Яндекс браузер и промышленный шпионаж
Поставил как-то яндекс-браузер, включил синхронизацию с шифрованием паролей.
А сегодня, в админке одной из CPA-сетей, обнаружил вот такое:
Последние заходы:
95.108.141.61 2019-04-21 13:23
95.108.244.51 2019-04-21 13:04
Смотрю в whois, кому принадлежит айпи - "Yandex enterprise network". Выключаю синхронизацию и меняю пароли!
PS: Меня ещё выбрасывало из админки вчера и сегодня, видимо во время этих заходов.
0
показов
6.2K
открытий
Ябраузер по-умолчанию собирает информацию о посещенных страницах и передаёт её своему пауку, который потом их посещает и индексирует.
Это открыто известно уже лет 7, а кто-то до сих пор удивляется этому?
А зачем он аж вошёл с паролем?
И пароли паук тоже вводит?
Кстати, если это не http basic auth, а классическая html-форма входа, то по логам в этом случае должно быть видно сначала Get-запрос страницы логина, потом - post-запрос на неё.
Если в логах этого нет, значит пароль не вводился
Или ещё preflight если есть cors. Но так то - да, я не встречал чтобы браузер крал пароли и сдавал из пауку! Странный шпионаж
Что за CPA-сеть? Если она сессию передает через GET-параметр, то не мудрено
Нет, URL там обычный, и уже отвечал про это в комментариях вчера. А CPA-сеть называть не хочу.
Ну всё.
Вызывай полицию.
Попался Яндекс.
Надеюсь, у вас Касперский не установлен?
А что не так с Касперским?
Надеемся, что не установлен
Цена бесплатности.
Если это пром шпионаж, немного глупо действовать так топорно. Думаю, обычный поисковый робот - но что там с паролем - хз
Возможно ip от ускарялки интернета встроенной в их браузер?
Мы от Яндекса вообще по максимуму отказываться начали после его "размножения" из 1 приложения. Уже 2й год есть негласный запрет для всего офиса на использование приложений Яндекса на компах и рабочих телефонах.
Без алюминевых шапочек не спасёт.
нам алюминиевые нельзя, а то свой сигнал не ловим
используйте проводные подключения, они безопаснее.
А мы давно говорили, что ребята из Яндекса не всегда чистоплотные... с гуглом похожая беда... файрфоксом с отключённым логированием пользуйтесь! Либо сафари...
Сомнительно, что у Яндекса есть открытый доступ к вашим паролям. Но в любом случае, думаю, что случай нужно расследовать. Может быть Яндекс прокомментирует свои IP в вашей закрытой сети?
Да нормальный браузер. Ясное дело что он собирает некую инфу и статистику. Но все тут такие шпионы, ебать колотить))) О божее, яндекс узнал что я посещаю порнохаб 😵 Все, выключаю синхронизацию, удаляю браузер, выкидываю компьютер с 10 этажа 😂
Нет. Он сливает пауку абсолютно все посещённые страницы.
Например, сделал ты секретный раздел с огромной акцией на сайте, который до запуска нигде не светится, на него нигде не стоят ссылки, но на который ты однажды зашёл через ябраузер. И через пару дней находишь эту страницу в поиске.
Отлично, правда?
Или создал важный документ в гугл-документах с доступом по ссылке.
А ссылка получилась очень сложная - хер кто подберёт.
Но ты заходишь один раз на неё через ябраузер и вот весь интернет имеет доступ к твоему супер-пупер важному документу.
Удобно, правда
Или у тебя на сайте есть рассылка, в каждом письме которого есть тайная ссылка, по которой можно отписаться или отписаться, просто перейдя по ней. Один раз перешёл - отписался, второй раз - снова подписался.
И вот пользователь ябраузера нажимает на эту ссылку отписки и отписывается.
Через день по этой ссылке сначала приходит паук, что снова подписывает тебя на эту рассылку, потом эта ссылка попадает в индекс, люди и боты ходят по ней и подписывают/отписывают тебя.
Безопасно, правда?
Можно, конечно, сказать - тут сама логика неправильная, нужно такие ссылки закрывать в robots.txt, закрывать доступом по паролю, переделывать архитектуру, но блять! Таких сайтов в интернете - большинство.
Это как зайти в магазин и спиздить весы из отдела фруктов, обосновав это тем, что на них же не было ценника, значит я могу это взять и продать своим покупателям.
Яндекс, как и Гугл и все другие, не стесняясь пользуются этой серой зоной.
Причём Гугл в этом плане более осторожный. Не припомню ещё ни одного скандала, когда бы в индекс попадали закрытые ссылки или Документы. С яндексом такая ситуация постоянно
Я честно такого не встречал) А каким тогда браузером пользоваться, чтоб не дай бог порнохаб просканировали?))) Опера как? Вообще мне кажется браузеров которые не собирают инфу нет.
Одно дело просто собирать инфу, другое - сливать ее в открытый доступ.
Мне насрать, что в яндексе знают, что я хожу на порнхаб, но мне не насрать, что мои документы и страницы на сайтах, которые подразумеваются скрытыми от глаз, потому что доступны только по спецссылке, появляются в поисковой выдаче через несколько дней после того, как я зашёл на них через ябраузер.
может просто боты поисковика яндекса, иногда даже сайт не успеваешь запустить они уже рыщут
Без пароля туда не зайти.
Может в урле токен был, по которому открывается доступ?
Нет, URL обычный, без токенов.
Тогда использование авторизационной куки из браузера
Тогда ip собственный бы был, вроде
При чем тут ip? Очень часто авторизация делается по куке, причём без привязки к конкретному девайсу. Если утащить эту куку, поставить себе, то с ее помощью можно войти с другого устройства, с любого ip , система увидит эту куку и посчитает входящего «своим»
Мне кажется (в хорошей системе) созданные куки привязываются к ip с которого совершён вход. То есть с другого айпи эти куки должны аннулироваться
А вы знаете про существование динамических ip для очень гигантского числа пользователей домашнего интернета? Айпи таких пользователей каждый день разные. За статический айпи очень часто провайдер просит доплаты. Потому что пул адресов ограничен, а при динамическом распределении можно использовать гораздо меньшее количество адресов одновременно - выдавать юзеру свободный в данный момент адрес.
Наверно имелась ввиду httpOnly кука, которая используется практически всегда при авторизации. Утащить ее нельзя. Сомневаюсь, что тут было иначе.
Плюсик все равно тебе поставил. На всякий случай.
httpOnly куки не видны коду, который выполняется в браузере, но не самому браузеру. Сам браузер их видит, работает с ними, и при желании разраба браузера может угнать.
Кстати, ниже хорошее предположение: включённый турборежим в ябраузере.
По сути в этом режиме яндекс-сервера работают как прокси, то есть запрос идёт как раз с авторизационными куками через промежуточный сжимающий сервер яндекса. По логам будет видно, что заходили с яндекса
Вот это похоже на правду. Про то что речь про браузер я не подумал, да. Действительно может угнать, но это что-то уже на грани.
Между прочим динамический айпи это арендуемый айпи. И эта аренда длится несколько дней. Мой провайдер вообще каждые 6 дней обновляет.
Если дальше хотите спорить насчёт построение админки автора, то ответь себе на вопрос: зачем множество cms и систем управления делают закрепление на вход по ip
Самое смешное, что это будет разве что "некрасиво", но не может называться взломом или чем-то таким. И ругать надо косую реализацию авторизации в админке.
Да кстати... Проверка обновлений есть у Яндекса автоматическая)) Тоже нпверное испугаетесь?
Да ладно вам, это защита протект сработало.