Comments 45
UFO just landed and posted this here
UFO just landed and posted this here
Вирус может в БИОС пролезть.
ходить в инет из-под виртуалки :)
А за что минус?
Вот же: habrahabr.ru/blogs/virus/128570/, натуральный BIOS-руткит.
Вот же: habrahabr.ru/blogs/virus/128570/, натуральный BIOS-руткит.
Ух ты, картинки в bmp.
Так вот почему, сидя с телефона, к концу прочтения статьи я их так и не увидел.
Большое спасибо! Поправил.
Отлично поправили, однако. Всё с текстом в jpg, единственная картинка без него — в png. На xkcd сами сходите?
Вы имеете в виду знаменитый комикс «PNG vs JPEG»? Считаю необходимым указать, что он располагается не на xkcd.
JPEG в отдельных случаях еще хуже, чем даже BMP (ведь BMP бывает индексированный). Но PNG, конечно, еще лучше индексированного BMP.
Автор считает, что если через два после публикации страница не попала в поисковую выдачу, то всё ок?
Автор посчитал, что данный вектор утечки на момент исследования является менее приоритетным по указанным в статье причинам (комментарии разработчиков Яндекса и отсутствие результатов за длительный временной промежуток).
Уверяю Вас, что даже на текущий момент страницы, содержащие скрипт Я.Метрики не попали в поисковую выдачу.
Уверяю Вас, что даже на текущий момент страницы, содержащие скрипт Я.Метрики не попали в поисковую выдачу.
Не могли бы вы привести рабочие ссылки на обсуждаемые страницы?
С другой стороны не зря же после «Я.Инцидента» Яндекс добавил опцию «Запрет отправки страниц на индексацию» в настройка счетчика Яндекс.Метрики. (http://help.yandex.ru/metrika/?id=1120714)
Судя по тому, что эта опция требует явного включения (более того — не особо простого; например, на многих сайтах код прописывается в шаблонах страниц, и не меняется от страницы к странице, а здесь именно это и требуется), а не явного отключения — я бы сказал, что опция сделана в изрядной степени для того, чтобы можно было при случае прессе показать на нее, мол, сами владельцы сайта не воспользовались официально предложенной им возможностью.
Тем более, глядя на последнюю фразу статьи по указанному Вами адресу — уж больно приличных размеров получается в сумме лазейка, не находите?
На фоне обычно декларируемой заботы о пользователях и веб-мастерах такой подход не особо приятен.
Тем более, глядя на последнюю фразу статьи по указанному Вами адресу — уж больно приличных размеров получается в сумме лазейка, не находите?
На фоне обычно декларируемой заботы о пользователях и веб-мастерах такой подход не особо приятен.
Я ничего не говорил об удобности использования этой опции и о декларациях/заботе/подходах Яндекса.
Я лишь хотел сказать, что Яндекс не сосвсем «не-при-делах», что косвенно доказывается фактом добавления этой опции именно после описанных в статье событий.
Это был лишь аргумент автору комментария, который соглашался с автором статьи, что вектор утечки через Яндекс наименее приоритетный, и утверждал, что «даже на текущий момент страницы, содержащие скрипт Я.Метрики не попали в поисковую выдачу».
Я лишь хотел сказать, что Яндекс не сосвсем «не-при-делах», что косвенно доказывается фактом добавления этой опции именно после описанных в статье событий.
Это был лишь аргумент автору комментария, который соглашался с автором статьи, что вектор утечки через Яндекс наименее приоритетный, и утверждал, что «даже на текущий момент страницы, содержащие скрипт Я.Метрики не попали в поисковую выдачу».
люди неделями ждут индексации засвеченных где угодно страниц… Раньше чем через 2 недели нет смысла говорить о корректной\некорректной индексацией яндексом.
Круто! Пойду порадую всех своих знакомых — любителей десятка тулбаров с «очень важной информацией» от погоды в столице Зимбабве, до курса юаня к тэньге.
А я вот все давно хотел спросить, да боялся засмеют…
Вот захожу я в панель вебмастера Яндекс, смотрю: документов загружено роботом 100, в поиске 80, исключенные страницы 20.
По подробной ссылке на исключенные смотрю причину — ага, запрещено в роботс.ткст.
Причем выдает список всех исключенных страниц, даже тех, которые в роботсе регулярными выражениями запрещаются.
Но страницы то ЗАГРУЖЕНЫ! Робот вообще же не должен на них ходить и анализировать.
Так вот — а разве эти загруженные страницы не могут непосредственно из Яндекса всплывать?
Вот захожу я в панель вебмастера Яндекс, смотрю: документов загружено роботом 100, в поиске 80, исключенные страницы 20.
По подробной ссылке на исключенные смотрю причину — ага, запрещено в роботс.ткст.
Причем выдает список всех исключенных страниц, даже тех, которые в роботсе регулярными выражениями запрещаются.
Но страницы то ЗАГРУЖЕНЫ! Робот вообще же не должен на них ходить и анализировать.
Так вот — а разве эти загруженные страницы не могут непосредственно из Яндекса всплывать?
Не обязательно загружены. Может просто ссылки нашлись, но паук по ним пошел, т.к. они в robots.txt-list запрещены. Нужно потестировать — написать скрипт который все заголовки сохраняет — тогда станет понятно стукается ли в них паук или нет
Вполне возможно…
Однако в вебмастере на главной странице так и написано (цитирую заголовки колонок): Сайт \ ТИЦ \ ЗАГРУЖЕНО РОБОТОМ \ Страниц в поиске.
Далее, если кликнуть по цифре, отраженной в «Загружено роботом» попадаем в раздел (опять же дословно): «Структура сайта с точки зрения робота Яндекса. Показаны подразделы, содержащие более 10 страниц и занимающие более 1% от общего числа загруженных страниц.»
С заголовками колонок: Загружено страниц, доля %.
Ну, а если пройти в «Исключенные страницы \ По типу» видим, что они «запрещены в роботсе».
в таком контексте логично предположить, что он их все же «грузит» и страницы Яндексу известны, но в выдачу он их не пускает… (или с учетом возможных глюков все же может пустить)…
Однако в вебмастере на главной странице так и написано (цитирую заголовки колонок): Сайт \ ТИЦ \ ЗАГРУЖЕНО РОБОТОМ \ Страниц в поиске.
Далее, если кликнуть по цифре, отраженной в «Загружено роботом» попадаем в раздел (опять же дословно): «Структура сайта с точки зрения робота Яндекса. Показаны подразделы, содержащие более 10 страниц и занимающие более 1% от общего числа загруженных страниц.»
С заголовками колонок: Загружено страниц, доля %.
Ну, а если пройти в «Исключенные страницы \ По типу» видим, что они «запрещены в роботсе».
в таком контексте логично предположить, что он их все же «грузит» и страницы Яндексу известны, но в выдачу он их не пускает… (или с учетом возможных глюков все же может пустить)…
Было бы здорово, если бы ребята с Яндекса прокомментировали.
Просто я в своих предположениях отталкиваюсь от первоначального предназначение robots.txt как средства контролировать ботов, чтобы не создавать нагрузку. Если Яндекс тупо на них забивает, то следовательно, нужно его по заголовкам банить… А что если какой-нибудь публичный сервис без авторизации, но с запретом всем ботам делает тяжелые операции… Ну например, PDF быстрообновляющегося контента позволяет делать — то его такой «непослушный» бот может запросто прибить.
Поэтому хочется верить, что это просто ребята неправильно подписи сделали
Просто я в своих предположениях отталкиваюсь от первоначального предназначение robots.txt как средства контролировать ботов, чтобы не создавать нагрузку. Если Яндекс тупо на них забивает, то следовательно, нужно его по заголовкам банить… А что если какой-нибудь публичный сервис без авторизации, но с запретом всем ботам делает тяжелые операции… Ну например, PDF быстрообновляющегося контента позволяет делать — то его такой «непослушный» бот может запросто прибить.
Поэтому хочется верить, что это просто ребята неправильно подписи сделали
чем дальше читал про бары, тем больше расширялись глаза, особенно про http в обход https. сам бары не использую и категорически избегаю, поэтому не задавался вопросами защищенности соединений или какие данные передаются. Но людей, который любят ставить бары, либо тупо ставят все подряд, не задаваясь вопросом, почему сегодня одним баром стало больше знаю, и таких много.
По статье не понял только. Так кто виноват?
По статье не понял только. Так кто виноват?
Уважаемый автор так увлёкся срывом покровов, что забыл ответить на вопрос почему же он читал смс.
Кроме того, не понятно, что он хотел сказать фразой
>которая по каналам утечки попадает в различные уголки сети
Бары собирают данные и раскладывают их по пиринговым сетям?
>Скрипт системы интернет-банкинга передает всю введенную информацию в GET-запросе и это провоцирует передачу конфиденциальной информации на сервис Яндекса. Косяк… Причем, со стороны вендора системы.
Автор, по-видимому, придирчиво искал платёжную систему, так как передача конфиденциальных данных через GET — довольно замшелый косяк (оседают в истории браузера и логах сервера).
Ну и отдельно доставляет стилистика первого абзаца в разделе «Глазами аналитика».
Но в целом статья понравилась — даёт исчерпывающе представление об уровне «экспертов ИБ».
PS
Было бы круто приложить к посту лупу для изучения скриншотов.
Кроме того, не понятно, что он хотел сказать фразой
>которая по каналам утечки попадает в различные уголки сети
Бары собирают данные и раскладывают их по пиринговым сетям?
>Скрипт системы интернет-банкинга передает всю введенную информацию в GET-запросе и это провоцирует передачу конфиденциальной информации на сервис Яндекса. Косяк… Причем, со стороны вендора системы.
Автор, по-видимому, придирчиво искал платёжную систему, так как передача конфиденциальных данных через GET — довольно замшелый косяк (оседают в истории браузера и логах сервера).
Ну и отдельно доставляет стилистика первого абзаца в разделе «Глазами аналитика».
Но в целом статья понравилась — даёт исчерпывающе представление об уровне «экспертов ИБ».
PS
Было бы круто приложить к посту лупу для изучения скриншотов.
UFO just landed and posted this here
Извините, а как, если не гет?
post
Разнообразие вас порадует
www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
www.w3.org/Protocols/rfc2616/rfc2616-sec9.html
Автор привел результаты исследований, но предоставляет читателю возможность ответить на вопрос в заголовке статьи самостоятельно.
> Бары собирают данные и раскладывают их по пиринговым сетям?
Не совсем. Рассмотренные каналы утечки: 1) Я.Метрика/GoogleAnalytics — скрипты сервиса для веб-мастеров 2) Я.Бар/GoogleToolbar — расширения для браузеров. Каждый из указанных каналов передает информацию поисковой системе, таким образом в кэш попадают фрагменты конфиденциальных данных.
> Автор, по-видимому, придирчиво искал платёжную систему, так как передача конфиденциальных данных через GET — довольно замшелый косяк (оседают в истории браузера и логах сервера).
Автор искал банк для совершения платежной операции, а уязвимая (на тот момент) система интернет-банкинга нашла его сама.
Спасибо!
> Бары собирают данные и раскладывают их по пиринговым сетям?
Не совсем. Рассмотренные каналы утечки: 1) Я.Метрика/GoogleAnalytics — скрипты сервиса для веб-мастеров 2) Я.Бар/GoogleToolbar — расширения для браузеров. Каждый из указанных каналов передает информацию поисковой системе, таким образом в кэш попадают фрагменты конфиденциальных данных.
> Автор, по-видимому, придирчиво искал платёжную систему, так как передача конфиденциальных данных через GET — довольно замшелый косяк (оседают в истории браузера и логах сервера).
Автор искал банк для совершения платежной операции, а уязвимая (на тот момент) система интернет-банкинга нашла его сама.
Спасибо!
>Каждый из указанных каналов передает информацию поисковой системе, таким образом в кэш попадают фрагменты конфиденциальных данных.
Объясните пожалуйста подробней, как из одного следует другое?
>Рассмотренные каналы утечки: 1) Я.Метрика/GoogleAnalytics — скрипты сервиса для веб-мастеров
Вы же в статье пишите, что
>Тем не менее, сам код аналитической системы для веб-разработчика не спровоцировал индексацию страниц, а значит, как минимум, на данном этапе он не может являться каналом утечки данных в поисковую систему
Объясните пожалуйста подробней, как из одного следует другое?
>Рассмотренные каналы утечки: 1) Я.Метрика/GoogleAnalytics — скрипты сервиса для веб-мастеров
Вы же в статье пишите, что
>Тем не менее, сам код аналитической системы для веб-разработчика не спровоцировал индексацию страниц, а значит, как минимум, на данном этапе он не может являться каналом утечки данных в поисковую систему
> Объясните пожалуйста подробней, как из одного следует другое?
Пользователь вводит информацию в браузере с установленным плагином от ПС => определенная информация попадает в кэш. Пользователь посещает страницу с установленным скриптом статистики => определенная информация попадает в кэш. Пользователь использует браузер fx.yandex.ru/ => определенная информация попадает в кэш. Таким образом: определенная информация от различных источников в сумме может образовать конфиденциальную информацию.
>Вы же в статье пишите, что
В статье я описываю результаты исключительно своего эксперимента. В моем случае он ничего не спровоцировал, но в СМИ была опубликована информация о том, что именно Я.Метрика послужила причиной утечки.
Пользователь вводит информацию в браузере с установленным плагином от ПС => определенная информация попадает в кэш. Пользователь посещает страницу с установленным скриптом статистики => определенная информация попадает в кэш. Пользователь использует браузер fx.yandex.ru/ => определенная информация попадает в кэш. Таким образом: определенная информация от различных источников в сумме может образовать конфиденциальную информацию.
>Вы же в статье пишите, что
В статье я описываю результаты исключительно своего эксперимента. В моем случае он ничего не спровоцировал, но в СМИ была опубликована информация о том, что именно Я.Метрика послужила причиной утечки.
Под кешем в данном контексте имеется ввиду индекс, правильно?
>установленным плагином от ПС => определенная информация попадает в кэш
какая информация? урлы?
То есть по Вашей логике получается, что все урлы по которым ходит пользователь должны быть проиндексированы и должны быть доступны по запросу. почему этого не происходит?
>установленным плагином от ПС => определенная информация попадает в кэш
какая информация? урлы?
То есть по Вашей логике получается, что все урлы по которым ходит пользователь должны быть проиндексированы и должны быть доступны по запросу. почему этого не происходит?
> почему же он читал смс
Всегда поражали такого рода подходы: «если ты хороший, не тронь плохое». В ответ напомню знаменитое «All that is necessary for the triumph of evil is that good men do nothing» ©, надо не глаза закрывать, а реагировать.
Всегда поражали такого рода подходы: «если ты хороший, не тронь плохое». В ответ напомню знаменитое «All that is necessary for the triumph of evil is that good men do nothing» ©, надо не глаза закрывать, а реагировать.
Такое ощущение, что автор решил применить «защиту Чубакки»
>… И все это Я.Бар передает на свои сервера в обход HTTPS-соединения по незащищенному протоколу HTTP…
От же яка подлюка! :( Это теперь мне объяснило чью активность по http я наблюдал при проведении операций в интернет-банке
От же яка подлюка! :( Это теперь мне объяснило чью активность по http я наблюдал при проведении операций в интернет-банке
UFO just landed and posted this here
Участник форума rdot.org под псевдонимом «C3~RET» опубликовал небольшую исследовательскую работу
На самом деле, автором данной „исследовательской работы” является Дмитрий Евтеев: Яндекс.Бар – Большой брат следит за тобой
Кто сказал, что два исследователя не могут обнаружить аналогичные результаты в один и тот же промежуток времени?
Я такого не сказал.
Возможно вы правы, но, во-первых я заметил две практически одинаковых статьи.
А во-вторых:
Возможно вы правы, но, во-первых я заметил две практически одинаковых статьи.
А во-вторых:
… задал еще один, довольно хороший вектор для новых публикаций в средствах массовой информации.Речь идёт всё-таки о Дмитрии Евтеев (например).
UFO just landed and posted this here
хуй
Sign up to leave a comment.
Я.Инцидент: Почему я читал ваши СМС?