Компания «Яндекс» получила официальный запрос от Роскомнадзора по поводу ситуации с индексацией документов Google Docs, сообщают «Ведомости».
В Роскомнадзоре подтвердили факт отправки запроса: «В связи с случившимся инцидентом РКН направил официальный запрос в компанию „Яндекс“. Дополнительные комментарии по данному вопросу будут опубликованы на сайте ведомства». Речь идет об инциденте, случившемся ночью с 4 на 5 июля. Тогда поисковик показал в выдаче документы Google Docs. Информация об этом появилась в ряде каналов Telegram, а после — в СМИ.
Указав направление поиска по docs.google.com и введя поисковый запрос (например, «пароли»), в результатах выдачи «Яндекса» можно было получить документы Google с приватными данными ряда компаний. Среди прочих данных в таких документах были указаны номера телефонов и данные электронной почты, а также учетные записи к различным ресурсам.
Представитель «Яндекса» Илья Грабовский сообщил, что в период со среды на четверг несколько пользователей пожаловались в службу поддержки на общедоступность файлов Google Docs, и служба безопасности сразу же связалась с сотрудниками из Google, «чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация».
Корпорация «Яндекс» уже 5 июля разместила в своем блоге разъяснение, согласно которому поисковый сервис компании индексирует только те страницы и документы, которые не требуют ввода логина и пароля для просмотра их содержимого. Если же в файле robots.txt запрещена индексация, «Яндекс» не видит эту страницу, даже если она находится в свободном доступе.
За этим объяснением последовало обращение Google. Представители компании напомнили пользователям о том, что настройки конфиденциальности можно изменить в любой удобный им момент. Кстати, искать незакрытые документы Google Docs можно без проблем и в Google. Некоторые документы, которые ранее показывались в «Яндексе», можно найти, вбив соответствующий запрос в строку поиска сервиса Google.
Комментарии (266)
JC_IIB
06.07.2018 14:06Вангую, что у кого-то утекло что-то реально важное, что аж Роскомнадзор пошевелили. Интересно, что и когда это всплывет… жареная инфа какая-нибудь поди, типа расходов на что-то.
aFanOfSwift
06.07.2018 14:30Списки погибших в Сирии видел. Точнее скриншот. Фейк или нет не в курсе. Но по запросу «груз 200 Сирия» было много таблиц на скриншоте. И в них очень много имен.
NYMEZIDE
06.07.2018 15:17Там случайно состава футбольного клуба
ГазовикОренбург не было, в списках погибших?
unlor
06.07.2018 15:27Вот, например
1mcSIzRj7C42P8j0H_PgAczO9MQiPevsyd2n_dRXoxus
Это хеш, обвязку добавьте, плиз, сами. Кто их собирает и зачем — отличный повод для конспирологии.
foxyrus
06.07.2018 14:35
hurtavy
06.07.2018 14:12А причём тут вообще яндекс и ркн? Если кто-то не выставил запрет на общий доступ к документам, то он сам и виноват
QDeathNick
06.07.2018 14:17+1Не совсем так. Если я открыл доступ по ссылке, но ссылку нигде не публиковал, а только отправил другу, то она не может попасть поисковым роботам и в выдачу. Это всё равно, что создать доступ по одноразовому паролю и переслать ссылку и пароль.
Если же она попала, то значит где-то произошла утечка, либо на моём компе, либо на компе друга, если он, например, использует Яндекс браузер, либо где-то посредине, например в РКН.maxzh83
06.07.2018 14:27Это всё равно, что создать доступ по одноразовому паролю и переслать ссылку и пароль.
Вообще-то, нет. По одноразовому паролю доступ получить можно один раз, а по открытой ссылке сколько угодно раз.
Marfapr
06.07.2018 14:30но пароли же Яндекс не сливал
QDeathNick
06.07.2018 14:31Ссылка чем от пароля отличается? Если утечка произошла через их браузер, то я бы считал, что слив в интернет хешей адресов, которые люди не публиковали, ничем не лучше слива паролей.
MTyrz
06.07.2018 22:09Ссылка чем от пароля отличается?
Вы шутите, я надеюсь?AllexIn
06.07.2018 22:18+2Даже если господин шутит — я серьезно спрошу: чем ссылка от пароля отличается?
MTyrz
06.07.2018 22:59+1Примерно тем же, чем адрес квартиры от ключа, не?
(в данном контексте, разумеется)AllexIn
06.07.2018 23:08Согласитесь, очень спорная аналогия.
Давайте это будет не адрес квартиры, а карта с крестиком, где клад закопан.
Ок?
И чем карта с крестиком отличается от ключа к замку сундука? На мой взгляд прятать карту даже важнее чем ключ. Потому что зная где сундук уж ключ как ниюудь подберут. А вот ключ без сундука совершенно бесполезен.
UPD:
Это я просто хотел показать что игра в аналогии — это бессмысленно. Аналогию можно придумать любую, с перекосом в любую сторону.
Так что давайте без аналогий, а с точки зрения ИБ.MTyrz
06.07.2018 23:22-3Хорошо.
Ссылка — это указатель на местоположение. Пароль — часть процедуры подтверждения прав доступа к местоположению. Разница, на мой непросвещенный взгляд, очевидна.
Да, пароль может быть частью ссылки при некоторых условиях (в случае гуглодока они вроде бы не выполняются).
Как, строго говоря, и фраза «ключ под ковриком» может являться частью описания местоположения квартиры.
Вы лучше сразу скажите, чего я не знаю (я много что не знаю, это нормально, и не ирония) о разнице между ссылкой и паролем.AllexIn
06.07.2018 23:50Глобально — это условности дающие доступ к информации и всё.
Работа с паролем может быть реализована так, что скрытая ссылка будет безопаснее, ссылка может быть настолько очевидной что не будет защитой ни от чего.
Глобально говорить что пароль — это ого-го, а ссылка — это фи — бессмысленно. Потому что вопрос в деталях реализации, а не концепции.MTyrz
07.07.2018 00:11Так, фиксируем разногласия.
Ваше мнение заключается в том, что в силу уязвимости реализаций некоторых паролей и сложности некоторых открытых ссылок принципиальной разницы между ссылками и паролями, как классами явлений, нет. Концепции авторизации и прав доступа не нужны.
Я все правильно понял?AllexIn
07.07.2018 11:48Это всё нужно и важно.
Но это всё попытки решить проблему херовыми методами.
Пароль — это херовый метод. Но пока альтернатив ему не много.
Поэтому придмуывают всякие двухфакторные авторизации и прочие вещи. Чтобы из плохой вещи сделать не такую плохую.
Но на глобальном уровне пароль и уникальная ссылка мало чем отличаются.
Собственно вам ниже уже привели пример того, как ссылка сама может содержать пароль.
vedenin1980
07.07.2018 00:16о разнице между ссылкой и паролем
Ссылка это то что обычно приходит в Get запросы, пароль то что в Post запросе (но вообще-то только потому что пароль меньше и его легче запомнить). Ссылку нужно где-то хранить в электроном виде, пароль — можно и запомнить. При этом подобрать пароль можно, реально длинную автогенеренную ссылку — не реально.
В общем-то, больше отличий нет. Множество сервисов при сбросе пароля высылают ссылку на почту, часто по уникальной ссылке можно получить доступ к деньгам или личному кабинету. Любая утекшая ссылка может иметь не менее плохие последствия, чем утекший пароль.
Уязвимость только вот такие сервисы и программы, которые могут слить себе ссылку, впрочем пароли они тоже могут себе замечательно сливать.MTyrz
07.07.2018 00:20Видимо я настолько не близок к веб-программированию.
Я подумаю над этой концепцией.vedenin1980
07.07.2018 00:24чем адрес квартиры от ключа
Скорее чем ключ от входной двери/сейфа (ссылка) и код от кодового замка от этой двери/сейфа (пароль). У каждого способа есть свои достоинства и недостатки, но в общем-то если что ключ, что код подглядит злоумышленик будет одинаково фигово.MTyrz
07.07.2018 00:46Все равно пока не понимаю, извините. Видимо, я просто очень мало что знаю про использование ссылок. Я исхожу из (возможно, неверной) концепции авторизованного доступа. Ссылка — ресурс, пароль — доступ к ресурсу. Нет пароля — ресурс общедоступен. Понятно, что с учетом уязвимостей и прочих особенностей реализации это по крайней мере иногда соглашение, а не собственно защита. Но соглашения тоже стоит выполнять, нет?
То, что доверять браузеру от поисковой системы не стоит, понятно и без таких эксцессов. Но по моему скромному, если нет пароля, то неавторизованный доступ к информации по ссылке, если я верно понимаю, в пределах fair use (и по-любому вопрос исключительно времени).
Уникальные ссылки для восстановления паролей, кстати, обычно как раз имеют ограничение по времени — и да, предоставляют доступ неавторизованному пользователю в надежде, что некие косвенные методы (например, доступ к почтовому ящику) идентифицировали его достаточно надежно.vedenin1980
07.07.2018 01:11+2Ссылка — ресурс, пароль — доступ к ресурсу. Нет пароля — ресурс общедоступен.
Вот вам ссылки (не настоящие, конечно):
ftp:\\admin:ksjghkt53242@159.03.73.22:6090
ssh:\\root:ksj532terttre42@193.03.73.15:6090
mysql:\\sysadm:ksjghkt53242@159.03.73.22:5619
Вы правда думаете они публичные и какая-нибудь программа их может выложить в инет? А это типичные ссылки для многих сервисов. Пароль и ссылка это очень расплывчато, то что находится в параметрах Get запроса вполне может быть приватной информацией, даже фио пользователя в ссылке на сайте гейзнакомств, может оказаться таким ударом по приватности, что уж лучше потерять все пароли.
vedenin1980
07.07.2018 01:31+2пароль — доступ к ресурсу. Нет пароля — ресурс общедоступен.
Если вы так уверены, когда зайдете в свой банк клиент и увидите url вроде page?token=sdf43534egfgkel6346dghgfht2432 или session=sdf43534egfgkel6346dghgfht2432 киньте ссылку куда-нибудь на форум хакеров и чуть-чуть подождите. :) Они будут вам благодарны. :)MTyrz
07.07.2018 02:56Я не уверен, поэтому извинился за непонимание комментом выше.
Видимо, я еще и плохо знаю терминологию (да запросто). На мой непросвещенный взгляд, от включения в запрос пароль не перестает называться паролем. В приведенном вами запросе ssh:\\root:ksj532terttre42@193.03.73.15:6090 я болдом выделил пару логин-пароль, и курсивом то, что назвал бы собственно ссылкой. Я неправ?
М-мм… Ладно. По-любому, спор уже идет об оттенках смысла в значениях терминов. Содержимое адресной строки браузера может являться конфиденциальным, я не спорю. А что до его названия — пароль, ссылка, get-запрос или молитва высшим силам — в общем, только в печку не ставьте…AllexIn
07.07.2018 11:51+3Вот я жирным выделил пароль, а курсивом ссылку:
docs.google.com/spreadsheets/d/1gNyRn1w9DBqHgizLfZDegHkneB0T6Y60UVIcVFttvXI/
vedenin1980
07.07.2018 12:07я еще и плохо знаю терминологию (да запросто). На мой непросвещенный взгляд, от включения в запрос пароль не перестает называться паролем.
Если говорит о терминологии, то пара логин и пароль это ключ аутентификации. Ключ аутентификации может быть в принципе любой текстовой строкой (иногда может быть и бинарной строкой, но это скорее экзотика).
Как вы понимаете, не сильно важно скажу я вам логин: fsgsg пароль: gldkhgjklhd4, либо скажу токен/ключ — fsgsg:gldkhgjklhd4. По сути, логин и пароль это понятия только для человека, для комьютера имеет смысл только ключ, полученный конкатенацией логина и пароля.
Поэтому любой ид сессии или токен в GET запросе равноцены логину и паролю, это лишь разные виды ключей аутентификации.MTyrz
07.07.2018 13:35Пожалуй, вы меня убедили (вместе с некоторым количеством гуглежки). Спасибо за исправление в картине мира.
juray
07.07.2018 12:12Пара тезисов-формулировок.
1) Есть такое обобщенное понятие — «аутентификация, основанная на знании секрета (обладании секретной информацией)». Пароль, ключ и т.п. — это и есть такой секрет. Уникальная ссылка, предназначенная для ограничения доступа — соответственно, тоже.
2) Секретная ссылка содержит в себе некую уникальную комбинацию (хеш или еще что-то подобное), которая по сути и является паролем (предьявляемым ключом).
Таким образом, произошла утечка секретной информации — неважно, изолированных паролей или в составе ссылок.
Возможных мест утечек три — сервис, пользователь и канал. Исключим канал (MitM-атаки отдельная тема рассмотрения, неспецифичная для рассматриваемого случая).
Утечкой на стороне пользователя, предположительно, является передача индексатору ссылок, введённых пользователем — браузером из адресной строки, скриптом через разные там метрики, через месенджеры и т.п.
На стороне сервиса же утечкой является допуск индексатора, пришедшего по такой ссылке.
При этом браузер и индексатор, по большому счёту, не могут отличить секретные ссылки от обычных (за исключением случаев, когда URL записан в полной форме, с логином и паролем в отведенных стандартом для этого местах — как приведено выше). И единственный способ для индексатора быть «лояльным» — вообще не использовать никакие ссылки пользователя, что малореально.
А вот сервис, предлагающий услугу «разделения секрета», знает, какие ссылки у него секретные — и вполне мог бы не пускать по ним роботов (хотя бы честных). Конкретная реализация — вопрос второй. Гугл, похоже, этого не сделал никак.
Fen1kz
07.07.2018 00:33> И чем карта с крестиком отличается от ключа к замку сундука? На мой взгляд прятать карту даже важнее чем ключ. Потому что зная где сундук уж ключ как ниюудь подберут. А вот ключ без сундука совершенно бесполезен
Очень распространенная ошибка, берущая корни от «я не нужен — меня не найдут».
Дело в том, что в интернете такое не работает, найдут все и вся, благо есть боты. Это квартиру вы можете оставлять не запертой уповая что вы не нужны. Не запертый сервак в инете найдут и заселят.
Конкретно без аналогий — перебирая ссылки можно найти интересные, пароль же перебирается на заведомо интересный аккаунт, что и произошло.
tl;dr ссылки уязвимы к удару по площади и неуязвимы к точечному, пароли — наоборот.khim
07.07.2018 01:03+1Конкретно без аналогий — перебирая ссылки можно найти интересные, пароль же перебирается на заведомо интересный аккаунт, что и произошло.
Прекрасное определение! А теперь посмотрите на обсуждаемые ссылки на GDocs'ах — и вы поймёте, что в соотвествии с вашим определением они являются не ссылками, а паролями, так как переборной атаке не поддаются (там SHA256 от секретного числа, сгенерированного пользователем, подобрать его невозможно просто потому что сервера Гугла раньше сломаются).
tl;dr ссылки уязвимы к удару по площади и неуязвимы к точечному, пароли — наоборот.
Что, собственно, и ведёт ко всему описанному в статье, запросам Роскомнадзора и прочему.Neikist
07.07.2018 08:02Не совсем так. Это к конкретному документу невозможно. А вот если этих документов миллиарды — сложность снижается в миллиарды раз.
AllexIn
07.07.2018 11:54То всё равно пофиг. Даже миллиарды документов не сделают задачу проще.
khim
08.07.2018 11:43Тут путаница в терминах. Они сделают задачу проще. В миллиард раз. Ну то есть за то время, пока вы будете подбирать пароли солнце погаснет не миллиард милтиардов раз, а всего лишь миллиард раз. С практической точки зрения — разница невелика…
AllexIn
07.07.2018 11:53Очень распространенное противоречие.
Ну подберите ссылку к моим открытым документам.
Я вам даже подскажу — они на серверах гугла.Fen1kz
07.07.2018 15:09-2Это я так плохо объяснил, или вы непонятливый?
Давайте ещё раз:
Вопрос стоит так: «Чем ссылка отличается от пароля».
Чтобы объяснить это, давайте возьмем две цели — конкретно ваши документы и часть всех документов на гуглодоках, в т.ч. с некоторой вероятностью и ваши документы.
Так вот, чем ссылка отличается от пароля? Тем что перебирая ссылки, конкретно ваши документы мб и не найти, но можно найти кучу других. Если долго перебирать ссылки, можно найти и ваши. Смысл перебора ссылок — найти много документов, не обязательно ваших.
С паролем ровно наоборот — перебирая пароли к вашему документу можно открыть только его, но зато он точно будет ваш.AllexIn
07.07.2018 15:10+1Подбирайте пару логин: пароль.
А лучше еще IPшник добавьте.
Так кстати боты делают, которые по ssh стучатся.
Смысл перебора — получить доступ к машине, не обязательно вашей.
Suvitruf
06.07.2018 14:31Да, в общем-то, это как обычная авторизация. Вы вводите логин+пароль. Если нигде не светите его, то никто не зайдёт под вашим аккаунтом. С ссылкой тоже самое.
WorksIsGone
06.07.2018 14:35А если вы отправили её через скайп или телеграм, то они тоже на неё зайдут что б сделать превью.
QDeathNick
06.07.2018 14:37Да, и вот и интересно кто именно слил эти ссылки поисковику — скайп, телеграм или кто-то ещё. И узнать это можно у Яндекса.
JediPhilosopher
06.07.2018 14:40Помнится пару лет назад была новость, что скайп заходит даже на запароленные ссылки, если вместе со ссылкой в тексте сообщения отправить логин и пароль.
Тут же люди стали предлагать всякие нюансы, типа «переслать ссылку, переход по которой приводит к удалению важной информации, а потом засудить скайп за потерю данных когда их бот по ней перейдет».mixmax
06.07.2018 20:17нет, новость была о том что скайп делает т.н. probing — то есть посылает HEAD запросы по веб-адресам которые пользователи отправляют друг другу в чате
news.ycombinator.com/item?id=5704574
jrthwk
06.07.2018 14:50+3То что ты выложил в интернет — в итоге будет доступно всем. Не хочешь чтобы это доступно всем — не выкладывай это в интернет.
Выложил — сам виноват.QDeathNick
06.07.2018 14:55-4Что значит «выложил в интернет»? Вот у меня на компе куча всего и комп вроде как в интернет. Но с какой стати оно будет доступно всем?
jrthwk
06.07.2018 16:21+1>Не совсем так. Если я открыл доступ по ссылке
Это значит что вот с этого момента вы смело можете говорить «я выложил это в интернет, теперь это доступно всем».
ps /me ностальгически вспоминает начало 2000х и расшаренные прямиком в интернет принтеры и диски пользователей, которые в неимоверных количествах находились элементарным сетевым сканером.QDeathNick
06.07.2018 17:40Значит пока не сказал смело, то не в интернет?
Где граница, выложил или ещё нет?
Сами же пишите, что локальные диски с помощью сканера находили. Значит
они выложены в интернет?
Вот и инфа на вашем компе или телефоне также может считаться выложеной, если с помощью чего-то к ней можно доступ получить.
Я пожалуй закруглюсь с абсурдом, не понимают многие для чего он.
IvanTamerlan
06.07.2018 19:39Проблема в том, что существуют способы попасть в интернет даже живя простой жизнь и общаясь с друзьми. Кто-то решил сфоткать на свой телефон. Неважно, iOS или Android — уже улетело в сеть, особенно на андроиде фотки синхронизировались с онлайн-диском (засек лично у девушки, у которой «онлайн-диск такой удобный! И память телефона не забивается!» и эти настройки были по умолчанию). Другой использовал цифровой фотик, но отправил друзьям через вк. И все — ваш фейс в сети, возможно даже отмечен рамочкой вокруг фейса с пометкой с вашим именем заботливыми друзьями.
Ребенок захотел помочь родителям и оплачивает счета через сайт банка (на котором на каждой странице яндекс-метрика). Гугл создал сервис для связывания различных девайсов, например — если они были рядом в какой-то момент (для выдачи рекламы, но позволяет деанонимизировать пользователей и сделать инфомацию более полной). Пришли в кафе, а у соседа телефон слушает на предмет «Окей, гугл» с отправкой на сервера голосового трафика для лучшей расшифровки, а по закону Яровой такие данные также в какой-то момент обязаны будут храниться в полном объеме.
Живете обычной жизнью, а вас сеть уже знает. А если американец — то там еще проще, даже в новостях проскакивают утечки баз данных с кучей маркетинговой информации (в России «пиратские базы» от недалеких ведомств не содержат данных о религиозных предпочтениях, наличии домашних животных, хобби и т.д.)
Ах да, все, что я тут рассказал — голимая конспирология, не верьте мне! И вообще — надо жизни радоваться! И обязательно установите амиго браузер, яндекс-браузер, гугл хром, Windows 10 (не энтерпрайз и не взломанную «отключалками»), голосовых помощников (Алиса и другие) и т.д. Это позволиткорпорациям знать про вас всеоблегчить вашу жизнь и предоставлять качественные персонализированные сервисы.VBKesha
06.07.2018 21:25Сеть уже давно часть нашей жизни.
Допутим у меня нет машины, нет прав, дороги в городе от этого не пропадают и те кто пользуятся машинами тоже. В итоге мне нужно знать хотябы минимум этих правил что бы не попасть под колёса.
Так и с сетью, хочешь не хочешь с ней надо мирится, и очень желательно хотябы примерно понимать что стоит за всеми замечательными и удобными сервисами. Если ты кидаешь ссылку в контакт/скайп/телеграм шлёш её по почте, или вбиваешь в браузере то ты она может уплыть к тем кто делал эти сервисы. А учитывая что сейчас половину прог обновляются тихо и без предупреждений, то даже если они сейчас этого не делают не означает что через пол часа не начнут.IvanTamerlan
07.07.2018 09:38+1Беда в том, что не знаешь от кого или от чего ждать подвоха. От девушки, которая решит тайно поснимать или сделать «очень милые фотки своего спящего парня» (и фотки отправятся в сеть на гугл диск, а про настройки приватности она может не знать в силу собственного девичьего интеллекта), от КГБ и прочих ведомств (тайная съемка и потом уйдет в сеть, знаменитостей дополнительно даже по телеку покажут,
а про настройки приватности они могут не знать в силу своего девичьего интеллекта), браузер гугл хром (вроде именно он получил «антивирус» со способностью поиска компромата), антивирус от китайских (или иных) спецслужб, закон Яровой (и его аналоги и более раннее исполнение американцами, спросите у Сноудена), дополнение для смены стилей в баузере (а потом пишут, что это дополнение обладает шпионским функционалом), телеметрия везде и вся, камеры на улицах, нерадивые сотрудники (это принц Гари слил фотку в сеть возле компа с листочком с паролями?), конкуренты (явные и неявные), Windows (поиск пиратского ПО и его удаление), аппаратный плеер (были разработки, когда плеер самоуничтожается от поврежденного или пиратского диска), выключатель света (старые просто хранят отпечаток пальча, а новые с помощью «интернета вещей» заботливо выкладывают отпечаток в сеть), мед.службы (электронная карточкадля более лучшей утечки) и т.д. и т.п.
Проблема не в том, чтобы как-то учить правила, а в том, что, по сути, нужно вести себя так, как будто все находятся под колпаком и готовы стучать друг на друга непрерывно, в режиме онлайн (те же «заботливые» друзья и родственники, и ведь из лучших побуждений). И все действия хранятся на серверах практически вечность, а новые технологии позволят хранить больше и лучше. Т.е. нужно измениться не только в настоящем, но чтобы и в прошлом не было серьезных ошибок, типа «сохранил себе на стену музыку, которая ныне признана экстремисткой», а потом покурор интересуется — растпространяете?
Но о чем это я? Как таковой приватности то у людей и не было. Даже в деревнях все друг друга знали. Просто появилась мнимая приватность на короткий срок, а все подумали, что оно навсегда. Раньше про ситуацию «под колпаком» и жизни по правилам писали и говорили попроще — «поступай по совести», чтобы потом проблем не было. И всегда найдется админ (хозяин, дворянин, князь), который обладает большими полномочиями и может менять даже историю методом переписывания.
Есть еще рекомендация — «не заморачивайся», «не думай о сложных вещах», «меньше знаешь — крепче спишь» и прочее. И действительно, если не задумываться, то все намного поще — просто есть удобные услуги и сервисы, а если вы думаете, что мы все «под колпаком» у корпораций — то это все голимая пропоганда и вообще шизофреническая конспирология, достойная упоминания только на сайтах всяких альтернативщиков-конспирологов-плоскоземельщиков-уфологов. Кстати, лично я придерживаюсь идей, высказанных в последнем абзаце. И никто не запрещает использовать официально публичную информацию в личных корыстных интересах. Таки дела.juray
07.07.2018 12:52-2Как таковой приватности то у людей и не было. Даже в деревнях все друг друга знали. Просто появилась мнимая приватность на короткий срок, а все подумали, что оно навсегда. Раньше про ситуацию «под колпаком» и жизни по правилам писали и говорили попроще — «поступай по совести»
«Никогда не было» — не аргумент. Это не означает что к этому не надо стремиться. Не было много чего из современных гуманитарных ценностей — всяких там «свободы-равенства-братства» и прочих прав человека. Рабство тоже когда-то было в норме вещей.
Причём, ценности отражают не только базовые потребности — жизнь, здоровье, безопасность и т.п., но и высшие- в частности, свободу самореализации.
Приватность, на первый взгляд, не является базовой потребностью. Но только на первый. В условиях, когда информация об индивидууме может быть оружием против него, (открытием уязвимостей) — приватность становится частью безопасности.
Но даже если рассматривать малочисленную «деревню», где «все друг друга знают» и злоумышленник точно так же оказывается на виду — и в этих случаях скорее всего придётся жить не «по совести» а «чтоб не выделяться» — ограничения самореализации во весь рост.
Ну и в наших реалиях «все всех знают» не действует, игра идёт в одни ворота — злоумышленники могут нарыть информацию о добропорядочных гражданах, сами оставаясь в тени.
В итоге рекомендация «не заморачиваться» выглядит как «если вас насилуют — расслабьтесь и получайте удовольствие».IvanTamerlan
08.07.2018 18:41А если переиначить?
Поход в магазин, на первый взгляд, не является базовой потребностью. Но только на первый. В условиях, когда без похода в магазин нельзя получить еду (выращивание невозможно в многоэтажке в квартире 22м^2) — поход в магазин становится частью базовой потребности.
Дальше появляется общество по борьбе с теми, кто не ходит в магазины — «они покушаются на нашу свободу!» (методом конкуренции магазинам и создании недополученного дохода). Митинги, миллионые толпы на улицах небольшой численностью и прочее. Не ходящие начинают объединяться в антимагазинные движения. Кровавые столкновения, политические требования, революции…
Кажется, что-то такое уже где-то было… Борьба за права — она такая, в борьбе за мир и камня на камне не оставит. И все крутится вокруг базовой потребности!
Или все происходит иначе?
dartraiden
06.07.2018 15:08А если вы на своём сайте сделали директорию /123, где хранили что-то, не предназначенное для чужих глаз, но с вашего сайта на нее сылок нет, а я решил проверить, есть ли такая директория и вручную её нашёл? Я сделал что-то плохое или нет?
Вот, например, Google по запросуintext:"Index of /.git"находит репозитории, которые владельцы сайтов не стремились афишировать, но забыли закрыть. В одном таком репозитории (я не буду афишировать сайт) лежат даже лицензии на коммерческий софт.Free_ze
06.07.2018 15:12Я сделал что-то плохое или нет?
Если вы пользуетесь брутфорсером и делаете это со злым умыслом, то с моральной точки зрения — да. Без брутфорсера — это чистая удача, которая не только ссылку вскроет, но и любой пароль.QDeathNick
06.07.2018 15:54А без брутфорсера с моральной точки зрения уже не плохо?
Меня вот всегда удивляет эта лёгкость с которой люди проводят границы.
Я так не умею, для меня вообще понятия плохо и хорошо очень размыты и я стараюсь не использовать их.
Если вы, найдя брутфорсом, эту директорию, спасли детей от голодной смерти, то вроде как хорошо.
А если случайно нашли, но из-за этого кто-то погиб, то вроде как плохо, причём для меня, но если погиб серийный убийца, то вроде как хорошо.
Поэтому не буду я комментировать ваш поступок с входом в мою директорию.
Если Яндекс скрыл из выдачи ссылки, то я вижу две причины:
1. Скрывают свой косяк.
2. Скрывают косяк других.
Мне кажется более вероятным первый вариант.
Возможно конечно, что они пытаются таким костылём спасти накосячивших пользователей, но мне не нравится мир, где за людей решают как им жить. Если кто-то накосячил и его пароли уплыли, то он должен это понять и жить дальше с этим.Free_ze
06.07.2018 16:11-1А без брутфорсера с моральной точки зрения уже не плохо?
Злой умысел еще же. При этом ошибаться при вводе пароля — это нормально.
Если вы, найдя брутфорсом, эту директорию, спасли детей от голодной смерти, то вроде как хорошо.
А если дети выросли бы гитлерами, то это снова плохо. Мы не забыли уточнить какой моралью пользуемся?
unlor
06.07.2018 16:23Да пароли, как правильно заметили, не самое страшное. Они по крайней мере меняются. А вот коммерческие/персональные данные, отчеты, статистика — это может стоить намного дороже. Да, юзеры сами виноваты. Но экономический эффект от костыля может перевешивать перевешивать последствия «юзеры сами виноваты».
Сноуден ведь тоже не пароли слил, а его до сих пор в определенных организациях очень ждут.
maxzh83
06.07.2018 17:46+1Я сделал что-то плохое или нет?
Разумеется, нет. Когда вы делали на публичном ресурсе директорию /123, то должны были понимать насколько это опасно/безопасно относительно контента в этой директории.
VBKesha
06.07.2018 16:39Если твой друг вдруг потом не вписал её в строку поиска в томже гугле/яндексе.
Слишком много если, а правило должно быть простое если нет авторизации для доступа к ссылке то она публичная.QDeathNick
06.07.2018 16:55А что вы под авторизацией подразумеваете?
VBKesha
06.07.2018 16:59Данные для доступа к информации по ссылке, которые не передаются напряму в ссылке.
QDeathNick
06.07.2018 17:52Значит вы считаете, что браузеры могут выкладывать и другие собранные посещенные адреса, в которых в ссылке есть авторизационные данные?
VBKesha
06.07.2018 17:58Я считаю что авторизационные данные в ссылке быть не должны, а если они там то это часть ссылки а не авторизационные данные.
Tufed
06.07.2018 17:45не вижу смысла писать еще раз, дам ссылку на свой же коммент в предыдущей теме.
QDeathNick
06.07.2018 18:05Как вы пишете, доступ по ссылке нужен для ограничения круга кому доступна информация. И в большинстве браузеров это будет работать. Пока ссылка не утечёт на сторону.
Вполне себе защита для определенных целей. Главное правильно пользоваться.
Sjam
06.07.2018 14:36Теперь обязаны дать разъяснегия все остальные поисковики, такие как, гугл, яху, рамблер, меил.ру и прочие, так как они точно также проиндексироаали эти же документы и выдают в выдаче.
QDeathNick
06.07.2018 14:37+1Я не нашёл у остальных такого количества и тех документов с паролями, которые были в Яндексе.
Всё что я нашёл у них, хоть они и с паролями, но явно предназначенные для довольно широкого круга людей, и скорее всего были опубликованы в каких-то форумах, где их нашли поисковики.
Но главное, остальные поисковики не убирают их из выдачи, так как они ни в чём не виноваты.
0xf0a00
06.07.2018 14:52Видимо много грязи выплыло на поверхность и обляпало весьма крупных людей. Хотя оно и понятно, такой то слив.
sopov
06.07.2018 15:32+1А то, что юзеры в 90% случаев ссылку вставляют в поле поиска, а не в адресную строку — это не норм )))
ptica_filin
07.07.2018 09:43Вот, кстати, да. Почти в каждом комменте пеняют на яндекс.браузер, а о таком элементарном варианте даже не подумали.
Ну может, не 90%, но у меня на работе несколько пожилых коллег именно так и делают. Сначала заходят на сайт любимого поисковика (гугл, рамблер, яндекс), а там в строке поиска пишут название нужного сайта.
Вот поисковик и получил секретную ссылку.vedenin1980
07.07.2018 09:55Вы считаете, что кто-то вручную переписывает ссылку на гугл докс? Вообще-то ссылка на гугл докс приходит в email или мессенджере, типо скайпа, и открывается кликом, сколько пользователей будет копипастить эту ссылку, да еще в окно поиска?
ptica_filin
07.07.2018 10:31Нет, это Вы считаете, что я написал о том, что кто-то вручную переписывает ссылку на гуглдокс. Вам это показалось.
Кто-то открывает кликом, а кто-то привык копипастить. Кто-то никогда не выложит в интернет пароли, а кто-то пишет их в открытую в гуглдоки и рассылает ссылки. Люди бывают совершенно разные.
сколько пользователей будет копипастить эту ссылку, да еще в окно поиска?
Вот и я так же спрошу: «сколько пользователей будет выкладывать критично важные данные в гуглдоки?». Оказалось, что таких немало. Может, из общего числа пользователей это какие-то доли процента, но всё равно достаточно много, чтобы вызвать этот скандал.khim
08.07.2018 11:52Понимаете какая беда — ваши идеи предполагают, что пользователи только и исключительно Яндекса так делают, а вот Гуглом пользуются только продвинутые пользователи. На практике это, мягко говоря, не так…
ptica_filin
08.07.2018 12:44Ну что же это такое? Вот и Вам тоже в моих словах кажется что-то своё, чего я сроду не писал. Это эпидемия какая-то :)
IvanTamerlan
08.07.2018 18:57скопировали в стоку поиска.
А браузер честно подставит впереди этого запроса что-то типа поисковик_com/q=<ваша_ссылка> и отобразится страница поисковика. Либо вообще поисковик увидит ссылку и сделает переадресацию на эту ссылке.
В сообщение ptica_filin это и имелось ввиду.
Дополнительно к вашему описанию. Приходит ссылка, но откроется оно в IE. Да, и такое бывает, даже когда по умолчанию браузер другой. Но такое часто бывает из приложений. И если я хочу открыть ссылку в моем любимом браузере, то буду копировать, а не кликать. А дальше — см. первый абзац этого комментария.
andreymal
06.07.2018 15:42+1А всего-то гуглу надо было добавить настройку «Не в списке», включенную по умолчанию, чтобы она добавляла «X-Robots-Tag: noindex» документу
mayorovp
06.07.2018 18:08А такая настройка там есть, только она заголовок не добавляет…
andreymal
06.07.2018 18:17+1О, и правда. А я сейчас ткнул «Включить доступ по ссылке», а оно мне «x-robots-tag: noindex, nofollow, nosnippet» таки дописало. Если Яндекс x-robots-tag не игнорировал, то, видимо, никто не виноват и надо просто компьютерную грамотность населения повышать) (и попутно учить их не хранить пароли в гугле)
lipkij
06.07.2018 17:10+1Ждём новых законов о том, что для индексирования любого адреса в сети и создания поисковой базы данных поисковик должен и обязан запрашивать подтверждение владельца ресурса и его согласие на включение страниц в базу данных поисковика. Файлы robots и тому подобная самодеятельность, конечно же, не будет признана юридически-состоятельной,
а для ведения реестра разрешенных к индексированию ресурсов будет создан оператор/ы данных, который «за долю малую» так и быть будет нести тяжкое бремя ведения реестра.
Да и вообще — непорядок в этой сфере. Роскомнадзору давно следует загружать не «черные списки», а «белые» :) Тогда и проблем никаких подобных бы не было! Ожидаем новостей от принтеров из законотворческих зданий.
andrey_aksamentov
06.07.2018 21:42+1Непонятно.
Если яндекс выдал ссылку на закрытый документ или папку, значит они ранее как то попали в базу яндекса, с необходимыми для аутентификации, авторизации данными.
Через браузер яндекс?JC_IIB
06.07.2018 21:52-1Они не были закрытыми, их защищала только длина и безумное содержимое ссылки.
AllexIn
06.07.2018 22:07+1А с паролями подругому чтоли?
В паролях есть какой-то волшебный слой защиты, кроме длины и безумного содержимого?JC_IIB
06.07.2018 22:13-1Я к тому, что там не было настроек приватности «входить только по паролю». Есть ссылка, по ней можно пройти. Если в Яндекс скормить ссылку на вход в гугл почту, он туда не попадет — у него пароля нет.
AllexIn
06.07.2018 22:19+1Зато попадет на кучу других сервисов, авторизация на которые происходит через передачу хэша в get запросе. Попадет по паролю. Хэш которого в URL'e.
Я не вижу чем это отличается от перехода по сложной не публичной ссылке.
Расскажите?JC_IIB
06.07.2018 22:26-2Я протестую, в хэше ссылки гуглодоксов не пароль, а адрес страницы во внутренней сети гугла.
AllexIn
06.07.2018 22:28+1Снаружи это не имеет значения.
Подобрать URL гуглдока невозможно. С точки зрения рядового пользователя доступ по такой ссылке левых людей невозможен.
Я не вижу здесь проблемы людей использующих эту систему.***
Ну то есть пароли хранить в гугл доках мне странно. Даже сама идея как-то не очень.
Но сама вера в то, что данные защищены вполне понятна и адекватна.
***Ну кроме использования Яндекс Браузера само-собой.JC_IIB
06.07.2018 22:33-2Ну то есть пароли хранить в гугл доках мне странно. Даже сама идея как-то не очень.
Я скажу больше — хранить пароли в Интернете — сама идея как-то не очень.
Но сама вера в то, что данные защищены вполне понятна и адекватна.
Ну, теперь эта вера пошатнулась, кто-то огреб некислых трендюлей, может, хоть кто-то задумается.
Neikist
07.07.2018 08:05Да почему невозможен то? Есть ссылка? — есть. И если в случаем пароля хранится только хэш от него, поэтому даже зная хэш тот кто получит доступ к базе будет его хз сколько подбирать, то в случае утечки базы с такими ссылками — и перебирать ничего не надо. Да и без утечки, пользователей много, документов много, пусть на конкретный документ целенаправленно не нарваться, но просто на случайный документ нарваться можно.
AllexIn
07.07.2018 11:56Нахрена вам пароль, если вы знаете хэш?
Пароли не передаются, передается хэш и по нему авторизация проходит. Подбирать в большинстве случаев ничего не надо.
А подбор линка ну гуглдок — даже при миллиардах открытых документов невозможен на современных ресурсах.
constXife
07.07.2018 00:43-1Какие конкретно пароли вы имеете в виду? Всё, что в строке браузера (т. н. GET-запросы) — потенциально небезопасно и регулируется разве что всякими robots.txt. А пароли или любая другая sensitive-информация обычно пересылается через POST и не индексируется. Вся вина лежит на гугле, который не озаботился каким-то образом обозначить URL как неиндексируемые, либо не предупредил пользователей о том, что доступ по URL не является надежным средством ограничения доступа к информации.
vedenin1980
07.07.2018 00:52+2Тем не менее огромное кол-во сервисов присылает ссылки на почту при сбросе пароля, по уникальной ссылке часто можно попасть в личный кабинет, сессия может идти через GET запрос, картинки в мессенджерах доступны по уникальным ссылкам и т.п. Многие сервисы (не только по протоколу http, например ftp/ssh, аудио- видеостримы и т.д.) авторизируются с помощью ссылки протокол://имя: пароль@адрес: порт
Даже то, что ссылки часто короткоживущие, все равно распостранение приватных ссылок не сильно лучше распостранения POST запросов. При этом, если уж подходить формально к лицензионному соглашению Яндекса браузере, никто не мешал ему выложить и ваши POST запросы в паблик (например, решив, что это запросы к поисковой системе)Suvitruf
07.07.2018 03:28+1Сброс пароля, регулирование подписок и т.п, да, много подобного.
git вон тоже по ссылке часто используется:https://user:password@git_repo.git. Утечёт такое — слиты, считайте, все сорсы.constXife
07.07.2018 14:26Сброс пароля, регулирование подписок и т.п, да, много подобного.
robots.txt + ограничение токена по времени. Где проблема?
git вон тоже по ссылке часто используется: user:password@git_repo.git. Утечёт такое — слиты, считайте, все сорсы.
Какая необходимость вписывать пароль и пользователя в URL? Есть множество других разнообразных способов защитить git от постороннего доступа. Например, использовать SSH+keys.Suvitruf
08.07.2018 19:21Никакой необходимости, просто так делают. Точно так же, как многие до сих пор пароли хранят в открытом виде и т.п.
constXife
07.07.2018 14:14+1Тем не менее огромное кол-во сервисов присылает ссылки на почту при сбросе пароля, по уникальной ссылке часто можно попасть в личный кабинет, сессия может идти через GET запрос, картинки в мессенджерах доступны по уникальным ссылкам и т.п.
Я же уже писал про robots.txt, вы просто игнорируете что вам пишут?
Многие сервисы (не только по протоколу http, например ftp/ssh, аудио- видеостримы и т.д.) авторизируются с помощью ссылки протокол://имя: пароль@адрес: порт
Многие также оставляют листочек с паролем на мониторе. Что мешает сначала зайти на ресурс и потом в окошке ввести логин/пароль? Если вы нарушаете цифровую гигиену, то странно ожидать другого результата.
Даже то, что ссылки часто короткоживущие, все равно распостранение приватных ссылок не сильно лучше распостранения POST запросов.
Распространение POST запросов? Что?
При этом, если уж подходить формально к лицензионному соглашению Яндекса браузере, никто не мешал ему выложить и ваши POST запросы в паблик (например, решив, что это запросы к поисковой системе)
Яндекс не работает с POST запросами, зачем ему они? Выкладывание POST-запросов в паблик? Что? Я, честно говоря, не понимаю что вы пишите.
Плюс, при установке яндекс браузера показывается окно с галочкой: «Принять участие в улучшении сервисов Яндекса: отправлять анонимную статистику использования браузера», которую можно отжать.
khim
07.07.2018 01:12А пароли или любая другая sensitive-информация обычно пересылается через POST и не индексируется.
Какой конкретно стандарт регламентирует такое использование GET и POST, извините? Насколько я знаю единственное чем HTTP отличает GET от POST — это то, что GET не должен вносить необратимых изменений на сайт, а POST — может это делать (причём эти требования нарушаются сплошь и рядом, в частности Хабр на них плюёт), больше никакой разницы нет…constXife
07.07.2018 01:33+1> Authors of services which use the HTTP protocol SHOULD NOT use GET based forms for the submission of sensitive data, because this will cause this data to be encoded in the Request-URI. Many existing servers, proxies, and user agents will log the request URI in some place where it might be visible to third parties. Servers can use POST-based form submission instead.
www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3
magicstream
07.07.2018 15:35Почитал коменты. Удивляет такое больше количество «удивлений» типа «а причем тут яндекс?». Неужели не очевидно наличие «шпионажа» яндекс браузером?
vikarti
07.07.2018 16:22-1Неужели не очевидно… способ как эти ссылки попали яндексу — вообще не важен?
А вот то, что кто-то напортачил с настройками приватности а еще кто-то — не прописал robots.txt корректно (статья яндекса на тему как — корректно — yandex.ru/support/webmaster/controlling-robot/robots-txt.html, статья гугла support.google.com/webmasters/answer/6062608?hl=ru, статья гугла как заблокировать страницу без robots.txt support.google.com/webmasters/answer/93710, тоже самое от яндекса yandex.ru/support/webmaster/controlling-robot/html.html (и тот же метатег)).
Сливание ЯндексБраузером это вообще совершенно отдельный вопрос (тем более что по соглашению с пользователем — они могут это делать).magicstream
07.07.2018 16:29очевидно что гугл доки должны индексироваться. почему поисковик должен обходить их стороной если найдена ссылка? где сказано что гугл доки не должны индексироваться?
«Сливание ЯндексБраузером это вообще совершенно отдельный вопрос (тем более что по соглашению с пользователем — они могут это делать).» — нет этого в соглашениях. там четко говорится что могут собирать статистику по использованию самого браузера. Показ моих данных в поисковике никак не входит в этот перечень.juray
07.07.2018 18:35почему поисковик должен обходить их стороной если найдена ссылка?
— вот по такому прямому указанию:
Miron11
08.07.2018 02:07Бесплатных продуктов программного обеспечения не бывает. Мир упрямая штука. Как бы людям не хотелось иначе. СССР был очень особенная страна. Это надо помнить всем, кто так любит слово «открытость», когда оно доносится из уст западных оппонентов. Мы имеем разные понятия о его значении.
Marfapr
Поисковик проиндексировал ссылки, доступные без авторизации. Ужас!
QDeathNick
Ну мало ли что они доступны без авторизации, пусть Яндекс докажет, что они были доступны свободно в интернете, а не слиты Яндексу его браузером.
Если эти файлы были доступны в интернете, то чего Яндексу вообще боятся и удалять их из выдачи? Доказали бы, что они тут не при чём, выдав адреса куда люди сами слили эти ссылки.
А так что-то дурно пахнет это всё.
Marfapr
Даже если слиты браузером, в чем проблема? Если браузер собирает обезличенные данные, а ссылка публичная, то все ok.
Если бы яндекс слил данные, которые под паролем находятся, тогда другой разговор.
QDeathNick
Кто сказал, что эта ссылка публичная?
А браузеру точно разрешали собирать данные? Я им не пользуюсь не в курсе.
Если конечно там прям так и написано, что все страницы посещённые вами будут переданы поисковику, то проблем нет.
Marfapr
любая ссылка без авторизации потенциально может быть проиндексирована. Разве не так поисковики работают?
robots.txt индексацию не запрещал, пароль на ссылку никто не поставил.
QDeathNick
Так то так, но чтобы ссылка была проиндексирована, она должна у поискового робота откуда то появится. И вся проблема только в этом.
dartraiden
Представим, что я её поисковику засабмиттил. Прислали мне ссылку на документ, а я её добавил в индекс (у Яндекса, вроде, форма где-то была, чтобы добавить ссылку). Нигде ведь не дано определение «публичной ссылки».
QDeathNick
Да уже вопрос снят и проблемы нет. Осталось услышать подтверждение от Яндекса, что они используют браузер пользователей для индексации интернета.
В соглашении они получили для себя это право.
saluev
Все браузеры так делают. Chrome тоже. Не то чтобы это нуждалось в подтверждении.
Free_ze
В FF это отключается, например.
Sayonji
Кому FF отправляет ссылки, и как это отключить?
Free_ze
Отправляет в Mozilla, а отключить это можно так.
QDeathNick
Не вижу чтобы там было написано, что собираются адреса посещённых страниц.
QDeathNick
Откуда у вас информация, что хром использует статистику для наполнения базы краулера?
saluev
Действительно, поискал сейчас — есть исследования, доказывающие, что это не так. Что ж, значит, некоторые работодатели, запрещающие использование Chrome, слишком параноидальны (хотя информация с загруженных страниц вполне может использоваться менее очевидным образом).
prijutme4ty
Да ладно? Если у вас адресная строка совмещена с поисковой, а у поисковой есть auto-suggest, то браузер чуть ли не автоматом слил инфу в ваш поисковик ещё до того как вы нажали enter.
khim
То, что он послал строчку в поисковик ещё не значит, что поисковик включит эту страницу в индекс. Ваш КО.
roscomtheend
> Разве не так поисковики работают
Не совсем, для индексации ссылка должна попасть в поисковик. Из известной поисковику страницы, ручным заявлением или из карты сайта (которая указана в robots). Просто случайную страницу он не схватит, ради чего-то (профиля аккаунта?) они сливают посещённые страницы. Помнится, этим страдал один сервис и тогда это вызвало всеобщее возмущение, но сервис обламывается об https, а браузер — нет.
Beyondtheclouds
Хром точно также схватит из браузера, был случай интересный :) roem.ru/11-03-2011/117088/yandeks-slil-svoy-intranet-v-google
khim
В вашем «интересном случае» ни слова о том, что документы были доступны только через секретный URL…
Beyondtheclouds
это ж внутренняя вики, они не были доступны вообше никак за пределами внутренней сети. а гугл все равно проиндексировал :)
khim
Судя по статье на которую вы ссылаетесь «они не были доступны вообше никак за пределами внутренней сети» — это было пожелание. А в реальности они-таки были доступны. Потому Гугл их и проиндексировал…
Beyondtheclouds
или всетаки хром?)
sasha1024
См. (только я б заменил в его комменте «Яндекс.Браузер… добавил ссылки…» на «есть подозрение, что Яндекс.Браузер… добавил ссылки…»).
unlor
Да, п.5.1 — yandex.ru/legal/browser_agreement
Я вам еще больше скажу: в Метрике есть отдельный пункт «отправлять на индексацию страницы, посещенные пользователем». Это немного оффтоп, т.к. в доксе явно Метрика не стоит, но все же.
QDeathNick
Ну тогда взятки гладки, не понятно почему тогда Яндекс испугался и удалил выдачу.
Раз уж легально собирают всё, то зачем бояться.
unlor
Это же могли быть ссылки не только собранные браузером :) И не только легально…
Если бы эти документы всегда показывали, то никто бы и слова не сказал, а вот так вдруг появившийся немаленький пул специфических документов — это что-то не то. Вот и решили, что проще выпилить, чем потом объяснять РКН кто тут верблюд.
VBKesha
Ой да они там уже могли лежать годами как это было с контактом, а потом тото догадался сделать хитрый запрос и всё всплыло.
vedenin1980
Потому что не все так просто.
1) Нельзя просто написать «пользуясь браузером вы отдаете все имущество и личную свободу компании Яндекс», то есть написать можно, а вот легально работать оно не будет, так как есть базовые права, которые нельзя нарушать договорами, в частности право на приватность личной жизни, всякие права на защиту персональных данных.
2) Там не сказано про индексацию, только использование для улучшения сервиса. Проблема в том, что по сути персональные данные раскрылись всему свету из-за ошибки Яндекса (он не должен был индексировать приватные ссылки на диски),
3) И если вам мало, Яндекс имеет офисы в ЕС, среди пользователей его браузера найдутся русскоязычные граждане ЕС у которых могли утечь в сеть приватные данные (вроде скана паспорта) — те кто следит за соблюдением GDPR с радостью вкатят штраф в десятки миллионов $. Впрочем в РФ тоже есть закон о персональных данных (не следил, не знаю насколько он страшен).
superconductor
Постойте, приватные данные раскрылись всему свету из-за ошибки пользователей, а не Яндекса. Яндекс не виноват, что пользователи не понимают различия между "доступен по ссылке" и "доступен по паролю"
vedenin1980
А вот это нужно доказывать в суде, что это вина пользователей, а не злоупотребление сбором статистики. В случае, GDPR в теории могут наказать за намного меньшие проступки. Но вот говорить однозначно в лицензии есть, то все нормально — не стоит, юридически это не так.
JC_IIB
Я думаю, тут и доказывать нечего. При чем тут GDPR? Гугл доксы никогда не позиционировались как защищенное хранилище приватной информации. Положил пароли в облако — сам дурак!, все, что попало в Интернет, рано или поздно будет скомпрометировано. Я даже облачному LastPass не доверяю, а народ открытым текстом кладет, и потом у них хватает совести вопиять «Ах гадский-гадский Яндекс, проиндексировал нашу инфу!» «Ах, у нас украли!» Да не у вас, блин, украли — вы сами туда это положили.
AllexIn
Да нет. У меня украли. Я ввёл строку запроса в браузере, а он рассказал о ней всему миру.
JC_IIB
Ну а кто виноват, что вы пункт 5.1 в соглашении не прочитали?
AllexIn
Тут я с вами согласен. Пользователи Яндекс Браузера ССЗБ.
Однако стоит заметить, что невозможно отследить за изменениями лицензионных соглашений при каждом обновлении всего испольуемого софта.
ТАк что по хорошему, такие вещи на уровне законов должны признаваться не имеющими силы.
JC_IIB
И я с вами согласен, пункт 5.1 — это полный п.
AllexIn
Где тут ошибка пользователя?
У меня в доме доступ по коду — разве код стал публичным от того, что я его записал в телефонный блокнот?
Сам URL является кодом доступа. Он не нигде не публикуется, значит его знают только те, кто должен. То что поисковик своими махинцаями за ним подглядел — так он также может и пароль подсмотреть.
superconductor
Если ваш телефонный блокнот доступен без пароля в интернете — то да, он стал публичным. Неправда ли все те, чьи iot устройства с дефолтным паролем можно найти через shodan.io — сами виноваты? Чем лучше те, кто оставил свою информацию в интернете БЕЗ пароля?
Яндекс же не скопировал все эти пароли в фейсбук с заголовком "Шок! Слитые пароли", он просто их нашел. Он же, как бы, поисковик.
AllexIn
Что значит «нашел»? Каким волшебным образом?
Он его «нашел» в моей записной книжке, доступной ему.
superconductor
Есть разница между "браузер проиндексировал приватную информацию, и ее теперь видно в поиске (хотя по ссылке она не доступна)" и "браузер намайнил какой-то урл, на который из интернета пришел бот и в поиске появилось что-то (что доступно любому по этому урлу)"
AllexIn
Нет НИКАКОЙ разницы.
Даже больше — куча сервисом делается авторизщацию через передачу данных в виде хэша в get запросе. И о боже, у них на выходе получается как раз та самая ссылка, по которой можно получить доступ к данным. И что? Эти ссылки теперь можно выкладывать в интернет свободно?
superconductor
Правильные авторизующие ссылки во-первых одноразовые, во-вторых потухают. Если какой-то сервис делает не так — это плохой, не безопасный сервис. Именно по той причине, что урл это идентификатор ресурса, а не способ аутентификации.
AllexIn
О да, типичный пользователь гугл докса должен разбираться в ИБ на уровне, на котором не каждый средний админ разбирается.
Серьезно?
От закрытой сложной ссылки вполне логично ожидать, что она не станет публичной никаким образом кроме прямой публикации.
Если оно происходит иначе — это не вина пользователя.
superconductor
Пожалуй вы правы, Гуглу следовало более явно обозначить риски.
JC_IIB
Она НЕ закрытая. Она просто длинная и сложная, но для обычного пользователя, подозреваю, она не отличается от любой другой. Я не думаю, что они читают урлы, и транскрибируют их с английского языка. Они просто знают, что если кликнуть мышкой вот на этот набор букв — попадешь на одноклассники, а на вот этот — в документ с паролями.
Ну, я так подозреваю. Почти уверен.
pudovMaxim
Есть сервис со ссылками вида «XNNNN», где X — это случайная буква, а NNNN — порядковый номер документа. Являются ли его ссылки «сложными и закрытыми»? Можно ли доверять такому сервису свои пароли? А рабочие данные компании? Ну и кто дурак, если сделает это? И на сколько у гугла сложнее ссылки?
AllexIn
Когда вы сможете перебором смотреть ссылки на гугл доки — тогда ваш комментарий будет иметь какой-то смысл.
Пока — нет.
vedenin1980
По сложности подбора в квадралионы раз.
balsoft
Давайте тогда доведем ad absurdum — сейчас можно прямо в url вбить base64 картинки в png и браузер покажет ее, как картинку. Какой-то хитрый одмен скинул пользователю его пароль в виде такой вот картинки в url. Пользователь открыл ее в Я.браузере. Значит ли это, что теперь Яндекс имеет право проиндексировать эту ссылку и показывать ее в выдаче своей поисковой системы по запросу «base64 пароль»?
superconductor
Я больше чем уверен, что браузеры делают не настолько глупые люди, чтобы не отфильтровать схемы вроде data-uri, smb или file. И кстати найти это изображение по слову пароль при всем желании будет нельзя — потому что ни в урле, ни в картинке слова "пароль" нет
khim
superconductor
У меня есть убеждение, что поисковики не прогоняют каждое найденное изображение через OCR. Если у вас под рукой есть ссылка с подтверждением обратного, я буду рад поменять свое убеждение:)
JC_IIB
Абсолютно да, они виноваты сами.
reskator
В настройках приватности в gdocs можно выбрать уровень — доступен только тем, у кого есть ссылка. Это отдельный пункт от «публичный документ». Пользователь, выбирая такой уровень, не ожидает что его документ покажут в поисковой выдаче, и морально к этому не готов. Он, возможно, и не против передать ссылку в яндекс, но против открытого доступа.
saboteur_kiev
Так может это гугл облажался, забыв прописать правильный robot.txt?
awesomer
При чем тут браузер?
ПОСЛЕ того как ссылка была проиндексирована — она была показана обычному пользователю. У которого НЕТ АВТОРИЗАЦИИ.
И он по ней благополучно вошел.
QDeathNick
Вы не поняли, я по то, что браузер может собирать данные для передачи на индексацию у пользователей, которые открыли эту ссылку.
В случае этих ссылок авторизация есть у всех у кого есть ссылка. Не авторизованных не может быть по определению.
samodum
>«А браузеру точно разрешали собирать данные»
Вы таки удивитесь, но вы сами все разрешили.
Или соглашение перед установкой не читали? ай-яй-яй.
P.S. Человек-айпадоножка
ufm
Скайп неоднократно ловили на том, что после передачи в нем ссылки, на эту ссылку приходил микрософт.
Хром — после захода на ссылку приходил гугл.
Яндекс что, рыжий чтоль?
khim
И странички потом искались?
Судя по обсуждаемой статье — таки да…
Free_ze
Если ссылка фактически не была опубликована, то почему вдруг она может считаться публичной?
Marfapr
Я создал сайт. Нигде не публиковал ссылку на него. Он оказался проиндексирован. В чем разница?
QDeathNick
Нет разницы. Если вы нигде не опубликуете, он и не будет проиндексирован.
Неужели вы думаете, что поисковику делать нечего, кроме как случайные строки генерировать и искать, есть ли сайт с таким названием.
Но создать сайт и не опубликовать как-то не просто. Вы как минимум его опубликуете в DNS.
Neikist
Хм, но ведь есть dns сервера где вся эта инфа хранится, зачем строки генерить?
QDeathNick
Вы можете создать сайт и без DNS, и у такие есть, и они не попадут в выдачу, так как надо знать не только IP, но и порт. И угадать это совсем не просто, поэтому поисковики не гадают, они берут только то, что опубликовано.
roscomtheend
Какая вся эта? Там только сзязь IP-имя, нужен ещё порт и адрес страницы, тем более можно получить список только корневых доменов, поддомены без разрешённого трансфера недоступны, не говоря об именах страниц.
PS. Да и список доменов получить тоже не просто. Есть у регистраторов запрос «дай все свои домены»? Подозреваю что нет, а регистраторов много.
DaylightIsBurning
Регистратор может не знать поддоменов, несмотря на их наличие — wildcards.
roscomtheend
Это уже совсем сильное колдунство, так сказать «контрольный выстрел в перебор страниц».
popov654
Регистратор разве вообще их знает? Я вот указываю на регистраторе DNS хостинга, поддомены завожу на хостинге — ИМХО, регистратор об их количестве и составе понятия не имеет. И вообще об этом знает только хостинговский DNS (и более вышестоящие DNS сервера на уровне кэша, если кэш не протух). Я прав?
Free_ze
Домен еще не говорит о том, что там можно найти веб-сервер. Да и вообще домен — штука опциональная.
Free_ze
Абсолютно так же сайт не будет проиндексирован. Краулеру просто неоткуда будет взять ссылку, чтобы начать шариться там.
unlor
Будет. Просто скорость и качество индексации зависят напрямую от популярности сайта. Если просто опубликовать пустой шаблон в гугловском конструкторе — может индексироваться и месяц, а если там будет трафик (даже прямой) — намного быстрее.
У краулера _очень_ много источников, где взять ссылку на сайт/страницу. И прямой href= — это только самый простой и понятны для большинства.
Free_ze
Отсюда можно поподробнее?
unlor
Браузер, системы аналитики (я там выше про Метрику в частности писал), плагины/виджеты, всевозможные каталоги (где они сами берут ссылки хз), партнерские системы (привет Skype&Yahoo, FB&CambrigeAnalytics), мобильные приложения, скриншоты (имхо, врял ли — слишком трудоемко, но ЯДиск тем не менее очень неплохо распознает текст на скриншотах). И, наверно, еще десяток неочевидных вариантов, до которых так сразу и не додумаешься.
Другое дело, что ошибкой Яндекса в данном случае была индексация/ранжирование всех этих документов. Скорее это база, собранная для задач внутренней аналитики/обучений нейросетей, и которая почему-то попала вместо «ToAnalyze» в «ToIndex».
Free_ze
Все вами названное подразумевает те или иные утечки по вине юзера.
unlor
браузер — по вине юзера??
внутрисайтовая аналитика — по вине юзера?
мобильные приложения — по вине юзера?
Ну тогда извините, юзер виноват в нарушении безопасности потому, что открыл таблицу, ок.
Free_ze
Аналитика на сайте с претензией на анонимность? Серьезно?)
unlor
Вы вроде спрашивали о возможных источниках, где краулер ссылки может взять :)
Концепция защиты Gdocs и кибербезопасность в общем — это отдельная тема пары сотен докторских диссертаций)
Free_ze
Нет, речь шла уже не о гуглдоках, а неком приватном сайте, который, по вашем словам, обязательно окажется в лапах краулера.
unlor
Ну да. И я варианты привел. Виноват в индексации юзер или Хоттабыч — это важно? Почти все эти способы подразумевают, что не было прямой href-ссылки с индексируемого ресурса на «приватный».
Судя по интересам вы в курсе, что и как в веб-разработке? Dev-домены потому и закрывают всегда (ага, щаз) от индексации, что иначе через пару недель разработки вдруг полуготовый сайт оказывается в поиске. А иногда такие домены находят сеошники лет через 5 жизни сайта.
Я не говорю, что невозможно закрыть сайт от краулера. Я говорю, что способов получить ссылку далеко не один. И если вы не оставляли ссылку на «приватный» сайт в публичных интернетах, то это не значит ровным счетом ничего.
Free_ze
Если это не важно, то что вообще важно? Может кто-то сделает выводы. Под новым углом посмотрит на привычные инструменты. И начнет как-то заботиться о своей приватности.
unlor
Котики, например, важны. Они точно важнее Хоттабыча.
roscomtheend
Так варианты так себе — если сайт не копия для разработки, то там может не быть аналитики вообщде (не говоря об отсутствии аналитики на некоторых страницах), что за мобильные приложения? Мессенджеры? Тогда вот и вопрос к яндексу о сливе из мессенджеров ссылок ему, если нет, то каким образом ссылка в них попала? Мобильное приложение, связанное с сайтом? У большинства как-бы нет.
Остаётся браузер.
unlor
А с чего вы взяли, что используется только какой-то один вариант? Все. И еще те, что я не назвал. А на выходе и получается. что практически любой более-менее существенный контент в ограниченное время окажется в поиске.
И да, список мобильных приложений не ограничивается одними мессенджерами, совсем нет.
popov654
Я разрабатывал сайты много раз, и я не могу сказать, что индексация происходит прямо вот очень быстро. Году так в 2008-2011 если создать сайт, и вообще нигде ссылку на него не публиковать (не сабмитить в поисковик напрямую и в каталоги), то сайт и через 3-4 месяца и даже больше мог не появиться в выдаче. Сейчас, возможно, индексация идёт быстрее и активнее, всё-таки мощности железа растут.
unlor
Добро пожаловать в 2018. Даже Яндекс уже года полтора как очень и очень ускорил индексацию. Гугл примерно так с 2013-15 индексирует в течение дня, если удачно подвернется ссылка.
roscomtheend
Как отделить существенный от несущественного? Если обмениваться ссылками через ICQ, например, то как-то путей не видно. И что за модильные не-мессенджеры, которые тырят ссылки?
xotta6bl4
Я ни в чем не виноват. (Хотя и работал над Яндекс.Браузером)
unlor
Имена вымышлены, совпадения случайны :)
Но жаль, что NDA не позволит вам рассказать подробности произошедшего «с той стороны».
Или?..
xotta6bl4
работал
Что там случилось — для меня такая же загадка как и для вас
popov654
В теории — конечно, получить ссылку можно множеством способов. Но их легальность и моральная чистота далеко не всегда не оставляет сомнений :)
popov654
Вы про JavaScript код?
Это по сути тот же href.
А вот законность этого метода уже под большим вопросом. Я как пользователь браузера, возможно совершенно не хочу, чтобы кто-то индексировал посещённые мной страницы, если их ещё нет в индексах.
unlor
Метод сбора — ну да, js, наверно, я хз как там плагины работают и на чем написаны. Я про внешний «интерфейс» сбора информации.
по сути да. А по смыслу несколько иное. Есть пользовательские ссылки, которые все и воспринимают как ссылки в классическом виде. А есть автогенерируемые каталоги, которые представляют собой свалку всевозможного хлама.
Лицензию читали? принимали? Дальее вы можете или в рамках допустимого настроить чекбоксы или не использовать ПО.
Xtray
Например, вот этот: ru.wikipedia.org/wiki/HTTP_referer
Free_ze
Для этого нужно непременно перейти с нашего секьюрного сайта на внешний ресурс, где этот заголовок будут ждать.
Xtray
Конечно. Но Метрика на многих сайтах есть… :)
khim
Но далеко не все секьюрные сайты делаются людьми, которые не знают как referer работает.
У нас, например, CMS преобразует все ссылки «наружу» из somewhere.there/something в secure.site/redirect#http://somewhere.there/something (а на secure.site/redirect висит тривиальный скрипт). Referer в этом случае будет вести на secure.site/redirect, который отправит пользователя на secure.site, так что утечки не будет.
popov654
А, так эту схему придумали, чтобы не палить источник перехода? А я-то думал, проверка ссылки по базам на наличие чего-то вредоносного… :) Как пишут некоторые порталы
khim
Проверка по базам — это по желанию. А основное — да, скрыть адреса «внутренних» страниц.
unlor
А, ну и как я мог забыть — текст. Вся почта безусловно анализируется. Хотя бы даже просто для того, чтобы проверить на предмет отсутствия вредоносных ссылок в письме, сделать превьюшку для ссылки, проверить код ответа и т.д. И очень логично все это собирать в одну кучу про запас, а если вдруг засветится — прятать.
popov654
Одно дело — парсить текст и проверять его, другое дело — что-то сохранять оттуда. Это ведь совсем разные вещи.
unlor
webmasters.ru/news/google-vidit-dazhe-tekstovye-ssylki-no-ne-uchityvaet-ih-4528
См. в первом абзаце.
khim
В первом абзаце написано то же самое, что и во всех других местах: сервисы Google прекрасно «видят» ссылки, которые вы вводите в Chrome, в чат, в почту и много куда ещё — но не все… краулер их не видит.
Да и как иначе? Google должен понять — нет ли там заразы (чтобы в последующем предупредить вас), может собирать разную статистику и прочее, прочее, прочее.
Заходит он туда ботом именно для того, чтобы гарантировать приватность (Chrome мог бы и сам текст на сервис проверки на «заразу» посылать — но тут уже есть возможность «слить» в Гугл инфу и из интранета тоже, чтобы будет уж совсем нехорошо).
Но вот про внесение в индекс и в базу данных краулера — по вашей ссылке ни звука.
Единственный способ добавить ссылку, недоступную «из открытых источников» в базу карулера — через www.google.com/webmasters/tools/submit-url
iivvaall
Сама ссылка может быть паролем. Вариант на «предъявителя» (authorization without authentication)
avost
Слово "password" тоже формально может быть паролем. Но разве это означает, что это действительно что-то защищающий пароль?
mayorovp
Вот потому такие ссылки и принято делать одноразовыми
gleb_kudr
К слову — все ваши фотографии в соц. сетях доступны без авторизации по публичным ссылкам. В том числе и приватные (можете проверить). Ничего так, если поисковик возьмет и все их сольет в паблик?
JC_IIB
Повторюсь еще раз — в Интернете приватности нет. Всё, что туда попало — будет скомпрометировано, рано или поздно.
Единственный способ этого избежать — не класть.
gleb_kudr
Ну выложите в паблик свои логины-пароли, чего уж. Раз все равно нет приватности. А если не собираетесь, значит на какой-то минимальный уровень приватности все-таки рассчитываете. Что ваши данные хотя бы первый случайный мимокрокодил не откроет, для 99% задач этого уровня достаточно. Но хочется, чтобы конвенции об этих 99% поддерживались всеми влияющими сторонами.
JC_IIB
Что за странная логика? «Нет приватности, но вы выкладывайте.»
vedenin1980
Проблема в том, что это справедливо вообще для любого компьютера/смартфона, подключенного к инету, так как антивирусы, ОС, сайты, брузеры, трояны и вирусы массово сливают информацию, и единственный способ (и то не гарантированный) избежать этого вообще не подключать комп к сети, а лучше вообще не держать критичную информацию на электронных устройствах. Иначе она будет скомпроментирована рано или поздно.
Neikist
Именно поэтому на своих устройствах я старюсь держать только ту информацию которая не принесет больших проблем при утечке.
popov654
Имхо, не обязательно физически отключаться от сети. Есть другой выход, не соль радикальный: использовать проверенный и надёжный софт (либо самописный).
Выше кто-то приводил пример парсинга текстов электронных писем для проверки на наличие опасных ссылок, создание превью для вложений, и прочего. Так ведь есть же выход этого избежать: использование своего почтового сервера, и нативного (под мобильные такое тоже есть) клиента. А если человек совсем параноик, и не доверяет встроенному в ОС почтовику — можно написать свой, если квалификация позволяет :)
Ну или смириться с риском, да.
P.S. Хотя я вот совершенно не верю, что тот же стандартный e-mail клиент из Андроид (весом менее 300 килобайт) что-то куда-то сливает на сторону.
vedenin1980
Так кроме стандартного клиента есть несколько Гб программ ОС Андроида, содержимое которых известно только гуглу. У меня, например, на собственные нужды ОС Андроида тратит несколько Гб трафика в месяц, мне все равно он в оснвном вай файный, но в таком кол-ве трафика можно что угодно спрятать.
А если я не доверяю самой ОС тоже написать свою? Нет, можно, конечно, залить Линукс на смартфон, но даже это не гарантирует нулевой уязвимости/бекдора в ОС или железе. А боюсь квалификации и времени по написанию с нуля своей ОС + созданию своего железа + надежной защиты всего этого — нет практически ни у кого.
popov654
Что за глупое утверждение?.. Потрудитесь обосновать хотя бы для начала, почему это приватности нет, и почему всё будет скомпрометировано.
expeon
Презумпция невиновности, как она есть.
QDeathNick
А я и не обвиняю. Но я думаю Яндексу самому будет небезынтересно восстановить свою репутацию.
QDeathNick
Отвечу на минусы, хоть и придётся погадать за что вы их ставите даже не комментируя.
Если вы не согласны, что репутации Яндекса нанесён урон, то докажите, я вокруг себя вижу обратное, люди стали удалять браузер, хотя пользовались им.
VBKesha
Люди каждый день устанавливают и удаляют браузеры, это никак не сказывается на чьей то репутации.
QDeathNick
Что-то я не вижу, чтобы каждый день кто-то менял браузер. Люди привыкают и с трудом меняют его, если по какой-то причине он становится не угоден.
Причины не всегда объективны, иногда совсем даже необъяснимы или ошибочны.
В данном случае мне позвонили люди и явно озвучили причины почему они ищут другой браузер на замену Яндексу — потому что все новости забиты ссылками на то, что именно Яндекс слил пароли пользователей да ещё РКН от него требует объяснений.
Если не это называется репутацией, то что ещё?
На месте Яндекса я бы очень озаботился этим положением и повернул СМИ в другую сторону, пока остатки лояльных пользователей не разбежались.
VBKesha
У меня есть друг у которого стоит около 8ми браузеров(всякие ответления FF), и меняет он их регулярно, ему это нравится.
А то что тото позвонил вам это такая себе метрика, мне вот никто не звонил.
А сколько народа зашли посмотреть на яндекс чтобы глянуть что же там такое слили?
QDeathNick
От того что кто-то зашёл посмотреть репутация не улучшится.
Вот если бы вы мне сообщили, что есть хоть один человек, который решил, что репутация улучшилась после таких новостей, то моя метрика перестала бы что-то показывать. Есть такие?
VBKesha
Я считаю что репутация не изменилась.
PS. Как в общемто и после прошлого «скандала» с метрикой.
MTyrz
Они озаботятся, да.
Но когда пару лет назад обновление яндекс-диска посносило системы народу, как-то никто особо никуда не разбежался. И вовсе не потому, что Яндекс чем-то там озаботился, а просто привычно вздохнули и продолжили есть кактус.
popov654
Не знаете, почему? Есть же достойные аналоги. Тот же Гугл или Мейл. Не говорю о всякой экзотике типа Sync или Box.
MTyrz
Привычка.
Разбираться заново, переезжать, переучиваться… Не покупать же новую машину, если у старой внезапно спустило колесо?
По большей части (в моей эникейской практике) это те люди, для которых компьютер довольно далек от сферы ежедневных интересов.
У меня было несколько пострадавших, которые вообще ни сном, ни духом, откуда этот яндекс-диск у них взялся. Не ставили, не пользовались, даже не слышали. То ли с мусором поставился, как амиго, хотя вроде к тому времени Яндекс уже прекратил такую практику…
Free_ze
Расскажите, почему вы не пользуетесь браузером «Амиго»?
VBKesha
Потому же почему не пользуюсь ЯндексБразуером, IE, Safary, FF, Edge, Opera и прочим, просто меня устраивает хром.
prishelec
Я очень сильно сомневаюсь, что если виной был бы их браузер, то они сказали бы правду.
Будут выкручиваться до последнего.
vedenin1980
… которая не действует в гражданском кодексе, только в уголовном. Если ваш сосед утвреждает, что вы слушали музыку всю ночь, а вы утверждаете обратное, то если вы не докажете, что не слушали, судья будет решать кому он верит больше.
Stalker_RED
shodan вам вообще лучше не показывать, да?
QDeathNick
Согласен, что если люди оставляют открытым что-то, в надежде, что никто не будет перебирать IP и порты, то они сами себе буратины. И создавая ссылку в гуглдокс, так же подразумевают, что узнать её можно, только подобрав хеш.
Но тут явно никто не подбирал хеш, ссылки на документы попали в выдачу по другому пути.
aPiks
Когда человек отправляет ссылку на документ другому человеку, и включает доступ только по ссылке, никто, кроме человека обладающего этой ссылкой, не должен видеть этот документ.
Только Яндекс.Браузер об этом не знал и добавил ссылки, на которые заходили пользователи по приглашению, в общий буфер индекса. Так что ссылка по приглашению стала доступна поисковому боту, а значит всем. И вот тут уже Яндекс действительно должен объяснить, почему он использовал подобную информацию в целях, о которых не говорит в условиях использования браузера.
JC_IIB
Пункт 5.1 пользовательского соглашения.
aPiks
Я должен это включить сам, верно?
А теперь установите Яндекс браузер и зайдите в настройки.
vedenin1980
… скорее всего не имеет юридической силы, так как существуют права, которые нельзя передать (приватность, персональные данные и т.д.). Долго второй раз расписывать просто дам ссылку
vikarti
Нет. Если делать по стандартам — то либо должен запрашиваться пароль либо блокировка по IP.
И реально — по таким ссылкам ходит, например скайп при пересылке ссылки может решить проверить а не вредоносная ли ссылка. И не только скайп.
Если же надо чтобы не ходили (белопушистые) краулеры — есть robots.txt, и есть (правда не все кралеры это понимают но все же) спецтеги в html на тему «не индексировать этот документ». Есть наконец фильтрация по user-agent — поисковые краулеры для индексации — представляются собой (для всяких проверок могут и браузером представляться но это отдельный вопрос).
Если владельцу сайта оно важно — он прописывает все что надо.
Если пользователю что-то не нравится — он может обращаться к владельцу сайта, если не обращается и по прежнему использует сайт — ну значит его все устраивает.
gleb_kudr
Владелец робота может забить на robots.txt. Это вообще не защита. Т.е. защита на том же уровне доброй воли поставщика ПО, который в какой-то момент, как мы поняли, может начать индексировать приватные доки.
vikarti
Может. Это защита от добросовестных роботов. Яндекс неоднократно говорил что они его — соблюдают. С точки зрения robots.txt — эти документы — не приватные а вовсе даже публичные.
juray
Кроме robots.txt есть и другие методы запретов, которые роботы должны соблюдать — например, тэги в заголовках. И на данный момент гугл для страниц с доступом по ссылке в заголовках ответа указывает «x-robots-tag: noindex, nofollow, nosnippet»:
Это, в принципе, еще не гарантирует, что и раньше указывал — но как-то слабо верится что нет.
arthi7471
Яндекс. Найдется все.