2 pontos por GN⁺ 2023-10-06 | 1 comentários | Compartilhar no WhatsApp
  • Foi compartilhado um caso em que, ao exportar um documento como HTML no Google Docs, os destinos dos links dentro do documento são trocados do URL original para links de redirecionamento do Google
  • Esse comportamento não acontece por inserção de script, e sim pela alteração do destino real em [; por isso, é difícil perceber só pelo texto do link exibido na tela
  • A reprodução pode ser feita inserindo um link no Google Docs e baixando um ZIP em File > Download > Webpage; depois, basta verificar no arquivo HTML ou na prévia de link do navegador
  • Como alternativa, foi citado o Collabora Office, que pode ser usado em instâncias Nextcloud, hosts em nuvem ou hardware próprio, com base no LibreOffice
  • Nos comentários, a discussão continuou sobre possível coleta de login, cookies, IP e user agent, questões de consentimento sob o GDPR e até alternativas de documentos colaborativos como CryptPad, OnlyOffice e Nextcloud

Links alterados na exportação HTML do Google Docs

  • Joe apontou que, ao exportar documentos do Google Docs como HTML, os links dentro do documento são substituídos por redirecionamentos invisíveis de rastreamento do Google
  • Não é um mecanismo de adição de script; o próprio valor de href no HTML passa a ser o destino real, então é difícil notar a mudança do link olhando apenas o texto exibido
  • Ele explica que, no HTML, a parte entre href="..." e "> é o destino real, enquanto a parte entre > e ](...) é o texto visível na tela
  • A possibilidade de usar textos como Read more, Profile e Wiki com um destino diferente do link em si é útil, mas ele considera que, neste caso, esse recurso foi usado de forma inadequada

Como reproduzir e comportamento observado

  • O procedimento de verificação é simples
    • Criar um documento no Google Docs e inserir um link
    • Baixar em File > Download > Webpage
    • Abrir o arquivo HTML dentro do ZIP como texto ou, no navegador, passar o mouse sobre o link
  • Joe acrescenta que há bastante informação adicional também no fim do link
  • Ele afirma que o Google pode rastrear, por meio desses redirecionamentos, até pessoas que não usam produtos do Google, e que esses links entram na exportação HTML sem consentimento do autor do documento nem do usuário final

Collabora Office e alternativas self-hosted

  • O Collabora Office foi citado como uma alternativa de software livre à tecnologia de escritório colaborativo do Google
  • Ele é baseado na tecnologia do LibreOffice, e a Collabora foi apresentada como a maior contribuinte do LibreOffice
  • Entre as formas de uso mencionadas estão instâncias Nextcloud, hosts em nuvem e hardware próprio
  • Nos comentários, também houve a observação de que é possível instalar o CODE (Collabora Online Development Edition) pelo painel de apps do Nextcloud
    • Se não funcionar após a instalação, pode ser necessário alterar o contexto do SELinux
    • Também foi comentado que o método de instalação interno do app pode não combinar bem com ambientes MAC de alta segurança
  • Houve ainda um comentário dizendo que implantou Nextcloud e um servidor OpenOffice com CapRover usando Docker, enquanto outro respondeu que ainda há muito trabalho com configuração do Apache, Let’s Encrypt, tratamento de arquivos no Docker, reverse proxy e outros pontos

Outras ferramentas de documentos colaborativos e experiências de uso

  • O CryptPad foi mencionado como alternativa com colaboração em tempo real, criptografia de ponta a ponta e código totalmente aberto
  • Um comentário diz que usa uma instância do CryptPad para trabalhos em grupo com amigos e que, embora a interface não seja excelente, foi possível usar sem explicações adicionais
  • O OnlyOffice apareceu como uma opção mais próxima de um substituto para produtos da Microsoft e do Google
    • Foram mencionadas tanto a versão online colaborativa self-hosted quanto editores locais offline
  • Também foi citado o produto de escritório independente para Android da Collabora Office, com a observação de que ele pode ser usado após passar por um QR code para instalar um novo feed no F-Droid

Privacidade, consentimento e debate sobre GDPR

  • Nos comentários, apareceram tanto a opinião de que esse tipo de conversão é permitido pelos termos do Google quanto a crítica de que, na prática, é difícil para o usuário recusar esses termos
  • Também foi compartilhado um relato de que o arquivo de dados do Gmail incluía nome do jogo, preço e data de compras feitas na Steam
  • Surgiu ainda a reclamação de que a exportação em PDF do Google Docs não inclui dicas de acessibilidade e apenas posiciona os glifos
  • Na discussão relacionada ao GDPR, alguém perguntou se um banner de cookies aparece antes do redirecionamento, e a resposta foi que não
  • Outro comentário disse que, se a pessoa não estiver logada, o domínio do Google recebe os mesmos dados que qualquer site comum e que, se não definir cookies e redirecionar para o link pretendido, não vê qual seria o problema
  • Joe respondeu que não investigou a fundo, mas que, independentemente de cookies ou fingerprinting, endereço IP e user agent já podem ser suficientes para identificação, a menos que se esteja usando VPN, em um café ou em uma rede compartilhada

1 comentários

 
GN⁺ 2023-10-06
Opiniões no Hacker News
  • Porque o Google Docs agora é amplamente usado como vetor de distribuição de malware
    Se você envia o usuário para uma página do Google Docs, firewalls corporativos e scanners de antivírus confiam nela por estar em um domínio do Google
    O que estão chamando aqui de “rastreamento” na verdade é esta página: https://www.google.com/url?q=https://wikimediafoundation.org...
    Parece ser um mecanismo para avisar que o usuário está saindo do Google e indo para outro site, reduzindo a eficácia de usar o Google Docs para distribuir malware

    • Eu também já tinha até pegado o forcado…
      Falando sério, em 9 de cada 10 vezes, fico feliz por poder conferir nos comentários do HN qual é a situação real quando vejo algo assim
      O Google não precisa receber passe livre nas decisões que toma, e já vi muitas situações em que ele invoca “segurança do usuário” ou “melhor experiência do usuário” e, no fim, também melhora a capacidade de rastreamento do Google
      Ainda assim, o Google precisa equilibrar muitos problemas conflitantes, e eu detesto quando as pessoas agem como se só as próprias necessidades importassem
      A discussão sobre o Google exigir autenticação de dois fatores no login é parecida. “Pessoas que perdem o dispositivo de 2FA” também é uma preocupação válida, mas também é válido apontar que há 10 ou 100 vezes mais pessoas hackeadas por causa de senhas fracas
      Não estou dizendo que exista uma única solução, mas fingir que o problema que o Google está tentando resolver não existe não é um debate honesto
    • A questão levantada é sobre documentos exportados do Google Docs
    • Tudo bem, mas a URL real não é essa
      Depois do parâmetro q, ainda vem algo assim:
      &sa=D&source=editors&ust=16965233434352076&usg=Ade5344w26X85-pHzoD-rVkkdfdfBQnJ7B
      Isso parece bastante com dados de rastreamento
    • Enquanto o usuário está usando um documento do Google como um documento do Google, tudo bem passá-lo pelo Google
      Mas, se ele exportou para compartilhar com outra pessoa em um “formato de arquivo que não é Google Docs”, aí não está tudo bem
      No momento em que você sai do ecossistema do Google, esse recurso de proteção vira um recurso de rastreamento
    • Só que links como estes passam direto
      https://www.google.com/url?q=https://www.google.com/
      https://www.google.com/url?q=https://www.youtube.com/
      Não parece justo. Não sei se isso é sobre “sair da suíte de escritório escolhida” ou sobre “sair do Google”
      Como exemplo interessante, é permitido mesmo com o certificado HTTP expirado: https://www.google.com/url?q=https://www.keyhole.com/
  • A intenção declarada do redirecionamento me parece ser prevenção contra phishing. Ou seja, dar ao Google uma chance de avisar o usuário antes que ele acesse um site conhecido como suspeito
    A possibilidade de rastreamento é só um bônus!
    A Microsoft também faz isso no Teams. Até links de sites internos compartilhados com colegas passam por verificação de links e depois são redirecionados
    Como resultado, a Microsoft deve ter acumulado uma quantidade enorme de dados sobre os hábitos de navegação de funcionários de empresas externas
    Eu respeitaria muito mais as empresas se elas fossem honestas, mesmo que a intenção fosse totalmente maligna: “Queremos protegê-los contra phishing. Mas 99% dos links provavelmente não são phishing. Então esse recurso, na prática, também permite coletar dados para rastrear e analisar o que vocês fazem e aumentar a lucratividade”
    Não entendo por que maquiam isso

    • Eu odeio muito esses links do Outlook e do Teams. Não sei se é uma implementação do próprio Teams ou outra coisa
      Na empresa, eles ficam fazendo testes de phishing e vídeos de treinamento, mas acabaram removendo justamente um dos recursos de segurança que sempre enfatizavam
      Não dá simplesmente para ver a URL antes de clicar. Uma vez, “caí” em um teste de phishing da empresa ao clicar em um link de e-mail
      Só que o próprio sistema de e-mail da empresa vinha nos treinando a clicar para verificar a validade dos links
    • O engraçado é que o Google explica suas intenções com honestidade, mas ninguém acredita que não seja mineração de dados para rastrear comportamento
      Nesse tipo de situação, não há como vencer
    • Considerando que distritos de escolas públicas dos EUA e estudantes menores de 18 anos hoje usam Google Docs quase exclusivamente, isso parece perfeito para virar processo de privacidade
    • O Safe Links do Teams é uma política que o administrador pode controlar
      https://learn.microsoft.com/en-us/microsoft-365/security/off...
    • Passo por incômodos parecidos com coisas como “prévia de link”. Para sites internos ou que exigem autenticação, isso nem sequer é possível
      Por isso, quando envio links por esse tipo de software, mando com uma leve ofuscação
      Às vezes nem envio o link; algo como “HN item 37776492” já basta
  • Fazendo um pouco de divulgação: na empresa onde trabalho há uma equipe que desenvolve o CryptPad, uma alternativa open source AGPL [a] ao Google Docs com criptografia de ponta a ponta
    Várias pessoas podem editar documentos em tempo real, e o servidor não tem acesso ao conteúdo
    Naturalmente, você pode hospedar por conta própria; também há uma instância oferecida pela equipe [1] e outras instâncias operadas por terceiros
    Ele não tem esse tipo de funcionalidade errada. Tem planilhas, documentos, um fork do ONLYOFFICE que roda no navegador, diagramas baseados no Draw.io, formulários, enquetes, módulos kanban, pads etc., além de armazenamento
    Não oferece todos os recursos do Google Docs, e a suíte de escritório não é tão polida, mas é útil o suficiente para vários usos
    Só para constar, o CryptPad já foi mencionado em várias respostas deste tópico, mas até agora não por alguém do nosso lado; mandei o link no chat interno, então talvez alguns membros da equipe participem
    [1] https://cryptpad.fr/
    [a] https://github.com/cryptpad/cryptpad

    • Vi alguns pontos incômodos no fluxo da demo
      Eu não sabia como criar um novo slide e só descobri o --- depois de ler a documentação
      Também fiquei confuso sobre qual linguagem o bloco de código esperava e, no fim, chutei “HTML”
      Seria bom que os trechos de código tivessem um pequeno menu suspenso no estilo do godbolt.org. Isso é ótimo para fluxos colaborativos do tipo “este código de alto nível compila para incremento de inteiro, então não precisa se preocupar com a lambda”
      O Godbolt também faz um bom trabalho preenchendo a página com um exemplo hello-world. Pelo menos nas primeiras vezes que alguém cria um tipo específico de documento, isso parece melhor
      Para usar isso como ambiente diário de desenvolvimento backend, acho que seria necessário ter integração com Git e a capacidade de acessar via SSH um ambiente de desenvolvimento configurado no estilo do okteto. Isso já se aproxima mais de outro produto
      Para usar todos os dias, também seria preciso backup dos dados, para o caso de a criptografia de ponta a ponta quebrar ou de a senha ser perdida
      A próxima pergunta é sobre uso offline. Quero ter um servidor backend em uma LAN não exposta à internet para armazenar coisas como informações de conta bancária, preciso ver meu itinerário de viagem mesmo quando meu plano de celular não funciona no exterior, e, se o servidor morrer, quero “copiar” os dados que estão no dispositivo para um novo servidor
      De qualquer forma, venho procurando algo assim há anos, e parece atender à maior parte dos requisitos
      Como funciona a resolução de conflitos? Fico curioso se é CRDT ou algum outro método
    • Entrei aqui para mencionar o CryptPad. Estou usando com hospedagem própria e é bem bom
  • O Google, com a Proteção Avançada ativada, também reescreve URLs de e-mails do Gmail acessados via IMAP, trocando-as pelo serviço de redirecionamento de URLs do Google
    Ou seja, ele reescreve o corpo da mensagem, o que quebra coisas como assinaturas PGP
    É realmente horrível
    A FAA702 por si só já bastava, mas, se a vigilância sem mandado sobre todos os dados armazenados no Google não parecia pessoalmente relevante, a conduta péssima do Google depois que o governo exigiu a instalação de backdoors já é motivo suficiente
    Está na hora de remover o Google da vida

    • Frequentemente recebo e-mails vindos do Gmail que não renderizam corretamente em clientes de e-mail HTML padrão, e cujos anexos ficam hospedados em servidores do Google
      Esses anexos provavelmente expiram e podem ser usados com mais facilidade para vigilância em massa
      Também vale repetir que as grandes empresas de nuvem apoiaram todas a já mencionada obrigatoriedade de backdoors governamentais
      Na minha visão, foi uma movimentação de captura regulatória. Elas queriam o poder resultante de vigiar clientes e denunciá-los seletivamente, mas também queriam impedir que qualquer empresa que atendesse o mercado dos EUA oferecesse, na prática, privacidade ou segurança melhores

      The CLOUD Act received support from Department of Justice and of major technology companies like Microsoft, AWS, Apple, and Google.[12][13] The bill was criticized by several civil rights groups, including the Electronic Frontier Foundation, the American Civil Liberties Union, Amnesty International, and Human Rights Watch. These groups argued that the bill stripped away Fourth Amendment rights against unreasonable searches and seizures, since the government could enter into data rights sharing agreements with foreign countries and bypass U.S. courts, and affected users would not have to be notified when such warrants were issued.[13][14] Some of these groups feared the government would not fully review requests from foreign countries for their citizens' stored on servers in the U.S., potentially allowing such data to be used in bad faith in those countries.[15]
      https://en.wikipedia.org/wiki/CLOUD_Act

  • Durante anos, ao copiar links dos resultados da busca do Google, o que era copiado era uma URL de redirecionamento
    Ao passar o mouse, aparecia o link real, mas, ao clicar com o botão direito, ele era trocado por um redirecionamento

    • Existe uma extensão simples de navegador que corrige isso, mas ainda assim esse comportamento é irritante, desagradável e quase enganoso
      Considerando a origem, não chega a surpreender
  • Este post mostra bem o que acontece quando um usuário com um viés fixo contra determinada empresa vê um recurso comum e, por padrão, presume as piores intenções dessa empresa

    • Exato
      Adicionar à função de exportação um recurso que remova algo como “você está saindo do ecossistema fechado” não sai de graça
      Mas reclamar que “o Google é maligno” sai de graça
      É o caso clássico de confundir preguiça com malícia
  • Não acho que isso seja para rastreamento
    Se o objetivo fosse apenas rastrear, haveria métodos muito mais simples e menos perceptíveis. Por exemplo, bastaria adicionar um ping em segundo plano
    Parece mais uma funcionalidade para interceptar o usuário quando o Google considera que o destino do link é malicioso, algo mais próximo de bloquear a distribuição de malware

  • Ainda não testei pessoalmente, mas fico curioso para saber se isso também se aplica a documentos exportados de uma conta paga do Google Workspace

    • Segundo a thread no Mastodon, contas pagas também se comportam da mesma forma
  • Olhando com mais boa vontade, parece que o link exibe um aviso de redirecionamento e abre em uma nova aba, o que parece um bom comportamento dentro do editor do Google Docs
    Não dá para saber com certeza, mas é bem provável que também haja rastreamento ali. Para que mais serviria uma string opaca nos parâmetros de consulta?
    A reescrita de links parece ter se originado daí, e provavelmente não foi adicionada apenas à versão exportada
    É decepcionante que isso não seja removido na exportação, mas parece muito provável que seja um caso de borda com o qual ninguém da equipe se preocupa
    Além disso, se houver rastreamento, também não sabemos como e quando esse valor é atualizado. Por exemplo, não sabemos se é um comportamento remanescente, se é atualizado no momento da exportação ou se cada usuário recebe um número de rastreamento único ao exportar o mesmo documento

  • Não entendo como alguém que usa produtos do Google ainda se preocupa com privacidade ou rastreamento de atividades
    É parecido com usar o Facebook. O negócio dessas empresas se baseia em extrair dados dos usuários, então o certo é simplesmente não usá-las