Google Docs, belge dışa aktarma bağlantılarına izleme ekledi
(fosstodon.org)- Google Docs'ta bir belge HTML olarak dışa aktarıldığında, belgedeki bağlantı hedeflerinin özgün URL yerine Google yönlendirme bağlantılarına dönüştüğüne dair bir örnek paylaşıldı
- Bu davranış bir script ekleme değil,
[içindeki gerçek hedefin değiştirilmesi; ekranda görünen bağlantı metni üzerinden bunu fark etmek zor - Bunu yeniden üretmek için Google Docs'a bir bağlantı ekleyip
File > Download > Webpageile ZIP dosyasını aldıktan sonra HTML dosyasında ya da tarayıcıdaki bağlantı önizlemesinde kontrol etmek mümkün - Alternatif olarak Collabora Office gündeme geldi; LibreOffice tabanlı ve Nextcloud instance'larında, bulut barındırmada ya da kendi donanımınızda kullanılabiliyor
- Yorumlarda oturum açma, çerezler, IP ve user agent toplama olasılığı, GDPR onay sorunu ve CryptPad, OnlyOffice, Nextcloud gibi işbirlikçi belge alternatifleri de tartışıldı
Google Docs HTML dışa aktarmada değişen bağlantılar
- Joe, Google Docs belgeleri HTML olarak dışa aktarılırken belgedeki bağlantıların Google'ın görünmez izleme yönlendirmeleriyle değiştirildiğine dikkat çekti
- Bu, script eklenmesi şeklinde olmuyor; HTML içindeki
hrefdeğerinin kendisi gerçek hedef haline geliyor, bu yüzden yalnızca görünen metne bakarak bağlantı değişikliğini anlamak zor - HTML'de
href="..."ile">arasının gerçek hedef,>ile](...)arasının ise ekranda görünen metin olduğunu açıklıyor Read more,Profile,Wikigibi görünen metin ile gerçek bağlantıyı farklı tutma özelliğinin kendisi yararlı olsa da, bu vakada bu özelliğin yanlış kullanıldığını düşünüyor
Yeniden üretme yöntemi ve gözlenen davranış
- Doğrulama adımları basit
- Bir Google Docs belgesi oluşturup bağlantı ekleyin
File > Download > Webpageile indirin- ZIP içindeki HTML dosyasını metin olarak açın ya da tarayıcıda açıp bağlantının üzerine gelin
- Joe, bağlantıların sonuna eklenmiş çok sayıda ilave bilgi de olduğunu söylüyor
- Google'ın bu bağlantı yönlendirmeleri üzerinden, Google ürünlerini kullanmayan kişileri bile takip edebileceğini ve belge yazarı ya da son kullanıcının onayı olmadan HTML dışa aktarmaya bu bağlantıların yerleştirildiğini öne sürüyor
Collabora Office ve self-hosted alternatifler
- Collabora Office, Google'ın işbirlikçi ofis teknolojilerine özgür yazılım alternatifi olarak anılıyor
- LibreOffice teknolojisi üzerine kurulu ve Collabora'nın LibreOffice'e en büyük katkıyı yapan taraf olduğu belirtiliyor
- Kullanım yolları arasında Nextcloud instance'ları, bulut hostları ve kendi donanımınız yer alıyor
- Yorumlarda, Nextcloud uygulama panelinden CODE (Collabora Online Development Edition) kurulabildiği de söyleniyor
- Kurulumdan sonra çalışmazsa SELinux context değiştirmek gerekebilir
- Uygulama içi kurulum yöntemi ile yüksek güvenlikli MAC ortamlarının çok uyumlu olmayabileceği yorumu ekleniyor
- Bir yorumda CapRover ile Nextcloud ve OpenOffice sunucusunun Docker tabanlı dağıtımını yaptığını söyleyen biri var; başka bir yorum ise Apache ayarları, Let’s Encrypt, Docker dosya işlemleri, reverse proxy gibi yapılacak çok iş olduğunu söyleyerek buna itiraz ediyor
Diğer işbirlikçi belge araçları ve kullanım deneyimleri
- CryptPad, gerçek zamanlı işbirliği, uçtan uca şifreleme ve tamamen açık kaynak sunan bir alternatif olarak anılıyor
- Bir yorumda arkadaş grubunun işleri için bir CryptPad instance'ı kullandıkları, arayüz çok güçlü olmasa da ek açıklama gerektirmeden kullanılabildiği söyleniyor
- OnlyOffice için, MS ve Google ürünlerine daha yakın bir alternatif olduğu görüşü dile getiriliyor
- Hem self-hosted çevrimiçi işbirliği sürümü hem de yerel çevrimdışı düzenleyici anılıyor
- Collabora Office'in Android için bağımsız ofis ürünü de anılıyor; F-Droid'de yeni bir feed kurmak için QR kod sürecinden geçtikten sonra kullanılabildiği anlatılıyor
Gizlilik, onay ve GDPR tartışması
- Yorumlarda, Google şartları altında bu tür dönüşümün izinli olduğu görüşü ile kullanıcıların bu şartları fiilen reddetmesinin zor olduğu yönündeki itiraz birlikte yer alıyor
- Gmail veri arşivinde Steam satın alımlarındaki oyun adı, fiyat ve tarihin bulunduğuna dair bir deneyim de paylaşılıyor
- Google Docs'un PDF dışa aktarmasında erişilebilirlik ipuçları yerine yalnızca glif konumlarının yerleştirildiğine dair bir şikâyet de var
- GDPR tartışmasında, yönlendirmeden önce çerez banner'ının görünüp görünmediği soruluyor; verilen yanıt bunun görünmediği yönünde
- Başka bir yorumda, oturum açılmamışsa Google alan adının sıradan bir web sitesiyle aynı verileri aldığı ve çerez ayarlamadan amaçlanan bağlantıya gidiyorsa bunun neden sorun olduğunun anlaşılmadığı söyleniyor
- Joe ise konuyu derinlemesine incelemediğini, ancak çerez ya da fingerprinting olsa da olmasa da IP adresi ve user agent bilgilerinin VPN, kafe ya da paylaşımlı ağ kullanılmıyorsa kişiyi ayırt etmek için yeterli olabileceğini söylüyor
1 yorum
Hacker News yorumları
Bunun nedeni, Google Docs’un artık kötü amaçlı yazılım dağıtım yolu olarak yaygın biçimde kullanılması
Kullanıcıyı bir Google Docs sayfasına gönderdiğinizde, Google alan adı olduğu için kurumsal güvenlik duvarları ve antivirüs tarayıcıları buna güvenir
Burada “izleme” denilen şey aslında şu sayfa: https://www.google.com/url?q=https://wikimediafoundation.org...
Kullanıcıya Google’dan ayrılıp başka bir siteye gittiğini bildirerek, Google Docs’un kötü amaçlı yazılım dağıtımında kullanılmasının etkisini azaltmaya yönelik bir mekanizma gibi görünüyor
Ciddi söylemek gerekirse, böyle şeyler gördüğümde HN yorumlarında gerçek durumu kontrol edebildiğim için 10 seferin 9’unda memnun oluyorum
Google’ın kararlarında dokunulmazlık kazanması gerekmiyor; “kullanıcı güvenliği” ya da “daha iyi kullanıcı deneyimi” gerekçesiyle, sonuçta Google’ın izleme kabiliyetinin de arttığı çok durum gördük
Yine de Google’ın birbiriyle çatışan pek çok sorunu dengelemesi gerekiyor ve yalnızca kendi ihtiyaçları önemliymiş gibi davranılmasından gerçekten hoşlanmıyorum
Google’ın oturum açmada iki faktörlü kimlik doğrulama istemesiyle ilgili tartışma da buna benziyor. “İki faktörlü kimlik doğrulama cihazını kaybeden insanlar” geçerli bir endişe, ama zayıf parolalar yüzünden hacklenenlerin 10 ya da 100 kat daha fazla olması da geçerli bir nokta
Tek bir çözüm olduğunu iddia etmiyorum; ancak Google’ın çözmeye çalıştığı sorunun var olmadığını varsaymak dürüst bir tartışma değil
qparametresinden sonra şunlar da eklenmiş:&sa=D&source=editors&ust=16965233434352076&usg=Ade5344w26X85-pHzoD-rVkkdfdfBQnJ7BBu epey izleme verisi gibi görünüyor
Ama başkalarıyla “Google belgesi olmayan bir dosya biçiminde” paylaşmak için dışa aktardıysa bu sorun
Google ekosisteminin dışına çıktığınız anda bu koruma özelliği bir izleme özelliğine dönüşür
https://www.google.com/url?q=https://www.google.com/
https://www.google.com/url?q=https://www.youtube.com/
Pek adil görünmüyor. Bunun “seçtiğiniz ofis paketinden ayrılmak”la mı, yoksa “Google’dan ayrılmak”la mı ilgili olduğunu bilmiyorum
İlginç bir örnek: HTTP sertifikası süresi dolmuş olmasına rağmen buna izin veriliyor: https://www.google.com/url?q=https://www.keyhole.com/
Yönlendirmenin açıklanan amacı bence oltalama önleme. Yani bilinen şüpheli bir siteye gitmeden önce Google’a kullanıcıyı uyarma fırsatı vermek
İzleme ihtimali ise sadece bonus!
Microsoft da Teams’te bunu yapıyor. İş arkadaşlarıyla paylaşılan şirket içi site bağlantıları bile bağlantı kontrolünden geçip sonra yönlendiriliyor
Sonuçta Microsoft, dış şirket çalışanlarının gezinme alışkanlıkları hakkında muazzam miktarda veriye sahip olmuş olmalı
Şirketler, niyetleri ne kadar kötü olursa olsun açıkça söyleseler çok daha fazla saygı duyabilirim: “Sizi oltalamadan korumaya çalışıyoruz. Ama bağlantıların %99’u muhtemelen oltalama değil. Dolayısıyla bu özellik aslında ne yaptığınızı izleyip analiz ederek kârlılığı artıran veri toplamayı da mümkün kılıyor”
Neden bunu süslediklerini bilmiyorum
Şirkette sürekli oltalama testleri ve eğitim videoları yaptırıyorlar, ama sürekli vurguladıkları güvenlik özelliklerinden birini fiilen ortadan kaldırıyorlar
Tıklamadan önce URL’yi olduğu gibi göremiyorsunuz. Bir keresinde e-postadaki bir bağlantıya tıklayıp şirketin oltalama testine “yakalanmıştım”
Oysa e-posta sistemimizin kendisi, bağlantının geçerliliğini doğrulamak için tıklamak gerektiği konusunda bizi eğitmiş oluyor
Böyle bir durumda kazanmak mümkün değil
https://learn.microsoft.com/en-us/microsoft-365/security/off...
Bu yüzden bu tür yazılımlarda bağlantı gönderirken biraz gizleyerek gönderiyorum
Bazen bağlantı göndermeyip yalnızca “HN item 37776492” demek yeterli oluyor
Biraz tanıtım yapacak olursam, çalıştığım şirkette Google Docs’a açık kaynak AGPL [a] ve uçtan uca şifreli bir alternatif sayılabilecek CryptPad’i geliştiren bir ekip var.
Birden fazla kişi belgeleri gerçek zamanlı düzenleyebiliyor ve sunucu içeriğe erişemiyor.
Elbette kendiniz barındırabilirsiniz; ekibin sunduğu bir instance [1] de var, ayrıca başkalarının işlettiği instance’lar da bulunuyor.
Böyle yanlış bir özellik yok. Elektronik tablolar, belgeler, tarayıcıda çalışan bir ONLYOFFICE fork’u, Draw.io tabanlı diyagramlar, formlar, oylamalar, Kanban modülü, pad’ler vb. var; depolama alanı da mevcut.
Google Docs’un tüm özelliklerini sunmuyor ve ofis paketi de onun kadar olgun değil, ama birçok kullanım için yeterince işe yarıyor.
Bu arada bu başlıktaki birkaç yanıtta CryptPad zaten anılmış; şimdiye kadar bizden biri değildi. Bağlantıyı dahili sohbete gönderdim, ekipten katılanlar olabilir.
[1] https://cryptpad.fr/
[a] https://github.com/cryptpad/cryptpad
Yeni slaytın nasıl oluşturulacağını anlamadım; ancak dokümanları okuyunca
---olduğunu öğrendim.Kod bloğunun hangi dili istediği de kafa karıştırıcıydı; sonunda “HTML” diye tahmin ettim.
Kod parçaları için godbolt.org tarzı küçük bir açılır menü olsa iyi olurdu. “Bu üst düzey kod bir tamsayı artırmaya derleniyor, lambdalar için endişelenmeye gerek yok” gibi işbirliği akışları için iyi olur.
Godbolt, sayfayı hello-world örnekleriyle doldurma işini de iyi yapıyor. En azından belirli bir belge türünü ilk birkaç kez oluştururken böyle yapmak daha iyi görünüyor.
Bunu günlük backend geliştirme ortamı olarak kullanmak için Git entegrasyonu ve okteto tarzı yapılandırılmış bir geliştirme ortamına SSH ile bağlanma özelliği gerekecek gibi. Bu daha çok başka bir ürüne yakın.
Her gün kullanmak için veri yedekleme de gerekir. Uçtan uca şifrelemenin bozulması veya parolanın kaybedilmesi ihtimaline karşı.
Sıradaki soru çevrimdışı kullanım. Çünkü internete açık olmayan bir LAN’da backend sunucusu tutup banka hesap bilgileri gibi şeyleri saklamak istiyorum; yurtdışında telefon tarifem çalışmasa da seyahat planımı görmem gerekiyor; sunucu ölürse cihazdaki verileri yeni bir sunucuya “kopyalamak” istiyorum.
Her hâlükârda yıllardır böyle bir şey arıyordum ve gereksinimlerimin çoğunu karşılıyor gibi görünüyor.
Çakışma çözümü nasıl çalışıyor? CRDT mi, yoksa başka bir yöntem mi merak ediyorum.
Google, Advanced Protection açıkken IMAP üzerinden erişilen Gmail e-postalarındaki URL’leri de Google URL yönlendirme servisiyle yeniden yazıyor.
Yani mesaj gövdesini yeniden yazdığı için PGP imzaları gibi şeyler bozuluyor.
Gerçekten berbat.
FAA702 tek başına yeterliydi, ama Google’da saklanan tüm veriler üzerindeki mahkeme kararı olmadan gözetim size kişisel olarak dokunmuyorsa bile, hükümetin talep ettiği arka kapı kurulduktan sonra Google’ın kötü tavrı yeterli bir sebep.
Artık Google’ı hayattan çıkarma zamanı.
Bu ekler muhtemelen süresi dolan şeylerdir ve kitlesel gözetim için daha kolay kullanılabilir.
Büyük bulut şirketlerinin yukarıda bahsedilen hükümet arka kapısı zorunluluğunu hep birlikte desteklediğini yeniden söylemeye gerek var.
Bana göre bu bir düzenleyici ele geçirme hamlesiydi. Müşterileri izleyip seçici biçimde ihbar etmenin getirdiği gücü istiyorlardı, ama ABD pazarına hizmet veren hiçbir şirketin fiilen daha iyi gizlilik ya da güvenlik sunamamasını da sağlamak istiyorlardı.
Yıllardır Google arama sonucu bağlantılarını kopyalayınca yönlendirme URL’si kopyalanıyordu.
Üzerine gelince gerçek bağlantı görünüyordu, ama sağ tıklayınca yönlendirmeye dönüşüyordu.
Kaynağı düşününce şaşırtıcı değil gerçi.
Bu yazı, bir şirket hakkında sabit bir önyargıya sahip bir kullanıcının yaygın bir özelliği görüp, varsayılan olarak o şirketin en kötü niyetini varsaydığında neler olabileceğini iyi gösteriyor.
Dışa aktarma özelliğine “kapalı ekosistemden ayrılıyorsunuz” gibi ifadeleri kaldıran bir özellik eklemek bedava değil.
Ama “Google kötüdür” diye şikâyet etmek bedava.
Tipik bir şekilde tembelliği kötücüllükle eş tutma vakası.
Bunun izleme amaçlı olduğunu sanmıyorum
Amaç yalnızca izleme olsaydı, çok daha basit ve daha az göze çarpan yöntemler olurdu. Örneğin arka planda bir ping eklemek yeterli olurdu
Google'ın bağlantı hedefinin kötü amaçlı olduğuna karar verdiğinde kullanıcıyı durdurmaya yönelik bir özellik; örneğin kötü amaçlı yazılım dağıtımını engellemeye daha yakın görünüyor
Henüz kendim denemedim, ama bunun Google Workspace ücretli hesaplarından dışa aktarılan belgelere de uygulanıp uygulanmadığını merak ediyorum
Biraz daha iyi niyetli bakarsak, bağlantı bir yönlendirme uyarısı gösterip yeni sekmede açılacak gibi görünüyor; Google Docs düzenleyicisinin içinde bu iyi bir davranış gibi duruyor
Kesin olarak bilmek mümkün değil, ama içinde izleme de olma ihtimali yüksek. Sorgu parametresindeki opak dizgenin başka ne amaçla kullanılabileceği var ki?
Bağlantı yeniden yazma işlemi buradan kaynaklanıyor gibi görünüyor; yalnızca dışa aktarılan sürüme eklenmiş olmasa gerek
Dışa aktarırken kaldırılmaması hayal kırıklığı yaratıyor, ama ekipte kimsenin önemsemediği kıyıda köşede kalmış bir vaka olma ihtimali yüksek görünüyor
Ayrıca içinde izleme varsa, o değerin nasıl ve ne zaman güncellendiğini de bilmiyoruz. Örneğin geriye kalmış bir davranış mı, dışa aktarma anında mı güncelleniyor, aynı belge dışa aktarılırken her kullanıcının kendine özgü bir izleme numarası alıp almadığı da bilinmiyor
Google ürünlerini kullanan birinin hâlâ gizlilik ya da etkinlik takibi konusunda endişelenmesini anlamıyorum
Facebook kullanmaya benziyor. Bu şirketlerin işi kullanıcı verilerini kazımaya dayandığı için, en doğrusu hiç kullanmamak