Поиск Написать
« Предыдущая запись Следующая запись »
Комментарии:
Glawbuch
21 июля 2011
Мне понравилось. Особенно про Бога.
Ваниль
21 июля 2011
А мне кажется он не прав. При чем тут стыд и не пишите? Это невыполнение своих обязательств поставщиком услуг. Обещал приватность и не выполнил. Козел однозначно. Не пишите... Даже если мне не стыдно, я все равно не хочу чтобы это читала вся страна через Яндекс. Возможность самостоятельно определять приватность сообщений нарушена. И когда я пишу "Доброе утро" я пишу это одному конкретному человеку, а не всему рунетовскому сообществу. И заметь, мне не стыдно за эти слова ни перед этим самым сообществом, ни перед Богом. Так что я с уважаемым товарищем не согласна.
jul-2000
21 июля 2011
Согласна с Ваниль. И стиль статьи чисто "журналюжный" - попытка сенсации на пустом месте. Еще и Бога приплел. Читаешь - кажется "правильно говорит". А вдумаешься -
lubezniy
21 июля 2011
Наташ, отчасти я с тобой соглашусь. Но в любой технически сложной системе иногда допускаются ошибки, последствиями которых может стать утечка информации. Да и у адресата обстоятельства разные бывают. Так что отнюдь не потеряло актуальность правило: хочешь оставить что-то в тайне - держи это при себе.
Что же касается утечек, то далеко не все они приводят к подобным проблемам. Здесь многое зависит от того, кто её обнаружил. Порядочный человек, обнаружив признаки дырки в системе безопасности, напишет в частном порядке владельцу системы об этом и потребует дырку закрыть. А непорядочный (их, увы, много) начнёт трубить об этом на весь мир - что в данном случае и привело к тому, что эти сообщения стали читать все (так о дырке бы никто и не узнал). Лично мне по моим проектам, к счастью, попадались только порядочные.
lubezniy
21 июля 2011
И, кстати говоря, что касается поведения людей при обнаружении ошибок, вот пример (хоть к утечкам это и не относится):
http://www.buhsoft.ru/forums/showthread.php?t=23946
lubezniy
21 июля 2011
А вообще тот способ закрытия утечки, что предлагался в СМИ (файл robots.txt) - это не закрытие дырки, а лишь предотвращение индексирования отдельными поисковыми системами (они не обязаны этот файл понимать). Закрытие - это предотвращение предоставления информации лицам, не имеющим на это права, а не вывешивание бумажки "посторонним не смотреть".
kэt
21 июля 2011
забавный случай с Мегафоном
но больше поразило другое
На протяжении нескольких часов в российских офисах практически никто не работал – все увлеченно читали, о чем пишут друг другу такие же, как и они.
всем этим людям больше нечем было заняться в рабочее время?
lubezniy
21 июля 2011
всем этим людям больше нечем было заняться в рабочее время?
Ну да. На этом жёлтые журналисты свой хлеб зарабатывают.
Lahja
25 июля 2011
Выясняется что мегафон это тьфу
отличный фэйл на туже тему от магазина с трусами
Хотите чтобы информация о ваших покупках в магазине эротического белья стала достоянием всего Интернета? Воспользуйтесь услугами Яндекса. Вот по этой ссылке можно увидеть (пока не уберут) список клиентов магазина sexyz.ru, включая имена, адреса, IP-адреса, список товаров, статус заказа и т.д.
бух2007
25 июля 2011
Lahja, жуть какая.
Там и адреса. И кто в этом виноват, интересно? Яндекс или инет-магазин...
lubezniy
26 июля 2011
И кто в этом виноват, интересно? Яндекс или инет-магазин...
Объясняю. Задача поисковой системы - обработать информацию, открыто доступную на страницах в инете, для выдачи этих страниц в своих результатах поиска. "Открыто доступную" в данном контексте означает "доступную любому пользователю инета без ограничений". Другими словами, не только поисковая система, но и любой пользователь инета может, набрав ссылку в адресной строке, получить эту информацию - она лежит совершенно открыто, даже без пароля. Так что поисковая система здесь не виновата в любом случае.
А вот с виной магазина вопрос несколько более сложный. Судя по количеству и наименованию параметров в ссылке на конкретную страницу, а также моим несложным экспериментам, нельзя сказать, что магазин совсем не пытается защитить данные клиентов от несанкционированного доступа (хотя при небольших изменениях в параметре hash адрес электронной почты по-прежнему выдаётся - это хоть и очень плохо, но не совсем безнадёжно). Но такая выдача данных по конкретной ссылке, хоть она удобна и для пользователей, и для программистов, создаёт техническую возможность для организации подставы. Суть подставы такова: обиженный админ или другой внутренний сотрудник магазина (теоретически возможно и внешнее вмешательство, но это бывает гораздо реже) каким-то образом собирает ссылки на эти заказы, затем создаёт страничку в инете, раскладывает там все эти ссылки и раскручивает её в поисковой системе. Алгоритм индексирования практически любой поисковой системы подразумевает поиск на обрабатываемой странице ссылок и индексирование страниц по этим ссылкам. Поэтому поисковая система, найдя страницу, созданную злоумышленником, просматривает все эти ссылки, индексирует каждую из них по отдельности, благо они не требуют ввода каких-то паролей (все эти пароли уже есть в ссылке), и размещает в результатах поиска. Остаётся только удалить страничку (когда всё проиндексировано, необходимость в ней отпадает), распиарить результаты поиска по СМИ и таким образом испоганить магазин. Объективно: защита данных клиентов магазина от несанкционированного доступа хоть и присутствует, но явно недостаточна для противодействия подставам, выполняемым с участием злоумышленников.
lubezniy
26 июля 2011
И, кстати, в этой части пьесы это далеко не единственный магазин под раздачей:
http://vz.ru/news/2011/7/25/509933.html
А способ стар аки мир. Ещё 4-5 лет назад я по одному из клерков нашёл данные по яндексу или гуглю (точно не помню), упёршись через результаты поиска на сайт одного профессионального инет-магазина.
Комментарии 0
 

Подтвердите удаление записи