Comments 33
<...> что HP может отсылать напечатанную принтерами компании информацию на собственные серверы.
Может быть, если они увидят, что вы печатаете документы из Photoshop <...>
Кроме того, я не уверен в том, как данные печати пользователя связаны <...>
Это может быть некоторая комбинация IP-адреса <...>
<...> но затем я испугался, что HP украдет мой адрес электронной почты <...>
Я думаю, это зависит от того, насколько вы заботитесь <...>
<...> я считаю, что более 99% людей, чей принтер <...>
Великолепная аналитика… потрясающе, эксельсиор! Новости, которые мы заслужили!
Я думаю, что это чтоб обезопаситься от юридических проблем.
А вы точно читали заголовок?
Да уж, очень странная новость.
Человек просто прочитал соглашения о сборе данных, допридумывал, что они еще могли бы собирать в нарушение этого соглашения, и… статья по информационной безопасности готова. Без доказательств, без каких-либо проверок, просто «ну вот если они бы собирали ваши ип адреса, они бы могли слать вам рекламу»… Блин, я такие статьи по каждой крупной компании и каждому ПО могу пачками выпускать.
Человек просто прочитал соглашения о сборе данных, допридумывал, что они еще могли бы собирать в нарушение этого соглашения, и… статья по информационной безопасности готова. Без доказательств, без каких-либо проверок, просто «ну вот если они бы собирали ваши ип адреса, они бы могли слать вам рекламу»… Блин, я такие статьи по каждой крупной компании и каждому ПО могу пачками выпускать.
Нет, все правильно. Если производитель пишет "мы можем собирать ваши файлы, но это просто формальность, не бойтесь, мы почти никогда не будет так делать" — это надо понимать как "мы будем читать ваши файлы", так как "почти никогда" не имеет какого-то строгого определения.
Соответственно если производитель пишет, что он может собирать X, Y и Z — он их будет собирать сполна. Зачем бы иначе он включал X, Y и Z в соглашение?
А вам не кажется, что есть разница между тем, как мы [более или менее сознательно] отдаем данные на сервера онлайновых сервисов, которыми пользуемся, и тем, когда Вася в 23:45 распечатывает 200-страничный док «Дневник 1997–1998»? Он как-то вообще не ожидает, что какие бы то ни было данные о его взаимоотношениях с принтером куда-либо отправляются.
Т.е. это в 2019 году с технической и даже этической точки зрения понятно. Но неожиданно же!
Т.е. это в 2019 году с технической и даже этической точки зрения понятно. Но неожиданно же!
Он как-то вообще не ожидает, что какие бы то ни было данные о его взаимоотношениях с принтером куда-либо отправляются
Судя по описанию оригинала, соглашение о том куда и что отправляет показывается при установке и Вася сам ставит галочку «да, отправлять анонимную статистику на сервера HP»
Ну давайте честно: все ли и всегда ли читают соглашения? Чаще всего, мне кажется, просто жмут ОК и все.
Ну и кто им злобный буратино? Если таким же макаром финансовые документы подписывать то можно на изрядные деньги попасть. Это отмазка примерно как «я подписал договор на кредит не читая у какой-то левой финансовой конторы, а потом неожидано обнаружил, что взял кредит с 300% годовых».
Ладно в том соглашении речь, как я понимаю, идет о анонимной обезличенной статистике, а мог ведь и подписать, что все содержимое его файлов отправляется на левый сервер. При том что в самом соглашении речь идет о отправке анонимной статистики.
P.S. Только я все равно не понимаю, что этот исследователь такого там наисследовал, если с статье только цитирование лицензионного соглашения? Ну давайте я на хабр по каждому соглашению, которое найду в ПО, буду заливать типо аналитическую статью по информационной безопасности.
Ладно в том соглашении речь, как я понимаю, идет о анонимной обезличенной статистике, а мог ведь и подписать, что все содержимое его файлов отправляется на левый сервер. При том что в самом соглашении речь идет о отправке анонимной статистики.
P.S. Только я все равно не понимаю, что этот исследователь такого там наисследовал, если с статье только цитирование лицензионного соглашения? Ну давайте я на хабр по каждому соглашению, которое найду в ПО, буду заливать типо аналитическую статью по информационной безопасности.
Ну алло. Это делают ВСЕ.
Да, дело даже не в этом, а в том, что все исследование основано на «чувак прочитал лицензионное сообщение» и придумал теорию заговора «они собирают больше, чем говорят» без всяких проверок и исследований…
Ну если он такой «программист», то мог бы и выяснить чего на самом деле софт от HP отправляет на сервера компании. Делается это таки довольно просто.
Точно ли просто?
Не всегда увы. Могут потребоваться очень серьёзные навыки отладки и реверса.
Любопытства ради, «программист» мог бы по крайне мере запустить Wireshark или Fiddler, и уже в зависимости от результатов подкрепить свои доводы.
Возможно, на самом деле всё намного хуже, но для меня выглядит странным, что «программисты» пишут такие статьи без каких-либо технических подробностей.
Возможно, на самом деле всё намного хуже, но для меня выглядит странным, что «программисты» пишут такие статьи без каких-либо технических подробностей.
Ну а там SSL с проверкой сертификатов например.
Или нет. Автор не удосужился провести элементарную проверку, хотя бы сам факт соединения с серверами HP. Прокси или снифферов сейчас куча, включая очень простые в установке и использовании. Скорее всего текст этот вставили по требованию юристов компании. А вот занимается ли реально она сбором какой то информации и какой именно, это осталось неизвестным.
UFO just landed and posted this here
UFO just landed and posted this here
Объём данных в среднем за год? Я бы сделал отправку в первый день нового года, когда появился интернет.
Надо дизассемблировать и смотреть…
Надо дизассемблировать и смотреть…
Вооот, для нормального разбора надо провести реверс и изучить, а что оно собственно там вообще делает. А эта задача весьма нетривиальна.
Как можно рассуждать о таком, когда не были проведены даже самые простые действия чтобы выяснить это? Маловероятно, но быть может, данные загружаются по FTP от имени рута на сервере, где хранятся банковские данные всех клиентов HP. С другой стороны, скорее всего Вы правы, и всё защищено на высшем уровне. Однако, учитывая, что утечки информации происходят по самым банальным причинам, я не удивлюсь, если там ничего не шифруется и никакой реверс-инжиниринг не нужен. В любом случае, чтобы узнать ответ на этот вопрос, пытаться угадать — недостаточно.
запустить Wireshark или Fiddler, и уже в зависимости от результатов подкрепить свои доводы.
Результаты — это лицезрение TLS client hello? =(
А в бортовом софте, как заметили выше, ковыряться тяжеловато.
Когда-то Lexmark попалась на шпионаже за пользователями.
Злые вы.
А ведь где-то, прочитав эту заметку, от зависти к HP горько заплакал товарисчъ майор… :)
А ведь где-то, прочитав эту заметку, от зависти к HP горько заплакал товарисчъ майор… :)
А чего тут вообще подозревать, если соглашение явно говорит о сборе данных!?
А что если они хотят выводить рекламу на бумагу при печати?
Можно пофантазировать: ведь действительно, все пытаются сунуть рекламу везде, куда она суётся, даже вон, в консольку уже выводят, а тут бумага — просто так удалить уже не получится. Придётся взламывать принтер и устанавливать адблок прямо в него. :)
Можно пофантазировать: ведь действительно, все пытаются сунуть рекламу везде, куда она суётся, даже вон, в консольку уже выводят, а тут бумага — просто так удалить уже не получится. Придётся взламывать принтер и устанавливать адблок прямо в него. :)
Если у вас нет паранойи — это не значит, что за вами не следят.
Если принтер с сетевой картой — там еще наружу торчит SMTP и NRS протоколы, которые выдают каждый чих принтера и всю статистику. Если только USB интерфейс, то все это идет через драйвер компьютера.
Я скажу вам больше — это делают 100% принтеров всех производителей. А есть такие принеры, что и анализом текстов и изображений занимаются — не пересылаете ли бы чего запрещенного в стране или компании. А сканеры уже давно портят изображения банкнот.
Я скажу вам больше — это делают 100% принтеров всех производителей. А есть такие принеры, что и анализом текстов и изображений занимаются — не пересылаете ли бы чего запрещенного в стране или компании. А сканеры уже давно портят изображения банкнот.
Информация конечно любопытная и настраивающая на бдительность :)
И всё же если уже сейчас в этом видится проблема — она не решается на уровне фаервола?
И всё же если уже сейчас в этом видится проблема — она не решается на уровне фаервола?
Было бы действительно неповадно, если бы это были данные печатаемых документов, но данные, которые используются для статистики… дайте Роберту Хитону шапочку из фольги, сложенную в несколько слоев
Sign up to leave a comment.
Программист подозревает HP в отсылке данных о распечатанных документах на серверы компании