Известное "облачное" хранилище Dropbox преподнесло несколько неприятных сюрпризов. На прошлой неделе были внесены изменения (http://tirania.org/blog/archive/2011/Apr-19.html) в пользовательское соглашение, которые обозначили возможность дешифровки приватных данных клиентов и их передачу по запросу правоохранительных органов. Теперь же стало известно (http://www.zdnet.com/blog/government/if-you-have-something-t... что компания фактически лишила кислорода открытый проект Dropship (https://github.com/driverdan/dropship).Dropship представляет собой распространяемое под лицензией MIT (http://ru.wikipedia.org/wiki/%D0%9B%D0%B... приложение, предоставляющее возможность использовать Dropbox в качестве аналога файлообменной сети. Суть работы Dropbox в следующем: если у пользователя есть хэш файла, хранимого в публичном каталоге Dropbox, то любой пользователь Dropbox может скопировать исходный файл в с...
URL: http://www.networkworld.com/community/blog/dropbox-fends-ope...
Новость: http://www.opennet.me/opennews/art.shtml?num=30366
и уже 241 форк
А смысл? Дропбокс все-равно контролирует какие файлы они хостят. Чей сервер, тот и прав. А кто будет спорить - получит бан. В интернете никогда не было демократии. Какое-то подобие демократии - только в P2P.
> Дропбокс все-равно контролирует какие файлы они хостят. Чей сервер, тот и прав.Скажите это AOL и ICQ. Скока не боролись, тока конкурентов на свою голову вырастили =)
> В интернете никогда не было демократии
И тирании в нем тоже нет. Для любого сервиса всегда найдется вменяемый конкурент.
Вот вам и облака. Ожидаемо, да.
Бородатый вроде об этом уже говорил.
С языка снял :)Я как раз Столмана вспомнил.
Ах ты боже мой, обидели зайку.
А ничего, что авторы дропбокса имеют полное право не разрешать использовать их софт не по назначению?
Если приложение продаётся в apple appstore, то его автор может (и должен) реализовать по отношению к пользователям свои самые смелые bdsm-фантазии.В остальных случаях это выглядит как-то неожиданно и даже неприятно (типа, шёл в магазин за хлебом, а попал на гей-парад).
Смысл ваших слов ускользает от меня.
> в магазин за хлебом, а попал на гей-парад).Кэп информирует:
1. Админ сервера всегда прав.
2. Если он не прав, см. пункт 1.
Видать «Кэп» в данном случае - это школоло в вакууме.Куда ж делся пункт: 1.5. Если админ нарушает закон страны, где находится сервер, то он априори неправ.
Кэп сообщает: администраторы и владельцы сервера(ов) - свободные люди. Поэтому по умолчанию они вам ничего не должны. Они могут (но не обязаны) предоставить вам какую-то услугу на каких-то условиях. Если вам не нравятся условия, вы можете не пользоваться услугой. Обжаловать это можно разве что в ООН. Требуйте вернуть рабовладельческий строй. Чтобы можно было приказать администраторам и владельцам серверов обслуживать вас против их желания.
>Кэп сообщает: администраторы и владельцы сервера(ов) - свободные люди.снимай парик, школоло. Администраторы и владельцы серверов - в начале являются гражданами, исполняющими закон. Если пункт лицензии противоречит законодательству, закон выше. Если действие администрации противоречит соглашению, который противоречит законодательству - администрация снова в ответе. Короче тут намного сложней. а то можно сказать что уличные жулики тоже свободные люди. Они сидят себе, делают шоу из напёрстков (карт, шахмат, и т.д.) а люди свободны выбирать сами. Если не нравится как они работают - ты волен обойти жуликов, если же попался на удочку - ССЗБ. В законодательном государстве все не так. Правда добивается своего лишь тот, кто знает свои права.
>Кэп сообщает:bla, bla ,bla.
Ребята интересные - решили поюзать чужую инфраструктуру. Нарушили EULA, а теперь плачут какие же они бедные и обиженные OpenSource разработчики. А чтоб завести свой сервер , платить за него, обслуживать - нет , это ни ниВот интересно, что бы сказали авторы этого проекта , если бы через их сервис распространяли порно ? Наверняка ныли бы что они не для того сервис придумывали (хотя, может и для того), что хотят чтоб его использовали по назначению.
Вывод таков - ребята паразиты. А паразитов не любит никто, и правильно делают что репресируют - правила игры для всех одни.
Платить? Что вы, что вы!
человек написал proof-of-concept. используя API дропбокса. каким образом он нарушает EULA? вбиванием буковок в текстовый редактор?
если бы нарушал - уже сидел бы
> Вывод таков - ребята паразиты. А паразитов не любит никто, и правильно
> делают что репресируют - правила игры для всех одни.Отсюда мораль: сила - в P2P.
> Ребята интересные - решили поюзать чужую инфраструктуру. Нарушили EULA,В том-то и дело, что EULA они не нарушали, эти хэши специально созданы для обмена файлами и при этом для работы с ними есть специальный API. Так грань, за которой идет злоупотребление, в EULA не обозначена.
До этого дня я не пользовался ДрБ. и не читал ЕУЛА (а вы - читали-то?)Спецом прочел сейчас.
Каким боком, на Ваш взгляд, проект нарушал ЕУЛА? Лично я - не нашел зацепок, кроме вероятных экстрасенсорных способностей руководства ДрБ (не отраженных в ЕУЛА)
Надеюсь вы не пользуетесь чужой операционной системой?
1. Их софт не используется. Используется протокол.
2. Они имеют право не разрешать только в условиях предоставления сервиса.
3. Пытаться запретить распространение эксплоита вместо того, чтоб в срочном порядке залатать дыры в протоколе - идиотизм.
> А ничего, что авторы дропбокса имеют полное право не разрешать использовать их
> софт не по назначению?а ничего, что скачивание исходников != использование? не вижу, с какого испугу мне мешают скачать программу, которую автор выложил на условиях общедоступности. вот когда я её начну *использовать, нарушая EULA* — тогда пусть приходят и берут *меня* за тестикулы.
но, впрочем, копирастам и их защитникам всегда было плевать на права некопирастов, это не новость.
Опять муху из слона раздувают (это я про DropBox). Чуть что сразу DMCA.
> Опять муху из слона раздувают (это я про DropBox). Чуть что сразу
> DMCA.Нечего файлы блокировать под прикрытием DMCA. Они основательно в лужу сели и даже признали это. Раньше они удаляли файлы, прикрываясь DMCA, но удалив исходники ничего формально не нарушающей открытой программы, они оказались не в состоянии внятно аргументировать почему они без веских причин залезли в аккаунт пользователя и удалили по своей прихоти его контент.
> Нечего файлы блокировать под прикрытием DMCA. [...]Не, это уже мировой заговор недалеко выдумать.
Тут все как раз просто и понятно. Прямого доступа к файлам они, без спецфокусов в виде ковыряния в БД, не имели. Это нормально, делать к каждой фигне админку - руки устанут.
А при этом им приходили DMCA от всяких голливудов с жалобами "тут ваш пользователь в Public положил нашу кину, вину и домину, требуем анально покарать". Вот они этим же интерфейсом для удаления и воспользовались, не успев подумать о последствиях.
Ну, как бы, нормально - CTO пошел почитать HN (а он его читает, что уж там, Droxbox инвестируется, вроде как, через Y Combinator), а там этот dropship. Воображение рисует сцены анальных игрищ в судах в духе напстера-лаймвари, зад начинает болеть - как следствие, мозг отключается, а руки сами тянутся к кнопкам удаления.
Короче, мужик перетрусил и натворил дел. Вот и вся история, если на самом деле. Но факт, что весь сервис может зависеть от воли одного человека, и она может оказаться очень выборочно-нацеленной на кого угодно - остался.
Некрасиво получилось.Был хороший сервис. Экономили у себя и место и трафик с помощью deduplication. Хорошо, значит для нас сервис будет дешевле.
Пришли пираты "О! анонимный файлообменник" и всё похерили. Теперь или будут чистить, или deduplication будет не такой эффективный. И то и то скажется на цене для остальных.
Только не надо про то, что можно обмениваться и легальными файлами. Для легальных файлов есть битторент, всякие файлопомойки и остальное, что предназначено для файлообмена. Для анонимности есть tor и викиликс.
номер своей кредитки и коды к ней дашь? ну, ты же честный человек, тебе нечего скрывать, правда?
> номер своей кредитки и коды к ней дашь? ну, ты же честный
> человек, тебе нечего скрывать, правда?Не надо путать свободу информации с принуждением к её разглашению.
Лично я тоже считаю, что информация должна быть свободной. Но это заключается вовсе не в том, что я всем подряд буду раздавать номер, cvc и пин своей банковской карты, и ещё какие-то данные. А в том, что я не буду через суд препятствовать распространению моей информации, если она станет кому-то известной..
Объясню подробней. Убеждение в свободности информации не заставляет меня выкладывать всю информацию, которая у меня есть, во все места, куда я только могу её выложить. Информация моя - что хочу, то и делаю. Хочу - разглашаю, не хочу - моё право. Но вот если кто-то ухитрился подсмотреть номер и пин моей карты и выложил их на своём сайте - я не буду подавать на него в суд и пытаться запретить ему это сделать. Информация должна быть свободной - пусть пользуется на здоровье! Вместо этого я просто побыстрее заблокирую и поменяю карту. А вот за воровство денег с карты уже буду обращаться в правоохранительные органы. Деньги - это уже материальная ценность.
То же и с программами, и с прочей информацией. Человек написал программу? Конечно, она принадлежит ему. Он может её выложить в открытый доступ, или продавать, или делать с ней ещё что-то, что ему вздумается. Но как только программа будет переписана на носитель, принадлежащий кому-то другому - она тут же станет собственностью того, кому принадлежит носитель. И уже он может делать с ней всё что захочет. Просто потому, что информация, записанная на носитель, не существует отдельно от него, и вследствие этого является его неотъемлемой частью.
Вот так должно быть.
> А вот за воровство денег с карты уже буду обращаться в правоохранительные органы. Деньги - это уже материальная ценность.Вот это новости... деньги давным давно виртуальны, с тех пор как их перестали менять на золото.
> Вот это новости... деньги давным давно виртуальны, с тех пор как их
> перестали менять на золото.Остала просто занесло, я так понимаю. На самом деле, я думаю, имелось в виду, что информация может копироваться без потерь оригинала, а вот с деньгами такой фокус не выйдет. Короче, судиться он будет не за то что у кого-то прибыло, а за то что у себя убыло.
>викиликсСуществуют ещё наивные, которые верят рупору американской пропаганды викиликсу.
>>викиликс
> Существуют ещё наивные, которые верят рупору американской пропаганды викиликсу.викиликс - не рупор американской пропаганды.
рупор пропаганды. Уже проскакивало тут обсуждение. но попадаются наивные, действительно.
Существуют ещё наивные, которые считают детище американской военной машины (Интернет) свободным пространством :)
> Только не надо про то, что можно обмениваться и легальными файлами. Для
> легальных файлов есть битторент, всякие файлопомойки и остальное, что предназначено для
> файлообмена. Для анонимности есть tor и викиликс.Это сервис по хранению файлов пользователя, и не дело вмешиваться в то, что и как хранит пользователь. Деньги платит ? Платит. Почему вручную ссылками можно обмениваться, а автоматизировать это дело уже нельзя ? Сделали возможность обмена файлами - нужно расхлебывать, раз взяли на себя такую обузу. Иначе нужно было оставить только функцию приватного хранения файлов.
ты бы новость почитал: нету там никакой такой «возможности». это всего лишь сплойтик, использующий особенности хранения файлов. а бесятся ребятки потому, что закрыть сие так просто не получится.
> а бесятся ребятки потому, что закрыть сие так просто не получится.Закрывается просто, о чем в комментариях на HN написано. Спонтанно вылезающим на добавление файла запросом к клиенту «посчитай-ка, милок, хэш от байтов 12345-12387 в этом файлике.» Байтики каждый раз разные, разумеется. Считать редко, чтобы нагрузку не создавать.
Создадут сбоку сервис по пересчету хэшей - это уже не Droxbox'а дело, он из оракла, преобразующего sha256 в полный файл, превратился в простую файлопомойку, DMCA safe harbor снова работает.
я, честно говоря, не знаю структуры дропбокса, но буду не удивлён, если сервер, на который пытаются залить файло, и сам не в курсе, какой там должен быть хэш у байтиков, и должен будет ходить консультироваться к другому серверу. то есть, изменения, скорее всего, как минимум не такие тривиальные, а дупу припекло уже вот.
> я, честно говоря, не знаю структуры дропбокса [...]Они на Амазоновском облаке файлы хранят. Ясно дело, амазон не в курсе.
Дело в том, что уже сейчас принцип такой:
1. Появился файл на локальном диске и клиент дропбокса это заметил.
2. Клиент хэширует и стучится к серверу и говорит "есть такой файл, хэши блоков такие-то, что делать, шеф?"
3. Сервер сверяется со своей БД и выясняет есть такой файл у него (дедупликация) или нету. Если нету - просит клиент слать данные, если нет - все ограничивается "я вас понял, спасибо".
4. ...
5. PROFIT!Эксплойт схемы на 2 шаге - файла нет, клиент поддельный, есть только хэш. Защита от атаки - убедиться что файл есть, спросив хэш того, что заранее неизвестно (хэш неких случайно выбранных байтиков из файла).
Собственно, все.
> Собственно, все.не всё. надо ещё сходить к тому, у кого файл действительно есть (а не просто в ближайшую копию БД сбегать), и удостовериться, что с хэшем этих байтов не обманули. или раздувать базу, храня кучу ненужных «одноразовых» хэшей. или делать вопросы предсказуемыми и опять получить дырку.
то есть, был бы это сервис «трёх друзей и инвалида» — дело такое. а учитывая размер юзербазы дропбокса — им каждый лишний запрос серпом по тухесу, полагаю.
потому да: технически со стороны всё просто. а вот внутри может быть и вовсе не так просто, как кажется.
именно потому я и говорю, что не в курсе внутренней организации дропбокса, и не могу судить, насколько им подобный «простой шаг» действительно просто сделать. может оказаться, что рассылать c&d реально выгодней даже с учётом репутационных потерь.
> не всё. надо ещё сходить к тому, у кого файл действительно естьПредрасчет N хэшей, по мере истечения размеров пула - еще.
Алсо, Content-Range запросы к AWS очень дешевые. Получить-то надо десяток, ну, может сотню байт. При обменах трафиком уровня дропбокса - статистически незначимые.
Как бы, если файл добавился на одном компе, то его все равно будут брать другие компы, на которых его нет. На фоне этого десяток лишних байт - не трафик.
Для анонимности было бы неплохо обеспечить шифрование информации из облака на стороне клиента.
> Для анонимности было бы неплохо обеспечить шифрование информации из облака на стороне
> клиента.Для этого, кстати, есть EncFs, замечательно работающая в связке с Dropbox.
Tahoe-LAFS как глобальное решение, Encfs как здесь-и-сейчас.
Эффект Стрейзанд.
Cпасибо, незнал такого
Проект? Кривая дребедень на питоне, считающая хэш для файла и пытающаяся понять есть ли такой файл в дропбоксе уже. Автор этой кривой поделки, завязаной на дропбокс, умирает от скромности. Он назвал этот высер "заменой торрента". Судя по тому что ему успешно вынесли исходник с дропбокса, такая "замена торрента", прибитая гвоздями к одному сервису - не нужна.
Было бы из-за чего сыр-бор устраивать, чес слово. Одна из миллиона файлопомоек чего-то там кого-то там... Смешно. Даже на новость не тянет. Мельчает опеннет :(
Ну ты чего ?! тут же наезд на весь OpenSource и свободу слова!
Свободу попугаям!А то что надо читать соглашение о использовании сервиса прежде чем соглашаться - это уж для лохов, правильные пацаны от OpenSource могут плевать на всякие там соглашения - как завещал великий Столман.
Сам выдумал каких то "пацанов", сам приписал им что хотел, сам словесно их разбил в пух и прах.
И конечно RMS проклятый жить не дает.
Признайся, это у тебя весеннее или по жизни?
> Ну ты чего ?! тут же наезд на весь OpenSource и свободу
> слова!
> Свободу попугаям!
> А то что надо читать соглашение о использовании сервиса прежде чем соглашаться
> - это уж для лохов, правильные пацаны от OpenSource могут плевать
> на всякие там соглашения - как завещал великий Столман.Вы что-то попутали, проповедник OpenSource - Эрик Рэймонд, а не RMS. RMS как раз говорит что популяризация OpenSource вредит свободному ПО.
Итого: всякие дропбоксы и прочие гуглодокументы не нужны.
Правило: не заливайте свою приватную инфу никуда, кроме как к себе; для неприватной инфы используйте p2p
Выход: сделать себе свое онлайн хранилище, давать кому надо ссылки на контент если надо.
Конец дискуссиям.
> Итого: всякие дропбоксы и прочие гуглодокументы не нужны.Это была моя фраза, а вы ... :)
Предлагаю хитрый план: выпускать трояны и кряки под открытой лицензией, а потом вопить о попираемом корпорациями опенсорсе.
android - троян из троянов, привлекающий кастомеров типа оперсорцем
/done
Ага, про DMCA от Droxbox было весело.Самое веселое — если бы Dropbox просто вяло забили на все это дело, то этот dropship бы сдох через пару дней после выхода новости из топа HN.
Ничего удивительного.
Все серьезные люди давно предупреждали, что облака - это жесткая зависимость от "хозяина пруда" и он может сотворить с данными ВСЕ ЧТО ЗАХОЧЕТ.
Это и есть главный вывод, который и был подтвержден данной новостью.
> Это и есть главный вывод, который и был подтвержден данной новостью.с каких пор аксиомы нуждаются в доказательствах?
> с каких пор аксиомы нуждаются в доказательствах?Проблема то в том, что для ряда личностей с IQ -> 0 ( типа обезьянок от маркетинга) и аксиомы доказательств требуют ... проще говоря ряд личностей живет по принципу "пока гром не грянет, мужик не перекреститься".
> ряд личностей живет по принципу "пока гром не грянет, мужик
> не перекреститься".там принцип ещё забавней: гром грянул, мужик перекрестился, обгадил себе портки и продолжает тупить точно так же, как и раньше, но теперь с грязными портками.
Собственно, давно хотел свалить с Дропбокса. Сейчас они меня подтолкнули к этому решению, спасибо им.
Это же что-то типа эксплойта, какой уж тут "открытый проект".
Закрыть дыру они по-быстрому не смогут, т.к. это не уязвимость из-за бага, а особенность архитектуры, но и бороться с копиями эксплойта смешно. Наверно то же самое делается двумя строчками на шелле с curl'ом.
Dropbox - прекрасное по и отличный проект, а эти идиоты, сделав из него аналог торрентов, создадут ему целую кучу проблем с правообладателями на разные файлы, которые начнут публично через dropbox распространяться, после чего проект загнётся. Пусть свои сервера подминают, свой протокол пишут и сами потом по судам бегают ...
Так это про происки конкурентов дропбокса, "надоел сосед подкинь ему транклюкатор и вызови органы" - практика стара как мир...