گوگل یا الکسایی که دیگر قابل اعتماد نیستند؟!؟

گوگل جاسوس

امروزه با فراگیر شدن مباحث بهینه سازی موتور جستجو یا SEO و تغییراتی که گوگل در الگوریتم هاش اعمال کرده نتایج آنالیزرهای سایت توجه بیشتری را به خود جلب کرده ولی نکته مهم اینجاست که نتایج alexa یا google analytic - webmaster چقدر معتبر هستند ؟
بعد از دسته گل های هدفمند مکرر امنیتی گوگل و انواع و اقسام تحریم ها و دشمنی ها این سوال برای ما مطرح شد که چرا این مجموعه باید ابزاری به این کارآمدی برای توسعه وبسایت های فارسی در اختیار آنان قرار دهد. مگر غیراین بوده که این مجموعه به جز سرویس های جاسوسی مثل ایمیل و اندروید(2) و ... دیگر سرویس هایش را برای کاربران ایرانی مسدود کرده ؟

نرم افزار جاسوسی موبایل گوگل پلی /اندروید

گویا برخی فراموش کرده اند که به بهانه خارج کردن ایران از لیست کشورهای مورد تحریم ، سامانه جدید جاسوسی گوگل با هدف ناتوان سازی سامانه های جایگزین در ایران ، در حوزه نرم افزارهای گوشی همراه / موبایل برای کاربران ایرانی به نام گوگل پلی (3) آن هم فقط برای نرم افزار های اندرویدی غیر تجاری (رایگان) در اختیار کاربران ایرانی قرار گرفت. (خوشبختانه اواخر 92 این سرویس در ایران فیلتر شد- روحانی مچکریم )
صرف نظر از سوابق درخشان گوگل ما تصمیم گرفتیم با توجه به تناقضاتی که در گزارش های گوگل آنالایتیک (1) و الکسا و دیگر آنالیزور ها وجود داشت عملکرد این سیستم ها را آزمایش کنیم.
شیوه آزمایش اینگونه است که ما آدرس یک سایت را روزانه در بیش از 500 کامپیوتر با ip ها و سیستم عامل های مختلف ، مناطق مختلف ، با کیورد های (کلمات کلیدی جستجو ) مختلف در گوگل سرچ می کنیم و گزارش گوگل از مخاطبین سایت را با چیزی که خودمان انجام دادیم مقایسه می کنیم.

در این آزمایش غیر واقعی بودن نتایج آنالیزور الکسا از آنرو که این سایت جهت بررسی عملکرد سایت ما هیچ درخواستی از ما نکرده و هیچ کدی به سایت اضافه نمی کند و عملکردی تا حدی مستقل دارد پیش بینی شده و تا حدی قابل قبول بود که در همین حد کسب اطلاعات نیز برای ما جالب توجه بوده ولی در خصوص گوگل ماجرا متفاوت است .

وب سایت مورد بررسی هم مجهز به سامانه گوگل وب مستر بوده و هم به گوگل آنالایتیک که هر دوی این سامانه ها برای فعالیت نیاز به اعمال تغییراتی در سایت دارند. پس اینکه گوگل در جریان جزئیات فعالیت های کابران نبوده یا بهانه های دیگر پذیرفته نیست . حتی گوگل از سایت ما استفاده کرده و اسکریپت هایش را روی مخاطبین سایت ما اجرا می کند . هنوز هم میتوان از گوگل دفاع کرد ؟
اگر فکر کردید منظور ما کم تخصصی یا ضعف برنامه نویسی شرکت گوگل است کاملاً در اشتباهید چیزی که ما می خواهیم به شما بگوییم این است که در این سامانه ها اعلام نتایج اشتباه به صورتی که واقعی جلوه کند بسیار سخت تر از نمایش اطلاعات واقعی هستند.
در آزمایش های ما گاهاً بیش از 50 درصد خطا وجود داشت و جالب اینجاست که وقتی مثلا با 3 یوزر (user) در حال تست این سرویس هستید این سرویس عالی کار می کند . چرا که نباید به سادگی غیرواقعی بودن آمارها مشخص باشد . کافی است اختلاف آمار سایت هایی با بازدید بیش از روزی 500 نفر را با آنالیزور گوگل و یک آنالیزور دیگر مقایسه کنید.

البته آمار رایگان گوگل ادورز(Google AdWords) که در آزمایش ما کمتر از 10 درصد صحت داشت جای خود دارد.

ولی چـرا ؟
تنها جوابی که ما توانستیم پیدا کنیم این است که این سرویس در راستای گسترش توان آفندی غیرعامل ارگان های نظامی آمریکا راه اندازی شده . احتمالاً پشت پرده این دیدگاه برای شما هم به اندازه ما جذاب خواهد بود.
سامانه گوگل در بازدید های محدود بسیار خوب کار می کند ولی در بازدید های بالا با مشکل مواجه می شود. چرا ؟ محدودیت های فنی ؟ آن هم برای گوگل ؟ آن هم فقط برای 1000 بازدید ؟ جالب است بدانید که ارزان ترین نسخه پولی گوگل آنالایتیک حدود 400 میلیون تومان است. کافی است نسخه 20 میلیون تومانی برای سایت های کوچک تر نیز ارائه شود و بگوید سرور های این نسخه مشکلات فنی کمتری دارند. پس هدف اول این برنامه پول نیست .
وقتی برای مشاهده نتایج آنالایتیک به گوگل مراجعه می کنید با پیغام جدید تحریم مواجه می شوید ولی با آنتی .... به سادگی می توانید وارد آنالایتیک شود. چرا ؟ چون وقتی با آنتی .... وارد آنالایتیک می شود گوگل متوجه ایرانی بودن شما نمی شود؟ آیا گوگل شماره تلفن شما را ندارد و برای شما sms  ارسال نکرده ؟ برای آنان که خودشان را ایرانی معرفی کردند چطور ؟ در پروفایل ایمیل و مشخصات گوگل پلاس ؟ چطور آنتی فیلتر ها قابلیت دور زدن تحریم ها برای دانلود کتاب را نداشتند ولی برای آنالایتیک توانمند شدند ؟ تجربه ای که در مورد کتابخانه gigapedia پس از خریداری گوگل صورت گرفت .
دو دلیل ساده ، اول آن که اجرای آنتی .... به مجموعه اطلاعاتی دشمن کمک شایانی کرده و با ایجاد این تصور در شما که شناسایی نشده اید اعتماد شما را به اطلاعات و فعالیت های این شرکت جذب می کند .
پس گوگل برای پول این کار را نمی کند . ظاهرا هم ما را تحریم کرده ولی به ما اجازه می دهد با آنتی .... به آنالایتیک دسترسی پیدا کنیم. از آن جذاب تر این که از ما می خواهد که به گوگل اجازه دهیم هر اسکریپتی که تمایل داشت در سایت ما اجرا کند . به نظر شما برای یک شمارشگر ساده چه نیازی به این مجوز است ؟ کافی است کد شمارشگر را به ما بدهد و بگوید روی سایتتان قرار دهید . چرا هر کدی که گوگل صلاح دانست ؟ فکر کنم تعجب کردید به کد آنالایتیک توجه کنید :

  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

البته ما برای سادگی توضیحاتی به آن اضافه کردیم :

به خطوط قرمز توجه توجه بیشتر کنید

 

 

  (function(){

  // store the name of the Analytics object
  window.GoogleAnalyticsObject = 'ga';

  // check whether the Analytics object is defined
  if (!('ga' in window)){

    // define the Analytics object
    window.ga = function(){

      // add the tasks to the queue
      window.ga.q.push(arguments);

    };

    // create the queue
    window.ga.q = [];

  }

  // store the current timestamp
  window.ga.l = (new Date()).getTime();

  // create a new script element
  var script   = document.createElement('script'),
  script.src   = '//www.google-analytics.com/analytics.js';
  script.async = true;

  // insert the script element into the document
  var firstScript = document.getElementsByTagName('script')[0];
  firstScript.parentNode.insertBefore(script, firstScript)

})();

و این یعنی www.google-analytics.com/analytics.js را روی هر کامپیوتری که به این سایت مراجعه کرد ، اجرا کن . خوب فقط کافی است این فایل محلی شود ، یعنی گوگل نسخه ویروسی فایل را در اختیار IP های ایران بگذارد . این قابلیت را کنار قابلیت فایل های سوپر مخفی (Super Hidden) ویندوز بگذارید . اگر این قابلیت را نمی شناسید باید بگویم ویندوز قابلیت این را دارد که یک فایل را به شکلی مخفی کند که حتی با آنتی ویروس یا سیستم عامل های دیگر هم نتوانید فایل را پیدا کنید. حتی حجم فایل های سوپرمخفی به حجم سر پوشه هایشان اضافه نمی شود . یعنی نمی توانید با حساب کردن حجم پوشه هایتان نتیجه گیری کنید یک فایل 10 گیگابایتی از همه پس ورد ها ، فایل های مهم و ... در کامپیوترتان وجود دارد . تازه این فقط بخشی از ماجراست.

 

ماجرا وقتی جدی تر می شود که متوجه شوید گوگل می تواند محتوای سایت هایی که به این آنالیزور مجهز شدند را عوض کند . امکان دارد فکر کنید برای عوض کردن اطلاعات سایت نیاز به دسترسی به سرور شما دارد ولی اشتباه می کنید . مهم نیست چه اطلاعاتی روی سرور شماست چون شما به گوگل اجازه دادید محتوای سایت شما را هنگام ارسال برای کاربر ویرایش کند .

 

به این تکنیک آفند غیرعامل یا حمله خاموش می گویند .

جالب اینجاست که گوگل با این انگیزه هم همه تلاش خودش را کرده که با اطلاعات صحیح به عموم سایت ها خدمات رایگان ندهد .

البته ما سایت ها و مخاطبین کشورهای دیگر را بررسی نکردیم و به این مساله حساسیتی نشان ندادیم .

 

اگر تا به حال متوجه علت سهل انگاری های عمدی امنیتی گوگل نشده اید کافیست کمی آینده نگر باشید، چه کسی مسئول فجایع احتمالی فضای مجازی در یک جنگ واقعی خواهد بود ؟ گوگل ؟ یعنی به سادگی محبوبیت خود را از دست می دهد ؟ خیر ،گوگل فقط راه را برای کسانی که می خواهند از گوگل سو استفاده کنند هموار می کند و سپس مدعی می شود که خود قربانی یک حمله تروریستی شده و از امکانات این شرکت برای مقاصد نظامی سو استفاده شده. اگر تصور می کنید گوگل به امنیت توجه می کند کافیست حجم هشدار هایی که به گوگل در خصوص حفره امنیتی Xss داده شده را در اینترنت جستجو کنید. چرا ؟ فقط چون وجود حفره امنیتی باور پذیر شود. مثل پهپاد هایی که بعد از به دام افتادن در ایران در مناطق مختلف سقوط کردند فقط برای اینکه سقوط پهپاد باورپذیر شود.

 

1- گوگل آنالایتیک (google analytic / آنالیزور گوگل) چیست ؟

یک سرویس از گوگل است . ابزاری جهت تحلیل و بررسی بازدید کننده ها و وضعیت وب سایت ها مثل وبگذر ایرانی البته با خدماتی گسترده تر .

2- اندروید (Android) چیست ؟

سیستم عامل محبوب و جدید گوگل برای گوشی های همراه و تبلت ها .

3- گوگل پلی (google play) چیست ؟

مرجع دانلود یا خریداری نرم افزار های اندرویدی که توسط این سیستم عامل معتبر شناخته می شود ، مثل سامانه نرم افزاری بازار / bazar ایرانی .

 

 

 

2 نظر on "گوگل یا الکسایی که دیگر قابل اعتماد نیستند؟!؟"

  1. g
    محمئمَهدی (تایید نشده) :: اکتبر 02, 2014 at 07:36 ::

    سلام
    میشه درباره مورد 2 (ترجیحا از سیستم عامل ها مجازی فریز شده یا یکبار مصرف برای کار در وب استفاده کنید.) بیشتر توضیح بدین و اموزش بذارین؟
    یا علی(ع)

    پاسخ مدیر : با یک نرم افزار ساخت ماشین مجازی مثل VMware یک سیستم عامل مجازی مطمئن آماده کنید. از فایل های هارد آن یک کپی تهیه کنید و بعد از هربار استفاده مجددا فایل هارد رو با فایلی که از قبل کپی کردید جایگزین کنید تا بک دور ها یا ویروس های احتمالی داخل ماشین از بین بروند. همچنین ماشین مجازی تا حدودی از نفوذ به سیستم عامل اصلی ممانعت می کند. همین طور با نرم افزار هایی مثل DeepFreeze خصوصا درایو سیستم عامل را در ماشین اصلی غیرقابل تغییر کنید.

  1. g
    کاربر میهمان (تایید نشده) :: اوت 01, 2014 at 20:45 ::

    راهکار چیه؟؟
    چطوری اطلاعاتمون دزدیده نشه؟؟؟

    پاسخ : این مشکلات باید بخشیش باید توسط آموزش وب مستر ها و طراحان در دانشگاه ها و بخشیش با سیاست گذاری های ملی مثل راه اندازی اینترنت ملی حل شه

    اما کار های مقدماتی که کاربران عادی می توانند انجام دهند :

    1- استفاده از نرم افزار های بروزر کدباز مثل فایرفاکس

    2- استفاده از فایروال های کدباز

    3- افزایش دانش در خصوص امنیت وب و انتخاب پسورد های مناسب واصول امنیتی

    4- استفاده از اکنت های مشترک - هر دانشگاه یا گیم نت و ... یک اکنت مشترک در همه سایت ها ثبت کنه که کاربرها همه از آن استفاده کنند.

    5- استفاده از Encryption اطلاعات - برای ارسال فایل ها آنها را با برنامه ای مثل winrar  فشرده و پسورد گذاری کنید

    اما برای مواقعی که امنیت نقش مهم تری دارد :

    1- از سیستم عامل های سرور مثل centos بدون پلاگین های اضافه استفاده کنید.

    2- ترجیحا از سیستم عامل ها مجازی فریز شده یا یکبار مصرف برای کار در وب استفاده کنید.

    3- از استاندارد های فایل نا امنی مثل NTFS برای حافظه سیستم خود استفاده نکنید.

    4- از سخت افزار های شبکه ای که برای شرکت های مشکوک و یا بد سابقه هستند استفاده نکنید.

    5- گول شعار های امنیت با امضای دیجیتال و ... را نخورید - تامین امنیت امضای دیجیتال واقعا طاقت فرساست.

    6- پسورد فایل های ارسالی را با شماره موبایل هایی که به شما منتسب است ارسال نکنید. نرم افزار ها و سخت افزار های موبایل به شدت نا امن هستند.

    7- گول تامین امنیت با تعداد بیت کدگزاری بالا را نخورید کدگزاری های 128 یا 256 بیتی شاید برای کد گزاری های سخت افزاری برای مدتی ضریب اطمینان خوبی ایجاد کنند ولی برای تبادل اطلاعات در وب و مواردی که زمان کافی در اختیار نفوذگر وجود داشته باشد یا مشکل تشخیص هویت حل شده نباشد قابل استفاده نیست.

    8- کلا گول امنیت رو نخورید :) تامین امنیت، هزینه های زیادی دارد و خرید و فروش باگ های امنیتی یکی از منابع اصلی درآمدی شرکت های بزرگ است پس هیچوقت مجموعه های بد نامی مثل ماکروسافت با تامین امنیت در نرم افزار های خود کنار نخواهند آمد.

نظر بدهید !