Роскомнадзор потребовал объяснений от «Яндекса» по поводу ситуации с Google Docs

    image

    Компания «Яндекс» получила официальный запрос от Роскомнадзора по поводу ситуации с индексацией документов Google Docs, сообщают «Ведомости».

    В Роскомнадзоре подтвердили факт отправки запроса: «В связи с случившимся инцидентом РКН направил официальный запрос в компанию „Яндекс“. Дополнительные комментарии по данному вопросу будут опубликованы на сайте ведомства». Речь идет об инциденте, случившемся ночью с 4 на 5 июля. Тогда поисковик показал в выдаче документы Google Docs. Информация об этом появилась в ряде каналов Telegram, а после — в СМИ.

    Указав направление поиска по docs.google.com и введя поисковый запрос (например, «пароли»), в результатах выдачи «Яндекса» можно было получить документы Google с приватными данными ряда компаний. Среди прочих данных в таких документах были указаны номера телефонов и данные электронной почты, а также учетные записи к различным ресурсам.

    Представитель «Яндекса» Илья Грабовский сообщил, что в период со среды на четверг несколько пользователей пожаловались в службу поддержки на общедоступность файлов Google Docs, и служба безопасности сразу же связалась с сотрудниками из Google, «чтобы обратить их внимание на то, что в этих файлах может оказаться приватная информация».

    Корпорация «Яндекс» уже 5 июля разместила в своем блоге разъяснение, согласно которому поисковый сервис компании индексирует только те страницы и документы, которые не требуют ввода логина и пароля для просмотра их содержимого. Если же в файле robots.txt запрещена индексация, «Яндекс» не видит эту страницу, даже если она находится в свободном доступе.

    За этим объяснением последовало обращение Google. Представители компании напомнили пользователям о том, что настройки конфиденциальности можно изменить в любой удобный им момент. Кстати, искать незакрытые документы Google Docs можно без проблем и в Google. Некоторые документы, которые ранее показывались в «Яндексе», можно найти, вбив соответствующий запрос в строку поиска сервиса Google.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 278

      +45
      Поисковик проиндексировал ссылки, доступные без авторизации. Ужас!
        +11
        Ну мало ли что они доступны без авторизации, пусть Яндекс докажет, что они были доступны свободно в интернете, а не слиты Яндексу его браузером.
        Если эти файлы были доступны в интернете, то чего Яндексу вообще боятся и удалять их из выдачи? Доказали бы, что они тут не при чём, выдав адреса куда люди сами слили эти ссылки.
        А так что-то дурно пахнет это всё.
          –6
          Даже если слиты браузером, в чем проблема? Если браузер собирает обезличенные данные, а ссылка публичная, то все ok.

          Если бы яндекс слил данные, которые под паролем находятся, тогда другой разговор.
            +11
            Кто сказал, что эта ссылка публичная?
            А браузеру точно разрешали собирать данные? Я им не пользуюсь не в курсе.
            Если конечно там прям так и написано, что все страницы посещённые вами будут переданы поисковику, то проблем нет.
              +8
              любая ссылка без авторизации потенциально может быть проиндексирована. Разве не так поисковики работают?

              robots.txt индексацию не запрещал, пароль на ссылку никто не поставил.
                +14
                Так то так, но чтобы ссылка была проиндексирована, она должна у поискового робота откуда то появится. И вся проблема только в этом.
                  0
                  Представим, что я её поисковику засабмиттил. Прислали мне ссылку на документ, а я её добавил в индекс (у Яндекса, вроде, форма где-то была, чтобы добавить ссылку). Нигде ведь не дано определение «публичной ссылки».
                    +1
                    Да уже вопрос снят и проблемы нет. Осталось услышать подтверждение от Яндекса, что они используют браузер пользователей для индексации интернета.
                    В соглашении они получили для себя это право.
                      0
                      Все браузеры так делают. Chrome тоже. Не то чтобы это нуждалось в подтверждении.
                        0
                        В FF это отключается, например.
                          0
                          Кому FF отправляет ссылки, и как это отключить?
                            0
                            Отправляет в Mozilla, а отключить это можно так.
                              +2
                              Не вижу чтобы там было написано, что собираются адреса посещённых страниц.
                          +3
                          Откуда у вас информация, что хром использует статистику для наполнения базы краулера?
                            +1
                            Действительно, поискал сейчас — есть исследования, доказывающие, что это не так. Что ж, значит, некоторые работодатели, запрещающие использование Chrome, слишком параноидальны (хотя информация с загруженных страниц вполне может использоваться менее очевидным образом).
                              +2
                              Да ладно? Если у вас адресная строка совмещена с поисковой, а у поисковой есть auto-suggest, то браузер чуть ли не автоматом слил инфу в ваш поисковик ещё до того как вы нажали enter.
                                0
                                То, что он послал строчку в поисковик ещё не значит, что поисковик включит эту страницу в индекс. Ваш КО.
                    +3
                    > Разве не так поисковики работают

                    Не совсем, для индексации ссылка должна попасть в поисковик. Из известной поисковику страницы, ручным заявлением или из карты сайта (которая указана в robots). Просто случайную страницу он не схватит, ради чего-то (профиля аккаунта?) они сливают посещённые страницы. Помнится, этим страдал один сервис и тогда это вызвало всеобщее возмущение, но сервис обламывается об https, а браузер — нет.
                      0
                      Хром точно также схватит из браузера, был случай интересный :) roem.ru/11-03-2011/117088/yandeks-slil-svoy-intranet-v-google
                        0
                        В вашем «интересном случае» ни слова о том, что документы были доступны только через секретный URL…
                          0
                          это ж внутренняя вики, они не были доступны вообше никак за пределами внутренней сети. а гугл все равно проиндексировал :)
                            0
                            Судя по статье на которую вы ссылаетесь «они не были доступны вообше никак за пределами внутренней сети» — это было пожелание. А в реальности они-таки были доступны. Потому Гугл их и проиндексировал…
                    0
                    См. (только я б заменил в его комменте «Яндекс.Браузер… добавил ссылки…» на «есть подозрение, что Яндекс.Браузер… добавил ссылки…»).
                    +2
                    Да, п.5.1 — yandex.ru/legal/browser_agreement
                    Я вам еще больше скажу: в Метрике есть отдельный пункт «отправлять на индексацию страницы, посещенные пользователем». Это немного оффтоп, т.к. в доксе явно Метрика не стоит, но все же.
                      0
                      Ну тогда взятки гладки, не понятно почему тогда Яндекс испугался и удалил выдачу.
                      Раз уж легально собирают всё, то зачем бояться.
                        0
                        Это же могли быть ссылки не только собранные браузером :) И не только легально…
                        Если бы эти документы всегда показывали, то никто бы и слова не сказал, а вот так вдруг появившийся немаленький пул специфических документов — это что-то не то. Вот и решили, что проще выпилить, чем потом объяснять РКН кто тут верблюд.
                          +3
                          Ой да они там уже могли лежать годами как это было с контактом, а потом тото догадался сделать хитрый запрос и всё всплыло.
                          +6
                          Ну тогда взятки гладки, не понятно почему тогда Яндекс испугался и удалил выдачу.
                          Раз уж легально собирают всё, то зачем бояться.

                          Потому что не все так просто.
                          1) Нельзя просто написать «пользуясь браузером вы отдаете все имущество и личную свободу компании Яндекс», то есть написать можно, а вот легально работать оно не будет, так как есть базовые права, которые нельзя нарушать договорами, в частности право на приватность личной жизни, всякие права на защиту персональных данных.

                          2) Там не сказано про индексацию, только использование для улучшения сервиса. Проблема в том, что по сути персональные данные раскрылись всему свету из-за ошибки Яндекса (он не должен был индексировать приватные ссылки на диски),

                          3) И если вам мало, Яндекс имеет офисы в ЕС, среди пользователей его браузера найдутся русскоязычные граждане ЕС у которых могли утечь в сеть приватные данные (вроде скана паспорта) — те кто следит за соблюдением GDPR с радостью вкатят штраф в десятки миллионов $. Впрочем в РФ тоже есть закон о персональных данных (не следил, не знаю насколько он страшен).
                            0

                            Постойте, приватные данные раскрылись всему свету из-за ошибки пользователей, а не Яндекса. Яндекс не виноват, что пользователи не понимают различия между "доступен по ссылке" и "доступен по паролю"

                              +1
                              А вот это нужно доказывать в суде, что это вина пользователей, а не злоупотребление сбором статистики. В случае, GDPR в теории могут наказать за намного меньшие проступки. Но вот говорить однозначно в лицензии есть, то все нормально — не стоит, юридически это не так.
                                +2
                                Я думаю, тут и доказывать нечего. При чем тут GDPR? Гугл доксы никогда не позиционировались как защищенное хранилище приватной информации. Положил пароли в облако — сам дурак!, все, что попало в Интернет, рано или поздно будет скомпрометировано. Я даже облачному LastPass не доверяю, а народ открытым текстом кладет, и потом у них хватает совести вопиять «Ах гадский-гадский Яндекс, проиндексировал нашу инфу!» «Ах, у нас украли!» Да не у вас, блин, украли — вы сами туда это положили.
                                  0
                                  Да нет. У меня украли. Я ввёл строку запроса в браузере, а он рассказал о ней всему миру.
                                    +2
                                    Ну а кто виноват, что вы пункт 5.1 в соглашении не прочитали?
                                      +3
                                      Тут я с вами согласен. Пользователи Яндекс Браузера ССЗБ.
                                      Однако стоит заметить, что невозможно отследить за изменениями лицензионных соглашений при каждом обновлении всего испольуемого софта.
                                      ТАк что по хорошему, такие вещи на уровне законов должны признаваться не имеющими силы.
                                        +1
                                        И я с вами согласен, пункт 5.1 — это полный п.
                                +6
                                Где тут ошибка пользователя?
                                У меня в доме доступ по коду — разве код стал публичным от того, что я его записал в телефонный блокнот?
                                Сам URL является кодом доступа. Он не нигде не публикуется, значит его знают только те, кто должен. То что поисковик своими махинцаями за ним подглядел — так он также может и пароль подсмотреть.
                                  +1

                                  Если ваш телефонный блокнот доступен без пароля в интернете — то да, он стал публичным. Неправда ли все те, чьи iot устройства с дефолтным паролем можно найти через shodan.io — сами виноваты? Чем лучше те, кто оставил свою информацию в интернете БЕЗ пароля?
                                  Яндекс же не скопировал все эти пароли в фейсбук с заголовком "Шок! Слитые пароли", он просто их нашел. Он же, как бы, поисковик.

                                    +1
                                    Что значит «нашел»? Каким волшебным образом?
                                    Он его «нашел» в моей записной книжке, доступной ему.
                                      +1

                                      Есть разница между "браузер проиндексировал приватную информацию, и ее теперь видно в поиске (хотя по ссылке она не доступна)" и "браузер намайнил какой-то урл, на который из интернета пришел бот и в поиске появилось что-то (что доступно любому по этому урлу)"

                                        +1
                                        Нет НИКАКОЙ разницы.
                                        Даже больше — куча сервисом делается авторизщацию через передачу данных в виде хэша в get запросе. И о боже, у них на выходе получается как раз та самая ссылка, по которой можно получить доступ к данным. И что? Эти ссылки теперь можно выкладывать в интернет свободно?
                                          0

                                          Правильные авторизующие ссылки во-первых одноразовые, во-вторых потухают. Если какой-то сервис делает не так — это плохой, не безопасный сервис. Именно по той причине, что урл это идентификатор ресурса, а не способ аутентификации.

                                            +4
                                            О да, типичный пользователь гугл докса должен разбираться в ИБ на уровне, на котором не каждый средний админ разбирается.
                                            Серьезно?
                                            От закрытой сложной ссылки вполне логично ожидать, что она не станет публичной никаким образом кроме прямой публикации.
                                            Если оно происходит иначе — это не вина пользователя.
                                              0

                                              Пожалуй вы правы, Гуглу следовало более явно обозначить риски.

                                                +2
                                                От закрытой сложной ссылки


                                                Она НЕ закрытая. Она просто длинная и сложная, но для обычного пользователя, подозреваю, она не отличается от любой другой. Я не думаю, что они читают урлы, и транскрибируют их с английского языка. Они просто знают, что если кликнуть мышкой вот на этот набор букв — попадешь на одноклассники, а на вот этот — в документ с паролями.
                                                Ну, я так подозреваю. Почти уверен.
                                                  –2
                                                  Есть сервис со ссылками вида «XNNNN», где X — это случайная буква, а NNNN — порядковый номер документа. Являются ли его ссылки «сложными и закрытыми»? Можно ли доверять такому сервису свои пароли? А рабочие данные компании? Ну и кто дурак, если сделает это? И на сколько у гугла сложнее ссылки?
                                                    +1
                                                    Когда вы сможете перебором смотреть ссылки на гугл доки — тогда ваш комментарий будет иметь какой-то смысл.
                                                    Пока — нет.
                                                      +1
                                                      И на сколько у гугла сложнее ссылки?

                                                      По сложности подбора в квадралионы раз.
                                                0
                                                Давайте тогда доведем ad absurdum — сейчас можно прямо в url вбить base64 картинки в png и браузер покажет ее, как картинку. Какой-то хитрый одмен скинул пользователю его пароль в виде такой вот картинки в url. Пользователь открыл ее в Я.браузере. Значит ли это, что теперь Яндекс имеет право проиндексировать эту ссылку и показывать ее в выдаче своей поисковой системы по запросу «base64 пароль»?
                                                  0

                                                  Я больше чем уверен, что браузеры делают не настолько глупые люди, чтобы не отфильтровать схемы вроде data-uri, smb или file. И кстати найти это изображение по слову пароль при всем желании будет нельзя — потому что ни в урле, ни в картинке слова "пароль" нет

                                                    0
                                                    И кстати найти это изображение по слову пароль при всем желании будет нельзя — потому что ни в урле, ни в картинке слова «пароль» нет
                                                    OCR не вчера, однако, придумали…
                                                      0

                                                      У меня есть убеждение, что поисковики не прогоняют каждое найденное изображение через OCR. Если у вас под рукой есть ссылка с подтверждением обратного, я буду рад поменять свое убеждение:)

                                              +4
                                              все те, чьи iot устройства с дефолтным паролем можно найти через shodan.io — сами виноваты?


                                              Абсолютно да, они виноваты сами.
                                            +4
                                            В настройках приватности в gdocs можно выбрать уровень — доступен только тем, у кого есть ссылка. Это отдельный пункт от «публичный документ». Пользователь, выбирая такой уровень, не ожидает что его документ покажут в поисковой выдаче, и морально к этому не готов. Он, возможно, и не против передать ссылку в яндекс, но против открытого доступа.
                                              –2
                                              Так может это гугл облажался, забыв прописать правильный robot.txt?
                                      0
                                      Кто сказал, что эта ссылка публичная?
                                      А браузеру точно разрешали собирать данные?


                                      При чем тут браузер?

                                      ПОСЛЕ того как ссылка была проиндексирована — она была показана обычному пользователю. У которого НЕТ АВТОРИЗАЦИИ.

                                      И он по ней благополучно вошел.

                                        +1
                                        Вы не поняли, я по то, что браузер может собирать данные для передачи на индексацию у пользователей, которые открыли эту ссылку.

                                        В случае этих ссылок авторизация есть у всех у кого есть ссылка. Не авторизованных не может быть по определению.
                                        +3
                                        >«А браузеру точно разрешали собирать данные»

                                        Вы таки удивитесь, но вы сами все разрешили.
                                        Или соглашение перед установкой не читали? ай-яй-яй.
                                        P.S. Человек-айпадоножка
                                          +1
                                          Скайп неоднократно ловили на том, что после передачи в нем ссылки, на эту ссылку приходил микрософт.
                                          Хром — после захода на ссылку приходил гугл.
                                          Яндекс что, рыжий чтоль?
                                            +1
                                            Скайп неоднократно ловили на том, что после передачи в нем ссылки, на эту ссылку приходил микрософт.
                                            А сколько раз при этом страничка попадала на Bing?

                                            Хром — после захода на ссылку приходил гугл.
                                            И странички потом искались?

                                            Яндекс что, рыжий чтоль?
                                            Судя по обсуждаемой статье — таки да…
                                          +7
                                          Если браузер собирает обезличенные данные, а ссылка публичная, то все ok.

                                          Если ссылка фактически не была опубликована, то почему вдруг она может считаться публичной?
                                            0
                                            Я создал сайт. Нигде не публиковал ссылку на него. Он оказался проиндексирован. В чем разница?
                                              +3
                                              Нет разницы. Если вы нигде не опубликуете, он и не будет проиндексирован.
                                              Неужели вы думаете, что поисковику делать нечего, кроме как случайные строки генерировать и искать, есть ли сайт с таким названием.
                                              Но создать сайт и не опубликовать как-то не просто. Вы как минимум его опубликуете в DNS.
                                                0
                                                Хм, но ведь есть dns сервера где вся эта инфа хранится, зачем строки генерить?
                                                  +2
                                                  Вы можете создать сайт и без DNS, и у такие есть, и они не попадут в выдачу, так как надо знать не только IP, но и порт. И угадать это совсем не просто, поэтому поисковики не гадают, они берут только то, что опубликовано.
                                                    0
                                                    Какая вся эта? Там только сзязь IP-имя, нужен ещё порт и адрес страницы, тем более можно получить список только корневых доменов, поддомены без разрешённого трансфера недоступны, не говоря об именах страниц.
                                                    PS. Да и список доменов получить тоже не просто. Есть у регистраторов запрос «дай все свои домены»? Подозреваю что нет, а регистраторов много.
                                                      0
                                                      Регистратор может не знать поддоменов, несмотря на их наличие — wildcards.
                                                        0
                                                        Это уже совсем сильное колдунство, так сказать «контрольный выстрел в перебор страниц».
                                                          0
                                                          Регистратор разве вообще их знает? Я вот указываю на регистраторе DNS хостинга, поддомены завожу на хостинге — ИМХО, регистратор об их количестве и составе понятия не имеет. И вообще об этом знает только хостинговский DNS (и более вышестоящие DNS сервера на уровне кэша, если кэш не протух). Я прав?
                                                      0
                                                      Домен еще не говорит о том, что там можно найти веб-сервер. Да и вообще домен — штука опциональная.
                                                      0
                                                      Абсолютно так же сайт не будет проиндексирован. Краулеру просто неоткуда будет взять ссылку, чтобы начать шариться там.
                                                        +2
                                                        Будет. Просто скорость и качество индексации зависят напрямую от популярности сайта. Если просто опубликовать пустой шаблон в гугловском конструкторе — может индексироваться и месяц, а если там будет трафик (даже прямой) — намного быстрее.
                                                        У краулера _очень_ много источников, где взять ссылку на сайт/страницу. И прямой href= — это только самый простой и понятны для большинства.
                                                          0
                                                          У краулера _очень_ много источников, где взять ссылку на сайт/страницу.

                                                          Отсюда можно поподробнее?
                                                            0
                                                            Браузер, системы аналитики (я там выше про Метрику в частности писал), плагины/виджеты, всевозможные каталоги (где они сами берут ссылки хз), партнерские системы (привет Skype&Yahoo, FB&CambrigeAnalytics), мобильные приложения, скриншоты (имхо, врял ли — слишком трудоемко, но ЯДиск тем не менее очень неплохо распознает текст на скриншотах). И, наверно, еще десяток неочевидных вариантов, до которых так сразу и не додумаешься.
                                                            Другое дело, что ошибкой Яндекса в данном случае была индексация/ранжирование всех этих документов. Скорее это база, собранная для задач внутренней аналитики/обучений нейросетей, и которая почему-то попала вместо «ToAnalyze» в «ToIndex».
                                                              –1
                                                              Все вами названное подразумевает те или иные утечки по вине юзера.
                                                                +1
                                                                браузер — по вине юзера??
                                                                внутрисайтовая аналитика — по вине юзера?
                                                                мобильные приложения — по вине юзера?
                                                                Ну тогда извините, юзер виноват в нарушении безопасности потому, что открыл таблицу, ок.
                                                                  +3
                                                                  браузер — по вине юзера??
                                                                  У браузера яндекса, как пример, в пользовательском соглашении же русским по белому написано, что они аналитику собирают. Юзер выбрал его добровольно среди других альтернатив.

                                                                  внутрисайтовая аналитика — по вине юзера?
                                                                  Аналитика на сайте с претензией на анонимность? Серьезно?)
                                                                    –2
                                                                    Вы вроде спрашивали о возможных источниках, где краулер ссылки может взять :)
                                                                    Концепция защиты Gdocs и кибербезопасность в общем — это отдельная тема пары сотен докторских диссертаций)
                                                                      0
                                                                      Нет, речь шла уже не о гуглдоках, а неком приватном сайте, который, по вашем словам, обязательно окажется в лапах краулера.
                                                                        0
                                                                        Ну да. И я варианты привел. Виноват в индексации юзер или Хоттабыч — это важно? Почти все эти способы подразумевают, что не было прямой href-ссылки с индексируемого ресурса на «приватный».
                                                                        Судя по интересам вы в курсе, что и как в веб-разработке? Dev-домены потому и закрывают всегда (ага, щаз) от индексации, что иначе через пару недель разработки вдруг полуготовый сайт оказывается в поиске. А иногда такие домены находят сеошники лет через 5 жизни сайта.

                                                                        Я не говорю, что невозможно закрыть сайт от краулера. Я говорю, что способов получить ссылку далеко не один. И если вы не оставляли ссылку на «приватный» сайт в публичных интернетах, то это не значит ровным счетом ничего.
                                                                          0
                                                                          Виноват в индексации юзер или Хоттабыч — это важно?

                                                                          Если это не важно, то что вообще важно? Может кто-то сделает выводы. Под новым углом посмотрит на привычные инструменты. И начнет как-то заботиться о своей приватности.
                                                                            0
                                                                            Котики, например, важны. Они точно важнее Хоттабыча.
                                                                            0
                                                                            Так варианты так себе — если сайт не копия для разработки, то там может не быть аналитики вообщде (не говоря об отсутствии аналитики на некоторых страницах), что за мобильные приложения? Мессенджеры? Тогда вот и вопрос к яндексу о сливе из мессенджеров ссылок ему, если нет, то каким образом ссылка в них попала? Мобильное приложение, связанное с сайтом? У большинства как-бы нет.
                                                                            Остаётся браузер.
                                                                              0
                                                                              А с чего вы взяли, что используется только какой-то один вариант? Все. И еще те, что я не назвал. А на выходе и получается. что практически любой более-менее существенный контент в ограниченное время окажется в поиске.
                                                                              И да, список мобильных приложений не ограничивается одними мессенджерами, совсем нет.
                                                                                0
                                                                                Я разрабатывал сайты много раз, и я не могу сказать, что индексация происходит прямо вот очень быстро. Году так в 2008-2011 если создать сайт, и вообще нигде ссылку на него не публиковать (не сабмитить в поисковик напрямую и в каталоги), то сайт и через 3-4 месяца и даже больше мог не появиться в выдаче. Сейчас, возможно, индексация идёт быстрее и активнее, всё-таки мощности железа растут.
                                                                                  0
                                                                                  Добро пожаловать в 2018. Даже Яндекс уже года полтора как очень и очень ускорил индексацию. Гугл примерно так с 2013-15 индексирует в течение дня, если удачно подвернется ссылка.
                                                                                    0
                                                                                    У любого явления есть хорошая сторона и плохая. Быстрая индексация — чаще, конечно, благо. Но иногда ведь и правда может быть ситуация, что владелец сайта принципиально не хочет его индексации. Как быть, надеяться на robots.txt и добросовестность поисковика? Так судя по комментарию представителя Яндекса, в данном случае и правда файл robots.txt был по какой-то причине проигноририрован (даже не рассматривался).
                                                                                  0
                                                                                  Как отделить существенный от несущественного? Если обмениваться ссылками через ICQ, например, то как-то путей не видно. И что за модильные не-мессенджеры, которые тырят ссылки?
                                                                                0
                                                                                Я ни в чем не виноват. (Хотя и работал над Яндекс.Браузером)
                                                                                  0
                                                                                  Имена вымышлены, совпадения случайны :)
                                                                                  Но жаль, что NDA не позволит вам рассказать подробности произошедшего «с той стороны».
                                                                                  Или?..
                                                                                    0
                                                                                    работал
                                                                                    Что там случилось — для меня такая же загадка как и для вас
                                                                                  0
                                                                                  Я не говорю, что невозможно закрыть сайт от краулера. Я говорю, что способов получить ссылку далеко не один. И если вы не оставляли ссылку на «приватный» сайт в публичных интернетах, то это не значит ровным счетом ничего.

                                                                                  В теории — конечно, получить ссылку можно множеством способов. Но их легальность и моральная чистота далеко не всегда не оставляет сомнений :)
                                                                        0
                                                                        плагины/виджеты

                                                                        Вы про JavaScript код?

                                                                        всевозможные каталоги

                                                                        Это по сути тот же href.

                                                                        браузер

                                                                        А вот законность этого метода уже под большим вопросом. Я как пользователь браузера, возможно совершенно не хочу, чтобы кто-то индексировал посещённые мной страницы, если их ещё нет в индексах.
                                                                          0
                                                                          Вы про JavaScript код?

                                                                          Метод сбора — ну да, js, наверно, я хз как там плагины работают и на чем написаны. Я про внешний «интерфейс» сбора информации.

                                                                          Это по сути тот же href.

                                                                          по сути да. А по смыслу несколько иное. Есть пользовательские ссылки, которые все и воспринимают как ссылки в классическом виде. А есть автогенерируемые каталоги, которые представляют собой свалку всевозможного хлама.
                                                                          А вот законность этого метода уже под большим вопросом

                                                                          Лицензию читали? принимали? Дальее вы можете или в рамках допустимого настроить чекбоксы или не использовать ПО.
                                                                            0
                                                                            Метод сбора

                                                                            Нет, вы не поняли. Я именно про парсинг JS кода на сайтах. Есть же динамически подставляемые ссылки в JS приложениях, которые в теории можно извлечь, анализируя код. Хотя это не всегда тривиально (высокий риск ошибок и очень ресурсоёмкий анализ). Например:

                                                                            var href = 'https://site.com/' + path + page


                                                                            А есть автогенерируемые каталоги, которые представляют собой свалку всевозможного хлама.

                                                                            А как связан процент хлама с вышеописанной ситуацией?)

                                                                            Лицензию читали? принимали?

                                                                            Если лицензия нарушает какой-то реально существующий закон — она не имеет юридической силы в этом пункте. Если не нарушает… что ж, всё равно практика отправки куда бы то ни было вводимых в адресную строку URL, даже обезличенных — это очень странно (да, я знаю про удобную функцию autosuggest от Гугла, я и сам иногда ей пользуюсь — однако я без неё проживу, раньше ведь как-то жили во времена IE 6-8).
                                                                        0
                                                                        Например, вот этот: ru.wikipedia.org/wiki/HTTP_referer
                                                                          0
                                                                          Для этого нужно непременно перейти с нашего секьюрного сайта на внешний ресурс, где этот заголовок будут ждать.
                                                                            0
                                                                            Конечно. Но Метрика на многих сайтах есть… :)
                                                                              –1
                                                                              Но далеко не все секьюрные сайты делаются людьми, которые не знают как referer работает.

                                                                              У нас, например, CMS преобразует все ссылки «наружу» из somewhere.there/something в secure.site/redirect#http://somewhere.there/something (а на secure.site/redirect висит тривиальный скрипт). Referer в этом случае будет вести на secure.site/redirect, который отправит пользователя на secure.site, так что утечки не будет.
                                                                                0
                                                                                А, так эту схему придумали, чтобы не палить источник перехода? А я-то думал, проверка ссылки по базам на наличие чего-то вредоносного… :) Как пишут некоторые порталы
                                                                                  0
                                                                                  Проверка по базам — это по желанию. А основное — да, скрыть адреса «внутренних» страниц.
                                                                                    0
                                                                                    То есть это серьёзно сделано для этого? Тогда я не понимаю, адреса каких страниц скрывают, и зачем :)
                                                                                    Адреса страниц пользователей или групп, на которых произошёл клик по ссылке? Если скрывать такую информацию, вебмастерам будет сложнее отслеживать эффективность переходов с ссылок в разных сообществах. Но я не могу понять, как можно было бы эти данные использовать кому-то во вред.
                                                                                      0
                                                                                      Если скрывать такую информацию, вебмастерам будет сложнее отслеживать эффективность переходов с ссылок в разных сообществах.
                                                                                      Если учесть, что речь идёт о внутренних страницах, недоступных людям без пароля — то не очень понятно что могут вебмастера делать с подобной информацией.

                                                                                      Но я не могу понять, как можно было бы эти данные использовать кому-то во вред.
                                                                                      В случае если это Wiki? Сами названия страничек будут содержать разного рода конфиденциальную информацию. Названия продуктов, используемых технологий и прочего.

                                                                                      Тогда я не понимаю, адреса каких страниц скрывают, и зачем :)
                                                                                      Адреса страниц пользователей или групп, на которых произошёл клик по ссылке?
                                                                                      Адреса страничек, на которые произошёл переход никому не интересен — они ж публичные, мы с этого начали.

                                                                                      А вот адреса страничек с которых произошел переход — другое дело. На современных сайтах установлены зачастую десятки разных счётчиков и «лайков»… какой из них эту информацию сольёт — неизвестно, так что лучше сделать так, чтобы этой информации просто не было.
                                                                                        0
                                                                                        Мы похоже совсем друг друга не поняли. Я всё про ВКонтакте толкую, про их скрипт внешнего перехода. Какие сторонние счётчики и лайки там?))

                                                                                        Страницы, с которых осуществлён переход — в 80 процентах случаев доступны без пароля незарегистрированным пользователям, в том-то и дело. Это значительная часть личных профилей и ещё более значительная часть сообществ.

                                                                                        Адреса страниц пользователей или групп, на которых произошёл клик по ссылке?


                                                                                        Я написал «на которых», а не «на которые», это не было опечаткой.

                                                                                        В случае если это Wiki? Сами названия страничек будут содержать разного рода конфиденциальную информацию.


                                                                                        Вы про некую внутрикорпоративную Вики? В таком случае да. Но я писал про соцсети, с вашим сценарием и так понятно, за что есть смысл опасаться.
                                                                                          0
                                                                                          Я про интранет больше, да.

                                                                                          А в случае с социальными сетями всё банальнее и проще: они учитывают переходы со страничек, чтобы оценивать станицы, с которых переходят.

                                                                                          Если на страничке куча ссылок, но по ним никто не кликает — то это явно менее полезная страница, чем та, где есть одна ссылка, но на которую кликают всё время.
                                                                                            0
                                                                                            Так соцсеть — это не сайт, продающий ссылочную массу. Вот смотрите, есть страница со стеной юзера Васи, на ней есть посты. В некоторых есть ссылки. Зачем ВК нужно оценивать эффективность ссылок в постах Васи? Это куча геморроя, за который никто не заплатит :)
                                                                                              0
                                                                                              Зачем ВК нужно оценивать эффективность ссылок в постах Васи?
                                                                                              Не «эффективность ссылкок» в приципе. А частоту, с которой по ним кликает Петя. Чтобы понять — нужно ли этого Васю включать в ленту Пети или нет. Чтобы найти друзей с похожими интересами. И прочая, прочая, прочая.

                                                                                              Это куча геморроя, за который никто не заплатит :)
                                                                                              Наоборот — это то, что отличает современные социальные сети от MySpace и LiveJournal'а.
                                                                                                0
                                                                                                Чтобы понять — нужно ли этого Васю включать в ленту Пети или нет

                                                                                                Эм, что?)) В ленте выводятся только посты тех людей, на которых пользователь подписан явно (и кого не добавил в фильтр).

                                                                                                На счёт поиска друзей: те, кого обычно предлагали мне — это друзья друзей с некоторым дополнительным фильтром по вузам и профилям вузов. Для этого не нужны данные по кликам на ссылках :)

                                                                                                Хотя можно провести эксперимент: кликнуть у кого-нибудь на стене по ссылкам пару раз (желательно у кого-то из френдлиста одного из друзей), а потом посмотреть, выведет ли этого человека в «возможных друзьях».
                                                                          0
                                                                          А, ну и как я мог забыть — текст. Вся почта безусловно анализируется. Хотя бы даже просто для того, чтобы проверить на предмет отсутствия вредоносных ссылок в письме, сделать превьюшку для ссылки, проверить код ответа и т.д. И очень логично все это собирать в одну кучу про запас, а если вдруг засветится — прятать.
                                                                            0
                                                                            Одно дело — парсить текст и проверять его, другое дело — что-то сохранять оттуда. Это ведь совсем разные вещи.
                                                                              0
                                                                                0
                                                                                В первом абзаце написано то же самое, что и во всех других местах: сервисы Google прекрасно «видят» ссылки, которые вы вводите в Chrome, в чат, в почту и много куда ещё — но не все… краулер их не видит.

                                                                                Да и как иначе? Google должен понять — нет ли там заразы (чтобы в последующем предупредить вас), может собирать разную статистику и прочее, прочее, прочее.

                                                                                Заходит он туда ботом именно для того, чтобы гарантировать приватность (Chrome мог бы и сам текст на сервис проверки на «заразу» посылать — но тут уже есть возможность «слить» в Гугл инфу и из интранета тоже, чтобы будет уж совсем нехорошо).

                                                                                Но вот про внесение в индекс и в базу данных краулера — по вашей ссылке ни звука.

                                                                                Единственный способ добавить ссылку, недоступную «из открытых источников» в базу карулера — через www.google.com/webmasters/tools/submit-url
                                                                                  0
                                                                                  Google должен понять — нет ли там заразы

                                                                                  Простите, а я его об этом просил?.. Если речь о скриптах на некой площадке, проверяющих мой пост перед размещением на ней — воля владельца площадки делать любые проверки. Но всё остальное… Гугл не поставщик антивирусного ПО. И я его не умолномачивал ничего сканировать. Аналогично — Microsoft в примере со Skype.
                                                                  +3
                                                                  Если браузер собирает обезличенные данные, а ссылка публичная, то все ok.

                                                                  Сама ссылка может быть паролем. Вариант на «предъявителя» (authorization without authentication)
                                                                    0

                                                                    Слово "password" тоже формально может быть паролем. Но разве это означает, что это действительно что-то защищающий пароль?

                                                                      0

                                                                      Вот потому такие ссылки и принято делать одноразовыми

                                                                      –1

                                                                      К слову — все ваши фотографии в соц. сетях доступны без авторизации по публичным ссылкам. В том числе и приватные (можете проверить). Ничего так, если поисковик возьмет и все их сольет в паблик?

                                                                        0
                                                                        Повторюсь еще раз — в Интернете приватности нет. Всё, что туда попало — будет скомпрометировано, рано или поздно.
                                                                        Единственный способ этого избежать — не класть.
                                                                          0

                                                                          Ну выложите в паблик свои логины-пароли, чего уж. Раз все равно нет приватности. А если не собираетесь, значит на какой-то минимальный уровень приватности все-таки рассчитываете. Что ваши данные хотя бы первый случайный мимокрокодил не откроет, для 99% задач этого уровня достаточно. Но хочется, чтобы конвенции об этих 99% поддерживались всеми влияющими сторонами.

                                                                            –2
                                                                            Ну выложите в паблик свои логины-пароли, чего уж. Раз все равно нет приватности.


                                                                            Что за странная логика? «Нет приватности, но вы выкладывайте.»
                                                                            –1
                                                                            в Интернете приватности нет. Всё, что туда попало — будет скомпрометировано, рано или поздно.Единственный способ этого избежать — не класть.

                                                                            Проблема в том, что это справедливо вообще для любого компьютера/смартфона, подключенного к инету, так как антивирусы, ОС, сайты, брузеры, трояны и вирусы массово сливают информацию, и единственный способ (и то не гарантированный) избежать этого вообще не подключать комп к сети, а лучше вообще не держать критичную информацию на электронных устройствах. Иначе она будет скомпроментирована рано или поздно.
                                                                              0
                                                                              Именно поэтому на своих устройствах я старюсь держать только ту информацию которая не принесет больших проблем при утечке.
                                                                                0
                                                                                Имхо, не обязательно физически отключаться от сети. Есть другой выход, не соль радикальный: использовать проверенный и надёжный софт (либо самописный).

                                                                                Выше кто-то приводил пример парсинга текстов электронных писем для проверки на наличие опасных ссылок, создание превью для вложений, и прочего. Так ведь есть же выход этого избежать: использование своего почтового сервера, и нативного (под мобильные такое тоже есть) клиента. А если человек совсем параноик, и не доверяет встроенному в ОС почтовику — можно написать свой, если квалификация позволяет :)

                                                                                Ну или смириться с риском, да.

                                                                                P.S. Хотя я вот совершенно не верю, что тот же стандартный e-mail клиент из Андроид (весом менее 300 килобайт) что-то куда-то сливает на сторону.
                                                                                  0
                                                                                  стандартный e-mail клиент из Андроид (весом менее 300 килобайт) что-то куда-то сливает на сторону.

                                                                                  Так кроме стандартного клиента есть несколько Гб программ ОС Андроида, содержимое которых известно только гуглу. У меня, например, на собственные нужды ОС Андроида тратит несколько Гб трафика в месяц, мне все равно он в оснвном вай файный, но в таком кол-ве трафика можно что угодно спрятать.

                                                                                  ОС почтовику — можно написать свой

                                                                                  А если я не доверяю самой ОС тоже написать свою? Нет, можно, конечно, залить Линукс на смартфон, но даже это не гарантирует нулевой уязвимости/бекдора в ОС или железе. А боюсь квалификации и времени по написанию с нуля своей ОС + созданию своего железа + надежной защиты всего этого — нет практически ни у кого.
                                                                                –1
                                                                                Что за глупое утверждение?.. Потрудитесь обосновать хотя бы для начала, почему это приватности нет, и почему всё будет скомпрометировано.
                                                                            +3
                                                                            пусть Яндекс докажет, что они были доступны свободно в интернете, а не слиты Яндексу его браузером

                                                                            Презумпция невиновности, как она есть.
                                                                              –4
                                                                              А я и не обвиняю. Но я думаю Яндексу самому будет небезынтересно восстановить свою репутацию.
                                                                                0
                                                                                Отвечу на минусы, хоть и придётся погадать за что вы их ставите даже не комментируя.
                                                                                Если вы не согласны, что репутации Яндекса нанесён урон, то докажите, я вокруг себя вижу обратное, люди стали удалять браузер, хотя пользовались им.
                                                                                  –1
                                                                                  Люди каждый день устанавливают и удаляют браузеры, это никак не сказывается на чьей то репутации.
                                                                                    +2
                                                                                    Что-то я не вижу, чтобы каждый день кто-то менял браузер. Люди привыкают и с трудом меняют его, если по какой-то причине он становится не угоден.
                                                                                    Причины не всегда объективны, иногда совсем даже необъяснимы или ошибочны.
                                                                                    В данном случае мне позвонили люди и явно озвучили причины почему они ищут другой браузер на замену Яндексу — потому что все новости забиты ссылками на то, что именно Яндекс слил пароли пользователей да ещё РКН от него требует объяснений.
                                                                                    Если не это называется репутацией, то что ещё?
                                                                                    На месте Яндекса я бы очень озаботился этим положением и повернул СМИ в другую сторону, пока остатки лояльных пользователей не разбежались.
                                                                                      –1
                                                                                      У меня есть друг у которого стоит около 8ми браузеров(всякие ответления FF), и меняет он их регулярно, ему это нравится.
                                                                                      А то что тото позвонил вам это такая себе метрика, мне вот никто не звонил.
                                                                                      А сколько народа зашли посмотреть на яндекс чтобы глянуть что же там такое слили?
                                                                                        0
                                                                                        От того что кто-то зашёл посмотреть репутация не улучшится.
                                                                                        Вот если бы вы мне сообщили, что есть хоть один человек, который решил, что репутация улучшилась после таких новостей, то моя метрика перестала бы что-то показывать. Есть такие?
                                                                                          0
                                                                                          Я считаю что репутация не изменилась.
                                                                                          PS. Как в общемто и после прошлого «скандала» с метрикой.
                                                                                        0
                                                                                        Они озаботятся, да.
                                                                                        Но когда пару лет назад обновление яндекс-диска посносило системы народу, как-то никто особо никуда не разбежался. И вовсе не потому, что Яндекс чем-то там озаботился, а просто привычно вздохнули и продолжили есть кактус.
                                                                                          0
                                                                                          Не знаете, почему? Есть же достойные аналоги. Тот же Гугл или Мейл. Не говорю о всякой экзотике типа Sync или Box.
                                                                                            0
                                                                                            Привычка.
                                                                                            Разбираться заново, переезжать, переучиваться… Не покупать же новую машину, если у старой внезапно спустило колесо?
                                                                                            По большей части (в моей эникейской практике) это те люди, для которых компьютер довольно далек от сферы ежедневных интересов.

                                                                                            У меня было несколько пострадавших, которые вообще ни сном, ни духом, откуда этот яндекс-диск у них взялся. Не ставили, не пользовались, даже не слышали. То ли с мусором поставился, как амиго, хотя вроде к тому времени Яндекс уже прекратил такую практику…
                                                                                        0
                                                                                        Расскажите, почему вы не пользуетесь браузером «Амиго»?
                                                                                          0
                                                                                          Потому же почему не пользуюсь ЯндексБразуером, IE, Safary, FF, Edge, Opera и прочим, просто меня устраивает хром.
                                                                                    0
                                                                                    Я очень сильно сомневаюсь, что если виной был бы их браузер, то они сказали бы правду.
                                                                                    Будут выкручиваться до последнего.
                                                                                      +1
                                                                                      Презумпция невиновности, как она есть

                                                                                      … которая не действует в гражданском кодексе, только в уголовном. Если ваш сосед утвреждает, что вы слушали музыку всю ночь, а вы утверждаете обратное, то если вы не докажете, что не слушали, судья будет решать кому он верит больше.
                                                                                      0
                                                                                      shodan вам вообще лучше не показывать, да?
                                                                                        0
                                                                                        Согласен, что если люди оставляют открытым что-то, в надежде, что никто не будет перебирать IP и порты, то они сами себе буратины. И создавая ссылку в гуглдокс, так же подразумевают, что узнать её можно, только подобрав хеш.
                                                                                        Но тут явно никто не подбирал хеш, ссылки на документы попали в выдачу по другому пути.
                                                                                      +3
                                                                                      Когда человек отправляет ссылку на документ другому человеку, и включает доступ только по ссылке, никто, кроме человека обладающего этой ссылкой, не должен видеть этот документ.
                                                                                      Только Яндекс.Браузер об этом не знал и добавил ссылки, на которые заходили пользователи по приглашению, в общий буфер индекса. Так что ссылка по приглашению стала доступна поисковому боту, а значит всем. И вот тут уже Яндекс действительно должен объяснить, почему он использовал подобную информацию в целях, о которых не говорит в условиях использования браузера.
                                                                                        0
                                                                                        И вот тут уже Яндекс действительно должен объяснить, почему он использовал подобную информацию в целях, о которых не говорит в условиях использования браузера.


                                                                                        Пункт 5.1 пользовательского соглашения.
                                                                                          +2
                                                                                          Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции автоматической отправки статистики


                                                                                          Пользователь может отключить сбор указанных данных отключением функции автоматической отправки статистики в настройках Программы.


                                                                                          Я должен это включить сам, верно?
                                                                                          А теперь установите Яндекс браузер и зайдите в настройки.
                                                                                            +3
                                                                                            … скорее всего не имеет юридической силы, так как существуют права, которые нельзя передать (приватность, персональные данные и т.д.). Долго второй раз расписывать просто дам ссылку
                                                                                            0
                                                                                            Нет. Если делать по стандартам — то либо должен запрашиваться пароль либо блокировка по IP.
                                                                                            И реально — по таким ссылкам ходит, например скайп при пересылке ссылки может решить проверить а не вредоносная ли ссылка. И не только скайп.
                                                                                            Если же надо чтобы не ходили (белопушистые) краулеры — есть robots.txt, и есть (правда не все кралеры это понимают но все же) спецтеги в html на тему «не индексировать этот документ». Есть наконец фильтрация по user-agent — поисковые краулеры для индексации — представляются собой (для всяких проверок могут и браузером представляться но это отдельный вопрос).
                                                                                            Если владельцу сайта оно важно — он прописывает все что надо.
                                                                                            Если пользователю что-то не нравится — он может обращаться к владельцу сайта, если не обращается и по прежнему использует сайт — ну значит его все устраивает.

                                                                                              +1

                                                                                              Владелец робота может забить на robots.txt. Это вообще не защита. Т.е. защита на том же уровне доброй воли поставщика ПО, который в какой-то момент, как мы поняли, может начать индексировать приватные доки.

                                                                                                0
                                                                                                Может. Это защита от добросовестных роботов. Яндекс неоднократно говорил что они его — соблюдают. С точки зрения robots.txt — эти документы — не приватные а вовсе даже публичные.
                                                                                                  +1
                                                                                                  Кроме robots.txt есть и другие методы запретов, которые роботы должны соблюдать — например, тэги в заголовках. И на данный момент гугл для страниц с доступом по ссылке в заголовках ответа указывает «x-robots-tag: noindex, nofollow, nosnippet»:

                                                                                                  image

                                                                                                  Это, в принципе, еще не гарантирует, что и раньше указывал — но как-то слабо верится что нет.
                                                                                            0
                                                                                            Яндекс. Найдется все.
                                                                                            +1
                                                                                            Вангую, что у кого-то утекло что-то реально важное, что аж Роскомнадзор пошевелили. Интересно, что и когда это всплывет… жареная инфа какая-нибудь поди, типа расходов на что-то.
                                                                                              0
                                                                                              Если что-то важное утекло, то скоро мы про это узнаем, думаю.
                                                                                                +1
                                                                                                Ожидаю вскорости появления мегатонн фейков под маркой «украдено из гуглдокс, смотрите все, ШОКРАЗОБЛАЧЕНИЕСОТОНА!!»
                                                                                                  0
                                                                                                  Так в данном случае есть простой способ доказательства реальности сливов — web.archive.org
                                                                                                    0
                                                                                                    А давно Web Archive начал индексировать гугл документы? :)
                                                                                                      0
                                                                                                      я к тому, что если кто-то хочет доказать, то он может сначала сохранить в веб архиве
                                                                                                0
                                                                                                Списки погибших в Сирии видел. Точнее скриншот. Фейк или нет не в курсе. Но по запросу «груз 200 Сирия» было много таблиц на скриншоте. И в них очень много имен.
                                                                                                  +1
                                                                                                  Там случайно состава футбольного клуба Газовик Оренбург не было, в списках погибших?
                                                                                                    0
                                                                                                    Вот, например
                                                                                                    1mcSIzRj7C42P8j0H_PgAczO9MQiPevsyd2n_dRXoxus
                                                                                                    Это хеш, обвязку добавьте, плиз, сами. Кто их собирает и зачем — отличный повод для конспирологии.
                                                                                                      –2

                                                                                                      Минус тип затем что бы люди это не заметили?

                                                                                                      0
                                                                                                      А причём тут вообще яндекс и ркн? Если кто-то не выставил запрет на общий доступ к документам, то он сам и виноват
                                                                                                        +5
                                                                                                        Не совсем так. Если я открыл доступ по ссылке, но ссылку нигде не публиковал, а только отправил другу, то она не может попасть поисковым роботам и в выдачу. Это всё равно, что создать доступ по одноразовому паролю и переслать ссылку и пароль.

                                                                                                        Если же она попала, то значит где-то произошла утечка, либо на моём компе, либо на компе друга, если он, например, использует Яндекс браузер, либо где-то посредине, например в РКН.
                                                                                                          –2
                                                                                                          Это всё равно, что создать доступ по одноразовому паролю и переслать ссылку и пароль.

                                                                                                          Вообще-то, нет. По одноразовому паролю доступ получить можно один раз, а по открытой ссылке сколько угодно раз.
                                                                                                            +1
                                                                                                            Ну хорошо, назовём его не одноразовый, а уникальный для этой ссылки.
                                                                                                              +2
                                                                                                              Скорее «ключ».
                                                                                                            0
                                                                                                            но пароли же Яндекс не сливал
                                                                                                              +2
                                                                                                              Ссылка чем от пароля отличается? Если утечка произошла через их браузер, то я бы считал, что слив в интернет хешей адресов, которые люди не публиковали, ничем не лучше слива паролей.
                                                                                                                0
                                                                                                                Ссылка чем от пароля отличается?
                                                                                                                Вы шутите, я надеюсь?
                                                                                                                  +2
                                                                                                                  Даже если господин шутит — я серьезно спрошу: чем ссылка от пароля отличается?
                                                                                                                    +1
                                                                                                                    Примерно тем же, чем адрес квартиры от ключа, не?
                                                                                                                    (в данном контексте, разумеется)
                                                                                                                      0
                                                                                                                      Согласитесь, очень спорная аналогия.
                                                                                                                      Давайте это будет не адрес квартиры, а карта с крестиком, где клад закопан.
                                                                                                                      Ок?
                                                                                                                      И чем карта с крестиком отличается от ключа к замку сундука? На мой взгляд прятать карту даже важнее чем ключ. Потому что зная где сундук уж ключ как ниюудь подберут. А вот ключ без сундука совершенно бесполезен.

                                                                                                                      UPD:
                                                                                                                      Это я просто хотел показать что игра в аналогии — это бессмысленно. Аналогию можно придумать любую, с перекосом в любую сторону.
                                                                                                                      Так что давайте без аналогий, а с точки зрения ИБ.
                                                                                                                        –3
                                                                                                                        Хорошо.
                                                                                                                        Ссылка — это указатель на местоположение. Пароль — часть процедуры подтверждения прав доступа к местоположению. Разница, на мой непросвещенный взгляд, очевидна.

                                                                                                                        Да, пароль может быть частью ссылки при некоторых условиях (в случае гуглодока они вроде бы не выполняются).
                                                                                                                        Как, строго говоря, и фраза «ключ под ковриком» может являться частью описания местоположения квартиры.

                                                                                                                        Вы лучше сразу скажите, чего я не знаю (я много что не знаю, это нормально, и не ирония) о разнице между ссылкой и паролем.
                                                                                                                          0
                                                                                                                          Глобально — это условности дающие доступ к информации и всё.
                                                                                                                          Работа с паролем может быть реализована так, что скрытая ссылка будет безопаснее, ссылка может быть настолько очевидной что не будет защитой ни от чего.
                                                                                                                          Глобально говорить что пароль — это ого-го, а ссылка — это фи — бессмысленно. Потому что вопрос в деталях реализации, а не концепции.
                                                                                                                            0
                                                                                                                            Так, фиксируем разногласия.
                                                                                                                            Ваше мнение заключается в том, что в силу уязвимости реализаций некоторых паролей и сложности некоторых открытых ссылок принципиальной разницы между ссылками и паролями, как классами явлений, нет. Концепции авторизации и прав доступа не нужны.
                                                                                                                            Я все правильно понял?
                                                                                                                              0
                                                                                                                              Это всё нужно и важно.
                                                                                                                              Но это всё попытки решить проблему херовыми методами.
                                                                                                                              Пароль — это херовый метод. Но пока альтернатив ему не много.
                                                                                                                              Поэтому придмуывают всякие двухфакторные авторизации и прочие вещи. Чтобы из плохой вещи сделать не такую плохую.
                                                                                                                              Но на глобальном уровне пароль и уникальная ссылка мало чем отличаются.
                                                                                                                              Собственно вам ниже уже привели пример того, как ссылка сама может содержать пароль.
                                                                                                                                0
                                                                                                                                Да, ниже я уже со всем согласился.
                                                                                                                                Спасибо за коррекцию картины мира и вам.
                                                                                                                            –1
                                                                                                                            о разнице между ссылкой и паролем

                                                                                                                            Ссылка это то что обычно приходит в Get запросы, пароль то что в Post запросе (но вообще-то только потому что пароль меньше и его легче запомнить). Ссылку нужно где-то хранить в электроном виде, пароль — можно и запомнить. При этом подобрать пароль можно, реально длинную автогенеренную ссылку — не реально.

                                                                                                                            В общем-то, больше отличий нет. Множество сервисов при сбросе пароля высылают ссылку на почту, часто по уникальной ссылке можно получить доступ к деньгам или личному кабинету. Любая утекшая ссылка может иметь не менее плохие последствия, чем утекший пароль.

                                                                                                                            Уязвимость только вот такие сервисы и программы, которые могут слить себе ссылку, впрочем пароли они тоже могут себе замечательно сливать.
                                                                                                                              0
                                                                                                                              Видимо я настолько не близок к веб-программированию.
                                                                                                                              Я подумаю над этой концепцией.
                                                                                                                                –1
                                                                                                                                чем адрес квартиры от ключа

                                                                                                                                Скорее чем ключ от входной двери/сейфа (ссылка) и код от кодового замка от этой двери/сейфа (пароль). У каждого способа есть свои достоинства и недостатки, но в общем-то если что ключ, что код подглядит злоумышленик будет одинаково фигово.
                                                                                                                                  0
                                                                                                                                  Все равно пока не понимаю, извините. Видимо, я просто очень мало что знаю про использование ссылок. Я исхожу из (возможно, неверной) концепции авторизованного доступа. Ссылка — ресурс, пароль — доступ к ресурсу. Нет пароля — ресурс общедоступен. Понятно, что с учетом уязвимостей и прочих особенностей реализации это по крайней мере иногда соглашение, а не собственно защита. Но соглашения тоже стоит выполнять, нет?

                                                                                                                                  То, что доверять браузеру от поисковой системы не стоит, понятно и без таких эксцессов. Но по моему скромному, если нет пароля, то неавторизованный доступ к информации по ссылке, если я верно понимаю, в пределах fair use (и по-любому вопрос исключительно времени).
                                                                                                                                  Уникальные ссылки для восстановления паролей, кстати, обычно как раз имеют ограничение по времени — и да, предоставляют доступ неавторизованному пользователю в надежде, что некие косвенные методы (например, доступ к почтовому ящику) идентифицировали его достаточно надежно.
                                                                                                                                    +2
                                                                                                                                    Ссылка — ресурс, пароль — доступ к ресурсу. Нет пароля — ресурс общедоступен.

                                                                                                                                    Вот вам ссылки (не настоящие, конечно):

                                                                                                                                    ftp:\\admin:ksjghkt53242@159.03.73.22:6090
                                                                                                                                    ssh:\\root:ksj532terttre42@193.03.73.15:6090
                                                                                                                                    mysql:\\sysadm:ksjghkt53242@159.03.73.22:5619

                                                                                                                                    Вы правда думаете они публичные и какая-нибудь программа их может выложить в инет? А это типичные ссылки для многих сервисов. Пароль и ссылка это очень расплывчато, то что находится в параметрах Get запроса вполне может быть приватной информацией, даже фио пользователя в ссылке на сайте гейзнакомств, может оказаться таким ударом по приватности, что уж лучше потерять все пароли.
                                                                                                                                      +2
                                                                                                                                      пароль — доступ к ресурсу. Нет пароля — ресурс общедоступен.

                                                                                                                                      Если вы так уверены, когда зайдете в свой банк клиент и увидите url вроде page?token=sdf43534egfgkel6346dghgfht2432 или session=sdf43534egfgkel6346dghgfht2432 киньте ссылку куда-нибудь на форум хакеров и чуть-чуть подождите. :) Они будут вам благодарны. :)
                                                                                                                                        0
                                                                                                                                        Я не уверен, поэтому извинился за непонимание комментом выше.

                                                                                                                                        Видимо, я еще и плохо знаю терминологию (да запросто). На мой непросвещенный взгляд, от включения в запрос пароль не перестает называться паролем. В приведенном вами запросе ssh:\\root:ksj532terttre42@193.03.73.15:6090 я болдом выделил пару логин-пароль, и курсивом то, что назвал бы собственно ссылкой. Я неправ?

                                                                                                                                        М-мм… Ладно. По-любому, спор уже идет об оттенках смысла в значениях терминов. Содержимое адресной строки браузера может являться конфиденциальным, я не спорю. А что до его названия — пароль, ссылка, get-запрос или молитва высшим силам — в общем, только в печку не ставьте…
                                                                                                                                          +3
                                                                                                                                          Вот я жирным выделил пароль, а курсивом ссылку:
                                                                                                                                          docs.google.com/spreadsheets/d/1gNyRn1w9DBqHgizLfZDegHkneB0T6Y60UVIcVFttvXI/
                                                                                                                                            0
                                                                                                                                            я еще и плохо знаю терминологию (да запросто). На мой непросвещенный взгляд, от включения в запрос пароль не перестает называться паролем.

                                                                                                                                            Если говорит о терминологии, то пара логин и пароль это ключ аутентификации. Ключ аутентификации может быть в принципе любой текстовой строкой (иногда может быть и бинарной строкой, но это скорее экзотика).

                                                                                                                                            Как вы понимаете, не сильно важно скажу я вам логин: fsgsg пароль: gldkhgjklhd4, либо скажу токен/ключ — fsgsg:gldkhgjklhd4. По сути, логин и пароль это понятия только для человека, для комьютера имеет смысл только ключ, полученный конкатенацией логина и пароля.

                                                                                                                                            Поэтому любой ид сессии или токен в GET запросе равноцены логину и паролю, это лишь разные виды ключей аутентификации.
                                                                                                                                              0
                                                                                                                                              Пожалуй, вы меня убедили (вместе с некоторым количеством гуглежки). Спасибо за исправление в картине мира.
                                                                                                                                              0
                                                                                                                                              Пара тезисов-формулировок.

                                                                                                                                              1) Есть такое обобщенное понятие — «аутентификация, основанная на знании секрета (обладании секретной информацией)». Пароль, ключ и т.п. — это и есть такой секрет. Уникальная ссылка, предназначенная для ограничения доступа — соответственно, тоже.

                                                                                                                                              2) Секретная ссылка содержит в себе некую уникальную комбинацию (хеш или еще что-то подобное), которая по сути и является паролем (предьявляемым ключом).

                                                                                                                                              Таким образом, произошла утечка секретной информации — неважно, изолированных паролей или в составе ссылок.

                                                                                                                                              Возможных мест утечек три — сервис, пользователь и канал. Исключим канал (MitM-атаки отдельная тема рассмотрения, неспецифичная для рассматриваемого случая).

                                                                                                                                              Утечкой на стороне пользователя, предположительно, является передача индексатору ссылок, введённых пользователем — браузером из адресной строки, скриптом через разные там метрики, через месенджеры и т.п.

                                                                                                                                              На стороне сервиса же утечкой является допуск индексатора, пришедшего по такой ссылке.

                                                                                                                                              При этом браузер и индексатор, по большому счёту, не могут отличить секретные ссылки от обычных (за исключением случаев, когда URL записан в полной форме, с логином и паролем в отведенных стандартом для этого местах — как приведено выше). И единственный способ для индексатора быть «лояльным» — вообще не использовать никакие ссылки пользователя, что малореально.

                                                                                                                                              А вот сервис, предлагающий услугу «разделения секрета», знает, какие ссылки у него секретные — и вполне мог бы не пускать по ним роботов (хотя бы честных). Конкретная реализация — вопрос второй. Гугл, похоже, этого не сделал никак.
                                                                                                                                                0
                                                                                                                                                А, ниже пишут, что гугл всё же для «Включить доступ по ссылке» вставляет тэги «x-robots-tag: noindex, nofollow, nosnippet».

                                                                                                                                                Всё еще возможны два варианта:
                                                                                                                                                1) Индексатор у яндекса таки не слишком честный и не подчиняется таким указаниям.
                                                                                                                                                2) Гугл уже оперативно внёс исправления.
                                                                                                                                  0
                                                                                                                                  > И чем карта с крестиком отличается от ключа к замку сундука? На мой взгляд прятать карту даже важнее чем ключ. Потому что зная где сундук уж ключ как ниюудь подберут. А вот ключ без сундука совершенно бесполезен

                                                                                                                                  Очень распространенная ошибка, берущая корни от «я не нужен — меня не найдут».

                                                                                                                                  Дело в том, что в интернете такое не работает, найдут все и вся, благо есть боты. Это квартиру вы можете оставлять не запертой уповая что вы не нужны. Не запертый сервак в инете найдут и заселят.

                                                                                                                                  Конкретно без аналогий — перебирая ссылки можно найти интересные, пароль же перебирается на заведомо интересный аккаунт, что и произошло.

                                                                                                                                  tl;dr ссылки уязвимы к удару по площади и неуязвимы к точечному, пароли — наоборот.
                                                                                                                                    +1
                                                                                                                                    Конкретно без аналогий — перебирая ссылки можно найти интересные, пароль же перебирается на заведомо интересный аккаунт, что и произошло.

                                                                                                                                    tl;dr ссылки уязвимы к удару по площади и неуязвимы к точечному, пароли — наоборот.
                                                                                                                                    Прекрасное определение! А теперь посмотрите на обсуждаемые ссылки на GDocs'ах — и вы поймёте, что в соотвествии с вашим определением они являются не ссылками, а паролями, так как переборной атаке не поддаются (там SHA256 от секретного числа, сгенерированного пользователем, подобрать его невозможно просто потому что сервера Гугла раньше сломаются).

                                                                                                                                    Что, собственно, и ведёт ко всему описанному в статье, запросам Роскомнадзора и прочему.
                                                                                                                                      0
                                                                                                                                      Не совсем так. Это к конкретному документу невозможно. А вот если этих документов миллиарды — сложность снижается в миллиарды раз.
                                                                                                                                        0
                                                                                                                                        То всё равно пофиг. Даже миллиарды документов не сделают задачу проще.
                                                                                                                                          0
                                                                                                                                          Тут путаница в терминах. Они сделают задачу проще. В миллиард раз. Ну то есть за то время, пока вы будете подбирать пароли солнце погаснет не миллиард милтиардов раз, а всего лишь миллиард раз. С практической точки зрения — разница невелика…
                                                                                                                                      0
                                                                                                                                      Очень распространенное противоречие.
                                                                                                                                      Ну подберите ссылку к моим открытым документам.
                                                                                                                                      Я вам даже подскажу — они на серверах гугла.
                                                                                                                                        –2
                                                                                                                                        Это я так плохо объяснил, или вы непонятливый?

                                                                                                                                        Давайте ещё раз:

                                                                                                                                        Вопрос стоит так: «Чем ссылка отличается от пароля».

                                                                                                                                        Чтобы объяснить это, давайте возьмем две цели — конкретно ваши документы и часть всех документов на гуглодоках, в т.ч. с некоторой вероятностью и ваши документы.

                                                                                                                                        Так вот, чем ссылка отличается от пароля? Тем что перебирая ссылки, конкретно ваши документы мб и не найти, но можно найти кучу других. Если долго перебирать ссылки, можно найти и ваши. Смысл перебора ссылок — найти много документов, не обязательно ваших.

                                                                                                                                        С паролем ровно наоборот — перебирая пароли к вашему документу можно открыть только его, но зато он точно будет ваш.
                                                                                                                                          +1
                                                                                                                                          Подбирайте пару логин: пароль.
                                                                                                                                          А лучше еще IPшник добавьте.
                                                                                                                                          Так кстати боты делают, которые по ssh стучатся.
                                                                                                                                          Смысл перебора — получить доступ к машине, не обязательно вашей.
                                                                                                                            0

                                                                                                                            А вы вот уверены теперь?

                                                                                                                            +3
                                                                                                                            Да, в общем-то, это как обычная авторизация. Вы вводите логин+пароль. Если нигде не светите его, то никто не зайдёт под вашим аккаунтом. С ссылкой тоже самое.
                                                                                                                              +1
                                                                                                                              А если вы отправили её через скайп или телеграм, то они тоже на неё зайдут что б сделать превью.
                                                                                                                                –3
                                                                                                                                Да, и вот и интересно кто именно слил эти ссылки поисковику — скайп, телеграм или кто-то ещё. И узнать это можно у Яндекса.
                                                                                                                                  0
                                                                                                                                  Помнится пару лет назад была новость, что скайп заходит даже на запароленные ссылки, если вместе со ссылкой в тексте сообщения отправить логин и пароль.
                                                                                                                                  Тут же люди стали предлагать всякие нюансы, типа «переслать ссылку, переход по которой приводит к удалению важной информации, а потом засудить скайп за потерю данных когда их бот по ней перейдет».
                                                                                                                                    0
                                                                                                                                    нет, новость была о том что скайп делает т.н. probing — то есть посылает HEAD запросы по веб-адресам которые пользователи отправляют друг другу в чате

                                                                                                                                    news.ycombinator.com/item?id=5704574
                                                                                                                                  +5
                                                                                                                                  То что ты выложил в интернет — в итоге будет доступно всем. Не хочешь чтобы это доступно всем — не выкладывай это в интернет.
                                                                                                                                  Выложил — сам виноват.
                                                                                                                                    –4
                                                                                                                                    Что значит «выложил в интернет»? Вот у меня на компе куча всего и комп вроде как в интернет. Но с какой стати оно будет доступно всем?
                                                                                                                                      +1
                                                                                                                                      >Не совсем так. Если я открыл доступ по ссылке

                                                                                                                                      Это значит что вот с этого момента вы смело можете говорить «я выложил это в интернет, теперь это доступно всем».

                                                                                                                                      ps /me ностальгически вспоминает начало 2000х и расшаренные прямиком в интернет принтеры и диски пользователей, которые в неимоверных количествах находились элементарным сетевым сканером.
                                                                                                                                        0
                                                                                                                                        Значит пока не сказал смело, то не в интернет?

                                                                                                                                        Где граница, выложил или ещё нет?
                                                                                                                                        Сами же пишите, что локальные диски с помощью сканера находили. Значит
                                                                                                                                        они выложены в интернет?

                                                                                                                                        Вот и инфа на вашем компе или телефоне также может считаться выложеной, если с помощью чего-то к ней можно доступ получить.

                                                                                                                                        Я пожалуй закруглюсь с абсурдом, не понимают многие для чего он.
                                                                                                                                      0
                                                                                                                                      Проблема в том, что существуют способы попасть в интернет даже живя простой жизнь и общаясь с друзьми. Кто-то решил сфоткать на свой телефон. Неважно, iOS или Android — уже улетело в сеть, особенно на андроиде фотки синхронизировались с онлайн-диском (засек лично у девушки, у которой «онлайн-диск такой удобный! И память телефона не забивается!» и эти настройки были по умолчанию). Другой использовал цифровой фотик, но отправил друзьям через вк. И все — ваш фейс в сети, возможно даже отмечен рамочкой вокруг фейса с пометкой с вашим именем заботливыми друзьями.
                                                                                                                                      Ребенок захотел помочь родителям и оплачивает счета через сайт банка (на котором на каждой странице яндекс-метрика). Гугл создал сервис для связывания различных девайсов, например — если они были рядом в какой-то момент (для выдачи рекламы, но позволяет деанонимизировать пользователей и сделать инфомацию более полной). Пришли в кафе, а у соседа телефон слушает на предмет «Окей, гугл» с отправкой на сервера голосового трафика для лучшей расшифровки, а по закону Яровой такие данные также в какой-то момент обязаны будут храниться в полном объеме.
                                                                                                                                      Живете обычной жизнью, а вас сеть уже знает. А если американец — то там еще проще, даже в новостях проскакивают утечки баз данных с кучей маркетинговой информации (в России «пиратские базы» от недалеких ведомств не содержат данных о религиозных предпочтениях, наличии домашних животных, хобби и т.д.)
                                                                                                                                      Ах да, все, что я тут рассказал — голимая конспирология, не верьте мне! И вообще — надо жизни радоваться! И обязательно установите амиго браузер, яндекс-браузер, гугл хром, Windows 10 (не энтерпрайз и не взломанную «отключалками»), голосовых помощников (Алиса и другие) и т.д. Это позволит корпорациям знать про вас все облегчить вашу жизнь и предоставлять качественные персонализированные сервисы.
                                                                                                                                        0
                                                                                                                                        Сеть уже давно часть нашей жизни.
                                                                                                                                        Допутим у меня нет машины, нет прав, дороги в городе от этого не пропадают и те кто пользуятся машинами тоже. В итоге мне нужно знать хотябы минимум этих правил что бы не попасть под колёса.
                                                                                                                                        Так и с сетью, хочешь не хочешь с