Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет наложение административного штрафа на юридических лиц до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации.
Я надеюсь, вы готовы нести ответственность за свои «антимифы» и компенсируете убыток тем организациям, которые вам поверят, в случае чего.
Ну вот давайте возьмём первый пример из моей статьи. С помощью XSS в вебадминке злоумышленник получает MAC адрес маршрутизатора.
В случае Яндекса этого достаточно для проведения атаки, так как нам нужен только один BSSID. В случае с Гуглом — этого мало, нужно, как минимум, два, и второй MAC вы уже никак не получите.
К слову два адреса у Гугла нужно как раз таки для защиты от этой конкретной атаки, которая была продемонстирована ещё в 2010 году.
XSS/CSRF может не дать вам полный доступ к маршрутизатору, только раскрыть конфиг. Получить мак-адрес шлюза по-умолчанию на ПК значительно легче, чем просканировать вайфай сеть.
Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
Дабы этот диалог не продолжался бесконечно, я предлагаю вам опубликовать работающий скрипт-запрос (желательно curl) в Гугл, Apple, Микрософт на выдачу координат точки доступа по её BSSID'у. Запрос должен сразу работать у произвольного анонимного пользователя с произвольным MAC адресом, как это делает указанный мною в тексте статьи запрос на сервера Яндекса.
Тогда я соглашусь, что эта практика распростронена, и действительно другие компании относятся так же легкомыслено к личной тайне, как и Яндекс.
iOS позволяет индувидуально каждому приложению разрешить/запретить использование геолокации с помощью сбора мак-адрессов окружающих wi-fi точек (а равно и отсылку таких адрессов). Я привел все необходимые скриншоты и ссылки. Подробней будет только приехать и ткнуть носом в настройки лично. Контроль за отсутствием собственных функций геолокации осуществляется в AppStore жестко. За такое могут забанить.
Профит — это да, проблема. Думаю, оутфит можно поднять судом или жалобой в Гугл. Тогда, думаете, исправят?
Этот способ работает. Другие пробовал — не работают.
Я считаю, что рассказывать или нет третьим лицам где я живу, работаю и отдыхаю — мой личный выбор. Я хотел бы, чтобы Яндекс его уважал хотя бы в той же степени, что и Гугл, Apple и Microsoft.
Там базы собираются, в основном, с помощью вардрайвинга. Соответственно точность и покрытие на порядок меньше, чем у Яндекса. Ну и API мудрённый + тормоза страшные.
1. В iOS можно отключить location services для конкретного приложения (что прекрасно видно на скриншоте). То есть Apple даёт отличную возможность защитить себя от шпионских приложений. За обход ограничений по вашим же словам можно заработать бан.
2. Раз так, то прошу пруф. Шаблон простого запроса к серверам МС (лучше Curl). В качестве образца можно использовать мак адрес из статьи. И точность сразу сравним…
Opt-out от сбора Wi-Fi маков в iOS есть. Ссылку дал. Косвенное доказательство (Яндекс.Метро не шпионит за пользователями apple) привёл. Среди всех баз только Яндекс совсем никак не пытается защищать эти сведения. Пример обратного поведения Гугла привел. Что ж вы ещё от меня хотите?
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), — влечет наложение административного штрафа на юридических лиц до двадцати пяти тысяч рублей с конфискацией несертифицированных средств защиты информации.
Я надеюсь, вы готовы нести ответственность за свои «антимифы» и компенсируете убыток тем организациям, которые вам поверят, в случае чего.
Для Яндекса — пока никак.
В случае Яндекса этого достаточно для проведения атаки, так как нам нужен только один BSSID. В случае с Гуглом — этого мало, нужно, как минимум, два, и второй MAC вы уже никак не получите.
К слову два адреса у Гугла нужно как раз таки для защиты от этой конкретной атаки, которая была продемонстирована ещё в 2010 году.
Ну и в вашем примере кроме BSSID, требуется ещё и SSID. То есть он дважды вылез из условий задачи.
PS А вы случайно не из Сан-Хосе? :)
PPS В целом мимо. Ваш первый запрос у меня даже в Россию не попал (а точка точно из Краснодара).
Когда у вас будут факты, мы обязательно к нему вернемся.
Тогда я соглашусь, что эта практика распростронена, и действительно другие компании относятся так же легкомыслено к личной тайне, как и Яндекс.
Согласны?
Профит — это да, проблема. Думаю, оутфит можно поднять судом или жалобой в Гугл. Тогда, думаете, исправят?
Я считаю, что рассказывать или нет третьим лицам где я живу, работаю и отдыхаю — мой личный выбор. Я хотел бы, чтобы Яндекс его уважал хотя бы в той же степени, что и Гугл, Apple и Microsoft.
2. Раз так, то прошу пруф. Шаблон простого запроса к серверам МС (лучше Curl). В качестве образца можно использовать мак адрес из статьи. И точность сразу сравним…
Сделайте, пожалуйста, такой же в Яндекс.Метро!