?

Log in

Дорогой Мегафон, блядь - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Дорогой Мегафон, блядь [Jul. 19th, 2011|11:49 pm]
ArkanoiD
отъебись от Яндекса, а? Не надо ссать в уши, что информация "оказалось доступной в поисковых системах"? Информация оказалась доступной НА САЙТЕ МЕГАФОНА, конец дискуссии. Надеюсь все-таки вам вкатят коллективный иск, заодно и за прочую бредятину ответите.

Ошибки бывают у всех, но вот за базаром следить надо. Нет ничего омерзительнее гнилых отмазок.

Дело поисковой системы сугубо телячье: индексировать информацию, находящуюся в открытом доступе. Любые попытки возложить на нее функции цензуры и неестественного интеллекта являются вредоносным ебанизмом и психическим отклонением.
linkReply

Comments:
[User Picture]From: igorbasic
2011-07-19 07:52 pm (UTC)
на сайте мегафона эта информация была доступна только отправителю
(Reply) (Thread)
[User Picture]From: wizzard0
2011-07-19 07:54 pm (UTC)
не, ну разработчики из мегафона явно так считали, да. а как они делали - это уже другой вопрос.
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: dil
2011-07-19 07:53 pm (UTC)
(Reply) (Thread)
[User Picture]From: 1master
2011-07-19 07:59 pm (UTC)
Кстати, приостановка лицензии по подобному поводу не повредила бы телеком рынку вцелом.
(Reply) (Parent) (Thread)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
[User Picture]From: f_andrey
2011-07-19 07:57 pm (UTC)
Да, полный белый полярный зверёк.
Но боюсь что у мегафона может прокатить с этим переводом стрелок, уж очень у нас эффективные менеджеры кругом.
(Reply) (Thread)
[User Picture]From: ohtori
2011-07-20 09:15 pm (UTC)
Думаю, менеджеры Яндекса переэффективят менеджеров Мегафона.
(Reply) (Parent) (Thread)
(Deleted comment)
From: (Anonymous)
2011-07-19 07:58 pm (UTC)
а это ничего, что в кэше других поисковых систем никаких смс не обнаруживается? оба хороши, чё. один передаёт всё, что можно, через GET, другой своим тулбаром индексирует всё, до чего дотянется.
(Reply) (Thread)
[User Picture]From: dil
2011-07-19 08:06 pm (UTC)
"индексирует своим тулбаром" - это достойно занесения в анналы. Или, точнее, в аналы.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: ignik
2011-07-19 08:06 pm (UTC)
Шутка в том, что "в удобном виде" информация оказалась доступной в поисковой системе. Законодатель наделяет поисковую систему естественным интеллектом. Ибо она должна думать, что показывает.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-07-19 08:07 pm (UTC)
Я увидел надпись на заборе и прочитал с выражением. Я виноват?
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: za1chas
2011-07-19 08:17 pm (UTC)

Не надо так категорично

Факт в том, что некую одноразовую ссылку вида:

http://site.domain/script?num=9166801685&name=Vasya&test=Котенок,_я_тибя_люблю!

ни один поисковик мира САМ СЛУЧАЙНО не найдет. Ему надо ее показать.

А показывал ему ссылки - установленный у пользователя Яндекс.Бар. Это нормальная практика, подглядывать ссылки пользователя, сигналить о них поисковику и затем направлять робота. Гугль тоже так "подглядывает", без этого невозможна сегодня оперативная индексация контента - ты же не просканируешь раз в сутки заново весь контент интернета, чтобы узнать, что появились три ссылки на новый пост Васи Пупкина, и так узнать о его существовании. Нет, все поисковики так или иначе "подглядывают" через рефференсы, через специальный софт пользователя, через свои браузеры (зачем Гугль Хром сделал).

Но факт в том, что попали в базу Яндекса ТОЛЬКО те пользователи, у которых был установлен Яндекс.Бар. Их было немного. Остальные, у кого не был установлен - их SMS никто не нашел. Это факт.

Разумеется, формально Яндекс тут не виноват - следовало закрывать эти ссылки от посторонних хотя бы по ip, кукам или иными способами. Кроме того, надо было положить robots.txt (хотя теоретически в мире может существовать другой поисковик, которому на этот robots.txt искренне насрать). Все это так.

Но избавиться от факта, что утечка произошла только у тех пользователей, которые себе установили "шпионский" инструмент от Яндекса - от этого факта никуда не денешься. И, строго говоря, НИГДЕ в документации на Яндекс.Бар не указано, что он отправляет своему хозяину данные о посещенных ссылках, чтобы тот побыстрее послал робота сканировать свежачок.

Еще раз повторяю: я не оправдываю распиздяев из Мегафона. Я не упрекаю Яндекс - я его люблю нежно и давно. Если ты помнишь, я активно спорил с тобой, когда ты ворчал, что Яндекс тайно хранит флэшкуки. Я говорил, что это нормально, и даже сам тут же сделал себе такое же в дневнике. Я считаю, что и с Яндекс.Баром все нормально.

Но в данном случае та же ситуация, и она спорная. Потому что найдутся люди¸ которые будут возмущены тем, что Яндекс тайно и без уведомления подглядывает посещенные ими ссылки. Особенно возмутятся те люди, у которых благодаря этому "шпионскому софту" уплыли в индексацию СМС.

Так что проблема есть, и она не так однозначна.
(Reply) (Thread)
[User Picture]From: arkanoid
2011-07-19 08:21 pm (UTC)

Re: Не надо так категорично

Это Пермь, там по-моему немного другая история. Хотя и не менее занятная.

Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте и загружаемых файлах, до момента отключения указанной функции.

Это, однако ж, не называется "без уведомления" :-)


Edited at 2011-07-19 08:26 pm (UTC)
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
[User Picture]From: za1chas
2011-07-19 08:22 pm (UTC)

Арканоид, не свисти :)

Тебе напомнить твой же возмущенный пост? Напомню:

http://arkanoid.livejournal.com/279422.html

:)))
(Reply) (Thread)
[User Picture]From: amarao_san
2011-07-19 08:32 pm (UTC)
А ведь они об этом давно предупреждали - "Найдётся всё. Со временем.". Вот и нашлось.
(Reply) (Thread)
(Deleted comment)
[User Picture]From: yakov_sirotkin
2011-07-19 08:54 pm (UTC)
Я считаю, что прогрессивная общественность должна сказать Яндексу спасибо, что эта уязвимость бала найдена на случайных данных и получила широкую огласку. Урлы посещённых сайтов могут много куда записываться и читать их может не только Яндекс.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(no subject) - (Anonymous) Expand
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
(Deleted comment)
[User Picture]From: fallfox13
2011-07-19 08:46 pm (UTC)
Плюс много *остальное убрано за цензурой*
(Reply) (Thread)
[User Picture]From: deka
2011-07-19 11:35 pm (UTC)
Лень искать "по камментам" -- а тебе знаком червяк по имени "яндекс-бар-агент"?
(Reply) (Thread)
[User Picture]From: _teemon_
2011-07-20 03:49 am (UTC)
А поггомы будут?
(Reply) (Thread)
[User Picture]From: ohtori
2011-07-20 09:18 pm (UTC)
Хорошо бы.
(Reply) (Parent) (Thread)
From: dmzlj
2011-07-20 04:29 am (UTC)
Как бы не оказалось, что это происходит из-за какого-нибудь Яндекс.Бара (он что, индексирует вообще весь контент юзера?),

т.е. даже в случае самой тупой веб-разработки неясно, как эти данные могли в принципе оказаться доступны поисковику --- это можно было сделать только специально, и для этого напрячься.

Соответственно, те, кто использует всякие Яндекс.Бары (а еще --- всякие плагины ко всяким хромам и файрфоксам) потенциально подставляется.
(Reply) (Thread)
[User Picture]From: vikarti
2011-07-20 08:49 am (UTC)

кстати о барах

Есть еще такая штука как YaCy(и ей подобные)(P2P Search Engine) - там вообще один из штатных режимов-индексировать(она ставится как прокси/транспарент прокси) все что читает пользователь(или пользователи если настраивал админ фирмы(редкая конфигурация но предусмотренная)
(если это не https,если нет кук в запросе,etc) и потом к этим доступ у скажем так у всех кому хочется. И убрать такие данные из кеша...ну скажем так весьма сложно

(Reply) (Parent) (Thread)
[User Picture]From: thesonofliberty
2011-07-20 05:54 am (UTC)

главное

первая реакция мегафона оказалась предсказуемой и показательной - переложить ответственность
(Reply) (Thread)
[User Picture]From: Михаил Евменов
2011-07-20 07:27 am (UTC)

Re: главное

а вот и вторая реакция:

Произошедший инцидент наглядно демонстрирует, что защита информации в Интернете – сфера совместной ответственности всех участников Интернет-взаимодействия, имеющих отношение к работе с данными

она тоже оказалась предсказуемой и показательной
(Reply) (Parent) (Thread)
[User Picture]From: norian
2011-07-20 06:20 am (UTC)
ппкс (с)

(Reply) (Thread)
From: karpion
2011-07-20 07:25 am (UTC)
Есть гипотеза: на странице с СМСками был счётчик посещений Яндекса, и этот счётчик по X-ref знал, какие страницы посещает браузер. Ну счётчик и сдал URLы поисковику, а поисковик проиндесивровал эти страницы.
(Reply) (Thread)
[User Picture]From: ohtori
2011-07-21 10:00 am (UTC)
Правдоподобно: или счётчик, или бар.

В любом случае, вопросом "кто нас сдал?" задаются только лузеры. :-) Если что-то лежит на сайте, оно будет распубликовано, это уж - - -
(Reply) (Parent) (Thread)
[User Picture]From: pfyfxrf
2011-07-20 08:00 am (UTC)
кстати помимо robots.txt есть ещё такая штука как клоакинг то бишь отдавание разных страничек в зависимости от юзер-агента их запрашивающго.
но походу программеры мегафона про это тоже не в курсе.
а вообще хранить текст смс и телефон в самой стрничке это верх раздолбайства, некомпетентности и черезжопности,самый простой вариант прямо таки напрашивающийся это сделать ОДНУ страничку для всех которая для сохранения и отображения инфы юзает куки хранящиеся на запросившем её компе и всё, даже авторизации не надо,зачем было так извращаться с генерацией урл и отдельных страничек непонятно.


(Reply) (Thread)
From: afrodita_86
2011-07-20 01:09 pm (UTC)
"У мегафона одновременно совпало несколько факторов, которые все вместе привели попаданию информации в поисковые системы:
- само существование страниц статуса с уникальными урлами
- неавторизованный доступ к ним"...

об этом и идет речь, на сайтах с регистрацией все гораздо конфиденциальнее, твои данные и все действия скрываются за регистрацией и защищены от чужих глаз, да и ссылки никакие не индексируются. вот там можно не боясь писать те же смс
(Reply) (Thread)
From: (Anonymous)
2011-07-20 02:27 pm (UTC)
Неоднократно натыкался на настройку закрытых форумов так, что доступ к топику имели только зарегистрированные пользователи и GoogleBot.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: arkanoid
2011-07-20 02:32 pm (UTC)
Закрыто.
(Reply) (Parent) (Thread)
(Deleted comment)
(Deleted comment)
[User Picture]From: max630
2011-07-20 03:16 pm (UTC)
Хуйня. Принципиально роботсы и посты ничего не меняют. Случайная строка в не опубликованном урле - это секрет, который обеспечивает приватность информации. Изпользовать http для такого урла неправильно, но если секрет не засниффили из трафика то это не являлось причиной утечки и в целом похуй.

Если секрет спизжен яндексбаром, надо смотреть его ТОС. Если там есть необходимый мелкий шрифт, проблемы вообще нет - пользователи сами отдали свои данные. Иначе яндексбар следует считать шпионским трояном.
(Reply) (Thread)
[User Picture]From: ohtori
2011-07-20 09:24 pm (UTC)
Ну, вряд ли удастся Мегафону нанести реальный ущерб, кроме ущерба репутации. Но тут уж получат.

Кстати, и файл роботс.тхт эти чуваки подложили уже постфактум, это кагбэ очевидно. Так что отмазки не просто гнилые, они вообще не отмазки.
(Reply) (Thread)
[User Picture]From: jh0nny
2011-07-21 07:35 am (UTC)
есть версия, что это паны между собой дерутся

http://telecomblog.ru/?p=7750

(Reply) (Thread)