Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 80
В предыдущих сообщениях говорилось, что причиной индексации этих «приватных» страниц могла быть также Яндекс.Метрика. Что вместе с Яндекс.Баром делает целых два источника уникальных ссылок.
Яндекс.Метрика не была установлена на сайте www.sendsms.megafon.ru.
Кеш яндекса (главной страницы, например) говорит об обратном.
Посмотрите здесь в исходном коде страницы.
да, вижу. признаю свою неправоту в этом вопросе
Не на вижу все эти яндекс.бары и подобные приложения. Кому они вообще нужны?
Капитан Очевидность сообщает, что только Яндексу. По крайней мере это почти что однозначно следует из модели распостранения данного вида програмного обеспечения.
Потому что, если бы приложения подобные яндекс.бару представляли реальный интерес для пользователя, их бы пользователи или покупали за деньги, или пытались бы скачать бесплатно, или искали бы торрентам, спрашивали у друг друга по форумам кряк, или собирали бы сами из сырков, и по всюду бы разводили бы срач не вышла ли новая версия бара и какие проблемы могут возникать с апгрейдом-даунгрейдом, настройками, и прочие сопутствующие факторы нормального програмного обеспечения… а тут наоборот, мы имеем схему модель распостранения уж очень до боли напоминающую… (мне Капитан Очевидность снова подсказывает) правильно, классическую малварь/spamware/троянца (скрытное/полускрытное впаривание «в довесок», авто-принятие лицензии через неснятую галку, лицензия-отмазка мелким шрифтом в стиле «мы не при делах, а юзер ССЗБ», ну и прочие приходящие сразу на ум ассоциации).
Да, но только самое прикольное в этом деле знаете что? То, от всего того, что тут в этом топике написано, от всех пламенных комментариев и эмоциональных выпадов, реального эффекта как от бури в стакане (собаки лают — караван идет). Сравните число хабраюзеров читающих habrahabr.ru/blogs/infosecurity/ (9087 читателей) с примерно пятью миллионами установок яндекс.бара :)
Потому что, если бы приложения подобные яндекс.бару представляли реальный интерес для пользователя, их бы пользователи или покупали за деньги, или пытались бы скачать бесплатно, или искали бы торрентам, спрашивали у друг друга по форумам кряк, или собирали бы сами из сырков, и по всюду бы разводили бы срач не вышла ли новая версия бара и какие проблемы могут возникать с апгрейдом-даунгрейдом, настройками, и прочие сопутствующие факторы нормального програмного обеспечения… а тут наоборот, мы имеем схему модель распостранения уж очень до боли напоминающую… (мне Капитан Очевидность снова подсказывает) правильно, классическую малварь/spamware/троянца (скрытное/полускрытное впаривание «в довесок», авто-принятие лицензии через неснятую галку, лицензия-отмазка мелким шрифтом в стиле «мы не при делах, а юзер ССЗБ», ну и прочие приходящие сразу на ум ассоциации).
Да, но только самое прикольное в этом деле знаете что? То, от всего того, что тут в этом топике написано, от всех пламенных комментариев и эмоциональных выпадов, реального эффекта как от бури в стакане (собаки лают — караван идет). Сравните число хабраюзеров читающих habrahabr.ru/blogs/infosecurity/ (9087 читателей) с примерно пятью миллионами установок яндекс.бара :)
Во-первых, Яндекс.Бар — это надстройка не только для IE, для того же FF он есть.
Во-вторых, вы всегда логины/пароли GET-запросами передаете?
Во-вторых, вы всегда логины/пароли GET-запросами передаете?
Яндекс бар с давних времен жутко-кривое, тормозное и никому не нужное приложение, кто им пользовался — сам виноват. Ничего поразительного в слежке не вижу, им же надо как-то рекламу впихивать контекстную.
А какое отношение Я.Бар имеет к контекстной рекламе? Как он позволяет ее «впихивать»?
Собирается информация по интересующим вас аспектам и содержанию сайта, на основе которой выдается рекламный блок, разве не так?
Всегда считал, что при запросе контекстной рекламы оператор этой службы рекламы получает содержимое страницы (либо из своего кеша, либо скачивает роботом), с которой запрашивается блок и выводит соответствующую рекламу. Тот же Я.Бар не передает саму страницу (текст) в Яндекс.
Я верю, что через этот Бар можно несколько улучшить таргетинг объявлений для пользователя, но чтобы через него именно реклама показывалась — я так не думаю.
В конце концов людям без Я.Бара реклама же тожепоказывается :)
Я верю, что через этот Бар можно несколько улучшить таргетинг объявлений для пользователя, но чтобы через него именно реклама показывалась — я так не думаю.
В конце концов людям без Я.Бара реклама же тожепоказывается :)
Она и без бара замечательно собирается.
Как будто Америку открыли, каждый уважающий себя вебмастер давно знает об этом :)
>>Это панель для браузера Internet Explorer с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель.
бросается в глаза — не только для ie, для ff и opera тоже есть
бросается в глаза — не только для ie, для ff и opera тоже есть
Ну, осталось сделать шаг вперёд, и посмотреть сниффером на Гугл-бар, Мэйлру-бар, АОЛ-бар и т.п.
Вас ждёт море неожиданных сюрпризов.
Вас ждёт море неожиданных сюрпризов.
На работе отказались от посещения приватных урлов с установленным Баром… Еще до этого инцидента, проследили сниффером, что он сообщает о каждой посещенной странице.
Как-то неудачно у вас получилось выдать обычную блокировку запроса на установку аддона за предостережение Firefox о неблагонадёжности Яндекс.Бара. Да и вообще в статье много открытий Америки и капитанства, особенно призыв читать лицензионное соглашение.
Кто бы сомневался :)
Давно мечтаю о приложении, которое бы блокировало любые попытки этого бара пролезть в систему. На самом деле не так-то это просто. Одно невнимательное действие, одна забытая неприметная галочка при обновлении очередной полезной софтины и враг у вас дома шарится по холодильнику в ваших любимых тапочках.
Кстати, а разве правила хорошего тона (да и вообще элементарные меры безопасности) вэбстроительства не говорят о том, что пароли GET запросами не отправляются!? Можно и не на такие грабли напороться.
Кстати, а разве правила хорошего тона (да и вообще элементарные меры безопасности) вэбстроительства не говорят о том, что пароли GET запросами не отправляются!? Можно и не на такие грабли напороться.
Можно и POST перехватить.
Ну не спорю, можно и https перехватить, но если смотреть на ситуацию в разрезе статьи, то отправка важных данных POST запросом избавило бы от вышеперечисленных проблем. А отправка пароля GET запросом, это простите дилетантством попахивает.
Яндекс.Бар не отправляет на Яндекс ничего, кроме адресов посещаемых страниц: ни их содержимое, ни содержимое POST-запросов.
Адреса страниц отправляются не с целью слежки, а с целью показать для этих страниц ИЦ и количество отзывов.
Адреса страниц отправляются не с целью слежки, а с целью показать для этих страниц ИЦ и количество отзывов.
Даже не правила хорошего тона, а прямо RFC на HTTP.
Короче, всё просто! Каждую крупную контору давит ЧСВ и все разрабатывают свой бот-нет/троян/логер. Яндекс.Бар тому яркое подтверждение… Вспомните все перессуды о компании «Иннова» и их «фросте»… В минаев-live ещё Максим Шапошников про это рассказывал. (вот линк)
В соглашении говорится «Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте»
а на самом деле бар отправляет не только все cookies своего домена (привязка к пользователю), но и get и post-поля форм (личные данные, ccv код карточки, пароли, etc).
а на самом деле бар отправляет не только все cookies своего домена (привязка к пользователю), но и get и post-поля форм (личные данные, ccv код карточки, пароли, etc).
Насчет POST-данных с карточками и паспортными данными — пруф в студию… или сразу пруф в прокуратуру.
Это неправда, данные POST-запроса не отправляются.
Яндекс.Бар не отправляет на Яндекс ничего, кроме адресов посещаемых страниц: ни их содержимое, ни содержимое POST-запросов.
Адреса страниц отправляются не с целью слежки, а с целью показать для этих страниц ИЦ и количество отзывов.
Яндекс.Бар не отправляет на Яндекс ничего, кроме адресов посещаемых страниц: ни их содержимое, ни содержимое POST-запросов.
Адреса страниц отправляются не с целью слежки, а с целью показать для этих страниц ИЦ и количество отзывов.
Тогда зачем вы забираете GET-поля?
Про POST погорячился — берет тип запроса (get/post), ну и url в полном виде с get-параметрами.
Про POST погорячился — берет тип запроса (get/post), ну и url в полном виде с get-параметрами.
Мы не GET-поля берём, а адрес страницы. Чтобы показать для этой страницы ТИЦ и количество отзывов.
в этом же посте картинка:
1.bp.blogspot.com/-r6ZtpLPTHWU/Tiaua9P6eWI/AAAAAAAABQw/oTQ1doQdlzY/s1600/yandex2.png
url вместе со всеми get-параметрами.
Второй гвоздь — в соглашении говорится об отсутствии привязки к пользователю, а cookie yandexuid всё-равно передается.
1.bp.blogspot.com/-r6ZtpLPTHWU/Tiaua9P6eWI/AAAAAAAABQw/oTQ1doQdlzY/s1600/yandex2.png
url вместе со всеми get-параметрами.
Второй гвоздь — в соглашении говорится об отсутствии привязки к пользователю, а cookie yandexuid всё-равно передается.
Нормальному пользователю и AdBlock не нужен
Да-да, это «нормальному пользователю». А нормальному параноику кроме AdBlock, еще нужны FlashBlock и NoScript, причем у этого самого нормального параноика обычно стоит Linux и всякие сайты типа бар-нафиг.yandex.ru и иже с ними зарезаны на уровне iptables а еще на роутере и еще для надежности вписаны в /etc/hostd, а еще нормальный параноик сидит через браузер собранный собственноручно из сырков, подчищает куки, и серфит через анонимирующий прокси доступ к которому идет через vpn-соединение, и всю личную информацию хранит только на криптованных разделах…
Вот, только этих самых «нормальных параноиков» мало, очень мало, слишком мало, наверное даже с полпроцента с трудом не наберется. А Остальные 99.9% широких масс юзеров юзают всякие бары и аддоны, которые сами не понимают для чего, и даже не задумываются над тем, что у них в компьютере настоящий зверинец тронов и полутроянов, над тем, что ихние письма и смс читает весь интернет, над тем, что на ихние паспортные данные нарегано что угодно, от доменов и мобильных номеров до фирм-однодневок, над тем, что по ихним вебманям и кредитным картам накупает кто-угодно и когда угодно, над тем что ихние секретные сиськи-письки разглядывает весь инет, да и вообще, мало над чем задумываются…
Так что грустно но факт, если пресловутая «компьютерная грамотность» она у нас на чрезвычайно низком уровне, то уровень минимальной осведомленности в вопросах информбезопасности — еще ниже. И этих самых «нормальных пользователей» и «нормальных параноиков» на фоне общей массы просто не видно.
Вот, только этих самых «нормальных параноиков» мало, очень мало, слишком мало, наверное даже с полпроцента с трудом не наберется. А Остальные 99.9% широких масс юзеров юзают всякие бары и аддоны, которые сами не понимают для чего, и даже не задумываются над тем, что у них в компьютере настоящий зверинец тронов и полутроянов, над тем, что ихние письма и смс читает весь интернет, над тем, что на ихние паспортные данные нарегано что угодно, от доменов и мобильных номеров до фирм-однодневок, над тем, что по ихним вебманям и кредитным картам накупает кто-угодно и когда угодно, над тем что ихние секретные сиськи-письки разглядывает весь инет, да и вообще, мало над чем задумываются…
Так что грустно но факт, если пресловутая «компьютерная грамотность» она у нас на чрезвычайно низком уровне, то уровень минимальной осведомленности в вопросах информбезопасности — еще ниже. И этих самых «нормальных пользователей» и «нормальных параноиков» на фоне общей массы просто не видно.
А как вы представляете себе работу этих двух функций (показа «Индекса Цитирования» и показа «Отзывов») без отправки запроса к яндексу?
Зачем использовать яндекс бар? Какие там такие маге удобные фичи, которых нету в браузере с дополнениями?(Chrome, FF, Opera)
Скорее Средний брат (: Большой брат — это все-таки Гугл (:
Интересно, а какая еще информация с компьютера может передаваться Среднему Брату?
Хорошим тоном такое поведение точно назвать нельзя. Не хотелось бы, чтоб это считалось нормой. Приватность должна соблюдаться по умолчанию. Надеюсь, что Яндекс это признает одним из первых и добровольно откажется от политики сбора любой персональной информации без осознанного разрешения пользователя.
Вообще, если предположить, что дело в Яндекс.Баре, и что его устанавливают неопытные простые юзеры, то это может быть ещё одним объяснением столь странного содержания утекших смсок.
Поисковые роботы индексируют документы только по ссылкам, не думаю что кэш страницы передается голодным роботам на растерзание, если это правда, то в индексе яндекса можно найти много чего интересного, хотя умные люди всё закрывают через robots.txt или тегом.
Ни Бар, ни Метрика не передают на сервера Яндекса содержимого страниц.
они передают поведения пользователя на сайте, точно вам говорю, они следят за нами :)
Поясните, что такое поведение и как Бар его передаёт, по вашему?
Поведенческие факторы были введены относительно недавно, для более релевантного ранжирования выдачи в Яндексе. В эти факторы входит: время прибывания на странице сайте, дальнейшие переходы по сайту и т.д (яндекс не разглашает). Поведения фиксирует не только бар но и метрика. По этой теме недавно был скандал и Яндекс забанил группу сайтов за накручивания поведенческих факторов, вот ссылка Операция «Чистый поиск»
Забанил на раутере bar-navig.yandex.ru
Я так и не понял — а логин и пароль зачем им куда-то передавать?
А я вот перестал пользоваться обменом файлов через narod.yandex.ru потому, что достал яндекс предлагать установить свой бар чтобы не вводить капчу. А всякие сборщики статистики и аналитики у меня давно забанены десятью замками.
К стати, передача урла Яндексу — это ещё пол бида, да об этом в лицензионном соглашении написано.
Но вот то, что эта информация будет использована для индексирования поисковым механизмом — об этом ничего не сказано. И это очень нехорошо, со стороны Яндекса.
Но вот то, что эта информация будет использована для индексирования поисковым механизмом — об этом ничего не сказано. И это очень нехорошо, со стороны Яндекса.
Пост определенно достоин премии дарвинаК.О.
Дим, советую написать по такому-же про Google toolbar, Chrome, Apple, Android, IE… хорошо попиаришься, пока тема с Мегафоном горячая.
Дим, советую написать по такому-же про Google toolbar, Chrome, Apple, Android, IE… хорошо попиаришься, пока тема с Мегафоном горячая.
А еще Я.Метрика — тоже отсылает на Яндекс запросы, которые потом Яндекс индексирует. И еще этот Вебвизор…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Яндекс.Бар – Большой брат следит за тобой