2 puan yazan GN⁺ 2023-10-06 | 1 yorum | WhatsApp'ta paylaş
  • Google Docs'ta bir belge HTML olarak dışa aktarıldığında, belgedeki bağlantı hedeflerinin özgün URL yerine Google yönlendirme bağlantılarına dönüştüğüne dair bir örnek paylaşıldı
  • Bu davranış bir script ekleme değil, [ içindeki gerçek hedefin değiştirilmesi; ekranda görünen bağlantı metni üzerinden bunu fark etmek zor
  • Bunu yeniden üretmek için Google Docs'a bir bağlantı ekleyip File > Download > Webpage ile ZIP dosyasını aldıktan sonra HTML dosyasında ya da tarayıcıdaki bağlantı önizlemesinde kontrol etmek mümkün
  • Alternatif olarak Collabora Office gündeme geldi; LibreOffice tabanlı ve Nextcloud instance'larında, bulut barındırmada ya da kendi donanımınızda kullanılabiliyor
  • Yorumlarda oturum açma, çerezler, IP ve user agent toplama olasılığı, GDPR onay sorunu ve CryptPad, OnlyOffice, Nextcloud gibi işbirlikçi belge alternatifleri de tartışıldı

Google Docs HTML dışa aktarmada değişen bağlantılar

  • Joe, Google Docs belgeleri HTML olarak dışa aktarılırken belgedeki bağlantıların Google'ın görünmez izleme yönlendirmeleriyle değiştirildiğine dikkat çekti
  • Bu, script eklenmesi şeklinde olmuyor; HTML içindeki href değerinin kendisi gerçek hedef haline geliyor, bu yüzden yalnızca görünen metne bakarak bağlantı değişikliğini anlamak zor
  • HTML'de href="..." ile "> arasının gerçek hedef, > ile ](...) arasının ise ekranda görünen metin olduğunu açıklıyor
  • Read more, Profile, Wiki gibi görünen metin ile gerçek bağlantıyı farklı tutma özelliğinin kendisi yararlı olsa da, bu vakada bu özelliğin yanlış kullanıldığını düşünüyor

Yeniden üretme yöntemi ve gözlenen davranış

  • Doğrulama adımları basit
    • Bir Google Docs belgesi oluşturup bağlantı ekleyin
    • File > Download > Webpage ile indirin
    • ZIP içindeki HTML dosyasını metin olarak açın ya da tarayıcıda açıp bağlantının üzerine gelin
  • Joe, bağlantıların sonuna eklenmiş çok sayıda ilave bilgi de olduğunu söylüyor
  • Google'ın bu bağlantı yönlendirmeleri üzerinden, Google ürünlerini kullanmayan kişileri bile takip edebileceğini ve belge yazarı ya da son kullanıcının onayı olmadan HTML dışa aktarmaya bu bağlantıların yerleştirildiğini öne sürüyor

Collabora Office ve self-hosted alternatifler

  • Collabora Office, Google'ın işbirlikçi ofis teknolojilerine özgür yazılım alternatifi olarak anılıyor
  • LibreOffice teknolojisi üzerine kurulu ve Collabora'nın LibreOffice'e en büyük katkıyı yapan taraf olduğu belirtiliyor
  • Kullanım yolları arasında Nextcloud instance'ları, bulut hostları ve kendi donanımınız yer alıyor
  • Yorumlarda, Nextcloud uygulama panelinden CODE (Collabora Online Development Edition) kurulabildiği de söyleniyor
    • Kurulumdan sonra çalışmazsa SELinux context değiştirmek gerekebilir
    • Uygulama içi kurulum yöntemi ile yüksek güvenlikli MAC ortamlarının çok uyumlu olmayabileceği yorumu ekleniyor
  • Bir yorumda CapRover ile Nextcloud ve OpenOffice sunucusunun Docker tabanlı dağıtımını yaptığını söyleyen biri var; başka bir yorum ise Apache ayarları, Let’s Encrypt, Docker dosya işlemleri, reverse proxy gibi yapılacak çok iş olduğunu söyleyerek buna itiraz ediyor

Diğer işbirlikçi belge araçları ve kullanım deneyimleri

  • CryptPad, gerçek zamanlı işbirliği, uçtan uca şifreleme ve tamamen açık kaynak sunan bir alternatif olarak anılıyor
  • Bir yorumda arkadaş grubunun işleri için bir CryptPad instance'ı kullandıkları, arayüz çok güçlü olmasa da ek açıklama gerektirmeden kullanılabildiği söyleniyor
  • OnlyOffice için, MS ve Google ürünlerine daha yakın bir alternatif olduğu görüşü dile getiriliyor
    • Hem self-hosted çevrimiçi işbirliği sürümü hem de yerel çevrimdışı düzenleyici anılıyor
  • Collabora Office'in Android için bağımsız ofis ürünü de anılıyor; F-Droid'de yeni bir feed kurmak için QR kod sürecinden geçtikten sonra kullanılabildiği anlatılıyor

Gizlilik, onay ve GDPR tartışması

  • Yorumlarda, Google şartları altında bu tür dönüşümün izinli olduğu görüşü ile kullanıcıların bu şartları fiilen reddetmesinin zor olduğu yönündeki itiraz birlikte yer alıyor
  • Gmail veri arşivinde Steam satın alımlarındaki oyun adı, fiyat ve tarihin bulunduğuna dair bir deneyim de paylaşılıyor
  • Google Docs'un PDF dışa aktarmasında erişilebilirlik ipuçları yerine yalnızca glif konumlarının yerleştirildiğine dair bir şikâyet de var
  • GDPR tartışmasında, yönlendirmeden önce çerez banner'ının görünüp görünmediği soruluyor; verilen yanıt bunun görünmediği yönünde
  • Başka bir yorumda, oturum açılmamışsa Google alan adının sıradan bir web sitesiyle aynı verileri aldığı ve çerez ayarlamadan amaçlanan bağlantıya gidiyorsa bunun neden sorun olduğunun anlaşılmadığı söyleniyor
  • Joe ise konuyu derinlemesine incelemediğini, ancak çerez ya da fingerprinting olsa da olmasa da IP adresi ve user agent bilgilerinin VPN, kafe ya da paylaşımlı ağ kullanılmıyorsa kişiyi ayırt etmek için yeterli olabileceğini söylüyor

1 yorum

 
GN⁺ 2023-10-06
Hacker News yorumları
  • Bunun nedeni, Google Docs’un artık kötü amaçlı yazılım dağıtım yolu olarak yaygın biçimde kullanılması
    Kullanıcıyı bir Google Docs sayfasına gönderdiğinizde, Google alan adı olduğu için kurumsal güvenlik duvarları ve antivirüs tarayıcıları buna güvenir
    Burada “izleme” denilen şey aslında şu sayfa: https://www.google.com/url?q=https://wikimediafoundation.org...
    Kullanıcıya Google’dan ayrılıp başka bir siteye gittiğini bildirerek, Google Docs’un kötü amaçlı yazılım dağıtımında kullanılmasının etkisini azaltmaya yönelik bir mekanizma gibi görünüyor

    • Ben de dirgenimi çoktan elime almıştım ama…
      Ciddi söylemek gerekirse, böyle şeyler gördüğümde HN yorumlarında gerçek durumu kontrol edebildiğim için 10 seferin 9’unda memnun oluyorum
      Google’ın kararlarında dokunulmazlık kazanması gerekmiyor; “kullanıcı güvenliği” ya da “daha iyi kullanıcı deneyimi” gerekçesiyle, sonuçta Google’ın izleme kabiliyetinin de arttığı çok durum gördük
      Yine de Google’ın birbiriyle çatışan pek çok sorunu dengelemesi gerekiyor ve yalnızca kendi ihtiyaçları önemliymiş gibi davranılmasından gerçekten hoşlanmıyorum
      Google’ın oturum açmada iki faktörlü kimlik doğrulama istemesiyle ilgili tartışma da buna benziyor. “İki faktörlü kimlik doğrulama cihazını kaybeden insanlar” geçerli bir endişe, ama zayıf parolalar yüzünden hacklenenlerin 10 ya da 100 kat daha fazla olması da geçerli bir nokta
      Tek bir çözüm olduğunu iddia etmiyorum; ancak Google’ın çözmeye çalıştığı sorunun var olmadığını varsaymak dürüst bir tartışma değil
    • İtiraz konusu, Google Docs’tan dışa aktarılan belgelerle ilgili
    • Tamam da, gerçek URL o değil
      q parametresinden sonra şunlar da eklenmiş:
      &sa=D&source=editors&ust=16965233434352076&usg=Ade5344w26X85-pHzoD-rVkkdfdfBQnJ7B
      Bu epey izleme verisi gibi görünüyor
    • Kullanıcı Google belgesini Google belgesi olarak kullanırken Google üzerinden yönlendirilmesi sorun değil
      Ama başkalarıyla “Google belgesi olmayan bir dosya biçiminde” paylaşmak için dışa aktardıysa bu sorun
      Google ekosisteminin dışına çıktığınız anda bu koruma özelliği bir izleme özelliğine dönüşür
    • Ama şu tür bağlantılar doğrudan geçiriliyor
      https://www.google.com/url?q=https://www.google.com/
      https://www.google.com/url?q=https://www.youtube.com/
      Pek adil görünmüyor. Bunun “seçtiğiniz ofis paketinden ayrılmak”la mı, yoksa “Google’dan ayrılmak”la mı ilgili olduğunu bilmiyorum
      İlginç bir örnek: HTTP sertifikası süresi dolmuş olmasına rağmen buna izin veriliyor: https://www.google.com/url?q=https://www.keyhole.com/
  • Yönlendirmenin açıklanan amacı bence oltalama önleme. Yani bilinen şüpheli bir siteye gitmeden önce Google’a kullanıcıyı uyarma fırsatı vermek
    İzleme ihtimali ise sadece bonus!
    Microsoft da Teams’te bunu yapıyor. İş arkadaşlarıyla paylaşılan şirket içi site bağlantıları bile bağlantı kontrolünden geçip sonra yönlendiriliyor
    Sonuçta Microsoft, dış şirket çalışanlarının gezinme alışkanlıkları hakkında muazzam miktarda veriye sahip olmuş olmalı
    Şirketler, niyetleri ne kadar kötü olursa olsun açıkça söyleseler çok daha fazla saygı duyabilirim: “Sizi oltalamadan korumaya çalışıyoruz. Ama bağlantıların %99’u muhtemelen oltalama değil. Dolayısıyla bu özellik aslında ne yaptığınızı izleyip analiz ederek kârlılığı artıran veri toplamayı da mümkün kılıyor”
    Neden bunu süslediklerini bilmiyorum

    • Outlook ve Teams’teki bu tür bağlantılardan gerçekten nefret ediyorum. Bunun Teams uygulamasının kendisi mi yoksa başka bir şey mi olduğunu bilmiyorum
      Şirkette sürekli oltalama testleri ve eğitim videoları yaptırıyorlar, ama sürekli vurguladıkları güvenlik özelliklerinden birini fiilen ortadan kaldırıyorlar
      Tıklamadan önce URL’yi olduğu gibi göremiyorsunuz. Bir keresinde e-postadaki bir bağlantıya tıklayıp şirketin oltalama testine “yakalanmıştım”
      Oysa e-posta sistemimizin kendisi, bağlantının geçerliliğini doğrulamak için tıklamak gerektiği konusunda bizi eğitmiş oluyor
    • Komik olan, Google niyetini açıkça söylese bile, bunun davranış izlemeye yönelik veri madenciliği olmadığını söylese de kimsenin inanmaması
      Böyle bir durumda kazanmak mümkün değil
    • ABD’deki devlet okulu bölgeleri ve 18 yaş altı öğrencilerin bugünlerde neredeyse tamamen Google Docs kullanmasına bakılırsa, bu gizlilik davalarına dönüşmeye çok müsait görünüyor
    • Teams’teki Safe Links, yöneticinin kontrol edebildiği bir politikadır
      https://learn.microsoft.com/en-us/microsoft-365/security/off...
    • “Bağlantı önizlemesi” gibi şeylerde de benzer bir can sıkıntısı yaşıyorum. Dahili sitelerde ya da kimlik doğrulaması gerektiren sitelerde zaten mümkün değil
      Bu yüzden bu tür yazılımlarda bağlantı gönderirken biraz gizleyerek gönderiyorum
      Bazen bağlantı göndermeyip yalnızca “HN item 37776492” demek yeterli oluyor
  • Biraz tanıtım yapacak olursam, çalıştığım şirkette Google Docs’a açık kaynak AGPL [a] ve uçtan uca şifreli bir alternatif sayılabilecek CryptPad’i geliştiren bir ekip var.
    Birden fazla kişi belgeleri gerçek zamanlı düzenleyebiliyor ve sunucu içeriğe erişemiyor.
    Elbette kendiniz barındırabilirsiniz; ekibin sunduğu bir instance [1] de var, ayrıca başkalarının işlettiği instance’lar da bulunuyor.
    Böyle yanlış bir özellik yok. Elektronik tablolar, belgeler, tarayıcıda çalışan bir ONLYOFFICE fork’u, Draw.io tabanlı diyagramlar, formlar, oylamalar, Kanban modülü, pad’ler vb. var; depolama alanı da mevcut.
    Google Docs’un tüm özelliklerini sunmuyor ve ofis paketi de onun kadar olgun değil, ama birçok kullanım için yeterince işe yarıyor.
    Bu arada bu başlıktaki birkaç yanıtta CryptPad zaten anılmış; şimdiye kadar bizden biri değildi. Bağlantıyı dahili sohbete gönderdim, ekipten katılanlar olabilir.
    [1] https://cryptpad.fr/
    [a] https://github.com/cryptpad/cryptpad

    • Demo akışında birkaç pürüz gördüm.
      Yeni slaytın nasıl oluşturulacağını anlamadım; ancak dokümanları okuyunca --- olduğunu öğrendim.
      Kod bloğunun hangi dili istediği de kafa karıştırıcıydı; sonunda “HTML” diye tahmin ettim.
      Kod parçaları için godbolt.org tarzı küçük bir açılır menü olsa iyi olurdu. “Bu üst düzey kod bir tamsayı artırmaya derleniyor, lambdalar için endişelenmeye gerek yok” gibi işbirliği akışları için iyi olur.
      Godbolt, sayfayı hello-world örnekleriyle doldurma işini de iyi yapıyor. En azından belirli bir belge türünü ilk birkaç kez oluştururken böyle yapmak daha iyi görünüyor.
      Bunu günlük backend geliştirme ortamı olarak kullanmak için Git entegrasyonu ve okteto tarzı yapılandırılmış bir geliştirme ortamına SSH ile bağlanma özelliği gerekecek gibi. Bu daha çok başka bir ürüne yakın.
      Her gün kullanmak için veri yedekleme de gerekir. Uçtan uca şifrelemenin bozulması veya parolanın kaybedilmesi ihtimaline karşı.
      Sıradaki soru çevrimdışı kullanım. Çünkü internete açık olmayan bir LAN’da backend sunucusu tutup banka hesap bilgileri gibi şeyleri saklamak istiyorum; yurtdışında telefon tarifem çalışmasa da seyahat planımı görmem gerekiyor; sunucu ölürse cihazdaki verileri yeni bir sunucuya “kopyalamak” istiyorum.
      Her hâlükârda yıllardır böyle bir şey arıyordum ve gereksinimlerimin çoğunu karşılıyor gibi görünüyor.
      Çakışma çözümü nasıl çalışıyor? CRDT mi, yoksa başka bir yöntem mi merak ediyorum.
    • CryptPad’den bahsetmek için gelmiştim. Kendi sunucumda barındırıp kullanıyorum, oldukça iyi.
  • Google, Advanced Protection açıkken IMAP üzerinden erişilen Gmail e-postalarındaki URL’leri de Google URL yönlendirme servisiyle yeniden yazıyor.
    Yani mesaj gövdesini yeniden yazdığı için PGP imzaları gibi şeyler bozuluyor.
    Gerçekten berbat.
    FAA702 tek başına yeterliydi, ama Google’da saklanan tüm veriler üzerindeki mahkeme kararı olmadan gözetim size kişisel olarak dokunmuyorsa bile, hükümetin talep ettiği arka kapı kurulduktan sonra Google’ın kötü tavrı yeterli bir sebep.
    Artık Google’ı hayattan çıkarma zamanı.

    • Gmail’den gelen e-postalar arasında standart HTML e-posta istemcilerinde düzgün render edilmeyen ve ekleri Google sunucularında barındırılan mesajları sık sık alıyorum.
      Bu ekler muhtemelen süresi dolan şeylerdir ve kitlesel gözetim için daha kolay kullanılabilir.
      Büyük bulut şirketlerinin yukarıda bahsedilen hükümet arka kapısı zorunluluğunu hep birlikte desteklediğini yeniden söylemeye gerek var.
      Bana göre bu bir düzenleyici ele geçirme hamlesiydi. Müşterileri izleyip seçici biçimde ihbar etmenin getirdiği gücü istiyorlardı, ama ABD pazarına hizmet veren hiçbir şirketin fiilen daha iyi gizlilik ya da güvenlik sunamamasını da sağlamak istiyorlardı.

      The CLOUD Act received support from Department of Justice and of major technology companies like Microsoft, AWS, Apple, and Google.[12][13] The bill was criticized by several civil rights groups, including the Electronic Frontier Foundation, the American Civil Liberties Union, Amnesty International, and Human Rights Watch. These groups argued that the bill stripped away Fourth Amendment rights against unreasonable searches and seizures, since the government could enter into data rights sharing agreements with foreign countries and bypass U.S. courts, and affected users would not have to be notified when such warrants were issued.[13][14] Some of these groups feared the government would not fully review requests from foreign countries for their citizens' stored on servers in the U.S., potentially allowing such data to be used in bad faith in those countries.[15]
      https://en.wikipedia.org/wiki/CLOUD_Act

  • Yıllardır Google arama sonucu bağlantılarını kopyalayınca yönlendirme URL’si kopyalanıyordu.
    Üzerine gelince gerçek bağlantı görünüyordu, ama sağ tıklayınca yönlendirmeye dönüşüyordu.

    • Bunu düzelten basit bir tarayıcı eklentisi var, ama yine de bu davranış sinir bozucu, rahatsız edici ve neredeyse aldatıcı.
      Kaynağı düşününce şaşırtıcı değil gerçi.
  • Bu yazı, bir şirket hakkında sabit bir önyargıya sahip bir kullanıcının yaygın bir özelliği görüp, varsayılan olarak o şirketin en kötü niyetini varsaydığında neler olabileceğini iyi gösteriyor.

    • Evet.
      Dışa aktarma özelliğine “kapalı ekosistemden ayrılıyorsunuz” gibi ifadeleri kaldıran bir özellik eklemek bedava değil.
      Ama “Google kötüdür” diye şikâyet etmek bedava.
      Tipik bir şekilde tembelliği kötücüllükle eş tutma vakası.
  • Bunun izleme amaçlı olduğunu sanmıyorum
    Amaç yalnızca izleme olsaydı, çok daha basit ve daha az göze çarpan yöntemler olurdu. Örneğin arka planda bir ping eklemek yeterli olurdu
    Google'ın bağlantı hedefinin kötü amaçlı olduğuna karar verdiğinde kullanıcıyı durdurmaya yönelik bir özellik; örneğin kötü amaçlı yazılım dağıtımını engellemeye daha yakın görünüyor

  • Henüz kendim denemedim, ama bunun Google Workspace ücretli hesaplarından dışa aktarılan belgelere de uygulanıp uygulanmadığını merak ediyorum

    • Mastodon dizisine göre ücretli hesaplarda da aynıymış
  • Biraz daha iyi niyetli bakarsak, bağlantı bir yönlendirme uyarısı gösterip yeni sekmede açılacak gibi görünüyor; Google Docs düzenleyicisinin içinde bu iyi bir davranış gibi duruyor
    Kesin olarak bilmek mümkün değil, ama içinde izleme de olma ihtimali yüksek. Sorgu parametresindeki opak dizgenin başka ne amaçla kullanılabileceği var ki?
    Bağlantı yeniden yazma işlemi buradan kaynaklanıyor gibi görünüyor; yalnızca dışa aktarılan sürüme eklenmiş olmasa gerek
    Dışa aktarırken kaldırılmaması hayal kırıklığı yaratıyor, ama ekipte kimsenin önemsemediği kıyıda köşede kalmış bir vaka olma ihtimali yüksek görünüyor
    Ayrıca içinde izleme varsa, o değerin nasıl ve ne zaman güncellendiğini de bilmiyoruz. Örneğin geriye kalmış bir davranış mı, dışa aktarma anında mı güncelleniyor, aynı belge dışa aktarılırken her kullanıcının kendine özgü bir izleme numarası alıp almadığı da bilinmiyor

  • Google ürünlerini kullanan birinin hâlâ gizlilik ya da etkinlik takibi konusunda endişelenmesini anlamıyorum
    Facebook kullanmaya benziyor. Bu şirketlerin işi kullanıcı verilerini kazımaya dayandığı için, en doğrusu hiç kullanmamak