Как стать автором
Обновить

Комментарии 38

НЛО прилетело и опубликовало эту надпись здесь
Полагаю, проиндексировались ссылки на те документы, которые люди нашли при первом сливе и разместили на форумах, имиджбордах и пр.
Ну и теперь, естественно, ссылки на них есть, все законно :) Только первоначально как они в индекс попали, никто ответа до сих пор не дал.
Есть много подозрений в сторону Ябраузера
Имел ввиду официальных комментариев нет. И да, я тоже полагаю, что со стороны яндекс браузера слив произошел.
Тоже понравился. А скока читателей там сейчас — ууу :)

Несколько минут назад было больше.
НЛО прилетело и опубликовало эту надпись здесь
Почитайте про этот самый ОАО «Ярославский завод «Красный Маяк». Там история достойная того, чтоб по ней фильм снимать.
Этот документ в сети уже лет 10 гуляет.
А ничего, что во всех этих документах стоит «Public on Web» вместо «Anyone with the link» (дефолтное значение)? Т.е. владельцы файлов сами активировали индексацию этих документов. Причем здесь Гугл и Яндекс вообще?

Вот как выглядит форма с дефолтными значениями, если что:
image

PS:
Правда, есть предположение, что эти документы были созданы до введения этого разделения в Google Docs, а потом просто каким-то образом получили другое дефолтное значение, но у меня нет этому подтверждений. Мои старые документы так и лежат в «Anyone with the link».
Правда, есть предположение, что эти документы были созданы до введения этого разделения в Google Docs

А как давно это разделение введено? Нашел у себя в гуглодоках документ от 2014 года (скорее всего до появления Public on the web) пошаренный с anyone with the link и он не стал Public on the web, при этом есть полная уверенность что документ не трогали т.к. создан он чисто для примера, я его просто удалить забыл
Вот я не помню, когда это ввели, но у них был даже анонс про это. Очень давно. Лет пять назад как минимум. Самое старое, что я у себя нашел расшаренного, так это документ 2012-го года. В нем тоже стоит «Anyone with the link», т.ч. скорее всего эта гипотеза не верна, и люди сами это активировали по незнанию/умышленно.

Если глупые люди сами выкладывают конфиденциальную информацию, причём тут поисковики?
«Глупых людей» никто не предупреждает, что ссылка, которую они отправили другу и которая больше нигде не светилась, вдруг всплывёт в поисковике.

Проблема в том, что в прошлом инциденте (не знаю насчёт этого) в поиск вывалились ссылки вовсе не первого типа (см. скриншот).
Здравомыслящий человек должен понимать, что такая ссылка — не защита. Можно ошибиться, набирая адрес ссылки, и попасть на чужой документ. Можно написать скрипт, перебирающий брутфорсом ссылки в заданном диапазоне. Да даже скрипт не нужен, я делал такое с помощью Download Master: настраивается маска по адресу, типам файлов и пр. и запускается скачивание. Но вот если по ссылке попадётся запароленный 7z-архив с нормальным паролем, тут уж ничего не утечёт.
И всё же, справедливости ради, id 1GeOQWyQt30VXeSAzgx0Z2SINJvxmmz9ffM1kzJXes9U Вам придётся подбирать очень, очень долго…
Не придётся очень, очень долго подбирать, а матожидание времени подбора полным перебором очень большое. Но первое же испытание может оказаться успешным.
«Случайно попасть»?
Знаете, почему UUID гарантирует уникальность идентификаторов?
Не гарантирует, а даёт высокую вероятность уникальности при небольшом количестве случайных значений. На больших количествах уже нужно учитывать возможность совпадений. Например при количестве UUID v4 ключей порядка 10^18 вероятно встретить два одинаковых значения уже близка к бросанию монеты. И это при наличии идеального генератора случайных чисел.

Соглашусь. При использовании нодовского пакета uuid и генерации миллиона записей в одном цикле, натыкался на дубли частенько.

А как отправили? Даже если по телефону диктовали, есть вероятность что товарищ майор её слышал.
Может, это глупые программисты сделали интерфейсы, которые вводят людей в заблуждение? А другие глупые программисты решили сливать в поисковик ссылки из браузера или почты.
В таких компаниях программисты интерфейсы пользовательские не делают.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
«Прогоняет через свой анализатор» — совсем не то же самое что «индексирует».
НЛО прилетело и опубликовало эту надпись здесь
проблема в том, что слитые ссылки доступны кому ни попадя. Вы бы ещё shodan обвинили в обнаружении адресов уязвимым ip камер к примеру.
НЛО прилетело и опубликовало эту надпись здесь
Если эти ссылки не закрыты даже банальным robots.txt, то это если и проблема, то точно не браузера. Ну, блин, есть же стандарты, соглашения и вот это вот все. И если ты не хочешь, чтоб ссылки индексировались, ну сделай хоть что-нибудь, кроме медитации
НЛО прилетело и опубликовало эту надпись здесь
О какой проблеме речь, если в «утекших» документах в настройках явно указано, что их нужно индексировать? У вас есть примеры документов, которые есть в выдаче и у которых стоит «Anyone with the link», а не «Public on web»? Я пока таких не видел.
Что значит «если бы»? А своими глазами глянуть вера не позволяет?
Вот: https://docs.google.com/robots.txt

Там не то что не закрыто, а явно разрешено индексировать документы по прямым ссылкам. Это раз.

Два: а с чего решили, что бинг не индексирует такие документы?
Если бы ссылки не были закрыты через роботс

Если бы вы не занимались досужими вымыслами, а проверили, то обнаружили бы, что нет, НЕ закрыты.


Все еще проблема не видна?

Конечно, видна, только не там, где вы ищите. Какие-то дебилы с дырой в голове полностью пренебрегают элементарными правилами безопасности, но виноваты кто угодно, кроме них. Это как положить бумажник на столик в уличном кафе и уйти в туалет, а вернувшись, обвинить потника, изготовившего стол в том, что бумажник магическим образом утёк благодаря столику.


Человек с яндекс браузера либо используя яндекс почту передает ссылку другому человеку(не скидывая ее на форумы) и эта ссылка предназначена только для этого человека. И вот она магическим образом оказывается в поисковой выдаче.

А вот это заявление в приличных местах следует доказывать. Один из банков, тоже с дыркой в голове, рассылает ежемесячные отчёты по счетам такими ссылками (а мне они на яндекс-почту как раз валятся). За других не скажу, но мои отчёты в поисковые выдачи не попадали почему-то. Почему? Может потому, что не рассылаю их кому-попало посредством асек, вконтактегов и фейсбучеков и, прости господи, одноглазников?

НЛО прилетело и опубликовало эту надпись здесь
До чего доводят облака… Локальных утечек было бы сильно-сильно меньше.
существование паблик-анонимус фтп там, где доступ должен быть закрыт, опровергает ваше утверждение.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории