В тему и offtopic: "Секретные ссылки", Мегафон, Яндекс и все-все-все

вторник, 19 июля 2011 г.

"Секретные ссылки", Мегафон, Яндекс и все-все-все

Продолжается тема с "утечками" данных через поисковые машины.

http://www.securitylab.ru/news/406380.php

Всегда возникает вопрос - "А как эта ссылка попала в индекс"

Пока явно видно 4 основных пути:

1. Ошибка северной части Web-приложения (возможно EMS?) которая допускала утечку (индексация директорий, user-friedly поиск а-ля WASC Insecure Indexing).
2. Сами пользователи, публикующие в открытых источниках "секретные ссылки".
3. Системы сбора статистики, (Yandex-метрика), показа баннеров и другой внешний контент (sms.prm.ru).
4. Расширения браузеров для оптимизации (Яндекс.Бар, Chrome), которые автоматически отдают ссылки на индексацию (Мегафон?).

Понятно, что все эти направления лишь использую недочеты в сайтах, являясь "триггером", выявляющим уязвимости, а подчас и осуществляющим "несанкционированный доступ".

6 комментариев:

Сергей Борисов комментирует...: Мне кажется что не только уязвимости на сайтах.
Дело в том, что поисковики стали слишком много шпионить за пользователями.
Из-за этого возможны утечки информации и без уязвимости в web-приложении.; 19 июля 2011 г. в 02:59
Сергей Борисов комментирует...: Если же утверждать, что первопричина в уязвимостях web-приложений, то придется отказываться от сессий в принципе и переходить к аутентификации при каждом запросе.

Но и это не спасет. Если так пойдет, то особо продвинутые расширения по оптимизации начнут и пароли у себя сохранять.; 19 июля 2011 г. в 03:05
Sergey Gordeychik комментирует...: >отказываться от сессий в принципе

Неа. Если бы сайты нормально отслеживали сессии (cookie, post) + защита от CSRF (anti csrf token) и выдерживали таймауты, то все было бы хорошо.

Но BAR & Chrome безусловно - зло.

>пароли у себя сохранять

А разве еще не? Вы не пробовали использовать "облачные сервисы резервного копирования" Android и Chrome или "импортировать контакты в facebook"?; 19 июля 2011 г. в 05:12
Анонимный комментирует...: Да не отправляет хром ссылки пауку.
У них с прайваси строго.; 19 июля 2011 г. в 15:09
Sergey Gordeychik комментирует...: >Да не отправляет хром ссылки пауку

Да? А Google как бы не согласен

"Символы, которые вы вводите при указании URL или запросов в адресной строке, отправляются в поисковую систему"

http://www.google.com/chrome/intl/ru/privacy.html; 19 июля 2011 г. в 21:24
Анонимный комментирует...: Там про паука ни слова, обычный гугл suggest; 20 июля 2011 г. в 02:21