Pull to refresh

Comments 72

Да-да, все что не опубликуешь в GDrive — далее «принадлежит» не только Google, но и ее партнерам.
Так TrueCrypt/аналоги никто не отменял. У меня, например, важные бэкапы и прочие документы лежат в TC контейнере, который уже и заливаю в DropBox/GDrive/Яндекс.диск.
На яндекс диск нельзя (http://habrahabr.ru/post/142067/#comment_4762215):

5.2. При использовании сервисов Яндекса Пользователь не вправе:

5.2.12. ограничивать — с помощью пароля или иным способом — доступ к файлам, размещенным Пользователем в рамках сервисов, в т. ч. использовать архивы с паролями.
Опаньки, пойду снесу пока никто не видел :)
Поздно уже.
Крупные сервисы данные не удаляют, они просто помечают их как удалённые, но это место ничем не перезаписывается.

Вопрос.
Нафига нужны эти облачные шпионские сервисы пользователям.

Итак.
У меня идея.
Нужен сервис, который для каждого подобного сайта выводит вортнинг.
Сервис состоит из сайта и юзерскрипта/расширения для браузера.
К/н с юридическим образованием читает лицензионные соглашения и вносит их в базу данных.
Юзерскрипт просто определяет, что это — страница с лиц соглашением, шлёт запрос на сайт, из базы скрипт выбирает ворнинги для этого сайта, форматирует в жсон, скрипт мерзко пищит и выводит ворнинги крупным планом.
Сервис этот реализовывать не буду, ибо влом.
Кстати, а как они узнают что что-то не так, если, например, обозвать контейнер как-то вроде vacation.vob (ничего не знаю, заливал видео, снятое в отпуске, а оно у вас сломалось, плохой сервис, плохой!).
Они не узнают, что это именно trueCrypt-контейнер, но с легкостью определят, что это не .vob. И соответственно смогут принять меры. Вопрос только, зачем им это надо. Я думаю, все эти ToS нужны, чтобы обезопасить компанию от судебных преследований, а не позволить им копаться в ваших файлах, но все равно бы поостерегся хранить важную информацию на сервере компании, на которую распространяется российская юрисдикция. За примерами далеко ходить не надо — тот же кошелек яндекса и ФСБ.
Они не узнают, что это именно trueCrypt-контейнер, но с легкостью определят, что это не .vob.

А если это формат файла моей личной программы?
Проще сказать, что это аудиозапись белого шума (как и у криптоконтейнера, энтропия у него максимальна). По вечерам слушать, успокаивает, мол…
Хм, возник внезапный вопрос — а можно ли в аудиозапись зашифровать данные? Что бы реально шум был?
UFO landed and left these words here
Вспомните кассеты с программами для Speccy.
ну, тогда уж не WAV, а все-таки PCM или RAW для правдоподобности, т.к. у WAV должен быть заголовок (http://en.wikipedia.org/wiki/Raw_audio_format)
Дык можно и добавить, для достоверности…
Тогда есть шанс, что у вас контейнер не смонтируется, в TrueCrypt же нельзя задать offset.

Написав эту фразу, я подумал, что можно воспользоваться идеей с outer/hidden volume в TrueCrypt — и действительно, я не оригинален: keyj.emphy.de/real-steganography-with-truecrypt/

Идея в том, что мы в контейнере делаем два тома (outer и hidden), заголовок hidden-тома находится значительно дальше начала файла, поэтому мы смело можем переписать то, что лежит по смещению «0000», закинув туда, например, заголовок WAV.
UFO landed and left these words here
Не стоит переживать по этому поводу. Дверь работает в обе стороны. Если вас кто-то прижмет за порно на гугл-драйве, вы всегда сможете отвертеться, что вы залили туда свою диссертацию, а гугл, имея право «…изменять, создавать на его основе производные работы…», все изменил до неузнаваемости. И ваш научный труд стал порнухой. :)
Если это шутка, то даже для иллюстрации такого варианта не подходит. Гугл с его, скромно говоря, штатом юристов легко опровергнет эти аргументы.
Никто не запрещает размещать этот файл в архиве наряду с любой бесплатной программой.
Заодно на всякий обозвать скажем setup.dat и никаких проблем.
В общем случае для одного файла конечно не отличат. Но если таких файлов у вас несколько с одинаковым расширением, то у анализатора могут возникнуть вопросы плана «а почему у этих файлов разная структура?». Ну да надеюсь до такого не дойдет, потому что если вы будете кому-нибудь настолько сильно нужны, чтобы найти вас и начать задавать такие вопросы, там и до терморектального криптоанализа ваших файлов недалеко.
«Конечно, они разные! Это вывод моего генератора случайных чисел, тестирую его и статистически оцениваю энтроп..» (щелчок вставляемого в розетку паяльника)
Те кто думает что TrueCrypt контейнер распознать нельзя — проследуйте пожалуйста сюда
В одном из последних Радио-Т'ов bobuk говорил что эти пункты правил, описные выше, касаются тех файлов, которые пользователи попытаются расшарить и поделится с другими.

Тем не менее, я расшарил запароленный файл с провокационным названием с 19 апреля. До сих пор ссылка и файл живые.
Ну говорил, ну и что? Смысл этого пункта (как борьба с известной схемой распространения нелегального контента) и так понятен. То, что кто-то из Яндекса (да даже если бы сказал ген.директор) сказал, что это только для публичных — это его личное мнение, и оно будет им, пока в п.с. есть формальное запрещение.

PS: многие соглашения (законы?) пишутся не для буквального исполнения, а чтобы ими воспользоваться «по-закону» когда потребуется.
попробуйте подобрать пароль и узнаете точно :)
Досчитал до 0WJAj9 и задолбался -_-
Это какого же рода порно можно заподозрить в файле размером 214 Б? :)
Кроме порно, запрещено еще распространять вирусы, нелицензионные копии программ, ключи к программам, фильмы, музыку, информацию порочащую честь и достоинство гражданина, экстремистскую литературу и т.д. А еще некоторое время назад было прямо таки обилие каталогов фальшивых архивов. Все это скачивая с яндекса пользователи неверно ассоциируют с яндексом — соотв. портится имидж компании.
                                                  {((((((}
                                                 {)))))))))
                                                ((((( _  _))
                                               )))))) . (.((
                                               ((((((    >)))
                                              _))))))   - /(
                                           .-'  (((((.--' )))
                   .-'''''-._          _.-'         :: (((((
                 .`          '-.    .-'     _.-''  :::)))))))
                 :              ':-:    _.-' :'   .:::((((((
                 :               .:   .:: : :     ::::)))))))
                  :.          ..::   .:: : '      ::::((((((
                   :.        (:::  .:::: : :      o ::)))))))
       _.-.         :.        \/  :-'-'-'-'`'-.-'`:: :((((((
  __.-'   _\       _ :.        \ /             ))):.  :))))))
 (    .-' ;;'-.-''' '':.        :             (((((:.  :((((
  ```'-..-.;._  _.-''-.\         :             ))))):.   ))))
  __.-'   _\_.`'        \        :            (((((((:. '(((
(    _.-' ;;                     :                    :. '---.__
 `'''-....;;,,,,,,,,,,,,,,,;,___:                      \:..b===='


Намек понятен? :)
Возможно специально, чтобы порно в архивах не распространяли.
Bobuk в Радио-Т признавался, что это ограничение в ToS нужно только для галочки, чтобы к ним не докапывались «правоохранители». В реальности им все равно — вся ответственность переложена на пользователя.
Как говорилось в радио-т, эти ограничения для публично доступных файлов, т.е. тех, которые вы не шарите.
Если вы свои запароленные бекапы не шарите, то и дела до них никому нет.
Это его личное мнение. Вы в подписываете п.с. и, соотв., соглашаетесь со всеми его пунктами.

PS: вообще практика написания соглашений (законов) для того чтобы их потом можно было избирательно применять к неугодным представляется мне глубоко порочной.
Это противоречит нашим представлениям о справедливости и равенстве: если к одному соглашение (закон?) применили, то оно должно быть применено ко всем.
А сейчас это выглядит так: этот пользователь нам не желателен, давайте посмотрим за что его можно забанить.
Я бы вообще ничего реально приватного не заливал бы в сеть, а хранил бы на внешнем харде-помойке. Речь идет о банальных фоточках-пьяных видео, которые в один прекрасный день по ошибке окажутся лицом рекламной кампании виагры какого-нибудь партнера гуглософта в Кении.
Для этого не нужны DropBox/GDrive/ЯД с непонятными условиями использования. Возьмите IaaS инстанс и размещайте там хоть сто шифрованных гигов за $2 в месяц. Только синхронизацию придётся изобретать заново. Я использую unison, например.
Если не сложно, можете написать, где можно взять такой инстанс и хранить 100 гигов за 2$ в месяц?
UFO landed and left these words here
Автор: круто, но может поставишь ссылки на аналогичные мои топики и обсуждения:
1. на роеме ( roem.ru/2012/04/20/addednews46929/ )
2. на lor'е: ( www.linux.org.ru/forum/talks/7657174 )
3. на хабре ( habrahabr.ru/post/142748/#comment_4779271, habrahabr.ru/post/142729/#comment_4778806, habrahabr.ru/post/142225/#comment_4758681, habrahabr.ru/post/142067/#comment_4752096).

Мне не жалко, просто чтобы не объяснять одно и то же помногу раз (опять же в карму из-за этих топиков плюют, а потом перепостят без цитирования...).
Может такие вещи в личку писать?
Может эти ссылки будут полезны всем читающим этот топик?
В универ приеду, поставлю, не жалко вообще ни разу.
Лор, роем не читаю вообще, а на хабре комменты проморгал.
Один комментарий всё же видел вчера, он, кстати, и навел на мысль сравнить все сервисы, которыми пользовался.
Ну обилие комментов вряд ли могло пройти мимо. И надеюсь, что оно повлияло на перечисленные компании, например, уточнения «Прежде чем отправлять нам содержание и тем самым предоставлять лицензию на его использование, убедитесь, что у вас есть на это соответствующие права.» у Гугла не было, когда я постил первые комментарии на хабр и статью на роем. Оно появилось позже. Если из-за маленькой бучи, которая была поднята, то это было бы приятно и позволяло бы надеяться на улучшение п.с.

> а). Вынести условия использования Drive в отдельный документ

1 марта они как раз сделали один документ на все сервисы, а учитывая интерграцию кучи служб в гугл-диск, отдельный документ для него сделать крайне сложно.

> б). Убрать формулировки о таких расширенных правах

Было бы хорошо. А то сейчас, если у них сопрут наши файлы, то отвечать за распространение должны мы, т.к. мы отдали права гуглу, а если наши файлы сопрут у дропбокса, то отвечать должен дропбокс, т.к. мы ему прав не давали. Это частный случай, но он важен.
Тем не менее для Кроума, книг и, кажется, Wallet свои условия использования, а не общие. Для Drive тоже нужен отдельный документ, учитывая, что речь идет не о пустяках.
Хром — отдельная программа, это не сервис, поэтому там другое соглашение. Книги — скорее всего только с таким соглашением этот проект и удалось продавить. Все-таки крупнейшие библиотеки и издательства это не неорганизованная толпа пользователей, они и судиться могут (что постоянно и делают).

По пользовательскому соглашению для диска — да, хотелось бы, чтобы было четкое разделение на зоны public и private (можно еще и protected — для друзей). Public — вполне устраивают и текущее п.с., а private должно быть как у дропбокса. Мне книги там удобно хранить, а они private, я не имею права их распространять, только самому читать.
Думаю, вам это будет интересно, небольшая заметка про лицензионное соглашения для браузера от яндекса.

habrahabr.ru/post/142883/
iCloud. Он хоть и ограничен фотографиями и почтой, но есть тоже интересный момент:

Вы подтверждаете, что Apple не несет ответственность или не отвечает каким-либо образом за весь Контент, предоставляемый другими лицами, и не обязана предварительно отбирать такой Контент. Тем не менее, Apple оставляет за собой право всегда определять, является ли Контент уместным и соответствует ли он настоящему Договору, и может предварительно отбирать, перемещать, отклонять, изменять и/или удалять Контент в любое время, без предварительного уведомления и по своему единоличному усмотрению, если будет установлено, что такой Контент нарушает настоящий Договор или вызывает возражения в ином порядке
Реквестирую вменяемые способы шифрования данных в облаках, с последующей нормальной синхронизацией
Чем плох truecrypt + dropbox? Их правил это не нарушает, синхронизируется только то, что изменилось.
Более того, они прямо таки намекают, что так делать и нужно (возможно для того, чтобы минимизировать штрафы, если у их взломают):

Compliance with Laws and Law Enforcement Requests; Protection of Dropbox's Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; © prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.
Единственный недостаток Truecrypt для меня — отсуствие ПО под Android… иногда нужно заглянуть в личные документы с телефона, а никак.
ОК, этого не видел. Но необходимость рута и интерфейс через командную строку не радуют, хочется нормальное приложение.
Так-же скорее всего можно и EncFS + Google Drive.
А я вторые сутки не могу понять, почему у меня Google Drive открывается на французском языке на работе и дома…
Лично я отказался от контейнеров подобных truecrypt в использовании с облачными хранилищами, сейчас полностью перешел на boxcryptor (под Windows), создаю папку encrypt и в ней уже храню, все что не хочу, что-бы было доступно третьим лицам, для меня все это прозрачно, а для третьих лиц это выглядит так:

image

так-же легко папки монтируются в Linux, Mac и др. ОС ибо используется EncFS, ну это так к сведению, может кому пригодится.
А под iOS и Android есть клиент?
Да, спасибо, нашёл сразу, есть и под Андроид тоже:
Access your encrypted files on all devices. We have BoxCryptor for Windows, Android and iOS — and even support Mac OS X and Linux., но написать не смог — мне разрешено лишь раз в час.
Я один подумал, что тут что-то не так и нескольким компаниям срочно понадобились наши файлы?
Пользуюсь Wuala, они вчера тоже увеличили размер бесплатного места в своем хранилище до 5Гб. Нравиться что они шифруют данные перед тем как они отправляются в хранилище, на это тему они даже сделали такой ролик)

youtube.com/watch?v=43EnCOpXD4Q
Все облачные хранилища чем-то хороши-плохи, но как-бы они не уверяли, что они что-то шифруют, доверия мне это не внушает, написать и сделать ролик может каждый, но как на самом деле обстоят дела, знают лишь только создатели того или иного сервиса, ничего утверждать не буду, все зависит от паранойи человека и хранимых им файлов.
В порядке профилактики паранойи. Каким зловредным образом Гугл, Дропбокс и иже с ними могут использовать наши данные?
Про Dropbox — не знаю, а Гугл просто расширяет объем информации о пользователе. Контакты, телефоны и адреса у них уже есть. Документы, личные связи, фотографии — тоже.
Моё мнение по этому поводу из соседнего топика:
Суть этих строк в соглашении — получить от вас разрешение на хранение, передачу ваших файлов и иную их обработку у себя на серверах, что бы обеспечивать вам соответствующие сервисы.
В противном случае, загрузите вы свою интеллектуальную собственность гуглу, а потом будете предъявлять им претензии: мол я на один ip его загружал, а он теперь с разных доступен. На лицо факт незаконного копирования.
Это не суть, а для чего их можно использовать, суть — в формулировках.
Кстати, у Яндекса формулировка значительно хуже (http://legal.yandex.ru/rules/):

6.1. Все объекты, доступные при помощи сервисов Яндекса, в том числе элементы дизайна, текст, графические изображения, иллюстрации, видео, программы для ЭВМ, базы данных, музыка, звуки и другие объекты (далее – содержание сервисов), а также любой контент, размещенный на сервисах Яндекса, являются объектами исключительных прав Яндекса, Пользователей и других правообладателей.

тут, в отличие от формулировок Гугла, появились еще и какие-то «другие правообладатели».
habrahabr.ru/post/142067/#comment_4783600
Only those users with full accounts are able to leave comments. Log in, please.