Pull to refresh
0
Rating

Парадигма секретной ссылки

NetCat corporate blog
Последние несколько дней Рунет захлестнула новая забава: комментирование утечек конфиденциальных данных. Конспирологи уже придумали массу теорий. Тут и вредоносная деятельность Яндекса, ничем не чурающегося в расширении поискового индекса. И целенаправленная подготовка общества к сбору больших денег при помощи закона 152-ФЗ. И происки злобных конкурентов (особенно актуально в контексте РЖД). Ну и конечно же хакеры, переключившиеся с американского Минобороны и Мастеркарда на более серьезного противника — российские секс-шопы. Реальность же с вероятностью 99% гораздо более прозаична. Но это не так интересно, как выводы, которые сделают для себя заинтересованные стороны: поисковые системы, разработчики CMS и сайтов и сами владельцы этих сайтов.

Для начала: чьи же уши?


Да ничьи. Я убежден, что мегафоновские смски были найдены случайно, а сам инфоповод настолько горячий, что резонанс ему был гарантирован изначально. Ну а дальше инициативные граждане сами начали подбирать запросы и сливать наиболее удачные из них. И ни ЦРУ, ни ВикиЛикс, ни Гугл тут совершенно ни при чем. Наверняка нас ждут и новые «разоблачения», раз уж в 2011 году люди внезапно вспомнили, что у поисковиков существуют языки запросов.

Кто виноват?


Уж точно не Яндекс с Гуглом. Все разговоры о том, что Яндексу надо анализировать контент на предмет личных данных или не индексировать страницы с хэш-параметрами или не включать в индекс страницы, на которые нет внешних ссылок, противоречат логике существования поисковиков. Их прямая цель — найти вообще все, что только есть в Сети. Если я ищу компромат на свою жену, делового партнера или конкурента, я, возможно, и мерзкий типчик, но я жду от поисковика не моральной оценки моих низменных мотивов, а результат. Его задача — найти мне информацию. А вот скрыть эту информацию — задача того сайта, где она хранится.

Поэтому ответственность за утечки — полностью на стороне сайта. И как следствие, на стороне разработчиков сайта и производителя системы управления. Реакция разработчиков Shop-Script, частично признавших свою ответственность, в этом контексте заслуживает уважения.

Почему же проблема приняла такой массовый характер? На мой взгляд, основная причина этого в простой и некогда верной парадигме, застрявшей в мозгах разработчиков. Мы считаем, что если страница имеет достаточно сложный и нечеловекопонятный адрес, то ее никто и никогда не найдет, пока мы не дадим или не опубликуем прямую ссылку на эту страницу. Авторизация по хэш-ссылкам, трассировка заказов по длинным номерам — все из этой серии. Оказывается, парадигма неверна, и надо заменить ее на другую: если страница существует и не закрыта паролем, поисковый робот до нее рано или поздно доберется. А может и до закрытой добраться, прецеденты были.

Поэтому нельзя однозначно возлагать вину за утечки конфиденциальных данных на поисковики или на разработчиков. Разве что виноватого найти надо обязательно, например, указание сверху дано.

А вот кому бы я попенял, так это падким на сенсации журналистам. Преподнося ситуацию в стиле «Яндекс рассекретил» или «благодаря ошибке в движке сайта», они невольно дезориентируют аудиторию, далекую от интернет-технологий, которая, разумеется, составляет подавляющее большинство населения. И вместо того, чтобы в следующий раз подумать, прежде чем указывать свою настоящую фамилию при покупке фаллоимитатора, люди будут думать, что во всем виноваты исключительно шпионские программы из Яндекса, а также никчемные программисты. Не далее как сегодня одно уважаемое интернет-издание привело список ведомств, секретные документы которых попали в Гугл. Первым же пунктом в выдаче идет сайт ФАС, в разработке которого я принимал участие, и я прекрасно знаю, что документы ДСП там просто не могут быть опубликованы. Журналист конечно этого не знал, но, потеряв пять минут на просмотр первого же документа из выдачи или на звонок в ФАС или в студию-разработчика, можно было четко понять, что никакой этот документ не секретный, а самый что ни на есть публичный.

Что делать?


Поисковикам — подумать над шаблонами информации, которую индексировать не надо. Это противоречит моей собственной логике, но мы живем в реальном мире, где суд может запретить Гуглу индексировать новости конкретных сайтов, а ответственность за порнографию в выдаче Яндекса несет он, а не владельцы проиндексированных сайтов. Ну и про 152-ФЗ забывать не стоит. Разработчикам CMS — пересмотреть подход к пусть удобному, но потенциально небезопасному способу доступа к закрытой информации. Разработчикам сайтов — тщательнее выбирать способы доступа к частной информации, принимая во внимание потенциальный ущерб пользователей от несанкционированного доступа к их информации (где-то без USB-токена не обойтись, а где-то и защиты особой не надо).

А пользователям — не забывать, что Большой Брат жив и здоров. Как никогда ранее.

UPD. Более подробно о якобы секретном файле ФАС и о том, возможна ли такая ситуация на сайтах под управлением NetCat — в нашем блоге.
Tags:
Hubs:
Total votes 98: ↑52 and ↓46 +6
Views 23K
Comments 55
Comments Comments 55

Posts

Information

Website
www.netcat.ru
Registered
Founded
Employees
11–30 employees
Location
Россия