Яндекс.Бар – Большой брат следит за тобой

    Возвращаясь к последним инцидентам, связанным с утечкой приватной информации через поисковые машины. У многих возникает вопрос, как «секретные ссылки» ограниченные по сроку жизни и защищенные достаточно серьезной энтропией в случайном параметрах запроса могли попасть в индекс поисковой машины.

    Кроме явных причин таких, как:
    1. Ошибки северной части веб-приложения, которая допускает утечку (индексация директорий).
    2. Сами пользователи, публикующие в открытых источниках «секретные ссылки».
    3. Системы сбора статистики, (Yandex-метрика), показа баннеров и другой внешний контент.

    Причиной может являться ПО, установленное на компьютере пользователя. Одной из таких программ посвящено данное исследование. Это программа Яндекс.Бар.

    Так что-же из себя представляет Яндекс.Бар?

    Это панель для распространенных браузеров с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:

    image

    Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и могли просочиться в паблик…

    К слову, если заблокировать bar-navig.yandex.ru Яндекс.Бар будет обращаться к backup-bar-navig.yandex.ru.

    Идем дальше. Обращаемся к внутреннему ресурсу:

    image

    (интересно, куда ушел мой секретный логин и пароль??)

    Попутно встречаем другие «полезные» функции Яндекс.Бара:

    image

    Это прямо праздник какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел «Условия использования отдельных функций Программы»:

    5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
    5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
    5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
    5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО ОРФО, ООО «Информатик», 2009.
    5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
    5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
    5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.

    Так вот оно как! Оказывается я с этим согласился :) Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.

    image

    Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем «отключить» там нет.

    image

    Так как же отключить сомнительный функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)

    Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности.

    P.S. Используйте Фаерфокс! Он плохого не посоветует! :)

    image
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 80
    • +1
      В предыдущих сообщениях говорилось, что причиной индексации этих «приватных» страниц могла быть также Яндекс.Метрика. Что вместе с Яндекс.Баром делает целых два источника уникальных ссылок.
      • 0
        Я думал, ни для кого не секрет, что Метрика — это не счетчик для вебмастеров и пользователей, а инструмент сбора статистики для Яндекса. Также как и хостинг js-библиотек и всякие js-виджеты.
        • 0
          не все настолько умны и не наивны — извините уж
      • –11
        Яндекс.Метрика не была установлена на сайте www.sendsms.megafon.ru.
        • 0
          Пруф?
          • +8
            Кеш яндекса (главной страницы, например) говорит об обратном.
            • +4
              Посмотрите здесь в исходном коде страницы.
              • +5
                да, вижу. признаю свою неправоту в этом вопросе
                • +1
                  Не на вижу все эти яндекс.бары и подобные приложения. Кому они вообще нужны?
                  • +1
                    Капитан Очевидность сообщает, что только Яндексу. По крайней мере это почти что однозначно следует из модели распостранения данного вида програмного обеспечения.

                    Потому что, если бы приложения подобные яндекс.бару представляли реальный интерес для пользователя, их бы пользователи или покупали за деньги, или пытались бы скачать бесплатно, или искали бы торрентам, спрашивали у друг друга по форумам кряк, или собирали бы сами из сырков, и по всюду бы разводили бы срач не вышла ли новая версия бара и какие проблемы могут возникать с апгрейдом-даунгрейдом, настройками, и прочие сопутствующие факторы нормального програмного обеспечения… а тут наоборот, мы имеем схему модель распостранения уж очень до боли напоминающую… (мне Капитан Очевидность снова подсказывает) правильно, классическую малварь/spamware/троянца (скрытное/полускрытное впаривание «в довесок», авто-принятие лицензии через неснятую галку, лицензия-отмазка мелким шрифтом в стиле «мы не при делах, а юзер ССЗБ», ну и прочие приходящие сразу на ум ассоциации).

                    Да, но только самое прикольное в этом деле знаете что? То, от всего того, что тут в этом топике написано, от всех пламенных комментариев и эмоциональных выпадов, реального эффекта как от бури в стакане (собаки лают — караван идет). Сравните число хабраюзеров читающих habrahabr.ru/blogs/infosecurity/ (9087 читателей) с примерно пятью миллионами установок яндекс.бара :)
                    • +1
                      отлил в граните, коллега!
            • 0
              Во-первых, Яндекс.Бар — это надстройка не только для IE, для того же FF он есть.
              Во-вторых, вы всегда логины/пароли GET-запросами передаете?
              • +14
                Яндекс бар с давних времен жутко-кривое, тормозное и никому не нужное приложение, кто им пользовался — сам виноват. Ничего поразительного в слежке не вижу, им же надо как-то рекламу впихивать контекстную.
                • 0
                  А какое отношение Я.Бар имеет к контекстной рекламе? Как он позволяет ее «впихивать»?
                  • 0
                    Собирается информация по интересующим вас аспектам и содержанию сайта, на основе которой выдается рекламный блок, разве не так?
                    • 0
                      Всегда считал, что при запросе контекстной рекламы оператор этой службы рекламы получает содержимое страницы (либо из своего кеша, либо скачивает роботом), с которой запрашивается блок и выводит соответствующую рекламу. Тот же Я.Бар не передает саму страницу (текст) в Яндекс.
                      Я верю, что через этот Бар можно несколько улучшить таргетинг объявлений для пользователя, но чтобы через него именно реклама показывалась — я так не думаю.
                      В конце концов людям без Я.Бара реклама же тожепоказывается :)
                      • 0
                        Видимо я некорректно выразился, имелось ввиду именно получение данных о пользователе, для показа более релевантной рекламы на сайтах, где установлен директ. Прошу прощения.
                        • 0
                          Тут согласен, история посещения сайтов может много подсказать о человеке. Но вот используют ли инфу из Я.Бара для директа — не знаю.
                      • +1
                        Она и без бара замечательно собирается.
                  • +5
                    Как будто Америку открыли, каждый уважающий себя вебмастер давно знает об этом :)
                    • +3
                      Без этого бара выдача была бы намного хуже, т.к яндекс узнает много полезной информации.
                    • +2
                      >>Это панель для браузера Internet Explorer с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель.

                      бросается в глаза — не только для ie, для ff и opera тоже есть
                    • +28
                      Ну, осталось сделать шаг вперёд, и посмотреть сниффером на Гугл-бар, Мэйлру-бар, АОЛ-бар и т.п.
                      Вас ждёт море неожиданных сюрпризов.
                      • 0
                        осталось их установить для начала :)
                        • 0
                          Не проблема — качаешь софт с любой зарубежной файлопомойки, и вот тебе полный комплект тулбаров.
                      • +1
                        На работе отказались от посещения приватных урлов с установленным Баром… Еще до этого инцидента, проследили сниффером, что он сообщает о каждой посещенной странице.
                        • +10
                          Как-то неудачно у вас получилось выдать обычную блокировку запроса на установку аддона за предостережение Firefox о неблагонадёжности Яндекс.Бара. Да и вообще в статье много открытий Америки и капитанства, особенно призыв читать лицензионное соглашение.
                          • +3
                            Однако, никто не читает лицензионное соглашение, а потом удивляются.
                          • 0
                            Кто бы сомневался :)
                            • +5
                              Давно мечтаю о приложении, которое бы блокировало любые попытки этого бара пролезть в систему. На самом деле не так-то это просто. Одно невнимательное действие, одна забытая неприметная галочка при обновлении очередной полезной софтины и враг у вас дома шарится по холодильнику в ваших любимых тапочках.

                              Кстати, а разве правила хорошего тона (да и вообще элементарные меры безопасности) вэбстроительства не говорят о том, что пароли GET запросами не отправляются!? Можно и не на такие грабли напороться.
                              • 0
                                Да, яндекс прописался где только смог, что не захочешь поставить обязательно по дефолту присутствуют сервисы яндекса (или ныне довольно популярный ask.com).
                                • 0
                                  Можно и POST перехватить.
                                  • 0
                                    Ну не спорю, можно и https перехватить, но если смотреть на ситуацию в разрезе статьи, то отправка важных данных POST запросом избавило бы от вышеперечисленных проблем. А отправка пароля GET запросом, это простите дилетантством попахивает.
                                    • 0
                                      Избавило конечно. До выхода новой версии Бара ;)
                                    • 0
                                      Яндекс.Бар не отправляет на Яндекс ничего, кроме адресов посещаемых страниц: ни их содержимое, ни содержимое POST-запросов.

                                      Адреса страниц отправляются не с целью слежки, а с целью показать для этих страниц ИЦ и количество отзывов.
                                    • 0
                                      Даже не правила хорошего тона, а прямо RFC на HTTP.
                                    • –2
                                      Короче, всё просто! Каждую крупную контору давит ЧСВ и все разрабатывают свой бот-нет/троян/логер. Яндекс.Бар тому яркое подтверждение… Вспомните все перессуды о компании «Иннова» и их «фросте»… В минаев-live ещё Максим Шапошников про это рассказывал. (вот линк)
                                      • +35
                                        image
                                        • 0
                                          В соглашении говорится «Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте»

                                          а на самом деле бар отправляет не только все cookies своего домена (привязка к пользователю), но и get и post-поля форм (личные данные, ccv код карточки, пароли, etc).
                                          • 0
                                            Насчет POST-данных с карточками и паспортными данными — пруф в студию… или сразу пруф в прокуратуру.
                                            • 0
                                              Это неправда, данные POST-запроса не отправляются.

                                              Яндекс.Бар не отправляет на Яндекс ничего, кроме адресов посещаемых страниц: ни их содержимое, ни содержимое POST-запросов.

                                              Адреса страниц отправляются не с целью слежки, а с целью показать для этих страниц ИЦ и количество отзывов.
                                              • 0
                                                Тогда зачем вы забираете GET-поля?

                                                Про POST погорячился — берет тип запроса (get/post), ну и url в полном виде с get-параметрами.
                                                • 0
                                                  Мы не GET-поля берём, а адрес страницы. Чтобы показать для этой страницы ТИЦ и количество отзывов.
                                                  • 0
                                                    в этом же посте картинка:
                                                    1.bp.blogspot.com/-r6ZtpLPTHWU/Tiaua9P6eWI/AAAAAAAABQw/oTQ1doQdlzY/s1600/yandex2.png
                                                    url вместе со всеми get-параметрами.

                                                    Второй гвоздь — в соглашении говорится об отсутствии привязки к пользователю, а cookie yandexuid всё-равно передается.
                                                    • 0
                                                      URL с параметрами и называется адресом страницы.
                                            • 0
                                              Знавал я одного юзера, у него всякие бары занимали половину экрана. Нормальному пользователю кроме AdBlock ничего больше не нужно.
                                              • 0
                                                Нормальному пользователю и AdBlock не нужен
                                                • +1
                                                  Да-да, это «нормальному пользователю». А нормальному параноику кроме AdBlock, еще нужны FlashBlock и NoScript, причем у этого самого нормального параноика обычно стоит Linux и всякие сайты типа бар-нафиг.yandex.ru и иже с ними зарезаны на уровне iptables а еще на роутере и еще для надежности вписаны в /etc/hostd, а еще нормальный параноик сидит через браузер собранный собственноручно из сырков, подчищает куки, и серфит через анонимирующий прокси доступ к которому идет через vpn-соединение, и всю личную информацию хранит только на криптованных разделах…

                                                  Вот, только этих самых «нормальных параноиков» мало, очень мало, слишком мало, наверное даже с полпроцента с трудом не наберется. А Остальные 99.9% широких масс юзеров юзают всякие бары и аддоны, которые сами не понимают для чего, и даже не задумываются над тем, что у них в компьютере настоящий зверинец тронов и полутроянов, над тем, что ихние письма и смс читает весь интернет, над тем, что на ихние паспортные данные нарегано что угодно, от доменов и мобильных номеров до фирм-однодневок, над тем, что по ихним вебманям и кредитным картам накупает кто-угодно и когда угодно, над тем что ихние секретные сиськи-письки разглядывает весь инет, да и вообще, мало над чем задумываются…

                                                  Так что грустно но факт, если пресловутая «компьютерная грамотность» она у нас на чрезвычайно низком уровне, то уровень минимальной осведомленности в вопросах информбезопасности — еще ниже. И этих самых «нормальных пользователей» и «нормальных параноиков» на фоне общей массы просто не видно.
                                                • +1
                                                  А как вы представляете себе работу этих двух функций (показа «Индекса Цитирования» и показа «Отзывов») без отправки запроса к яндексу?
                                                  • +1
                                                    Ну Тиц, в отличии от аналогичной пузомерки от гугла рассчитывается для домена в целом. Поэтому передавать урл можно было бы не целиком, а только хост :)
                                                    Насчет отзывов — тут не знаю точно, возможно они к конкретной странице относятся.
                                                    • 0
                                                      нормализованный хэш?
                                                    • +1
                                                      Зачем использовать яндекс бар? Какие там такие маге удобные фичи, которых нету в браузере с дополнениями?(Chrome, FF, Opera)
                                                      • +3
                                                        Какие есть удобные фичи в дополнении к браузеру, которых нет в браузере с дополнениями? 0_о
                                                        • 0
                                                          Ну вот так сходу. Chrome — AdBlock, FlashBlock, NoScript, SilverBird.
                                                          • 0
                                                            Т.е. вы считаете, что в самом AdBlock больше фич, чем в Chrome с установленным AdBlock?)

                                                            P.S. Яндекс.Бар — это такое же расширение, как и всё, что вы перечислили.
                                                      • +4
                                                        Скорее Средний брат (: Большой брат — это все-таки Гугл (:
                                                        • +1
                                                          Я это уже видел… в логах прокси.
                                                          • 0
                                                            Интересно, а какая еще информация с компьютера может передаваться Среднему Брату?
                                                            • +1
                                                              О действиях пользователя на сайте: времени, кол-ве посещенных страниц, и т.п, о ctr определенных позиций выдачи. И, думаю, много чего еще.
                                                            • 0
                                                              Хорошим тоном такое поведение точно назвать нельзя. Не хотелось бы, чтоб это считалось нормой. Приватность должна соблюдаться по умолчанию. Надеюсь, что Яндекс это признает одним из первых и добровольно откажется от политики сбора любой персональной информации без осознанного разрешения пользователя.
                                                              • 0
                                                                Вообще, если предположить, что дело в Яндекс.Баре, и что его устанавливают неопытные простые юзеры, то это может быть ещё одним объяснением столь странного содержания утекших смсок.
                                                                • +1
                                                                  Поисковые роботы индексируют документы только по ссылкам, не думаю что кэш страницы передается голодным роботам на растерзание, если это правда, то в индексе яндекса можно найти много чего интересного, хотя умные люди всё закрывают через robots.txt или тегом.
                                                                  • 0
                                                                    Ни Бар, ни Метрика не передают на сервера Яндекса содержимого страниц.
                                                                    • 0
                                                                      они передают поведения пользователя на сайте, точно вам говорю, они следят за нами :)
                                                                      • 0
                                                                        Поясните, что такое поведение и как Бар его передаёт, по вашему?
                                                                        • 0
                                                                          Поведенческие факторы были введены относительно недавно, для более релевантного ранжирования выдачи в Яндексе. В эти факторы входит: время прибывания на странице сайте, дальнейшие переходы по сайту и т.д (яндекс не разглашает). Поведения фиксирует не только бар но и метрика. По этой теме недавно был скандал и Яндекс забанил группу сайтов за накручивания поведенческих факторов, вот ссылка Операция «Чистый поиск»
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                  • 0
                                                                    Забанил на раутере bar-navig.yandex.ru
                                                                    • 0
                                                                      Я так и не понял — а логин и пароль зачем им куда-то передавать?
                                                                      • 0
                                                                        А я вот перестал пользоваться обменом файлов через narod.yandex.ru потому, что достал яндекс предлагать установить свой бар чтобы не вводить капчу. А всякие сборщики статистики и аналитики у меня давно забанены десятью замками.
                                                                        • 0
                                                                          У Хрома есть расширение, позволяющее не вводить капчу при скачке с народа. И никакого бара.
                                                                        • 0
                                                                          К стати, передача урла Яндексу — это ещё пол бида, да об этом в лицензионном соглашении написано.
                                                                          Но вот то, что эта информация будет использована для индексирования поисковым механизмом — об этом ничего не сказано. И это очень нехорошо, со стороны Яндекса.
                                                                          • –1
                                                                            Пост определенно достоин премии дарвинаК.О.
                                                                            Дим, советую написать по такому-же про Google toolbar, Chrome, Apple, Android, IE… хорошо попиаришься, пока тема с Мегафоном горячая.

                                                                            • –1
                                                                              Не мешай, тут жеж целое сесурити исследование наклёвывается.
                                                                              • –1
                                                                                парни, просто мнение, ничего личного :)
                                                                            • 0
                                                                              А еще Я.Метрика — тоже отсылает на Яндекс запросы, которые потом Яндекс индексирует. И еще этот Вебвизор…

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.