21.07.2011

Яндекс.Бар – Большой брат следит за тобой

Возвращаясь к последним инцидентам, связанным с утечкой приватной информации через поисковые машины. У многих возникает вопрос, как «секретные ссылки» ограниченные по сроку жизни и защищенные достаточно серьезной энтропией в случайном параметрах запроса могли попасть в индекс поисковой машины.

Автор: Дмитрий Евтеев

Возвращаясь к последним инцидентам, связанным с утечкой приватной информации через поисковые машины. У многих возникает вопрос, как «секретные ссылки» ограниченные по сроку жизни и защищенные достаточно серьезной энтропией в случайном параметрах запроса могли попасть в индекс поисковой машины.

Кроме явных причин таких, как:
1. Ошибки северной части веб-приложения, которая допускает утечку (индексация директорий).
2. Сами пользователи, публикующие в открытых источниках «секретные ссылки».
3. Системы сбора статистики, (Yandex-метрика), показа баннеров и другой внешний контент.

Причиной может являться ПО, установленное на компьютере пользователя. Одной из таких программ посвящено данное исследование. Это программа Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?

Это панель для распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:

Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик…

К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.

Идем дальше. Обращаемся к внутреннему ресурсу:

(интересно, куда ушел мой секретный логин и пароль??)

Попутно встречаем другие «полезные» функции Яндекс.Бара:

Это прямо праздник какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел «Условия использования отдельных функций Программы»:

5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО © ОРФО™, ООО «Информатик», 2009.
5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.

Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.

Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем «отключить» там нет.

Так как же отключить сомнительный функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)

Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности.
или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  
Владимир
21-07-2011 20:01:41
Очень своевремменная статья. Не успел яндекс бар выйти, а бдительные товарищи уже заранее предупреждают нас о грозящей опасности! С нетерпением ждём таких же исследований о гугл и мэйл барах и агентах. Плохо только, что один момент пропущен. Поисковая машина Яндекса, как таковая, тоже обладает "сомнительным" функционалом, так как из браузера пользователя на какой-то там сервер передаётся строка поискового запроса. А это информация о личных интересах пользователя!
0 |
56004
22-07-2011 12:51:53
Поисковая машина Яндекса, как таковая, тоже обладает "сомнительным" функционалом, так как из браузера пользователя на какой-то там сервер передаётся строка поискового запроса. А это информация о личных интересах пользователя! И чего же личного в поисковом запросе?
0 |
Владимир
22-07-2011 19:49:23
А чего личного в адресе сайта? Чего личного в словах, вбитых в форму на сайте?
0 |
Linuxuser
24-07-2011 17:47:58
ссылка может быть приватная - не предназначенная для публикации. Об этом писал автор статьи. Читайте внимательно. Понятно, что security throгпр obscurity - это не способ, тем не менее. Просто яндекс.бару не хватает режима приватности.
0 |
Владимир
25-07-2011 10:12:19
Я читал статью. И знаю, о чём писал автор и о чём он не написал. А вы думайте "внимательнее". Я-то как раз и хочу сказать, что и в ссылках, и в запросах, и т.д. гораздо больше приватности, чем кажется на первый взгляд. Но в запросах все знают, что инфа уходит и записывается, а про ссылки осведомлены немногие.
0 |
25-08-2011 22:58:21
Поисковая машина Яндекса, как таковая, тоже обладает "сомнительным" функционалом, так как из браузера пользователя на какой-то там сервер передаётся строка поискового запроса.Передается по запросу пользователя, так что высер не в тему.
0 |
Я
21-07-2011 20:56:30
все кто ставят подобные бары - наивные глупцы. потуги автора почётны, но они врядли отучат мух есть то что они едят...
0 |
Zzz
21-07-2011 21:32:23
Яндекс.Ресторан следит за тем, что ты ешь.
0 |
21-07-2011 21:38:25
котлеты? Пользователей нужно учить. Одно дело когда вы понимаете что здесь "что-то не так", и мучаясь сомнениями "а не параноик ли я" не ставите, а другое дело когда есть прецедент, описанный в доверенном источнике (с разборкой полетов, картинками и фразой "до чего довели страну" (с) баш). Посмотрите шире. Допустим врач, который не разбирается во многих хитросплетениях современной IT индустрии, рискует и ставит бар - ведь и удобно и информационно, как он может заподозрить что что-то не так? Ковыряться в коде, в запросах, разбираться в механизмах хранения информации и т.п. - это уже нужно быть продвинутым пользователем. Таким, как правило, и объяснять ничего не нужно. Пример наоборот. Много ли людей своим умом доходят до того что полезно, что вредно, как нужно следить за организмом, что практически любые лекарства вредны и т.п? Чтобы вы узнали об этом, кто-то создает прецедент - и когда доступная информация становится достоянием общественности, только тогда многие начинают задумываться. imho
0 |
Zzz
21-07-2011 21:47:15
Те, у кого установлена эта "забегаловка" вряд ли прочтут эту статью. Так и Вы, вряд ли узнаете о новых методах избавления от геморроя.
0 |
21-07-2011 22:53:32
Но они могут узнать от Вас об этой статье. И вы узнаете о новых методах избавления от геморроя
0 |
fuzzi
25-07-2011 12:43:22
И зря Вы так думаете. Я Пользовался Яндекс-Баром, который как и Опера даёт мозилле функционал предпросмотра ссылок в мини-окнах на пустой вкладке. После прочтения данной статьи удалил его нахрен. Буду искать альтернативу или поставлю оперу в конце-концов. Так что спасибо автору.
0 |
27-07-2011 18:49:06
я думаю что все бары, за редким исключением, это вредоносное ПО. А о чем подумали вы? По поводу "предпросмотра ссылок в мини-окнах на пустой вкладке" для огнелиса есть много плагинов, на вскидку - speed dial, foxtab, fast dial - при поиске одного из этих плагинов, firefox автоматически вам предложит плагины, относящиеся к данной категории.
0 |
вопрос
21-07-2011 21:35:30
а зачем нужны все эти надстройки? пара плагинов к лисе + гугл. и нахрен велосипеды.
0 |
21-07-2011 23:33:58
а зачем нужны все эти надстройки? пара плагинов к лисе + гугл. и нахрен велосипеды. Ты не представляешь у скольких людей стоит этахрень. Заколебался уже выпиливать.
0 |
посторонним-в
21-07-2011 23:35:52
яндекс с я-баром в топку!
0 |
Страницы: 1  2  3  4  5