Наплыв утечек персональных данных

[c0dex]

newARTix
Имеет право/имеет слева/не имеет - это не про россию, ок? Так что откуда у тебя там и что вылезет, провайдер ли слил, лог антивируса/файрволла попал на анализ в лабораторию и там сфейлился, это мало кого волнует. Приватные могут быть только паролем-защищенные урлы. Или интрасети.

 

[AmdY]

newARTix
метрику установил ВЛАДЕЛЕЦ ресурса и он ОЖИДАЛ, что статистика твоих посещений будет доступна. За тобой следил не яндекс, а владелец ресурса. И о том, что эту статистику может использовать яндекс он должен был знать.
И самая важная часть, никто не рассказывает что ТЫ ходишь на эти урлы, метрика только говорит что такие места есть и нужно посмотреть что в них полезного. Посмотри на глобус, он появился точно так же, потому что кто-то на корабле зарисовывал карту, ты же этим пользуешься несмотря на то, что не ты был колумбом.

Дело в том, что если ты не хочешь чтобы по твоему дому лазили незнакомцы - закрывай его на замок, а не вини того, кто отметил твой дом на карте.

 

[phprus]

AmdYНу с чего УРЛы по которым я хожу "общедоступны"? Откуда этот постулат? Технически их легко перехватить - согласен. Но они НЕ ОБЩЕДОСТУПНЫ.

Я процитирую: "УРЛы по которым я хожу". Про то, что "УРЛы по которым я хожу" общедоступны НИКТО не говорит.

А вот почему должен быть приватным набор байт, который по случайности стал являться УРЛом я не понимаю. Из результатов поиска яндекса невозможно установить кто именно заходил на страницу в момент, когда УРЛ был записан метрикой, следовательно аналогия про "по которым я хожу" не верна, так как этот самый "я" не установим.

А вот то, что по этому УРЛу кому угодно отдается приватная информация некого гражданина, так это уже не яндекса вина, а тех, кто ее отдает. Система должна проверять, кто именно к ней обращается. К примеру можно было отправлять в том-же письме персональный пароль.

 

[c0dex]

Думаю тред можно прикрыть, phprus все четко описал. Добавить нефиг)

 

[AmdY]

кстати, это очень здорово, что весь этот позор вылез наружу. хотя бы дыры некоторые постараяются позакрывать. тот же вебмани светит свои счета. дырами же явно втихую пользовались.

 

[iceman]

AmdY
с каких пор - авторизация - признак приватности?

личная информация - это содержание этой информации, и никто не поисковик, не владелец сайта не должен разглашать ее.

отсутствие УРЛа на этот документ - уже означает, что доступ ограничен, так как ссылка нигде не публикуется. она спрятана

 

[Adelf]

Можно я с баша сюда запощу:

<Георгий Лобушкин> В конце июля 2011 года люди ВНЕЗАПНО обнаружили, что поисковые машины индексируют страницы в интернете!

Мое мнение: все наезды на яндекс - попытка прикрыть свой зад криворуких девелоперов и их начальников.
Оставил возможность взять приватную инфу левым ботам, заходящим на твой адрес - сам виноват. Не яндекс, так кто-нибудь другой все равно залез бы.

 

[MiksIr]

Ну с чего УРЛы по которым я хожу "общедоступны"? Откуда этот постулат?

Оттуда, что любой может воспользоваться этим урлом без процедуры аутентификации.

И провайдер не имеет права записывать за мной, только по приказу спец.служб.

Провайдер обязан хранить детализацию сессий связи каждого клиента в течении 3-х лет. Уровень детализации не оговорен, насколько я помню.

личная информация - это содержание этой информации, и никто не поисковик, не владелец сайта не должен разглашать ее

Не знаю, что такое "личная информация". Есть Закон о персональных данных. И, кстати, в случае с мегафоном, там спорный вопрос, попадает ли вообще это под защиту о ПД. Ибо телефон не позволяет однозначно идентифицировать человека.

отсутствие УРЛа на этот документ - уже означает, что доступ ограничен

Проблема в том, что URL есть. То, что URL не указан нигде на исходном сайте, еще не говорит о его секретности.

 

[phprus]

с каких пор - авторизация - признак приватности?

Как с каких пор? В отношении информации я о противоположных примерах не слышал.
К примеру информация может быть коммерческой тайной компании ТОЛЬКО если проводятся мероприятия для ее охраны. Персональные данные могут обрабатываться только операторами ПД и для них тоже есть требования по их защите и недопуску разглашения.

личная информация - это содержание этой информации, и никто не поисковик, не владелец сайта не должен разглашать ее.

Не верно. Поисковик НЕ знает о содержимом информации, следовательно не имеет возможности оценивать степень ее приватности. А владелец сайта знает, что находится по этой ссылке и именно он должен определять кому и когда можно показывать эту информацию.

отсутствие УРЛа на этот документ - уже означает, что доступ ограничен, так как ссылка нигде не публикуется. она спрятана

Отсутствие урла где? УРЛ - это набор байт. Как он может отсутствовать или присутствовать? К ограниченности доступа байты урла никак не относятся.

 

[MiksIr]

На самом деле всей этой ситуации очень давно придумали название =) Security through obscurity

 

[iceman]

phprus
когда порно сайты сканят - знают же, что индексируют...

URL - это не набор байт! это мета информация о документе, а именно о его нахождение в Сети, это определитель местонахождения ресурса. если он не публикуется в открытом доступе, значит не надо знать что он существует

что за глупые отмазки про наборы байт и т.д. и т.п. - на такое можно свести всю информацию в интернете!

 

[vovanium]

Странно от сдешних обитателей слышать обвинения в сторону яндекса. Да моему всех новичков бьют по рукам, когда они делают авторизацию GET запросом. Здесь по сути тоже самое, и почему-то в этом виноваты поисковики. А ничего что например GET запросы банально сохраняются в истории браузера, и если посмотреть такую страничку на каком-нибудь общественном компе, то твои данные станут доступны третьим лицам. Это не говоря о том, что остаются ссылки в различных логах, статистиках, рефах, контекстной рекламе и т.п.
А ведь всего лишь достаточно было оставлять какой-нибудь id в куках, а на случай если юзер с другого компа зашел, то хотя бы спрашивать email на который он регил заказ. Плюс конечно robots.txt (но он поможет только против нормальных ботов которые его учитывают) и мета-теги.
Яндекс нужно наоборот хвалить за то что выявил эти дырки, так как не факт, что кто-то не собирал эту инфу по тихому в своих целях...

Ну и на том же хабре, народ уже ковыряется в документах с грифом совершенно секретно с гов.ру которые проиндексил гугл

 

[newARTix]

MiksIr

Ибо телефон не позволяет однозначно идентифицировать человека.

И по имени нельзя однозначно. По ДНК только, и то, если допустить некоторую "вероятность" Некоторые УРЛы сами по себе идентифицируют человека (http://site.com/stranica_dlya_vasi_iz_36_kvartiry/) и следовательно, сами по себе являются этой персональной информацией.

За тобой следил не яндекс, а владелец ресурса.

Вот именно что следит яндекс. А точнее не следит, а использует, но:

И о том, что эту статистику может использовать яндекс он должен был знать.

Понятие "использует" довольно растяжимо. Я допускал что он использует ее для сбора статистики (ведь именно для этого создавалась Метрика?), а сбор конкретных УНИКАЛЬНЫХ УРЛов это разве статистика? Это совсем иные цели. И это должно было быть прописано более явно в соглашении.

 

[newARTix]

Яндекс нужно наоборот хвалить за то что выявил эти дырки, так как не факт, что кто-то не собирал эту инфу по тихому в своих целях...

Чтобы собирать эту инфу, нужно либо знать УРЛы (а это знали только те чей код стоял на страницах), либо использовать брутфорс, трафик которого невозможно не заметить. Опять же, на Tutu.ru (один из пострадавших сайтов, который уже выплачивает компенсации) заявляют что ссылки существовали всего 30 минут. Соответственно брутфорсом их подобрать вообще нереально.

 

[vovanium]

newARTix
Ты просто удивляешь GET запрос проходит через десяток серваков, иллюзия про то что его никто не знает, это для всяких начинающих скриптописателей. Можешь поискать в поисковиках если к примеру куча страниц того же phpmyadmin без авторизации на "секретных" адресах. Так что если ты до сих пор не знаешь, что секретность страницы не обеспецивает конфиденциальности, но напечатай это большими буквами на листе бумаги, и повешай рядом с компом как напоминание.
А что касается tutu.ru, то это не более чем отмазки, мегафон тоже рассказывал что robots.txt у них есть, правда появился уже после скандала...

 

[AmdY]

newARTix
это 3.14здесь называть Tutu.ru пострадавшими, эти уроды хранили в свободном доступе паспортные данные пострадавших пользователей и лишь благодаря доблестному яндексу люди узнали об этой уязимости. почему ты не думаешь что кроме яндекса о "тайных" адресах знали другие и тырили эту информацию.

 

[baev]

newARTix:
Можно адреса Ваших сайтов? (Только не надо ссылок.)
В рамках данной темы Вы себе обеспечите необъяснимый всплеск посещаемости…

 

[iceman]

vovanium
они же ведь не общедоступны!

 

[newARTix]

AmdY
откуда "другие" могли их знать? Повторю, я считаю что нет _законных_ способов узнать (использовать) конкретные ссылки которые я посещаю.

baev
Смотрите, мне не жалко: newartix.ru

 

[Single]

Если бы вопрос был "Виноват ли Яндекс" - ответил бы нет.
На вопрос данного топика ответил "Да" - жалкие копирастеры чужих идей...