skip to main | skip to sidebar
19 commenti

Sicurezza di base: se hai un documento “riservato e non divulgabile”, non metterlo online e visibile a Google

A quanto pare sono ancora in molti a non aver capito che se un documento viene messo online in una cartella pubblica è inutile pensare che resterà privato perché nessuno ne conosce l'indirizzo: verrà indicizzato da Google e quindi risulterà cercabile da chiunque conosca le sue parole chiave.

Per esempio, digitare "documento riservato e non divulgabile" in Google produce risultati molto educativi, come potete vedere qui accanto. Sicurezza, questa sconosciuta.

Grazie a Luigi Rosa per la segnalazione.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (19)
Be, deve esserci almeno un link di una pagina pubblica che punta a quel file, altrimenti anche se pubblico non viene trovato
adoro gli spider di google... tirano fuori dai siti web di quelle robe che sono incredibili, se solo si sa individuare la combinazione giusta di parole chiave.
Inoltre a differenza di facebook e compagnia NSA-bella, Google pubblica e rende accessibile tutto quel che trova, gli altri spiano e basta.
E' come titolare un pulsante "non premere!" e metterlo in una via del centro città. Cosa pensi che faranno molti passanti? ;-)
Ci ho provato.
Al momento la ricerca è inquinata dalla presenza di questo articolo che rispunta fuori in un sacco di altri siti. :)

Però un minimo di verifica l'ho fatta. I risultati dello screenshot si ritrovano e... ops!... sono pagine pubbliche e non contengono documenti riservati, eccezion fatta per il marketing in outsourcing.
Negli altri la voce "documento riservato e non divulgabile" compare all'interno di contesti legittimamente pubblici. Provare per credere...
Mi sembra il classico effetto "Ecco, qui c'è il vasetto della Nutella in piena vista; tu, però, non mangiarla". Chi pubblica in questa maniera un documento "riservato e non pubblicabile" lo fa proprio per divulgare il più possibile un "segreto" che è tale solo a fini pubblicitari. Se il documento è davvero riservato, col BIIIIP che lo pubblicano e lo lasciano indicizzare da Google. Propaganda, propaganda...
Il solito, vecchio, fallace concetto di "security through obscurity"... non funzionava granché bene neanche prima dell'avvento di Internet, usarlo ora è follia.

@Lys: tutto sta a usare un po' di fantasia. Se per esempio si facesse in modo di restringere la ricerca solo a certi tipi di files e a certi domini, potrebbe saltar fuori roba interessante ;)
Verzasoft,

deve esserci almeno un link di una pagina pubblica che punta a quel file

Non mi risulta nulla chiedendo a Google "link:http://www.fastferrovie.it/docimmagini/a7k5_1.pdf?scelta_doc=17027".
Beh ma non tutto e' indicizzato da Google, vedi Hidden Wiki
@Dumdumderum: hai presente il principio di Napoleone? ;)
@Paolo

Interessante, la funzione link: di Google effettivamente non produce risultati, ma il documento è normalmente linkato sul sito in questione.

In realtà.. almeno in questo caso il documento in questione non è affatto tanto segreto che solo lo spider di Google è riuscito a trovarlo, visto che il link campeggia in prima pagina col titolone in evidenza:
http://www.fastferrovie.it/
"Il solito, vecchio, fallace concetto di "security through obscurity"..." no, qui di obscurity proprio non ce n'è. Qui non è che c'è una cosa in uso ma la cui implementazione è un segreto (come per esempio i token RSA), Qui si mette una roba online pensando che non sarà indicizzata, cosa che invece succede. E la colpa è di chi fa il sito, non di chi mette il materiale online.

Paolo,
neanche chiedendo a google "link:http://verzasoft.altervista.org/Verzasoft/aaaaas4.jpg", eppure quel logo è sulla mia home page da una decina d'anni.
Aldilà del perchè la ricerca "link:" di google non funzioni, ti posso dire che (AFAIK) non c'è alcun sistema per capire quali pagine e files esistano un uno spazio web. Il sistema usato da google e altri sistemi è quello di ricostruire l'albero dei files "seguendo" TUTTI i link a partire dall'home page (ad esclusione di quelli indicati appositamente in robots.txt). Se un file non è raggiungibile da nessun link, google non puo' trovarlo. Se ha trovato quel pdf è perchè c'è (o, c'era al momento del passaggio del searchbot), una pagina accessibile da google che indicava il link a quel file.
N.b.: ovviamente quei files non "trovabili" sono pur sempre accessibili conoscendo l'esatto indirizzo diretto.
@Verzasoft

Credo che la condizione affinchè i ragnetti non sputtanino una pagina isolata sia che deve stare da sola nella cartella del server, o in una cartella in cui nessuna pagina viene indicata da una pagina pubblica.

Dico credo perché non posso escludere che qualcuno messo al corrente dell'esistenza di una pagina isolata ne abbia parlato in pubblico. (penso sia il caso di precisare che nei miei casi ho prodotto pagine di questo tipo per materiale che dovevo passare ad una persona ma di cui nè a me nè al destinatario interessava se veniva consultata anche da altri.)
Ciao Paolo,

giusto per integrare il discorso sull'operatore link:, che mi ha fatto "disperare" in passato per lavoro: come detto da Matt Cutts, esso mostra solo una piccola percentuale di link in ingresso su qualsiasi pagina (fonte: https://www.youtube.com/watch?v=TjQ2QVQpaK0 ) per cui non può essere utilizzato per misure attendibili. Peraltro, Cutts sostiene che questo operatore estragga un campione randomizzato di link che, in casi tutt'altro che rari nella mia esperienza, può anche risultare vuoto.

La tracciabilità della query "riservato e non divulgabile" dipende da numerosi (e poco intuitivi) aspetti legati all'Information Retrieval, un po' difficili da riassumere in un commento - che perdonerete tutti, spero, per la lungaggine.

Non esiste, almeno ad oggi, un modo ufficiale per tracciare tutti i link in ingresso ad una pagina, e non a caso: questa informazione sarebbe preziosa per tentare un reverse-engineering sui criteri di posizionamento delle pagine, cosa che fa gola per sviluppare tecniche black-hat. Si possono, al più, sfruttare strumenti esterni per approssimare la situazione (come Ahrefs.com, ad esempio) ma restituiranno quasi sempre un campione ancora parziale, e non sempre aggiornatissimo, di link.

Spero che lo "spiegone" sia chiaro, mi sembrava utile scriverlo :)
...E questo è niente rispetto a...

192.168 root filetype:xls
@Tommy the Biker
Se parli dei principi stabiliti nel congresso di Vienna, c'entrano poco o niente con l'argomento in discussione.
Io ho provato ad andare nella pagina di aiuto di Google:
https://support.google.com/webmasters/answer/35256?hl=it
e clickando sui link di esempio:
link:google.it
link:google.it/webmasters
non trova niente.
???
O non ho capito cosa dovrebbe restituire l'uso dell'operatore "link".
@verzasoft sei fermo al web e ai browser del 1995 :)

Ci sono, ad esempio, toolbar e browser che chiamano casa quando tu scrivi un URL o accedi ad una pagina.
@Tommy the biker: non sono un esperto, immagino che tu possa avere ragione.

Io però, applicando un banale concetto di verifica di quel che leggo, come ci hanno insegnato i migliori sbufalatori della rete, continuo a vedere riferimenti a documenti "riservati" che in realtà non vengono trattati come tali.
Il caso di Fast Ferrovie citato nel commento di Paolo è esemplare: qualcuno (Trenitalia) redige un documento riservato e qualcun altro (Fast) lo pubblica in homepage. Non è stato messo lì con l'erronea convinzione che restasse privato ma proprio per pubblicarlo.

Quello che è palese è che un sacco di gente pubblica la stringa "riservato e non divulgabile" in mezzo ai propri testi online.