Последние несколько дней Рунет захлестнула новая забава: комментирование утечек конфиденциальных данных. Конспирологи уже придумали массу теорий. Тут и вредоносная деятельность Яндекса, ничем не чурающегося в расширении поискового индекса. И целенаправленная подготовка общества к сбору больших денег при помощи закона 152-ФЗ. И происки злобных конкурентов (особенно актуально в контексте РЖД). Ну и конечно же хакеры, переключившиеся с американского Минобороны и Мастеркарда на более серьезного противника — российские секс-шопы. Реальность же с вероятностью 99% гораздо более прозаична. Но это не так интересно, как выводы, которые сделают для себя заинтересованные стороны: поисковые системы, разработчики CMS и сайтов и сами владельцы этих сайтов.
Да ничьи. Я убежден, что мегафоновские смски были найдены случайно, а сам инфоповод настолько горячий, что резонанс ему был гарантирован изначально. Ну а дальше инициативные граждане сами начали подбирать запросы и сливать наиболее удачные из них. И ни ЦРУ, ни ВикиЛикс, ни Гугл тут совершенно ни при чем. Наверняка нас ждут и новые «разоблачения», раз уж в 2011 году люди внезапно вспомнили, что у поисковиков существуют языки запросов.
Уж точно не Яндекс с Гуглом. Все разговоры о том, что Яндексу надо анализировать контент на предмет личных данных или не индексировать страницы с хэш-параметрами или не включать в индекс страницы, на которые нет внешних ссылок, противоречат логике существования поисковиков. Их прямая цель — найти вообще все, что только есть в Сети. Если я ищу компромат на свою жену, делового партнера или конкурента, я, возможно, и мерзкий типчик, но я жду от поисковика не моральной оценки моих низменных мотивов, а результат. Его задача — найти мне информацию. А вот скрыть эту информацию — задача того сайта, где она хранится.
Поэтому ответственность за утечки — полностью на стороне сайта. И как следствие, на стороне разработчиков сайта и производителя системы управления. Реакция разработчиков Shop-Script, частично признавших свою ответственность, в этом контексте заслуживает уважения.
Почему же проблема приняла такой массовый характер? На мой взгляд, основная причина этого в простой и некогда верной парадигме, застрявшей в мозгах разработчиков. Мы считаем, что если страница имеет достаточно сложный и нечеловекопонятный адрес, то ее никто и никогда не найдет, пока мы не дадим или не опубликуем прямую ссылку на эту страницу. Авторизация по хэш-ссылкам, трассировка заказов по длинным номерам — все из этой серии. Оказывается, парадигма неверна, и надо заменить ее на другую: если страница существует и не закрыта паролем, поисковый робот до нее рано или поздно доберется. А может и до закрытой добраться, прецеденты были.
Поэтому нельзя однозначно возлагать вину за утечки конфиденциальных данных на поисковики или на разработчиков. Разве что виноватого найти надо обязательно, например, указание сверху дано.
А вот кому бы я попенял, так это падким на сенсации журналистам. Преподнося ситуацию в стиле «Яндекс рассекретил» или «благодаря ошибке в движке сайта», они невольно дезориентируют аудиторию, далекую от интернет-технологий, которая, разумеется, составляет подавляющее большинство населения. И вместо того, чтобы в следующий раз подумать, прежде чем указывать свою настоящую фамилию при покупке фаллоимитатора, люди будут думать, что во всем виноваты исключительно шпионские программы из Яндекса, а также никчемные программисты. Не далее как сегодня одно уважаемое интернет-издание привело список ведомств, секретные документы которых попали в Гугл. Первым же пунктом в выдаче идет сайт ФАС, в разработке которого я принимал участие, и я прекрасно знаю, что документы ДСП там просто не могут быть опубликованы. Журналист конечно этого не знал, но, потеряв пять минут на просмотр первого же документа из выдачи или на звонок в ФАС или в студию-разработчика, можно было четко понять, что никакой этот документ не секретный, а самый что ни на есть публичный.
Поисковикам — подумать над шаблонами информации, которую индексировать не надо. Это противоречит моей собственной логике, но мы живем в реальном мире, где суд может запретить Гуглу индексировать новости конкретных сайтов, а ответственность за порнографию в выдаче Яндекса несет он, а не владельцы проиндексированных сайтов. Ну и про 152-ФЗ забывать не стоит. Разработчикам CMS — пересмотреть подход к пусть удобному, но потенциально небезопасному способу доступа к закрытой информации. Разработчикам сайтов — тщательнее выбирать способы доступа к частной информации, принимая во внимание потенциальный ущерб пользователей от несанкционированного доступа к их информации (где-то без USB-токена не обойтись, а где-то и защиты особой не надо).
А пользователям — не забывать, что Большой Брат жив и здоров. Как никогда ранее.
UPD. Более подробно о якобы секретном файле ФАС и о том, возможна ли такая ситуация на сайтах под управлением NetCat — в нашем блоге.
Для начала: чьи же уши?
Да ничьи. Я убежден, что мегафоновские смски были найдены случайно, а сам инфоповод настолько горячий, что резонанс ему был гарантирован изначально. Ну а дальше инициативные граждане сами начали подбирать запросы и сливать наиболее удачные из них. И ни ЦРУ, ни ВикиЛикс, ни Гугл тут совершенно ни при чем. Наверняка нас ждут и новые «разоблачения», раз уж в 2011 году люди внезапно вспомнили, что у поисковиков существуют языки запросов.
Кто виноват?
Уж точно не Яндекс с Гуглом. Все разговоры о том, что Яндексу надо анализировать контент на предмет личных данных или не индексировать страницы с хэш-параметрами или не включать в индекс страницы, на которые нет внешних ссылок, противоречат логике существования поисковиков. Их прямая цель — найти вообще все, что только есть в Сети. Если я ищу компромат на свою жену, делового партнера или конкурента, я, возможно, и мерзкий типчик, но я жду от поисковика не моральной оценки моих низменных мотивов, а результат. Его задача — найти мне информацию. А вот скрыть эту информацию — задача того сайта, где она хранится.
Поэтому ответственность за утечки — полностью на стороне сайта. И как следствие, на стороне разработчиков сайта и производителя системы управления. Реакция разработчиков Shop-Script, частично признавших свою ответственность, в этом контексте заслуживает уважения.
Почему же проблема приняла такой массовый характер? На мой взгляд, основная причина этого в простой и некогда верной парадигме, застрявшей в мозгах разработчиков. Мы считаем, что если страница имеет достаточно сложный и нечеловекопонятный адрес, то ее никто и никогда не найдет, пока мы не дадим или не опубликуем прямую ссылку на эту страницу. Авторизация по хэш-ссылкам, трассировка заказов по длинным номерам — все из этой серии. Оказывается, парадигма неверна, и надо заменить ее на другую: если страница существует и не закрыта паролем, поисковый робот до нее рано или поздно доберется. А может и до закрытой добраться, прецеденты были.
Поэтому нельзя однозначно возлагать вину за утечки конфиденциальных данных на поисковики или на разработчиков. Разве что виноватого найти надо обязательно, например, указание сверху дано.
А вот кому бы я попенял, так это падким на сенсации журналистам. Преподнося ситуацию в стиле «Яндекс рассекретил» или «благодаря ошибке в движке сайта», они невольно дезориентируют аудиторию, далекую от интернет-технологий, которая, разумеется, составляет подавляющее большинство населения. И вместо того, чтобы в следующий раз подумать, прежде чем указывать свою настоящую фамилию при покупке фаллоимитатора, люди будут думать, что во всем виноваты исключительно шпионские программы из Яндекса, а также никчемные программисты. Не далее как сегодня одно уважаемое интернет-издание привело список ведомств, секретные документы которых попали в Гугл. Первым же пунктом в выдаче идет сайт ФАС, в разработке которого я принимал участие, и я прекрасно знаю, что документы ДСП там просто не могут быть опубликованы. Журналист конечно этого не знал, но, потеряв пять минут на просмотр первого же документа из выдачи или на звонок в ФАС или в студию-разработчика, можно было четко понять, что никакой этот документ не секретный, а самый что ни на есть публичный.
Что делать?
Поисковикам — подумать над шаблонами информации, которую индексировать не надо. Это противоречит моей собственной логике, но мы живем в реальном мире, где суд может запретить Гуглу индексировать новости конкретных сайтов, а ответственность за порнографию в выдаче Яндекса несет он, а не владельцы проиндексированных сайтов. Ну и про 152-ФЗ забывать не стоит. Разработчикам CMS — пересмотреть подход к пусть удобному, но потенциально небезопасному способу доступа к закрытой информации. Разработчикам сайтов — тщательнее выбирать способы доступа к частной информации, принимая во внимание потенциальный ущерб пользователей от несанкционированного доступа к их информации (где-то без USB-токена не обойтись, а где-то и защиты особой не надо).
А пользователям — не забывать, что Большой Брат жив и здоров. Как никогда ранее.
UPD. Более подробно о якобы секретном файле ФАС и о том, возможна ли такая ситуация на сайтах под управлением NetCat — в нашем блоге.
