Google Desktop Search: adesso si gioca al limite

[Hal2001]

Inanzitutto meglio dire di cosa si tratta: un piccolo tool di 446Kb che Google ha messo, come sua consueta abitudine senza fare grande pubblicità, a disposizione di chiunque voglia a questo indirizzo http://desktop.google.com/ e permette di sondare non soltanto il web, ma anche in locale i propri documenti, e le proprie abitudini di ricercare.



I file supportati sono quelli di posta elettronica della casa di Redmond (Outlook/Outlook Express/Explorer) quelli di programmi d'ufficio, sempre targati Microsoft (Word, Excel, PowerPoint), testi (Txt) e log di conversazioni effettuate (AOL Instant Messenger).

Fra le varie informazioni e faq rese disponibili, si nota che si rassicura l'utente dicendo che nessun dato sarà portato al di fuori:

Quote:

What information does Google receive?

By default, Google Desktop Search collects a limited amount of non-personal information from your computer and sends it to Google. This includes summary information, such as the number of searches you do and the time it takes for you to see your results, and application reports we'll use to make the program better. You can opt out of sending this information during the installation process or from the application preferences at any time.

Personally identifying information, such as your name or address, will not be sent to Google without your explicit permission.

How we use unique application numbers, cookies and related information.

Your copy of Google Desktop Search includes a unique application number. When you install Google Desktop Search, this number and a message indicating whether the installation succeeded is sent back to Google so that we can make the software work better. Additionally, when Google Desktop Search automatically checks to see if a new version is available, the current version number and the unique application number are sent to Google. If you choose to send us non-personal information about your use of Google Desktop Search, the unique application number with this non-personal information also helps us understand how you use Google Desktop Search so that we can make it work better. The unique application number is required for Google Desktop Search to work and cannot be disabled.

http://desktop.google.com/privacypolicy.html

Questo appena citato da quella pagina, è quanto di più generico e politicamente scorretto, che io abbia letto finora. Come fanno a dire, che generalmente, il programma non invia dati sensibili? e lo stesso riesce a distinguere dati di poco conto da quelli che regolano la nostra vita, specialmente lavorativa?
Ed ancora peggio perchè questa funzione dell'invio e dell'identificativo unico non sono disabilitabili?

Vi invito a non installare questo (seppur comodo bisogna ammetterlo) add-on, a rischio c'è qualcosa che va oltre la privacy, i vostri stessi documenti.

My2Cents

[GHz]

Concordo!

[-kurgan-]

Anche io concordo!

[^O^ Yawn]

Quote:

Originariamente inviato da Hal2001
Vi invito a non installare questo (seppur comodo bisogna ammetterlo) add-on, a rischio c'è qualcosa che va oltre la privacy, i vostri stessi documenti.
My2Cents

[kingv]

Quote:

Originariamente inviato da Hal2001
Come fanno a dire, che generalmente, il programma non invia dati sensibili?

ma dove l'hai letto questo, non c'e' nella tua citazione


lì dice che Come impostazione predefinita il tool manda delle informazioni non sensibili a Google.

che poi non ti fidi e' un'altra storia

[Ecio]

Quote:

By default, Google Desktop Search collects a limited amount of non-personal information from your computer and sends it to Google. This includes summary information, such as the number of searches you do and the time it takes for you to see your results, and application reports we'll use to make the program better. You can opt out of sending this information during the installation process or from the application preferences at any time.

Personally identifying information, such as your name or address, will not be sent to Google without your explicit permission.

Ehm l'inglese non e' un'opinione:

"by default" vuol dire "come impostazione predefinita" e
"you can opt out of sending...during the installation...or...at any time" vuol dire "puoi scegliere di non inviare le informazioni durante l'installazione o quando preferisci"

quindi dove sta il problema ? piu' di cosi' cosa vuoi ?

Senza contare che (non ho ancora provato l'applicazione quindi non ne sono sicuro al 100%) dovrebbe bastare impostare il proprio firewall per bloccare tutti i tentativi di connex verso internet di tale applicazione per evitare di farle inviare dati, personali e non.

Piu' che altro mi pare che la loro app sia troppo targettata su applicativi microsoft (passi quelli office ma IE e Outlook no grazie...): servirebbe il supporto per firefox, thunderbird senza contare l'indicizzazione full-text dei pdf e degli id3 di mp3 e altri file sonori. Ma essendo beta, stiamo a vedere cosa combinano.

Se qualcuno ha voglia di fare qualche test, c'e' anche questo che in teoria dovrebbe essere un sw simile, sempre gratuito e con piu' funzionalita' (non ho ancora provato neanche questo)

[Hal2001]

kingv non ho mica fatto una traduzione letterale, ma il senso del mio discorso è proprio quello. Certo che non mi fido, come faccio a fidarmi di una multinazionale che ha più volte stretto accordi sotto banco per cercare di rivendere "gusti" e "preferenze" dei suoi utenti?
Non voglio dirti che Google è il male, i suoi servizi finora son sempre stati ottimi, ma ci son molte cose che spesso vengono ignorate: http://www.google-watch.org/

[Hal2001]

Quote:

Originariamente inviato da Ecio
quindi dove sta il problema ? piu' di cosi' cosa vuoi ?

Il problema sta nel fatto che nessun utente medio conosce le tecniche per evitare ciò. Dimmi da quando anche sui firewall personali vi è un controllo non solo in entrata ma anche in uscita, e quanti utenti sanno perfettamente utilizzarlo, se escludi qualcuno più competente, in pochi.

Quote:

Piu' che altro mi pare che la loro app sia troppo targettata su applicativi microsoft (passi quelli office ma IE e Outlook no grazie...): servirebbe il supporto per firefox, thunderbird senza contare l'indicizzazione full-text dei pdf e degli id3 di mp3 e altri file sonori. Ma essendo beta, stiamo a vedere cosa combinano.

Si questo è un forte limite, che penalizza quei milioni di utilizzatori di sistemi alternativi quali OpenOffice ed affini. Grave pecca anche le mancanze verso Thunderbird e dei documenti acrobat.

[Ecio]

Quote:

Originariamente inviato da Hal2001
Il problema sta nel fatto che nessun utente medio conosce le tecniche per evitare ciò. Dimmi da quando anche sui firewall personali vi è un controllo non solo in entrata ma anche in uscita, e quanti utenti sanno perfettamente utilizzarlo, se escludi qualcuno più competente, in pochi.

A parte che dipende da che firewall usi, io usando sygate (o anche outpost) vengo avvertito con "il programma XYZ che cerca di uscire su internet, vuoi farlo uscire ? SI / NO / Crea una regola".
Dici che ci vuole tanta competenza per premere "no" ?!?

E cque, sei forse sicuro di tutti gli altri software che monti sul tuo pc ? o di windows stesso ? hai in mano le sorgenti? hai mai letto tutte le licenze che accetti installando tutti i vari freeware/shareware/adware/schifoware ?
Mi sembra solo che tutto sto casino sia uscito solo perche' si tratta di google (o volendo nel caso fosse Microsoft) ma nessuno si fa problemi per altro.... tipo (e' giusto un esempio) i software di fotoritocco che mandano informazioni online se provi a scansionare una banconota, o i sw che comunicano con il loro server per controllare se ci sono versioni nuove (e chi ti dice che non mandano altre info?!?)

PS Anche montando la google toolbar puoi scegliere se sfruttare le funzioni avanzate e mandare i dati verso il server o se usarla solo come semplice barra di ricerca...

Quote:

Si questo è un forte limite, che penalizza quei milioni di utilizzatori di sistemi alternativi quali OpenOffice ed affini. Grave pecca anche le mancanze verso Thunderbird e dei documenti acrobat.

Speriamo venga inserito nelle prossime versioni, d'altra parte e' una beta....

[Adric]

Sposto in web e provider, è piu' attinente.
Oltre a concordare segnalo:
http://forum.hwupgrade.it/showthread...hreadid=772959

[Leron]

Quote:

Originariamente inviato da GHz
Concordo!

[xcdegasp]

cmq windows media player manda info su cosa si vede o si ascolta a microsoft e la procedura è per disabilitarla non è alla portata di un utente acerbo se non tramite tool, come xp-antispy, che cmq l'utente medio non ne conoscie l'esistenza...
quindi non facciamo i paladini di una bella fiaba con ipocrisia... l'utente acerbo ha ancora attivi tanti di quei servizi, utili solo a mamma microsoft, che la privacy l'ha gia persa da moltissimo tempo.. la privacy ormai paragoniamola alla verginità così forse capite veramente quando l'hanno e l'abbiamo persa...

e poi non sarà di certo il tool di google che li maderà nel baratro, bastano i click su email in inglese con allegati *.zip o *.exe quando non conoscono nessun sito e persona straniera.

[Leron]

Quote:

Originariamente inviato da xcdegasp
cmq windows media player manda info su cosa si vede o si ascolta a microsoft e la procedura è per disabilitarla non è alla portata di un utente acerbo se non tramite tool, come xp-antispy, che cmq l'utente medio non ne conoscie l'esistenza...
quindi non facciamo i paladini di una bella fiaba con ipocrisia... l'utente acerbo ha ancora attivi tanti di quei servizi, utili solo a mamma microsoft, che la privacy l'ha gia persa da moltissimo tempo.. la privacy ormai paragoniamola alla verginità così forse capite veramente quando l'hanno e l'abbiamo persa...

e poi non sarà di certo il tool di google che li maderà nel baratro, bastano i click su email in inglese con allegati *.zip o *.exe quando non conoscono nessun sito e persona straniera.

beh, la "pollaggine" esiste sempre, ovvio meno occasioni gli si dà per essere manifestata e meglio è

[Hal2001]

Intanto il primo exploit è venuto a galla: http://jibbering.com/2004/10/google.html e dopo qualche giorno di attesa, all'autore non è arrivato nessun responso da parte dei gestori del colosso: http://jibbering.com/blog/index.php?p=148

Michele Nasi, a questo indirizzo dice che Google sembra ora aver risolto il problema, e non specifica altro, andando però sul blog di Jim Ley, http://jibbering.com/ si nota che c'è ancora qualcosa di cui parlare, l'ultimo post si intitola infatti Exploit working again for some?

[pierodj]

Quote:

Originariamente inviato da Hal2001
Il problema sta nel fatto che nessun utente medio conosce le tecniche per evitare ciò. Dimmi da quando anche sui firewall personali vi è un controllo non solo in entrata ma anche in uscita, e quanti utenti sanno perfettamente utilizzarlo, se escludi qualcuno più competente, in pochi.

ehm veramente penso che qualsiasi firewall che nn sia quello predefinito di windows lo faccia

io ho provato sygate e zone alarm e internet security della norton e tutti mi avvisano ogni qualvolta un programma cerca di uscire su internet...
che poi l'utonto base sia in grado di installare un firewall e settarlo appropriatamente questo è un altro paio di maniche...

[Hal2001]

Salvatore Aranzulla a questo indirizzo: http://mirabilweb.altervista.org/pag...na=google_bug2 scrive di aver scoperto un nuovo bug.

Ecco cosa ne dice Michele Nasi a proposito:
http://www.ilsoftware.it/indexsez.asp?ID=News#2223

Quote:

Google Desktop Search ancora nel mirino. Nei giorni scorsi, Google aveva rilasciato la versione beta di Desktop Search, un motore di ricerca desktop, che si installa sul proprio PC (ved. questa pagina) e che permette di ricercare informazioni, né più né meno di come gli utenti fanno normalmente su Internet. Il programma (che viene eseguito in locale) è in grado di fare una ricerca full text su e-mail, documenti, chat, pagine Web visitate. In particolare la ricerca avviene nei messaggi di posta di Outlook (2000, 2003, Express dalla 5 in poi); nei file txt, doc (Word), xls (Excel) e ppt (PowerPoint), nelle chat di AOL (America on line) e nelle pagine Web visitate con Internet Explorer.
Dall'Italia arriva la segnalazione di una nuova falla di sicurezza riguardante Google Desktop Search, messaci in evidenza direttamente da Salvatore Aranzulla, giovane divulgatore informatico. Il problema di fondo è sempre lo stesso: le parole passate al nuovo tool di ricerca sviluppato da Google non vengono adeguatamente filtrate: è risultato quindi possibile inserire del codice html/javascript, con gli ovvi problemi che ne derivano. Il bug, infatti, potrebbe essere sfruttato - da parte di malintenzionati - per creare truffe online ("phishing"). Nello specifico, questa volta il bug di sicurezza riguarda il circuito degli annunci di Google ed i suoi sotto domini.
Nel sito di Aranzulla, è possibile consultare maggiori dettagli sul nuovo bug. In particolare sono stati pubblicati alcuni screenshot che illustrano come sia possibile modificare le pagine di Google creando falsi annunci o vere e proprie truffe. Per maggiori informazioni, è possibile far riferimento a questa pagina.
Chi volesse avere qualche dettaglio in più, può partecipare alla discussione dedicata sul nostro forum (ved. questa pagina).

[mauriz83]

scusate ma che serve sto programmino...non basta la stancante e complicatissima pressione di 2 tasti sulla tastiera: windows+F ??

[Ecio]

Quote:

Originariamente inviato da mauriz83
scusate ma che serve sto programmino...non basta la stancante e complicatissima pressione di 2 tasti sulla tastiera: windows+F ??

With Google Desktop Search, you can search the full text of your email, files, viewed web pages, and chats. Specifically, you can:

* Search email from Outlook 2000+ and Outlook Express 5+
* Search files in TXT, HTML, DOC, XLS, and PPT formats (Office 2000+)
* Search chats from AOL 7+ and AOL Instant Messenger 5+
* Search web pages viewed in Internet Explorer 5+

Senza contare che con la ricerca integrata di win diventi vecchio...

[Hal2001]

Google Desktop Search, rischio privacy? da Punto-Informatico di martedì: http://punto-informatico.it/p.asp?i=50641

Quote:

Fra gli esperti di sicurezza c'è chi accusa il software Google Desktop Search di mettere a serio rischio la privacy degli utenti a causa di un errore di progettazione. Ecco di cosa si tratta

30/11/04 - News - Roma - Come spesso accade ai servizi lanciati dal motorone di ricerca della grande G, la toolbar cercatutto Google Desktop Search ha riscosso un discreto successo fra gli utenti del Web e questo nonostante il programmino porti ancora l'esplicita dicitura "beta": un avvertimento che, secondo alcuni esperti di sicurezza, non andrebbe affatto ignorato.

Se è infatti vero, sostengono tali esperti, che in genere i servizi Web lanciati da Google in versione beta hanno sì causato polemiche ma in fin dei conti non hanno mai rappresentato una spina nel fianco della privacy e della sicurezza degli utenti, nel caso della Google Desktop Search il discorso si fa più delicato. Questo programma, infatti, oltre ad interfacciarsi al Web interagisce direttamente con i dischi locali dell'utente: ciò fa sì che un bug che si celasse all'interno della giovane toolbar potrebbe mettere a rischio i dati, anche quelli più sensibili, dei suoi utilizzatori.

Ad accrescere questo rischio interverrebbero quelli che taluni considerano "errori progettuali" del software. Il più serio sarebbe alla base di una funzione della Google Desktop Search che indicizza e memorizza nella cache del motore di ricerca locale anche i contenuti protetti, quali ad esempio pagine Web (incluse quelle HTTPS), documenti e dischi criptati con PGP. In entrambi i casi il programma di Google "cattura" una porzione o l'intero contenuto del documento, sia esso on-line o in locale, nel momento in cui l'utente inserisce il nome utente e la password, e lo archivia "in chiaro" all'interno della propria cache. Se da un lato questa funzionalità può risultare molto comoda, perché di fatto permette di cercare testi o parole chiave anche all'interno dei documenti o delle pagine Web protette, dall'altro può esporre l'utente al grave rischio di "seminare" su Internet i propri dati sensibili o top secret.

"Come se non bastasse, Google Desktop Search infila un indice completo ai vostri dati in un luogo noto dell'hard disk: questo file non viene protetto in alcun modo", ha spiegato Stephen Green, ricercatore presso l'Advanced Search Technologies Group di Sun Microsystems. "È solo questione di tempo prima che uno spyware o un worm inviino il vostro file indice ad un sito malevolo".

Google non ha ancora replicato a queste critiche ma nel recente passato, in seguito ad alcuni bug di sicurezza emersi proprio in Google Desktop Search, aveva sottolineato lo stato di beta version della propria toolbar. Come hanno però fatto notare alcuni, ciò non elimina il fatto che Google Desktop Search possa essere liberamente scaricato da tutti e, sospinto dalla grande popolarità di Google, si trovi già installato in un non trascurabile numero di PC.

[Hal2001]

Google Desktop tappa la falla da Punto-Informatico di oggi martedì 21 dicembre: http://punto-informatico.it/p.asp?i=50641

Quote:

Sistemato un problema di sicurezza del motore di ricerca da scrivania che avrebbe potuto essere sfruttato da malintenzionati per rubare informazioni personali

21/12/04 - News - San Francisco (USA) - "Il contenuto del computer non è accessibile né a Google né a chiunque altro" recitano le FAQ di Google Desktop Search. Così in teoria dovrebbe essere, ma in pratica?

Tre informatici dell'università statunitense di Rice hanno scoperto che il tool desktop di Google soffre di una potenziale vulnerabilità di sicurezza che, in taluni casi, potrebbe rivelare ad un sito web malevolo parte delle informazioni che si trovano sul PC dell'utente.

Uno degli scopritori della falla, Dan Wallach, ha affermato che il problema riguarda il modo in cui Google Desktop interagisce con il motore di ricerca sul Web, inviando a quest'ultimo piccole porzioni dei risultati generati da una ricerca locale: Google utilizzerebbe queste informazioni come criterio per la selezione dei banner pubblicitari AdWords da mostrare nelle successive pagine di ricerca. Il problema, secondo Wallach, sta nel fatto che un aggressore possa intercettare l'invio di questi dati - che possono contenere, ad esempio, piccole porzioni di un documento o di una e-mail - e fare in modo che Google Desktop li inserisca all'interno di una pagina web sotto il suo controllo. Perché un simile attacco possa essere messo in pratica, l'aggressore deve prima indurre l'utente a visitare un sito malevolo.

I tre universitari americani hanno detto di aver messo a punto un'applet Java che, una volta installata sul computer della vittima, controlla tutte le connessioni che avvengono sulla porta TCP 80 e ritrasmette su di un sistema remoto tutte quelle stabilite con Google: in questo modo chi controlla il programma spia può intercettare le informazioni inviate da Google Desktop al portale di ricerca su web.

Wallach ha detto che la falla è stata segnalata a Google lo scorso mese e che, a partire dal 10 dicembre, la società dalla grande G ha iniziato a distribuire un aggiornamento automatico che corregge il problema.

Nel recente passato alcuni esperti di sicurezza hanno già messo in discussione diversi aspetti funzionali di Google Desktop, ma c'è chi afferma che questo stesso trattamento verrà presto riservato anche ai suoi più giovani rivali, come quelli presentati di recente da Microsoft e Yahoo! Proprio negli scorsi giorni uno studio firmato dalla società di analisi australiana Frost & Sullivan ha predetto che i programmi di ricerca per PC sono destinati a diventare il prossimo bersaglio di virus, spyware e cracker. Uomo avvisato...