ФОРУМ ЗАКРЫТ ДЛЯ РЕГИСТРАЦИИ И ЗАПИСИ 19.04.2015 г.
Вопросы, предложения, пожелания отправляйте на адрес: webmaster@insiderrevelations.ru
Страницы: 1

Яндекс.Бар – Большой брат следит за тобой

Источник http://razvedka.blogspot.com/2011/07/dmitry-evteev.html

Я снес Яндекс-бар практически сразу после его установки на компьютер. А устанавливал я его практически сразу после его появления - дабы посмотреть, что это за полезная/бесполезная/вредная фича.

Причиной сноса послужило то обстоятельство, что при первом же выходе в Интернет, Яндекс-бар, мчался в Яндекс с докладом, что он уже на боевом посту. Т.е., при первом же выходе в Интернет - даже после простого открытия браузера, еще до того, как я куда-либо зайду, у меня на компьютере появлялись куки Яндекса.

А куки у Яндекса живут... более 10 лет. Вот, например, кука, которую я получил прямо сейчас - в момент написания этого поста, в 2011 году то есть:



На практике это означает, что до 2038 года Яндекс будет знать, что к нему зашел тот же самый компьютер, который в него заходил сейчас.
Сотрудники Яндекса, как правило, объяснят, что там нет никаких персональных данных - а только сам факт, что компьютер тот же. И что это делается исключительно для моего же удобства и счастья.

Но только это не совсем так. Точнее, это именно так, пока вы не зайдете в свою Почту Янекса или, например в свой "Мой Круг". А после того, как зайдете, ваши поисковые запросы за более чем 15 лет, будут автоматически увязаны с вашей личностью.
Обернется это когда-то против вас или нет - заранее предсказать невозможно.

В общем, расстался я тогда с Яндекс-баром быстро и без малейшего сожаления.

А многие - не расстались. Что произошло в результате и как это вылилось в скандал с "Утечками Мегафона" и осознанием широкой общественностью, что операторы запроса Яндекса - серьезный инструмент (в т.ч. и конкурентной разведки) - под катом, в статье Dmitry Evteev "Яндекс.Бар – Большой брат следит за тобой". За наводку спасибо участнику Форума сообщества практиков Конкурентной разведки Vinni.

Далее - цитата Яндекс.Бар – Большой брат следит за тобой

Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru (Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?

Это панель для широко распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:



Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик...

К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.

Идем дальше. Обращаемся к внутреннему ресурсу:



(интересно, куда ушел мой секретный логин и пароль??)

Попутно встречаем другие "полезные" функции Яндекс.Бара:



Это прямо праздник (читай spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел "Условия использования отдельных функций Программы":

5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО © ОРФО™, ООО «Информатик», 2009.
5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.

Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.

Помимо этого вызывает улыбку следующее утверждение "без привязки к Пользователю" :) т.е. обращение происходит без использования IP-адреса? А если, допустим, в GET-запросе будет присутствовать Vasya.Pupkin@mail.ru? Кроме того, вызывает интерес передаваемый параметр "yandexuid" (это простите что?).



Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем "отключить" там нет.



Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)

Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков – http://mega-sms.ru

P.S. Используйте Фаерфокс! Он плохого не посоветует! :)



http://razvedka.blogspot.com/2011/07/dmitry-evteev.html
Убивать надо за подобные вещи.

Ладно бы только Яндекс подобным баловался. А то все кому не лень.
Фейсбук с пользователя просит (вы только вдумайтесь в эту наглость!) вводить пароль от его почтового ящика, чтобы разослать всем его корреспондентам приглашения!

Пароль! От личного почтового ящика!

Это уж не говоря про то, что номер мобильника или копию паспорта сейчас просят все подряд.

Закон о защите персональных данных должен быть в 100 раз строже, чем сегодня! Никто без моего ведома не должен знать, что я ищу в поисковиках, на какие сайты я хожу, какой у меня IP адрес, с кем я дружу, какие у меня интересы и прочее и прочее.

Вся эта информация должна пересылаться ТОЛЬКО после явного подтверждения со стороны пользователя, причем не путем согласия с лицензионным соглашением, а в момент передачи информации у пользователя должны спрашивать "Вы хотите отправить эту информацию?".

Цитата
для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте

Что блин за анонимная информация о посещаемом сайте? Какое право они имеют что-то там пересылать, даже не сообщая, что именно?
Я не удивлён, отчего-то, новостям таким. Только уж слишком всё с ним явно. Самодеятельностью какой - то пахнет. Реальные "глаза и уши" так легко не вычислишь. Хотя ... большинство на такие темы просто не заморачивается.
P.S. Ах, да ... Привет всем. Давно не виделись. :D
Цитата
#2 Neo пишет:
Ладно бы только Яндекс подобным баловался. А то все кому не лень.


Вот попалась такая статья.


- Бывают ситуации, когда "privacy" перестает быть просто словом. Когда каждый оставленный в Сети след, каждая запись в лог-файлах становится если не трагедией, то кусочком большой проблемы. Проблемы, которая может привести к трагедии. Проблемы анонимности и приватности, проблемы свободы слова, а порой и физической свободы. Сказанное особенно справедливо для РФ, в которой не прекращается преследование инакомыслящих. Свидетельство тому - огромное количество уголовных дел и судебных процессов в отношении национально мыслящих русских людей, посмевших выступить в защиту интересов русского народа. В последнее время заводится очень много уголовных дел в отношении тех, кто ведет целенаправленную пропаганду в интернете или даже просто высказывает свое мнение по той или иной актуальной проблеме на общедоступном форуме, блоге и пр. Следует помнить, что свобода слова в России существует только для тех, в чьих руках находится власть, для остальных же, кого власть имущие даже не считают за людей, существует только право пресмыкаться перед кремлем и, подобно баранам, повторять то, что им говорят по телевизору. Иными словами, вы можете восхищаться Медвепутом и "Единой Россией", но если вы вдруг посмеете высказать свое собственное мнение по тому или иному вопросу, то в отношении вас вполне может быть заведено уголовное дело, а к вам домой могут пожаловать с обыском люди в штатском. Возникает естественный вопрос: можно ли защититься от уголовного преследования, есть ли средства, с помощью которых можно оставаться анонимным в Интернете? Если кратко, то да, такие средства есть...
...Заметим только, что российская система слежения СОРМ позволяет перехватывать трафик любого пользователя российского сегмента Интернет, если он работает обычным, незащищённым, способом и вычислять месторасположение такого пользователя, со всеми вытекающими.


Рассмотрим два подхода, как можно скрытно работать в сети.

Вы используете чужой компьютер, и/или подсоединяетесь к сети через зарегистрированный на другое лицо мобильный телефон, либо через не принадлежащий вам узел Wi-Fi, либо из интернет-кафе. В любом из этих случаев помните правило защиты от возможной пеленгации: сократить до минимума время сеанса связи и повторяемость сеансов связи с использованием одних и тех же технических средств и места вашего выхода на связь. Например, если пользуетесь одним и тем же компьютером, то меняйте МАС адрес после каждого сеанса связи. Понятно, что такой подход подразумевает, что вы работаете быстрей чем сетевой "рыбак" СОРМа и вы хороший конспиратор.
Компьютер - ваш или по крайней мере вы в состоянии установить на него программное обеспечение, которое мы рекомендуем ниже. В этом случае программа будет скрывать ваш адрес, по которому вас могут вычислить ищейки. Плата за анонимность - техническое замедление работы в сети.


Возможна ли комбинация первого и второго подходов? Да, разумеется. Как говорится, бережёного Бог бережёт. Но не переусердствуйте! Не выбирайте неподъёмный путь. Соразмеряйте риск со своими затратами по "игре в прятки" и главное, с целесообразностью самой игры. Понятно, что для просмотра официальных кремлёвских новостей на сайте http://kremlin.ru описываемые предосторожности излишни.



В данной инструкции мы рассматриваем второй подход. А именно, рекомендуем программное обеспечение для сокрытия своего сетевого адреса.



Особо отметим, что мы не рекомендуем полагаться на другие часто рекламируемые в сети прокси-серверы и анонимайзеры, потому что не можем гарантировать их неангажированности в деле защиты ваших персональных данных.



Что же мы рекомендуем? Тor. ...

далее здесь: ИНСТРУКЦИЯ ПО АНОНИМНОМУ СЕРФИНГУ В СЕТИ ИНТЕРНЕТ И БЕЗОПАСНОМУ ИСПОЛЬЗОВАНИЮ СИСТЕМЫ МГНОВЕННЫХ СООБЩЕНИЙ


Хотелось бы услышать мнение Ваше мнение, Ваrrаkuda, и др. форумных профи и тех, кто знает-пользовался этим ПО Тor .
Насколько можно доверять этой программе, если она из США?... и Google и Facеbook уже не внушают доверия. Ещё, если я правильно понял, при установлении этой ПО нельзя пользоваться Java: "Обращаем ваше внимание, что JavaScript и Java должны быть запрещены" ? Kaкие программы вместо Java?
There are more things in heaven and earth, Horatio,
Than are dreamt of in your philosophy.
W. Shakespeare, Hamlet
Я пробовал Tor, но мне он чем-то не понравился. Уже не помню чем.
Может быть тем, что он запускает свою копию браузера, где не стоит никаких дополнений и нет закладок. Может быть еще чем-то...

Сейчас юзаю Jap Jondo.

http://anonymous-proxy-servers.net/en/jondo.html

Он конечно тормозной и не всегда коннектится бесплатно, но для того, чтобы изредка зайти анонимно на Facebook - его возможностей хватает.

Замечу, что например на Facebook можно зайти только через HTTPS, поэтому не каждый анонимайзер тут поможет.

Анонимайзеров, которые работают только через HTTP больше, чем HTTP+HTTPS.

В целом, универсального, бесплатного и удобного способа иметь полную анонимность в интернете - я пока не нашел.
Цитата
# 1 barrakuda пишет:
Используйте Фаерфокс! Он плохого не посоветует!

Цитата
# 6 Neo пишет:
Jap Jondo.

JAP/JonDo (www.jondos.de/en/jondofox) представляет собой специальный сервис, позволяющий скрыть IP-адрес с помощью прокси-серверов. Название слегка сбивает с толку: пока вы выходите в Интернет через набор прокси технического университета Дрездена (anon.inf.tu-dresden.de), разработчики говорят о JAP. Если в главном окне программы в качестве «службы» вы выберете более быстрый платный набор прокси, например Ramses-Lilie-Jupiter, программа будет называться JonDo.
Проще всего использовать эту службу с помощью JonDoFox, модифицированной и предварительно сконфигурированной версии Firefox.


Советы по безопасной работе в интернете

Barrakuda ! Достаточно только Firefox или всё вместе с JAP/JonDo ?
There are more things in heaven and earth, Horatio,
Than are dreamt of in your philosophy.
W. Shakespeare, Hamlet
Цитата
Greg пишет:
Barrakuda ! Достаточно только Firefox или всё вместе с JAP/JonDo ?

Не в курсе, так как статью писал не я. Это обычный копипаст из интернета.
Страницы: 1