代码将记录所有向外重定向的链接，然后在向用户进行重定向之前先根据这个名单进行检查以确保重定向目的地是一个合法的经您许可的网站。

• 将您的重定向签名加密。如果您的网站确实需要提供网址重定向，您可以将目标网址打散，并将加密签名作为另外一个参数包含在实施重定向的网址上。这可以使您的网站在做重定向时无需向公众开放你的网址转向器。

• 如果重定向功能对您的网站来说可有可无，那么建议您还是禁用或取消重定向功能。我们经常发现，对很多网站来说，网络垃圾制造者是这些网站重定向功能的唯一使用者，这仅仅是因为网站建设初期这项功能被默认为启用，而您对此毫无察觉。

• 使用robots.txt将搜索引擎排除在网站重定向脚本之外。尽管这不能完全解决问题，因为攻击者仍然可以在垃圾邮件中使用您的域名，但这样做可以使您的网站不那么容易成为黑客的攻击目标，而且用户也不会被搜索结果中的恶意重定向网址欺骗。如果您的重定向脚本与其他脚本保存在同一个子文件夹里，而且另外的脚本也没有必要出现在搜索结果中的话，建议您将包含脚本的整个子目录对搜索引擎封闭，这将增加攻击者找到您脚本的难度，从而起到保护作用。

• 您也可以使用网站管理员工具移除那些被恶意利用的网址。但是，网络垃圾制造者可能还攻击、滥用了其他网站，并产生了大量指向您网站上垃圾网址的链接。如果您看到可疑的网站或垃圾论坛链接到您的网站，可以随时向我们举报网络垃圾，当然我们更欢迎您注册网站管理员工具并提交经过身份验证的垃圾网站举报。

目前，开放重定向的滥用成为一个越来越严重的问题，我们认为，如果更多的网站管理员对此有所了解，就会使攻击者恶意利用的行为变得愈加困难。欢迎您在文后或网站管理员支持论坛中发表您在这方面的心得体会。

最近很多人提到《罗伯特议事规则》（Robert's Rules of Order）。说来这确实是一本必读书。我第一次知道这本书是因为托福教学。TOEFL考试1997年8月分有一道语法填空题目（现在的TOEFL考试已经没有“语法部分”了）：

Following the guidelines for speaking and voting established by the book Robert's Rules of Order, _____ during meetings.

(A) and avoid large decision-making organizations' procedural confusion
(B) large decision-making organizations avoid procedural confusion
(C) is procedural confusion avoided by large decision-making organizations
(D) are avoiding procedural confusion in large decision-making organizations

Answer: (B) 题解：逗号前面是一个分词结构，即状语成分，于是，逗号后面应该是个完整的句子——只有(B)选项才满足条件。

话说六七年前，GOOGLE已经很好用了，只不过可供搜索的文本跟今天来比实在是太少——那时候还没有WikiPedia.org。七拐八拐，好奇心使我终于找到一些关于这本书的介绍（那个时候还没有RapidShare之类的网站，电子版的书籍可以找到的并不多），只是大抵上知道这是一位毕业于西点军校的美军将领（写书时还只不过是中尉，后来成了将军）亨利·马丁·罗伯特（HENRY M. ROBERT）在1876年为民间团体参照美国众议院的议事规则编写的议事规则。孙中山先生曾经根据该书编写了《民权初步》^[1] 。

罗伯特出版这本书并不容易。为了出版，他不得不答应出版商苛刻的条件：自己先出钱买1000本送给国会议员、律师、教授等大名鼎鼎的人物。1876 年2月19日，罗伯特的《议事规则袖珍手册》（Pocket Manual of Rules of Order）正式出版，大为畅销。到1915年，已经带有将军头衔的罗伯特出版了修订版，书名正式叫做《罗伯特议事规则》。此间，这本书卖出了两百多万册。

目前官方网站正在销售的是该书的第十版（CD-ROM版，可搜索电子文本）。1995年11月1日，商务印书馆出版了该书的中译版（王宏昌译），当时定价才9元人民币。

在gutenberg.org上，可以找到此书的英文原版（txt文件，大约170页）。而在RapidShare上，可以找到Wiley Publishing, Inc.出版的另外一个版本（英文版，1.4M，pdf格式，近400页）：Robert’s Rules of Order: Simplified and Applied, 2nd edition (2001）。

其实，每个人都应该读这本书。无论是大企业老板，还是小团队成员，抑或是一位论坛版主。

---

以下是从verycd.com上拷贝的中文简介(verycd.com上有中文版pdf下载，感谢kent提供链接）：

罗伯特议事规则的内容非常详细，包罗万象，有专门讲主持会议的主席的规则，有针对会议秘书的规则，当然大量是有关普通与会者的规则，有针对不同意见的提出和表达的规则，有关辩论的规则，还有非常重要的、不同情况下的表决规则。

有一些细节规则后面的逻辑原则是十分有意思的。比如，有关动议、附议、反对和表决的一些规则是为了避免争执。原则上，现在在美国的国会、法院和大大小小的会议上，在规范的制约下，是不允许争执的。如果一个人对某动议有不同意见，怎么办呢？他首先必须想到的是，按照规则是不是还有他的发言时间以及是什么时候。其次，当他表达自己的不同意见时，要向会议主持者说话，而不能向意见不同的对手说话。在不同意见的对手之间的你来我往的对话，是规则所禁止的。

在国会辩论的时候就是这样。说是辩论，不同意见的议员在规定的时间里，名义上是在向主持的议长或委员会主席说话，而不能向自己的对手"叫板"。自己发言的时候拖堂延时，或者强行要求发言，或者在别人发言的时候插嘴打断，都是不允许的。

在美国的法庭上也是这样，当事双方的律师是不能直接对话的，因为一对话必吵无疑，法庭就会变成吵架的场所。规则规定，律师只能和法官对话，向陪审团呈示证据；而陪审团按照规则自始至终是"哑巴"。不同观点和不同利益之间的针锋相对，就是这样在规则的约束下，间接地实现的。

像议事规则这样的技术细节，对于美国这样的多元化而又强调个人自由、人人平等的国家是非常重要的，是民主得以实现的必要条件。否则的话，如果发生分歧就互不相让，各持己见，争吵得不亦乐乎，很可能永远达不成统一的决议，什么事也办不成。即使能够得出可行的结果，效率也将十分低下。罗伯特议事规则，就像一部设计良好的机器一样，能够有条不紊地让各种意见得以表达，用规则来压制各自内心私利的膨胀冲动，求同存异，然后按照规则表决。这种规则及所设计的操作程序，既保障了民主，也保障了效率。

罗伯特议事规则是在洞彻人性的基础上，经过精心琢磨而设计的。正是这种对细节把握得精致完美的规则，才最大化地实现了公平与效率。

---

Footnotes:

1. 《建国方略》总计三本书，此为其中之一；其他两本分别是《孙文学说》与《实业计划》；其中《实业计划》原以英文发表