Яндекс браузер и промышленный шпионаж

Поставил как-то яндекс-браузер, включил синхронизацию с шифрованием паролей.

А сегодня, в админке одной из CPA-сетей, обнаружил вот такое:

Последние заходы:

95.108.141.61 2019-04-21 13:23

95.108.244.51 2019-04-21 13:04

Смотрю в whois, кому принадлежит айпи - "Yandex enterprise network". Выключаю синхронизацию и меняю пароли!

PS: Меня ещё выбрасывало из админки вчера и сегодня, видимо во время этих заходов.

0
41 комментарий
Написать комментарий...
Zoibana

Ябраузер по-умолчанию собирает информацию о посещенных страницах и передаёт её своему пауку, который потом их посещает и индексирует.
Это открыто известно уже лет 7, а кто-то до сих пор удивляется этому?

Ответить
Развернуть ветку
Альберт Штерн

А зачем он аж вошёл с паролем?

Ответить
Развернуть ветку
Alexander Rusanov
Автор

И пароли паук тоже вводит?

Ответить
Развернуть ветку
Zoibana

Кстати, если это не http basic auth, а классическая html-форма входа, то по логам в этом случае должно быть видно сначала Get-запрос страницы логина, потом - post-запрос на неё.

Если в логах этого нет, значит пароль не вводился

Ответить
Развернуть ветку
Denis Kiselev

Или ещё preflight если есть cors. Но так то - да, я не встречал чтобы браузер крал пароли и сдавал из пауку! Странный шпионаж

Ответить
Развернуть ветку
Alexander Matveev

Что за CPA-сеть? Если она сессию передает через GET-параметр, то не мудрено

Ответить
Развернуть ветку
Alexander Rusanov
Автор

Нет, URL там обычный, и уже отвечал про это в комментариях вчера. А CPA-сеть называть не хочу.

Ответить
Развернуть ветку
Pavel Ivanov

Ну всё.
Вызывай полицию.
Попался Яндекс.

Ответить
Развернуть ветку
Андрей Владимиров

Надеюсь, у вас Касперский не установлен?

Ответить
Развернуть ветку
frank martin

А что не так с Касперским?

Ответить
Развернуть ветку
Citizen Di

Надеемся, что не установлен

Ответить
Развернуть ветку
Make Luv

Цена бесплатности.

Ответить
Развернуть ветку
Denis Kiselev

Если это пром шпионаж, немного глупо действовать так топорно. Думаю, обычный поисковый робот - но что там с паролем - хз

Ответить
Развернуть ветку
Bender Bending Rodriguez

Возможно ip от ускарялки интернета встроенной в их браузер?

Ответить
Развернуть ветку
АрхФото Студия

Мы от Яндекса вообще по максимуму отказываться начали после его "размножения" из 1 приложения. Уже 2й год есть негласный запрет для всего офиса на использование приложений Яндекса на компах и рабочих телефонах.

Ответить
Развернуть ветку
Bublikov Anton

Без алюминевых шапочек не спасёт.

Ответить
Развернуть ветку
АрхФото Студия

нам алюминиевые нельзя, а то свой сигнал не ловим

Ответить
Развернуть ветку
Александр Иванов

используйте проводные подключения, они безопаснее.

Ответить
Развернуть ветку
Nanokassa_ru

А мы давно говорили, что ребята из Яндекса не всегда чистоплотные... с гуглом похожая беда... файрфоксом с отключённым логированием пользуйтесь! Либо сафари...

Ответить
Развернуть ветку
Кирилл Бородин

Сомнительно, что у Яндекса есть открытый доступ к вашим паролям. Но в любом случае, думаю, что случай нужно расследовать. Может быть Яндекс прокомментирует свои IP в вашей закрытой сети?

Ответить
Развернуть ветку
Serg Ya

Да нормальный браузер. Ясное дело что он собирает некую инфу и статистику. Но все тут такие шпионы, ебать колотить))) О божее, яндекс узнал что я посещаю порнохаб 😵 Все, выключаю синхронизацию, удаляю браузер, выкидываю компьютер с 10 этажа 😂

Ответить
Развернуть ветку
Zoibana

Нет. Он сливает пауку абсолютно все посещённые страницы.
Например, сделал ты секретный раздел с огромной акцией на сайте, который до запуска нигде не светится, на него нигде не стоят ссылки, но на который ты однажды зашёл через ябраузер. И через пару дней находишь эту страницу в поиске.
Отлично, правда?

Или создал важный документ в гугл-документах с доступом по ссылке.

А ссылка получилась очень сложная - хер кто подберёт.
Но ты заходишь один раз на неё через ябраузер и вот весь интернет имеет доступ к твоему супер-пупер важному документу.
Удобно, правда

Или у тебя на сайте есть рассылка, в каждом письме которого есть тайная ссылка, по которой можно отписаться или отписаться, просто перейдя по ней. Один раз перешёл - отписался, второй раз - снова подписался.
И вот пользователь ябраузера нажимает на эту ссылку отписки и отписывается.
Через день по этой ссылке сначала приходит паук, что снова подписывает тебя на эту рассылку, потом эта ссылка попадает в индекс, люди и боты ходят по ней и подписывают/отписывают тебя.
Безопасно, правда?

Можно, конечно, сказать - тут сама логика неправильная, нужно такие ссылки закрывать в robots.txt, закрывать доступом по паролю, переделывать архитектуру, но блять! Таких сайтов в интернете - большинство.
Это как зайти в магазин и спиздить весы из отдела фруктов, обосновав это тем, что на них же не было ценника, значит я могу это взять и продать своим покупателям.
Яндекс, как и Гугл и все другие, не стесняясь пользуются этой серой зоной.
Причём Гугл в этом плане более осторожный. Не припомню ещё ни одного скандала, когда бы в индекс попадали закрытые ссылки или Документы. С яндексом такая ситуация постоянно

Ответить
Развернуть ветку
Serg Ya

Я честно такого не встречал) А каким тогда браузером пользоваться, чтоб не дай бог порнохаб просканировали?))) Опера как? Вообще мне кажется браузеров которые не собирают инфу нет.

Ответить
Развернуть ветку
Zoibana

Одно дело просто собирать инфу, другое - сливать ее в открытый доступ.
Мне насрать, что в яндексе знают, что я хожу на порнхаб, но мне не насрать, что мои документы и страницы на сайтах, которые подразумеваются скрытыми от глаз, потому что доступны только по спецссылке, появляются в поисковой выдаче через несколько дней после того, как я зашёл на них через ябраузер.

Ответить
Развернуть ветку
Рустам Фатов

может просто боты поисковика яндекса, иногда даже сайт не успеваешь запустить они уже рыщут

Ответить
Развернуть ветку
Alexander Rusanov
Автор

Без пароля туда не зайти.

Ответить
Развернуть ветку
Zoibana

Может в урле токен был, по которому открывается доступ?

Ответить
Развернуть ветку
Alexander Rusanov
Автор

Нет, URL обычный, без токенов.

Ответить
Развернуть ветку
Zoibana

Тогда использование авторизационной куки из браузера

Ответить
Развернуть ветку
Альберт Штерн

Тогда ip собственный бы был, вроде

Ответить
Развернуть ветку
Zoibana

При чем тут ip? Очень часто авторизация делается по куке, причём без привязки к конкретному девайсу. Если утащить эту куку, поставить себе, то с ее помощью можно войти с другого устройства, с любого ip , система увидит эту куку и посчитает входящего «своим»

Ответить
Развернуть ветку
Альберт Штерн

Мне кажется (в хорошей системе) созданные куки привязываются к ip с которого совершён вход. То есть с другого айпи эти куки должны аннулироваться

Ответить
Развернуть ветку
Zoibana

А вы знаете про существование динамических ip для очень гигантского числа пользователей домашнего интернета? Айпи таких пользователей каждый день разные. За статический айпи очень часто провайдер просит доплаты. Потому что пул адресов ограничен, а при динамическом распределении можно использовать гораздо меньшее количество адресов одновременно - выдавать юзеру свободный в данный момент адрес.

Ответить
Развернуть ветку
Wow so venture

Наверно имелась ввиду httpOnly кука, которая используется практически всегда при авторизации. Утащить ее нельзя. Сомневаюсь, что тут было иначе.

Плюсик все равно тебе поставил. На всякий случай.

Ответить
Развернуть ветку
Zoibana

httpOnly куки не видны коду, который выполняется в браузере, но не самому браузеру. Сам браузер их видит, работает с ними, и при желании разраба браузера может угнать.

Ответить
Развернуть ветку
Zoibana

Кстати, ниже хорошее предположение: включённый турборежим в ябраузере.
По сути в этом режиме яндекс-сервера работают как прокси, то есть запрос идёт как раз с авторизационными куками через промежуточный сжимающий сервер яндекса. По логам будет видно, что заходили с яндекса

Ответить
Развернуть ветку
Wow so venture

Вот это похоже на правду. Про то что речь про браузер я не подумал, да. Действительно может угнать, но это что-то уже на грани.

Ответить
Развернуть ветку
Альберт Штерн

Между прочим динамический айпи это арендуемый айпи. И эта аренда длится несколько дней. Мой провайдер вообще каждые 6 дней обновляет.
Если дальше хотите спорить насчёт построение админки автора, то ответь себе на вопрос: зачем множество cms и систем управления делают закрепление на вход по ip

Ответить
Развернуть ветку
Kirill Pankin

Самое смешное, что это будет разве что "некрасиво", но не может называться взломом или чем-то таким. И ругать надо косую реализацию авторизации в админке.

Ответить
Развернуть ветку
Serg Ya

Да кстати... Проверка обновлений есть у Яндекса автоматическая)) Тоже нпверное испугаетесь?

Ответить
Развернуть ветку
Алексей Брин

Да ладно вам, это защита протект сработало.

Ответить
Развернуть ветку
38 комментариев
Раскрывать всегда