alizar Jul 27 2018 at 14:42

«Яндекс» опять проиндексировал документы Google Docs

1 min

14K

Information Security*Search engines*

+15

Comments 38

UFO just landed and posted this here

AvioD Jul 27 2018 at 15:19

Полагаю, проиндексировались ссылки на те документы, которые люди нашли при первом сливе и разместили на форумах, имиджбордах и пр.
Ну и теперь, естественно, ссылки на них есть, все законно :) Только первоначально как они в индекс попали, никто ответа до сих пор не дал.

nanshakov Jul 27 2018 at 15:43

Есть много подозрений в сторону Ябраузера

AvioD Jul 27 2018 at 15:58

Имел ввиду официальных комментариев нет. И да, я тоже полагаю, что со стороны яндекс браузера слив произошел.

synka Jul 27 2018 at 15:29

Чудесный документ: docs.google.com/document/d/1GeOQWyQt30VXeSAzgx0Z2SINJvxmmz9ffM1kzJXes9U/edit?hl=en_US

+10

a_korzhenko Jul 27 2018 at 16:14

Тоже понравился. А скока читателей там сейчас — ууу :)

Несколько минут назад было больше.

UFO just landed and posted this here

Suvitruf Jul 27 2018 at 22:24

Почитайте про этот самый ОАО «Ярославский завод «Красный Маяк». Там история достойная того, чтоб по ней фильм снимать.

Suvitruf Jul 27 2018 at 22:23

Этот документ в сети уже лет 10 гуляет.

dkazakov-dev Jul 27 2018 at 16:01

А ничего, что во всех этих документах стоит «Public on Web» вместо «Anyone with the link» (дефолтное значение)? Т.е. владельцы файлов сами активировали индексацию этих документов. Причем здесь Гугл и Яндекс вообще?

Вот как выглядит форма с дефолтными значениями, если что:

PS:
Правда, есть предположение, что эти документы были созданы до введения этого разделения в Google Docs, а потом просто каким-то образом получили другое дефолтное значение, но у меня нет этому подтверждений. Мои старые документы так и лежат в «Anyone with the link».

aknew Jul 27 2018 at 16:18

Правда, есть предположение, что эти документы были созданы до введения этого разделения в Google Docs

А как давно это разделение введено? Нашел у себя в гуглодоках документ от 2014 года (скорее всего до появления Public on the web) пошаренный с anyone with the link и он не стал Public on the web, при этом есть полная уверенность что документ не трогали т.к. создан он чисто для примера, я его просто удалить забыл

dkazakov-dev Jul 27 2018 at 16:26

Вот я не помню, когда это ввели, но у них был даже анонс про это. Очень давно. Лет пять назад как минимум. Самое старое, что я у себя нашел расшаренного, так это документ 2012-го года. В нем тоже стоит «Anyone with the link», т.ч. скорее всего эта гипотеза не верна, и люди сами это активировали по незнанию/умышленно.

stalinets Jul 27 2018 at 16:52

Если глупые люди сами выкладывают конфиденциальную информацию, причём тут поисковики?

dartraiden Jul 27 2018 at 17:14

«Глупых людей» никто не предупреждает, что ссылка, которую они отправили другу и которая больше нигде не светилась, вдруг всплывёт в поисковике.

Проблема в том, что в прошлом инциденте (не знаю насчёт этого) в поиск вывалились ссылки вовсе не первого типа (см. скриншот).

-2

stalinets Jul 27 2018 at 19:00

Здравомыслящий человек должен понимать, что такая ссылка — не защита. Можно ошибиться, набирая адрес ссылки, и попасть на чужой документ. Можно написать скрипт, перебирающий брутфорсом ссылки в заданном диапазоне. Да даже скрипт не нужен, я делал такое с помощью Download Master: настраивается маска по адресу, типам файлов и пр. и запускается скачивание. Но вот если по ссылке попадётся запароленный 7z-архив с нормальным паролем, тут уж ничего не утечёт.

lostpassword Jul 27 2018 at 23:13

И всё же, справедливости ради, id 1GeOQWyQt30VXeSAzgx0Z2SINJvxmmz9ffM1kzJXes9U Вам придётся подбирать очень, очень долго…

VolCh Jul 28 2018 at 17:42

Не придётся очень, очень долго подбирать, а матожидание времени подбора полным перебором очень большое. Но первое же испытание может оказаться успешным.

GeorgWarden Jul 28 2018 at 04:25

«Случайно попасть»?
Знаете, почему UUID гарантирует уникальность идентификаторов?

VolCh Jul 28 2018 at 17:50

Не гарантирует, а даёт высокую вероятность уникальности при небольшом количестве случайных значений. На больших количествах уже нужно учитывать возможность совпадений. Например при количестве UUID v4 ключей порядка 10^18 вероятно встретить два одинаковых значения уже близка к бросанию монеты. И это при наличии идеального генератора случайных чисел.

Ramallah Jul 31 2018 at 10:02

Соглашусь. При использовании нодовского пакета uuid и генерации миллиона записей в одном цикле, натыкался на дубли частенько.

VolCh Jul 27 2018 at 22:52

А как отправили? Даже если по телефону диктовали, есть вероятность что товарищ майор её слышал.

Sabubu Jul 27 2018 at 18:03

Может, это глупые программисты сделали интерфейсы, которые вводят людей в заблуждение? А другие глупые программисты решили сливать в поисковик ссылки из браузера или почты.

VolCh Jul 27 2018 at 22:52

В таких компаниях программисты интерфейсы пользовательские не делают.

UFO just landed and posted this here

mayorovp Aug 1 2018 at 13:25

«Прогоняет через свой анализатор» — совсем не то же самое что «индексирует».

UFO just landed and posted this here

zerg59 Jul 27 2018 at 20:17

проблема в том, что слитые ссылки доступны кому ни попадя. Вы бы ещё shodan обвинили в обнаружении адресов уязвимым ip камер к примеру.

UFO just landed and posted this here

vshemarov Jul 27 2018 at 22:08

Если эти ссылки не закрыты даже банальным robots.txt, то это если и проблема, то точно не браузера. Ну, блин, есть же стандарты, соглашения и вот это вот все. И если ты не хочешь, чтоб ссылки индексировались, ну сделай хоть что-нибудь, кроме медитации

UFO just landed and posted this here

dkazakov-dev Jul 27 2018 at 22:39

О какой проблеме речь, если в «утекших» документах в настройках явно указано, что их нужно индексировать? У вас есть примеры документов, которые есть в выдаче и у которых стоит «Anyone with the link», а не «Public on web»? Я пока таких не видел.

vshemarov Jul 28 2018 at 09:49

Что значит «если бы»? А своими глазами глянуть вера не позволяет?
Вот: https://docs.google.com/robots.txt

Там не то что не закрыто, а явно разрешено индексировать документы по прямым ссылкам. Это раз.

Два: а с чего решили, что бинг не индексирует такие документы?

avost Jul 30 2018 at 12:50

Если бы ссылки не были закрыты через роботс

Если бы вы не занимались досужими вымыслами, а проверили, то обнаружили бы, что нет, НЕ закрыты.

Все еще проблема не видна?

Конечно, видна, только не там, где вы ищите. Какие-то дебилы с дырой в голове полностью пренебрегают элементарными правилами безопасности, но виноваты кто угодно, кроме них. Это как положить бумажник на столик в уличном кафе и уйти в туалет, а вернувшись, обвинить потника, изготовившего стол в том, что бумажник магическим образом утёк благодаря столику.

Человек с яндекс браузера либо используя яндекс почту передает ссылку другому человеку(не скидывая ее на форумы) и эта ссылка предназначена только для этого человека. И вот она магическим образом оказывается в поисковой выдаче.

А вот это заявление в приличных местах следует доказывать. Один из банков, тоже с дыркой в голове, рассылает ежемесячные отчёты по счетам такими ссылками (а мне они на яндекс-почту как раз валятся). За других не скажу, но мои отчёты в поисковые выдачи не попадали почему-то. Почему? Может потому, что не рассылаю их кому-попало посредством асек, вконтактегов и фейсбучеков и, прости господи, одноглазников?

UFO just landed and posted this here

Groramar Jul 28 2018 at 17:36

До чего доводят облака… Локальных утечек было бы сильно-сильно меньше.

AlexPancho Jul 30 2018 at 13:44

существование паблик-анонимус фтп там, где доступ должен быть закрыт, опровергает ваше утверждение.