« Bloggtreklöver 6 | Startsidan | Riksdagsledamöter immuna? »

30 november 2004

Porrblaska stämmer Google

Ibland blir jag förvånad över okunskapen som finns bland användare och företag om hur Internet fungerar. Jag brukar säga det du I N T E vill att någon obehörig ska hitta, läsa eller titta på – lägg inte ut det på nätet. Nätet är som en enda stor hårddisk.

Jag får ofta frågor hur man ska göra för att skydda sina bilder som läggs ut på nätet. Jag svarar alltid att det inte går, utan talar om för dem att de bilder de inte vill ska spridas ska de inte lägga upp på nätet. Javascript som ska förhindra högerklick är inget skydd. Det går alltid att komma åt källkoden via View Source/Visa källa och där kan bildens sökväg återfinnas. Visst finns det program som krypterar html-koden till oigenkännlighet (har dock aldrig testat ett sådant), men vad hjälper det? Den som vill ha bilden gör då en skärmdump på sidan.

Ett annat problem som jag hört talas om är exempelvis användningen av Direct Connect och andra fildelningssystem som inte konfigurerats korrekt, vilket har inneburit att andra lätt som en plätt har kunnat kolla in vad som finns i den anslutnes dator. Nu går jag bara på hörsägen, eftersom jag själv inte har några fildelningssystem installerat på min dator.

Men en person berättade för mig att h*n var ute och letade efter en specifik fil och via en ansluten dator kunde h*n se nakenbilder på en bekant. Personen hade med all sannolikhet haft bilderna i en mapp i sin egen dator och någon hade tyckt att de var så pass "intressanta" att de lades ut till allmän beskådan, på en helt annan dator ansluten till nätverket. Hur kul kan det vara på en skala från noll till tio att upptäcka att nakenbilder på en själv sprids på nätet?

Något som många missar när de skapar en ny mapp på sin server är att de inte lägger dit en index.html fil (eller default.htm beroende nu på hur servern är inställd). Utan defaultfil så är mappen helt öppen och dess innehåll listas rakt av och det är fritt fram att klicka sig fram och kika på alla filer. Visst kan det vara ett medvetet val, men i lika många fall tror jag att det beror på ren okunskap.

Jag minns att det var ett stort rabalder då Intentia polisanmälde Reuters för dataintrång. Enligt Intentia har Reuters hackat sig in i bolagets datasystem och därmed i förväg kunnat publicera en kvartalsrapport. Rapporten låg på Intentias webbplats och det Reuters medarbetare gjorde var tydligen att gissa sig till adressen, med hjälp av tidigare publicerade rapporter. Intentia hävdade att bara för att information fanns på en publik webbserver är det inte självklart att den ska vara tillgänglig för gemene man. Men det som inte ska vara tillgängligt ska inte publiceras eller läggas bakom lösenord, det är kutym eller borde vara det. Hur det gick med den polisanmälningen minns jag inte. Men jag kan inte tänka mig att det gick till åtal. Inte när jag läser pressmeddelandet nedan.

Pressmeddelande, Stockholm 2003-03-04
från Stockholmsbörsen.
Information från Intentia, Sweco och Nordea hade varit tillgänglig via Internet innan bolagen hade offentliggjort informationen på det sätt som krävs enligt noteringsavtalet med Stockholmsbörsen. Informationen hade kommit ut genom att utomstående hade identifierat den dolda adress under vilken informationen hade förberetts för tillhandahållande på respektive bolags hemsida. Reuters kunde därigenom sprida informationen innan den offentliggjorts av bolagen på föreskrivet sätt. De adresser bolagen använt till informationen var identisk med de adresser som använts för motsvarande information i tidigare sammanhang, frånsett att de sista två tecknen bytts ut från Q2 till Q3 eller liknande. Nämnden fann att de adresser respektive bolag använt för den dolda informationen, i belysning av att tidigare använda adresser var allmänt kända och tillgängliga, var sådan att en initierad person hade kunna gissa sig till var informationen fanns och på så sätt få tillgång till rapporterna i förväg. Genom att informationen kom ut på ett sätt som låg inom respektive bolags så kallade kontrollsfär ansåg nämnden att noteringsavtalet hade överträtts. Nämnden ansåg emellertid att det oavsiktliga utlämnandet delvis hade samband med en strävan från bolagens sida att informationen – i enlighet med börsens anvisningar – skulle bli tillgängliga på hemsidan snarast möjligt efter att offentliggörande skett på föreskrivet sätt. Mot ovanstående bakgrund ansåg Disciplinnämnden att överträdelserna var ursäktliga, och meddelade därför respektive bolag varning.

Nu är det Google som är i hetluften.

Saxat ur IDG:
Nu har publicisten Perfect 10 (http://www.perfect10.com) fått nog. Företaget stämmer Google på grund av att sökmotorn hittar skyddat bildmaterial och knyckta lösenord till tidningens webbplats.

Hur ska hugade spekulanter hitta till porrblaskan om den inte listas på sökmotorer? Att sedan sökmotorn indexerar det material den hittar när spindeln vandrar runt på sajten är inget underligt. Perfect 10 borde kanske bara ha första sidan som publikt material och sedan lägga allt annat bakom lösenord? Google är väl en av de sökmotorerna som respekterar robots.txt har jag för mig. Alla sökmotorer sägs inte göra det, så att bara lägga upp en robots.txt är inte ett fullgott skydd.

Enligt stämningen, som lämnats in till en domstol i Los Angeles, påstås Google bryta mot upphovsrätten och skada Perfect 10:s möjligheter att tjäna pengar (månadskostnad 25,50 dollar) på distribution av sitt material via tidning och webbplats. Det ska bli intressant att se hur det slutar. Men jag misstänker att Google inte blir fällda. En sökmotor bara söker. Den bara följer länkar. Som en spindel klättrar den på webbens spindelnät. Den som lägger ut det material som indexeras kan inte lägga skulden på Google för att det synliggörs via sökmotorn.

Att andra snor bilder och lägger upp på sina egna hemsidor och att de sedan indexeras av Google där är inte Googles fel utan Perfect 10 får nog rikta sin stämning till dem i så fall. Om lösenord till porrblaskan publiceras på warez- och serial-sajter och indexeras av Google är det samma sak här, Perfect 10 får rikta sin stämning till dem istället.

Jag minns att jag en gång vid en sökning på en utbildning kom in på ett säkerhetsföretags interna nät (Lotus Notes) via två länkar som indexerats på Google. Jag misstänkte att det inte var riktigt tänkt att dessa två länkar skulle vara sökbara så jag slängde iväg ett mail och berättade vad jag sökt på och vilka länkar som kommit fram. De besvarade inte ens mitt mail, men jag gjorde i alla fall det samvetet bjöd mig till att göra – alertade dem.

// Annica Tiger

Annica Tiger november 30, 2004 6:31 FM