Вконтакте в очередной раз решил порадовать всех своих пользователей, приоткрыв завесу секретности: каждый из пользователей получил возможность увидеть вк глазами админов. Баг пофиксили в течение достаточно быстрого времени, но у многих остались вопросы. Особенно по поводу возможности посмотреть скрытые фото пользователей.
Какой-то хороший человек успел записать видео с возможностями, которые есть у модераторов (система не давала читать сообщения или просматривать скрытые фото из-за ошибки доступа, но у реальных модераторов такой доступ, судя по всему есть).
Не уверен, связана ли обновленная авка на странице Павла Дурова с этими событиями, скорее всего, Паша решил потроллить своих приемников, которые как всегда налажали:
Примерно в это же время появилась запись от официального сообщества Команды Вконтакте:
Из того, что известно наверняка:
Расширенный доступ к профилю пользователя:
Возможности наказания непослушных сообществ:
Бан по шаблону:
Доступ к багрепортам:
Некоторые пользователи утверждают, что существует возможность посмотреть историю запросов каждого пользователя (достоверность скрина не подтверждена):
Также видел скрины, показывающие механизм распознования порнокартинок на аватарках, но не успел сохранить, а администрация сообщества почему-то его удалила. Настоящий он или нет — подтвердить не могу.
В любом случае, ближайшие пару дней мы увидим еще не одну байку о том, что же видят на самом деле представители администрации Вконтакте. Но интереснее всего то, кто все-таки имеет доступ к приватным фотографиям пользователей, и действительно ли доступны видны запросы, которые вы отправляете в ВК, любому зеваке, попавшему в команду модераторов ВК?
Стоит отметить, что ВК любит радовать своих пользователей. Я уже несколько раз описывал некоторые уязвимости в Вконтакте, которые помогают настраивать мне более эффективную рекламу здесь и здесь. А мой коллега даже решил выложить подробное руководство о том, как получать бесплатные клики из ВК. Совсем недавно администрация ВК забыла продлить домен, хранящий большинство фотографий пользователей, в связи с чем эти самые фотографии оказались недоступными на несколько дней, в то время как администрация судорожно переподключала новый домен. Или вот однажды ВК добавили на счет каждому пользователю рекламного кабинета сумму, равную его затратам за всю историю работы с ВК.
Но такого веселого и масштабного факапа я еще не видел.
UPDATE: Если отправить в личные сообщения скрин с некоторыми фото этого факапа — картинка удалится в течение нескольких секунд. Пруф:
Какой-то хороший человек успел записать видео с возможностями, которые есть у модераторов (система не давала читать сообщения или просматривать скрытые фото из-за ошибки доступа, но у реальных модераторов такой доступ, судя по всему есть).
Не уверен, связана ли обновленная авка на странице Павла Дурова с этими событиями, скорее всего, Паша решил потроллить своих приемников, которые как всегда налажали:
Примерно в это же время появилась запись от официального сообщества Команды Вконтакте:
Из того, что известно наверняка:
Расширенный доступ к профилю пользователя:
Возможности наказания непослушных сообществ:
Бан по шаблону:
Доступ к багрепортам:
Некоторые пользователи утверждают, что существует возможность посмотреть историю запросов каждого пользователя (достоверность скрина не подтверждена):
Также видел скрины, показывающие механизм распознования порнокартинок на аватарках, но не успел сохранить, а администрация сообщества почему-то его удалила. Настоящий он или нет — подтвердить не могу.
В любом случае, ближайшие пару дней мы увидим еще не одну байку о том, что же видят на самом деле представители администрации Вконтакте. Но интереснее всего то, кто все-таки имеет доступ к приватным фотографиям пользователей, и действительно ли доступны видны запросы, которые вы отправляете в ВК, любому зеваке, попавшему в команду модераторов ВК?
Стоит отметить, что ВК любит радовать своих пользователей. Я уже несколько раз описывал некоторые уязвимости в Вконтакте, которые помогают настраивать мне более эффективную рекламу здесь и здесь. А мой коллега даже решил выложить подробное руководство о том, как получать бесплатные клики из ВК. Совсем недавно администрация ВК забыла продлить домен, хранящий большинство фотографий пользователей, в связи с чем эти самые фотографии оказались недоступными на несколько дней, в то время как администрация судорожно переподключала новый домен. Или вот однажды ВК добавили на счет каждому пользователю рекламного кабинета сумму, равную его затратам за всю историю работы с ВК.
Но такого веселого и масштабного факапа я еще не видел.
UPDATE: Если отправить в личные сообщения скрин с некоторыми фото этого факапа — картинка удалится в течение нескольких секунд. Пруф:
Поделиться с друзьями
Bonio
Особо интересен пункт «вектор интересов».
Еще распознается текст на фотографиях и, видимо, изображенные объекты. Хорошо, что не держу там аккаунта и не держал никогда. А вот знакомые и родственники держат и активно заливают туда личные фотографии.
HellWalk
Вы думаете в других социальных сетях дела обстоят иначе?
sumanai
Надеюсь, Хабр так не делает. Ибо лично у меня в других соцсетях аккаунта нет, и никогда не было, если конечно не считать вечно возрождающийся мой мир одного известного почтового сервиса.
Bonio
Не имею аккаунтов ни в каких социальных сетях.
Teutonick
вскоре вам перестанут приглашать на собеседования, не удивляйтесь =)
s-kozlov
Разработчик без аккаунтов в таких соц. сетях, как github и StackOverflow — это действительно повод задуматься.
symbix
Задуматься? Хм.
С гитхабом, в принципе, понятно: мало кто не упирался в гостевой лимит запросов. Да и пулл-реквест с фиксом сделать часто выгоднее, чем отфоркаться в приватный репозиторий и потом мержиться.
А вот про SO совсем с точки зрения работодателя непонятно. :)
s-kozlov
А это так, для примера, как один из популярнейших сервисов такого профиля. Просто странно, когда человек много лет проработал и ни разу не столкнулся со сложной проблемой, по которой готового ответа нет в сети.
Wedmer
За десяток лет как то не пришлось задавать там вопросы. Ведь подобные специализированные сервисы есть на сайтах разработчиков (у TI точно был). Так же есть багтреккеры.
s-kozlov
Да, пожалуй Q&A — спорный критерий.
valiorik
Пару лет тому назад наняли разработчика, у коотрого был очень хороший рейтинг на StackOverflow. Через два месяца пришлось увольнять. Он всё время на работе задрачивал рейтинг на SO, а работу делал так себе.
dennis777
Я вот вам Апдейт принес. Если отправить в личные сообщения ссылку на страницу из этой статьи (перезалитой на хабрсторадж), где показывается функционал при просмотре профиля (возможно и паблика) — картинка удаляется в течение нескольких секунд.
Хоть что-то научились делать, но ИМХО это очень интересный факт
Labunsky
dennis777
s-kozlov
Это которые в форме котенка?
qw1
dennis777
просто это компания, которая не умеет в СММ.
Ведь можно же было в этой ситуации попробовать выйти из положения? Ну написать там письмо открытое, мол да нафакапились, потому что у Васи — кошка рожала, он ночей не спал, извелся весь, и открыл по ошибке доступ всем нашим пользователям.
Но вы не пугайтесь. К фотографиям действительно имеется доступ, но только лишь у вышестоящих звеньев блаблабала. Это нужно для того, чтобы блаблабалабаалабал
Вообще, спасибо братья, что обратили внимание на эту ошибку, без вас — она бы не получила такого внимания, виновные бы не понесли наказание…
Но нет же, ВК втихую чистит картинки. Точно также, как после публикации о бесплатных кликах: вместо того, чтобы выплатить пользователю заслуженную компенсацию — в молчок и тихонько фиксить. Недофиксили, кстати
dimm_ddr
Естественно что с такой стратегией они никогда не дофиксят окончательно все эти проблемы. Сама стратегия мешает доделывать до конца. Если не замалчивать и признавать факапы, то шум будет идти до тех пор пока проблема реально не решится. А в текущей ситуации проблема исчезнет из вида администрации как только пройдет первая медиа волна. И как только проблема исчезнет из внимания ее, очевидно, перестанут решать. Достаточно очевидно же, что за такой короткий срок серьезные проблемы не решаются. Ну и как следствие всего этого — положительная обратная связь, когда сотрудникам выгоднее по быстрому затереть информацию о баге, чем пофиксить его.
EviGL
Вау, а они ведь только что сделали именно так, как вы сказали :)
https://habrahabr.ru/company/vkontakte/blog/324722/
dennis777
ну вот, а премию мне так никто и не выписал =(
M_AJ
Это не единичный случай на самом деле. Когда сплыл баг iOS — iPhone намертво зависал при отправке определенной комбинации символов — сообщения с этой комбинацией тоже не доходили. Когда резко падал доллар и мы с товарищем беседовали на эту тему, он не мог отправить мне ссылку на сайт ЦБ РФ (впрочем допускаю, что это был просто глюк, но он тогда еще пошутил, мол сразу видно, что теперь mail.ru хозяева) еще была совсем недавняя история с «китами» когда они терли комментарии содержащие определенные слова.
ushliy
Помнится, тогда группы и люди, выкладывавшие информацию о Docker в бан улетали)
devalone
Ответ поддержки :)
dennis777
да, именно об этом я говорил, когда отметил, что компания не умеет в СММ
Seven-ov
Чего, собственно, плохого в социальных сетях?
Это инструмент и использовать нужно его по назначению.
И если заведомо известно, что все, что вы добавите в социальную сеть может стать достоянием общественности, то чего сложного просто не добавлять ту инфрмацию, которой вы не готовы делиться?
NeoCode
Да, «вектор интересов» самый любопытный пункт.
Вообще завидую владельцам этой сети, это же такие возможности по скрытой манипуляции обществом! Такой социальный граф! Столько возможностей!
ZverArt
Ну тут смотря как к этому относиться.
Всем нам нравятся умные вещи, когда что-то за нас делается, когда фотографии сами сортируются по альбомам, когда гугл выдаёт нужный нам результат по нашему запросу и так далее, но нужно понимать, что для того, чтобы это всё могло существовать, необходимо огромное количество данных. Соответственно, личные данные — это некая цена за все блага.
Другой вопрос — не слишком ли высока эта цена?
Alexeyco
Это смотря чем будете платить )))
OsipovRoman
Большой брат приоткрыл свою кухню)
Adium
Мыло.сру же. Не удивлюсь, если через какое-то время можно будет за реальное бабло купить доступ к скрытым фото других людей. В играх у них, например, одно время можно было за бабло подсмотреть карты других игроков. Может сейчас уже и убрали.
tmplts
При Дурове такого не было (с)
NLO
НЛО прилетело и опубликовало эту надпись здесь
dennis777
Я вроде как чувак, который открутил в ВК больше 10 миллионов рублей. Категории интересов от вк — это полная фигня, которая работает только для попсовых широких проектов, только как одна из возможных (20+) настроек.
Сейчас ВК пошел дальше, и решил собирать похожие аудитории (подобно Фейсбуку), но на данный момент — результаты все так же плачевны.
Но это не значит, что в Вк нельзя выжимать хорошие конверсии. Это значит, что они почему-то организовали работу рекламного кабинета таким образом, что среднестатистический человек не сможет нормально настроить рекламу. Почему они это сделали? — Я не знаю.
Но очень скоро, я таки соберусь с силой воли и устрою на Хабре 90 дневный марафон, посвященный интернет-продвижению (включая злосчастный ВК)
tmplts
очень интересует тема поиска в ВК детской аудитории 6-12 лет. По формальному таргету ее не зацепить, приходится всякими окольными путями идти. Если есть опыт и понимание — поделитесь, пожалуйста.
dennis777
Вообще, можно даже такое. Выборка будет не самой точной, но по крупицам собрать можно. Вот только у меня сейчас в Луизиане глубокая ночь, утром постараюсь расписать.
untech
Звучит просто ужасно.
fireSparrow
taumag
Ищите их по грамматическим ошибкам )
EviGL
Найдёте 95% аудитории вк :)
s-kozlov
Гораздо проще искать по орфографическим (внезапно, это непересекающиеся множества).
neko_nya
Я
тевам зацеплю…Руки прочь от детей.
0xd34df00d
Может, человек им учебники русского языка рекламировать хочет.
Априорная педоистерика забавная, на людей, идущих в учителя, вы тоже агрессивно реагируете?
neko_nya
Педоистерика тут ни при чем.
Человек, который старается впихнуть свою рекламу в неокрепшие мозги детей, которых вообще не должно быть в пакостных соцсетях, заслуживает презрения.
Впрочем, как и прочие сеошники и сммщики, которые гадят в интернете.
Таргетинг у них, понимаешь. Бабло у вас зарабатывается – на тупости обычных людей. Но если взрослых не жалко, детям не сметь морочить голову.
Ставьте минусы, бросайте камни. Все равно против адблока вы слабы.
dennis777
Ахахахаха. Можно сделать скрин ваших слов, и показывать их друзьям, когда речь заходит об интернет неграмотности? Примерно такие понятия о сммщиках, сеошниках и рекламщиках были у моей бабули. Но моя бабуля — родилась очень давно. Она мало знала о бизнесе, её не волновали продажи, количества установок приложений, заказов или прочих вещей, создающих, кстати, рабочие места для а) людей которые исполняют заказы, б) людей которые обслуживают тех, кто организовывает свой бизнес.
Я экономист, если что: статистик и немного эконометрик. Только в отличии от пост советского пространства, на западе учат, что предпринимательство — это хорошо.
dennis777
Дети, если что — ежедневно подвержены влиянию рекламы по телевизору, на улице, и даже (о Боги) в школе.
Но, конечно, виной всему сммщики, сеошники и прошлые ребята, которые слабы против адблока. Кстати, погуглите ради интереса, у какого процента населения стоит адблок. И еще, если что, сеошники — вообще никак не боятся адблока.
И еще, если бы мы не зарабатывали бабла, на тупости, как ты говоришь людей, многие программисты, в том числе, не имели бы работы.
Посмотри немного на рынок. Много есть успешных стартапов без удачных рекламных кампаний? Продуктов хороших — тьма, но наверху, как правило гавно, у которого была реклама. И это не значит, что виноваты рекламщики. Значит, что надо уметь преподносить свои проекты.
dennis777
и еще. помимо сеошников, сммщикам и таргетологам (внезапно) — тоже уже не страшен адблок ;) Кликбейт банерами по интернетам в основном арбитражники занимаются. А в тех же соцсетях — никакой адблок не спасет вас от моей рекламы прямиком к вам в ленту.
Более того, если бы я не написал об этом на хабр, то ничто не мешало бы мне вставить пиксель в статью, и собрать всех тех, кто смотрел или комментировал определенную публикацию, чтобы задрачивать их по узкотематическим интересам. И более того, в скором времени большинство сможет давать высокоточную рекламу по гео характеристикам. В какое чудное время мы живем, не так ли?
Бедные дорвейщики из двухтысячных — плачут из-за того, как мало было у них возможностей. А еще, кредитные компании научились анализировать ваши покупки/затраты, знают ваше местоположение и очень часто предлагают вам персонализированную клевую рекламу. И более того, они даже знают, с какими типами рекламы как вы взаимодействуете.
Страшно, правда?
tentakle
Я далек от рекламы и всяких смм, поделитесь статистикой — люди правда как-то реагируют на рекламу? Не в плане мисс клика, а в плане каких-то реальных действий с товарами/услугами/прочим, которые рекламируются.
dennis777
Я писал там чуть ниже, за прошлый год только в вк и только по проектам клиентов (без моих личных) я открутил 10 миллионов рублей. Я — это не агенство, а всего лишь маленькая личинка на рынке рекламы.
Не знаю, зачем люди это делают (я тоже немного айтишник, и мне сложно понять), но они очень хорошо взаимодействуют с рекламой. Другое дело, что не все умеют делать эту рекламу. На хабре была статья о сео компании, которая клики из вк по 66 рублей получала, хотя в их нише, хорошая реклама будет давать порядка 5, возможно меньше.
А потом, такие люди расстраиваются, и заявляют, что реклама в вк, например, не работает. Реклама везде работает, главное не настраивать сео контору на читателей пикабу
dennis777
Ну то есть, я к тому, что не будут же заказчики просто так сливать 10 лямов рублей, если продаж нет?)
master65
После ваших комментариев мое отношение к автору резко ухудшилось.
dennis777
Да я вообще — зло в самой последней инстанции ;)
Am0ralist
Только если в виде репостов тем. Ибо как раз таки адблок режет рекламные посты.
На мобильнике в клиенте — да, с какой-то периодичностью встречаются рекламные сообщения, а вот на компе ничего.
sumanai
Поэтому нас нет в тех соцсетях.
dennis777
А на Хабре вы не подвержены? И я даже не говорю об очевидных рекламных блоках, но о формировании имиджа тех или иных компаний. Вот, например, Мосигра — неужели вас не трогают эти замечательные посты?
Если бы я жил на территории, где они доставляют — я бы только у них настолки и покупал.
Да даже тот же выбор языка программирования?
Вы знаете, почему одно время Паскаль/Делфи 7 были настолько популярны?
Потому что компания вкладывала большие деньги в популяризацию продукта (особенно через образовательные каналы: школы/универы).
На любой конференции (в том числе айти конкуренции) есть свои спонсоры. И спонсоры — это не только те, кто висит на рекламных банерах, но и те, которые вливают в ваш мозг правильные мысли под правильной начинкой.
Но такая вот реакция — настолько меня затронула, что я, пожалуй, напишу об этом большой хороший пост.
Реклама — это неплохо. Реклама хорошего продукта — отлично и полезно (в первую очередь для потребителя). Реклама плохого продукта — отвратительно.
Но как избавится от плохих продуктов? Рекламировать больше хороших ;)
sumanai
С 5 страниц их блога читал только две статьи, комментировал в одной.
В настолки не играю, так что мимо, увы.
Пишу в основном на немодном PHP.
Спасибо за похвалу.
dennis777
Да я не конкретно о том, на чем вы пишите. Я о том, что любая компания старается идти в рекламу/позиционирование/маркетинг — вот это вот все.
И когда говорят про реклама двигатель прогресса — в каком-то смысле это правда. Вы создаете продукт — начинаете рекламную кампанию (неважно где, в интернете, в оффлайне, торговле или ракетостроении).
Если она успешна — вы начинаете получать определенные доходы, возможно принимаете решение масштабироваться.
Теперь вы уже не просто платите налоги в казну, но и создаете дополнительные рабочие места. Большее количество рабочих мест — больше людей, имеющих доходы. Люди имеющие доходы — совершают больше покупок. Больше покупок — больше толчков для развития существующих и новых компаний.
Вот такой вот vicious cycle. Именно поэтому, во многих «капиталистических» странах — осознают влияние малого/среднего бизнеса на развитие экономики, и вместо препятствий — пытаются создать комфортные условия для роста.
При этом, это не значит, что хороший продукт не может взлететь без хорошей рекламной компании. Может. Только гораздо сложнее. Попробуйте прорывную идею запостить на кикстартер. У меня даже статья про это есть здесь, кажется. Ничего не произойдет, какой бы крутой идея не была.
sumanai
И меня это печалит- необходимость вечного роста, чтобы жить хорошо. А при остановке роста- кризис.
1eqinfinity
То, что вы говорите — верно. И то, от чего отталкивается ваш оппонент (или несколько их) выше по ветке по поводу заливания трэша — тоже имеет место быть. Вы написали, что хорошая реклама хороших продуктов — это хорошо. А реклама плохих продуктов — это отвратительно. Но давайте взглянем на реальную картинку, а не на высказанные в пустоту этические установки. Ручаетесь ли вы, что хотя бы 50% проектов, над которыми вы работали и работаете — это реклама хороших продуктов? Думаете ли вы, что половина уважаемых вами коллег может за это ручаться?
Оставим даже за скобками субъективное свойство качества продуктов, ибо это отдельная тема.
dennis777
К счастью, уже давно я вышел на достаточно хороший финансовый уровень, который позволяет работать мне только с теми клиентами, которые МНЕ интересны. Это могут быть не самые хорошие продукты на рынке, но как правило, такие, что имеют интересные задачи и задумку, которая нравится мне.
Что касается коллег — они могут рекламировать то, что им угодно, это исключительно их право. Многие работают с дерьмом в том числе, я думаю не от хорошей жизни. Средняя зп среднего сммщика — 30-60к, и какой-то плохой продукт, может давать большую половину от этих денег. Ему теперь не есть из-за того, что кто-то считает продукт плохим?
Чем меньше людей реагируют на плохие продукты, и их рекламу, тем меньше рекламщику придётся думать о том, плохо это или хорошо, ибо плохо само умрет. Я с телефона отвечаю, не помню писал или нет, но у меня есть хороший пример. Знакомый делает интернет магазины, и делает действительно хороший кастомер сервис. И вот его просто убивают дебилы, которые продают говнотовары, не возвращают нормально деньги при проблемах, и рушат доверие к рынку в целом, покупая в последствии в торговых центрах, где дороже, но надежнее.
Если таким ребятам не помогать — о каком развитии интернет-торговли может идти речь? Говна — всегда много, в любой сфере. В том числе в программировании. Работать с такой компанией или нет — личное дело каждого. Но если у меня есть друг, который работает на компанию, которая оказалась замешанна в краже sensitive data, это не значит, что все программисты — мудаки, ведь так?
1eqinfinity
Всё прекрасно в этих фразах (не удержался от сарказма). Аргумент «что ему, не есть теперь?» — это самая частая отговорка для любого трэша, который способна творить лысая обезъяна. Мне его приводили самые разные люди, в т.ч., например, парниша в ОВД, собиравшийся фабриковать на меня уголовное дело за посещение мирного митинга. У него жена, дети, и нет квартиры. О том, что у него мозгов и совести нет, видимо, говорить не хорошо.
Это я не на вас лично сейчас наезжаю, просто эмоционально реагирую на данный конкретный аргумент.
По поводу того, что плохое умрет само — это не так. Пипл хавает, и переваривает, и хавает снова, и блюет, и забывает, и так по кругу. Ничего не умирает. Качество является следствием культурного развития, и, как следствие, это очень хрупкое понятие, которое можно разрушить обычными многочисленными выходами за культурные рамки данной области.
Собственно, ваш же пример с интернет магазином знакомого это демонстрирует.
Да. Все программисты — люди. А людям часто удобно быть мудаками и нравится лелеять мечту, что вот получат финансовую независимость, и уж точно тогда прекратят свою мудянку. Ну а пока приходится, уж не вините их.
dennis777
Секунду, вот вы говорите о том, что все плохое умрет само — это не так.
Так если это не так — быть может на это галимое гавно есть спрос и не такое же оно галимое?
Я экономист, мне нравится точка зрения о том, что рынок сам себя регулирует. Если для определенного товара есть рынок — значит он будет продаваться в том или ином виде.
А помогать ему, или нет — дело абсолютно каждого. Я не работаю с гавнопроектами, не потому, что я принципиальный чувак, думающий, что это очень плохо.
Я не работаю с гавнопроектами — потому что я не люблю связываться с гавном, особенно когда есть множество клевых продуктов. Как минимум потому, что с гавном — особо не нужно заморачиваться, гавно очень легко продвигать — это не интересно. А вот продвинуть не гавно — тут нужно думать, именно думать и привлекает меня в этой профессии. Но если кому-то нравится? — это их личное дело. Мы живем не в волшебной стране, где каждый может принимать только правильные решения, увы. И абсолютно каждый из нас на том или ином этапе — делает нехорошие вещи. Но судить из-за этого о всей профессии?
Теперь возвращаясь к гавну и маркетингу. К сожалению, в текущих рыночных условиях, гавнопродукты имеют больше шанса на успех. И основная тому причина — потребители. Возьмем банальный пример с молоком. Есть молоко качественное, но дорогое. Есть фигпоймичто, но по доступной цене. К сожалению, большинство людей выберет фигпоймичто, потому что денег жалко.
У меня супермаркет в Крыму есть, я насмотрелся на это вдоль и поперек. Что происходит в таком случае с хорошим продуктом? Ему приходится максимально сокращать издержки, чтобы конкурировать с гавном. Сокращаем издержки — заменяем молоко на всевозможные добавки, становимся таким же гавном, которое теперь может конкурировать на рынке. Это грустная тенденция, однако, это именно то, что происходит в мире.
Я живу в Штатах, и когда речь идет о еде — такие вот ситуации происходят каждый день. И за такими тенденциями очень грустно наблюдать. Но когда речь идет о таких масштабах — рынок формируется не только благодаря предложению производителей, но и спросу потребителей. Если спрос есть — кто виноват?
1eqinfinity
Не могу сказать, что сужу о всей профессии. Это скорее общечеловеческая проблема.
И искать виноватых в спросе тоже неверно, конечно. Говно на рынке целесообразно рынку. Но рынок во многом нецелесообразен, пардон, «положительным» или «осознанным» потребностям людей, как мне думается. Его саморегуляция вовсе не обязательно приводит к положительным результатам, т.к. в этой саморегуляции находят отражение не только созидательные наклонности, но и алчность и безответственность. Вспомните, например, как Bayer, чтобы минимизировать потери, слила в третий мир препараты, от которых у людей в первом мире были страшные последствия. Или опять же, как в вашем примере, что важнее: оставить пищевое говно на рынке или выпускать здоровые качественные продукты?
Да, люди сами голосуют кошельком за всякое копро, часто из-за нехватки ума. Большинство людей вообще только стареет, не умнея. И из-за этой среднестатистической копрофагии проблемы у всех.
michael_vostrikov
Тот, кто создает предложение. Не будет предложения — не будет и спроса. А наоборот немного не так. Нет спроса — все равно можно предлагать. Сейчас нет, потом будет. И реклама в этом как раз помогает. Вот если и тогда не будет спроса, тогда да, рынок сам себя регулирует и все такое, предложение уйдет. Но придет другое.
А вот если рекламировать качественное и не рекламировать некачественное, тогда качественному и не придется "максимально сокращать издержки".
dennis777
Отличная история, но ведь только мы с вами живем в реальном мире, а не сказке, не так ли?
Более того, ходят слухи, что некоторые компании имеют огромные отделы по промышленному шпионажу, занимаются подкупом чиновников ради устранения конкурентов, да и всяких прочих банальных рейдерских захватов.
Но да, конечно же, во всем виновата реклама.
Любая предпринимательская деятельность связанна с конкуренцией. Пока есть конкуренция — всегда будет говно, и не говно. Как и всегда будет реклама, продвигающая как одни, так и другие продукты. Но в воображаемом мире возможно все, поэтому не исключаю, что в определенных закромах сознания — такой вариант вполне себе возможен.
Где-то там, где все без исключения люди какают ромашками. Потому что рассматривая подобную ситуацию, нужно не забывать — что ключевая личность любой компании (как и любой потребитель) — живой человек. И выдвигая подобные гипотезы — вы подразумеваете, что вокруг — идеальные люди. Увы…
michael_vostrikov
Шпионаж и устранение конкурентов — это создание предложения. Реклама — это создание спроса. Она не виновата во всем, это просто инструмент.
Я говорю не про воображаемый мир. Я говорю про спрос на некачественные товары. Он есть потому что есть предложение. Поэтому говорить, что предложение есть потому что есть спрос, это подмена причины и следствия.
Вот именно поэтому не надо полагаться только на саморегуляцию рынка.
s-kozlov
Предвижу аргументацию в духе продавщицы алкоголя подросткам: «Не я — так другая овца продаст»
dennis777
Очень слабая аргументация. К чему сюда подмешивать нарушение закона?
И уверены ли вы лично, что, например, вы работаете на хорошую компанию, которая делает хороший продукт?
Что, если я посчитаю, что ваша компания говно — вы завтра уволитесь?
s-kozlov
Простите, а с чего бы меня интересовало мнение какого-то анонимуса из интернетов?
А вот если я сам буду считать контору говном, я в ней работать не буду.
Я, может, и уверен, а если даже не очень уверен, другие говноконторы от этого перестают быть говном?
А я не о законе, а о морали.
dennis777
Замечательно, вы только что сами ответили на все свои вопросы. С чего тот, кто не считает продукт с которой он работает гавном, должен прислушиваться к мнению какого-то анонимнуса из интернетов, считающих это таковым?
s-kozlov
Да пускай ест на здоровье (не за мой счет), только если я (анонимус из интернетов) считаю его продукт говном, мне нет никакого дела до того, есть у него в доме пожрать или нет, болен ли его брат или ребенок. Меня нисколько не волнует, что ему «тоже кушать хочется». И мне хочется, но я не делаю и не продвигаю дерьмо (ИМХО, конечно) и при этом кушаю. Так что пусть не удивляется, почему анонимусы отказываются покупать говно, чтобы ему было что покушать.
См. выше.
s-kozlov
Дык миллионы мух могут ошибаться или нет?
dennis777
могут ошибаться, и что дальше?
s-kozlov
Первое утверждение подразумевает «миллионы мух не могут ошибаться», второе — «миллионы мух могут ошибаться».
dennis777
я не понимаю почему вы считаете, что фраза
подразумевает, чтоРовно как и вторая фраза и ошибки мух. Кто вам сказал, что это ошибка, а не осознанный выбор?
s-kozlov
Т.е. если нашлись мухи, готовые жрать вот это говно, то оно не такое уж и говно. Так получается?
«Миллионы мух не могут ошибаться» означает ровно то же самое.
1eqinfinity
а ghostery боятся?
dennis777
Гостери, как и адблок, если что, продаёт информацию крупным рекламодателям, чтобы они могли делать рекламу ещё лучше ;)
qw1
Да, AdBlock нужен, чтобы делать рекламу ещё лучше, ещё незаметнее )))
1eqinfinity
Это если не снять галочку под названием ghost rank или как-то так.
dennis777
У меня в кармане лежит пару кредиток, которые владеют полной информацией о моей истории покупок, местоположении, благодаря чему — предлагают мне часто точечные сверхвыгодные скидки. Я не парюсь по поводу того, что кто-то имеет возможность таргетироваться на меня по моим интересам и уровню доходов, потому что такая реклама — является, как правило, выгодной для меня.
К тому же, чтобы избавиться от подобного трекинга — нужно навсегда забыть о использовании кредиток, и везде расчитываться кешем. А это, знаете ли, не очень удобно. И как правило невыгодно.
Как-то так я отношусь и к интернет-рекламе. Можно углубляться до малейших деталей, но все равно найдется способ, который будет трекать информацию о вас. И не всегда — это плохо.
sumanai
Так и делаю, проблем нет, а заморачиваться кешбеками и накоплением копеечек во всяких спасибах от сбербанка мне просто лень, моё потраченное на это время стоит дороже, чем я на этом сэкономлю.
dennis777
Я живу в Штатах, тут это не удобно и не совсем безопасно, а ко всему прочему, использование кредиток дает мне в год примерно 10-15 тысяч на путешествия в виде всевозможных миль и очков лояльности.
Плюс хорошая кредитка — это защита покупки на 90 дней от кражи/повреждения + доп гарантия на 1 год, плюс всевозможные защиты, гарантирующие возврат товара, плюс всевозможные страховки от задержки самолетов и тд и тп.
sumanai
А я живу в России, и тут можно быть анонимным.
s-kozlov
А я думал, что кредитки — это возможность тратить бабло, которое ты еще не заработал
dennis777
Ага, и ипотеку брать под 3 процента годовых — удел слабых и бедных ;)
Хорошая кредитка — это целый набор огромных плюшек. К примеру, в январе я возвращался от подруги из Чикаго. Из-за плохой погоды рейс задержали на 18 часов.
Вместо того, чтобы тратить это время в аэропорту, я ждал в номере Ritz Carlton за 500 баксов, поужинал за 200 и позавтракал за 120. Банк компенсировал все затраты, потому что на кредитке — 6ти часовая страховка от задержек рейсов.
И это только один из примеров. Ну и да, у меня бизнес. Иметь возможность беспроцентно прокручивать по 150-200 тысяч долларов в течение 2х месяцев — это сам по себе крутой перк.
s-kozlov
Так я и говорю: тратить бабло, которое еще не заработал. Только это не обязательно плохо. Плохо, когда в кредит живут.
NickKolok
А вот не надо решать за родителей, должны ли дети быть в соцсетях.
В Хогвартс, стало быть, с 11 можно, а в контактик только с 13?
Соцсети — это просто инструмент.
WTFRU7
поиск детей просто реализовать — те, кто указал их у себя в профиле. по всему вк таких профилей около 6 миллионов — далее уже резать по таргетингу и возрасту
Pakos
Руководитель отдела клиентского сервиса>… вектор… храниться…
Хм…
dmitry_dvm
s1im
А я не понимаю всей этой шумихи насчет скрытых фото. Именно тот момент, что все так удивляются, когда узнают, что модераторам могут быть доступны для просмотра любые материалы пользователей, пусть они хоть трижды помечены как скрытые. Фото может считаться приватным только до того момента, как оно было выложено в сеть. Как только ты вложил его на любую площадку, считай его уже посмотрели: твой провайдер, фсб-шники, держатель хостинга, админы/разрабы/модераторы площадки, хакер Вася и, наконец, все пользователи того популярного развлекательного сайта, куда Вася их выложил.
NLO
НЛО прилетело и опубликовало эту надпись здесь
stalkerxxl
Вы это серьезно? Про «У нас как бы правовое государство, и есть такие материалы, которые не может смотреть кто попало, без разрешения суда. И уж модераторы точно. Это касается, например, тайны переписки. »?
dennis777
модератор — это никто. самый обыкновенный клерк. И если клерк имеет доступ к приватным фото — это грустно
dimm_ddr
Но согласитесь — не очень удивительно.
erty
На приватные фото не распространяется закон о военной тайне.
Вы собственноручно вверяете свою информацию в руки другим людям, которые уже в свою очередь обеспечивают её приватность от третьих лиц. Но вовсе не гарантируют приватность от самих себя. Это же базовая компьютерная грамотность.
Labunsky
Barafu
Думаю, если кто-то выложит в скрытые фотки Вкуякта военную тайну — то виноват тоже будет он. Хотя, это — если по уму. А как на самом деле получится — никто не знает, страна-то забавная.
Keyten
Вот смотрите, я могу пойти, устроиться в вк, и мне будут доступны для просмотра приватные фото кучи моих знакомых и друзей. Правда, классно?
zemavo
Мой знакомый так мечтал в банк устроиться.
foobarbaz
Наверное, классно. Но зачем они вам?
devalone
Так не ему, другу)
Virusmater
Могу сказать, что да. Скорее всего. Во всяком случае для "одноклассников" это так. Вторая линия тех поддержки может читать личные сообщения
Crazybot
При регистрации в вк вы скорей всего соглашаетесь на обработку ваших личных данных. Это нужно считать базовым требованием большинства сервисов и относиться к неим соответственною.
dennis777
В том то и дело, что модератором — далеко не все положено видеть. Потому что модератор — это просто наемный работник, с зарплатой в какие-нибудь условные 20-60к, которым может стать абсолютно каждый.
Я понимаю, что моя информацию доступна любому КГБшнику, СБУшнику, и прочей живности. Но я не хочу, чтобы Вася из Тюмени имел доступ к моей переписке и скрытым фотографиям.
NLO
НЛО прилетело и опубликовало эту надпись здесь
dennis777
потому что в данном случае — я не уверен есть ли у них доступ к переписке (кто его знает, что там в личной карточке), а вот доступ к фото — похоже имеется.
s1im
Даже если отойти от модераторов и правовой стороны вопроса. Представим на минуту, что в соц. сети X есть инженер Петя, у которого есть доступ к боевой таблице БД с переписками пользователей. И вот он во время выполнения какой-то задачи или в свой обеденный перерыв делает обычный «SELECT ...» с рандомным id диалога, результатом выборки которого становится ваша переписка с вашим же знакомым. Петя пробегает глазами по переписке, ничего для себя не находит интересного, закрывает результаты выборки и продолжает заниматься своими делами. Этой вот выборкой Петя много чего нарушил, в правовом поле и не только. Но по факту, никто об этом никогда не узнает и ничего этому Пете за это не будет. Хотя тайна вашей переписки и была нарушена. Хотите приватности — общайтесь тет-а-тет. А сеть вам приватность гарантировать не может.
Sap_ru
В нормальных компаних Петя подписывает четыре вагона бумажек при устройстве на работу, где его информируют и возлагают ответственность. В совсем нормальных Пете ещё и доплачивают за работу с конфиденциальной информацией. Кроме того произвольный доступ к живой базе имеет совсем мало людей.
s1im
Я раньше тоже так думал, и слепо верил в «нормальность» крупных серьезных компаний. Но в качестве иллюстрации, расскажу, то довелось поработать в одной компании, которая разрабатывала портал по заказу правительства (тут без подробностей). И где-то уже через пару недель работы мне дали доступы к базе, которая содержала личные данные реальных людей, кто хоть раз авторизовался на этом портале (ФИО, СНИЛС, номер паспорта, дата рождения, адрес регистрации, информация по детям, номера ВУ и пр. пр.). На минутку, никаких вагонов бумажек, кроме стандартного NDA при приеме на работу, я не подписывал. При желании, я мог лего слить все эти данные (чего я делать не стал), например, на флешку: комп был обычным, usb-порты не были заблокированы. Так что, верить не стоит никому.
NeoCode
Госуслуги?
s1im
Не совсем, скорее, одно из его ответвлений рангом пониже.
redmanmale
Мосуслуги?
webasyster
Тоже так думаю.
Andrew_SWH
Такое сплошь и рядом… Я давным-давно, еще в прошлом веке, пришел на практику в банк… никакого оформления, просто знакомые из одного отдела попросили кого-то в другом отделе… И сидел писал отчет по практике на основе вполне реальных кредитных дел, имея полный доступ к куче конфиденциальной информации — копии паспортов, учредительных документов, договоров с поставщиками и покупателями, бух отчетности, бизнес-планам… Предоставившие мне доступ люди даже фамилии моей не знали — «сын знакомых кого-то из того отдела».
А года два назад стою у операционистки в уже совсем другом банке — и смотрю, как рядом на основе уже моего договора какого-то практиканта обучают. По большому счету это нормально и от этого никуда не деться — даже в ЦРУ есть подобные просчеты, викиликс тому пример. А уж на «бытовом» уровне… Главное чтобы политика любой конторы — государственной или частной — все же делала эти случаи единичными, а не массовыми. Типа захотел узнать, с кем переписывается подруга — устроился десятым помощником младшего админа в ВК и все тут же узнал…
Конторы, которые озабочены этим — есть. Пытался у друга, имеющего высокий пост в одной, узнать кое-что — он честно сказал: информацию я, в связи с моей должностью, получить смогу, но потом ко мне будет вопрос от службы безопасности о целях. В общем, все ото всех закрыть нельзя — но о контроле доступа надо бы заботиться.
Eugene_Burachevskiy
мне кажется это скорее исключение. практикантов обучают (на собственном опыте ops работы на нескольких крупных клиентов) на деперсонализированных данных с отдельного тестового окружения. давать им доступ к проду с боевой базой, или копировать кусок базы без изменений оставляя реальные персональные данные — это как-то совсем неправильно. :)
zartarn
К сожалению так и есть, даже в УМВД, проходил там в свое время практику в отделе статистики. Можно выборки по базе любые какие угодно было делать.
Причем в местах некоторыхз еще всякий самописный досовый софт есть, и для работы тебе дают полную копию базы в dbf.
Флэшки не регаются, никак не проверяется на входе / выходе что ты с собой уносишь приносишь.
И да, это не какой то районный отдельчик, а областной :)
А всё почему — а потому что всякие сикретнеты, накладывают оч много ограничений, что даже в работу несокльких отделах, при не самой грамотной настройке, превращает в ад. А если еще люди с области приезжают с данными, плюс из разных отделов за разного рода статисктикой «которые здесь и сейчас надо» прибегают. И в итоге с негласного разрешения безопасников оч многое разрешается. (В армейских структурах не сильно лучше)
riot26
В качестве записной бумаги один друг использует пропечатанные с одной стороны а4. На них личные данные клиентов банка (ФИО, серия/номер паспорта, телефоны и ещё что-то). Просто кто-то из сотрудников банка выбросил ящик старых бумаг на помойку.
fireSparrow
Кевин Митник одобряет :)
Caelwyn
Видел в троллейбусе объявление напечатанное на листе А4 и приклеенное скотчем к стеклянной перегородке у двери. Что там было написано не помню, а на другой стороне, которую видно сидящему перед ней — объяснительная какого-то водителя, о том что он не может выйти на работу потому что накануне пил. Составленная по всем правилам, с ФИО директора в углу, и прочими атрибутами. Вот так вот, сэкономили, на «черновике» напечатали.
darkdaskin
Моё почтовое отделение какое-то время присылало извещения, а на обратной стороне — чьи-то паспортные данные и информация о посылках.
popov654
Но ведь NDA-то подписали — а это уже накладывает на вас ответственность по неразглашению. Сюда и данные попадают, разве нет?.
khanid
Даже если Петя подписал, и по бумагам всё безопасно, всё равно это не отменяет фактического доступа к ресурсам.
avost
Да, и эти бумажки — не разглашать и не использовать так, чтобы возник конфликт интересов. Про бумажки "не читать" как-то не слышал.
Это да. И это логичное следствие того, что не существует бумажки "не читать" :)
grandmotherboard
Да ну что вы. Абсолютно везде прикол в том, что разработчик в (около)финансовых организациях имеет полную возможность вынести кучу жутко, страшно, абсолютно конфиденциальной информации. Про самые интимные подробности бизнеса, например. И всех причастных заодно. Если не прям из боевой БД, то из ее актуальной копии.
Допустим, если некто желает внедрить своего шпиона на такую позицию, вариантов немного, а именно всего один: делать уже работающего специалиста своим шпионом. Обратная схема — обучить своих шпионов и получить для них позицию — для такой узкопрофессиональной позиции ну крайне маловероятна. Так везде при приеме подписывается одна небольшая бумажка (я вас умоляю, какой уж там nda, эта бумажка до суда, если что, не дойдет уже потому, что будет выставлена на всеобщее посмешище) и при увольнении еще смешной огрызок текста.
Про фэнтези в виде доплаты за работу с конфиденциальной информацией никто и не заикается — нанимают спеца за устраивающую сумму, как везде.
Myosotis
Раздутая проблема, для тайной переписки нужно использовать шифрование, а хранить скрытые фотографии в публичной сети вообще не вижу смысла.
Alexey2005
Так в последнее время владельцев соцсетей и облаков стало напрягать, что излишне умные пользователи льют туда криптованные архивы. Это что ж получается, приходится за просто так, без возможности прочесть и слить налево, хранить какие-то неизвестные данные?! Нет уж!
И вот сейчас уже почти везде прикрутили гайки, явно запретив заливать запароленные архивы.
riot26
Чувствую, нас ждёт бум развития стеганографии
qw1
Зачем? Нужно лишь, чтобы в файле не было заголовков известных архиваторов.
Например, делаем контейнер TrueCrypt, называем файл data.raw, и всё нормально, никто не знает, что это за данные.
Labunsky
dimm_ddr
А если добавить заголовок известного формата? Неужели сервис запретит заливать файлы на основании что у него не получается их открыть? А может у меня на самом деле битая картинка и мне она зачем-то нужна?
Labunsky
qw1
Запретить можно, но что скажут обычные юзеры, которые хранят архив домашних фоточек в raw-формате, специфичном для вендора камеры? Скажут — плохой у вас сервис бекапов…
Labunsky
qw1
И что, идти к белым спискам? А если юзер захочет расшарить проект в малоизвестном 3d-редакторе «Компас», такие файлы запретить?
А если в формате AutoCAD (DWG), но под паролем? Облако должно иметь полноценный парсер DWG всех ревизий для определения наличия пароля?
qw1
sumanai
По идее, можно анализировать уровень энтропии. Только надёжно запароленные файлы имеют высокий её уровень.
qw1
Внезапно, новые продукты MS Office производят высокоэнтропийные форматы docx, xlsx, pptx. Зипование сейчас почти бесплатное и делается в пару строк на любом языке, поэтому им все пользуются.
sumanai
Поэтому проверить это не представляется сложным.
qw1
Проверить что? Вы хотите сказать, у вас есть алгоритм, надёжно определяющий зашифрованные данные, но который не отбракует обычные файлы?
Например, у пользователя диск с дистрибутивами игр бекапится на облако. Думаете, если начать анализ энтропии, алгоритм не поудаляет ресурсные файлы игр и файлы для инсталляторов в своём формате (installshield и т.п.)?
sumanai
Ресурсы игр обычно хорошо сжимаются, так что энтропия их низка.
qw1
Ресурсы игр обычно хранят сжатыми, но такими алгоритмами, которые быстро разжимают (для текстур своё сжатие, для моделей — своё).
qw1
Элементарно сделать «раздуватель», который у шифрованного файла обратимо увеличивает размер и уменьшает энтропию.
Например, берём словарь на 65536 слов и каждые 2 байта заменяем на русское слово. Пишем в текстовый файл по 12-14 слов на строку. Никакой робот не поймёт подвоха )))
Labunsky
Поздравляю, вы придумали стеганографию. Вот только о ней изначально и говорилось :)
qw1
Абсолютно нет. Стеганография — это контейнер с двойным дном. Например, имеем осмысленный текст (фото), а скрытая информация хранится в расстановке пробелов, переносов строк или в младших битах яркости на уровне шума.
Для стеганографии файл не должен вызывать подозрения у человека.
sumanai
В идеале и у машины.
qw1
Так условие на человека сильнее.
Labunsky
Сам факт скрытия исходной информации от кого-либо (в контексте обсуждения — скрытие формата файла от принимающего сервера), который и определяет стеганографию, никуда при этом не девается
popov654
А что, серьёзно где-то запрещено?
dimm_ddr
Отправить через gmail письмо с зашифрованным архивом крайне сложно. Они явно запрещают. Вроде бы гугл драйв с гуглопочтой в этом солидарен, но не на 100% уверен. Что-то подобное слышал про дропбокс, но это, возможно просто слухи, проверять не ходил. Так что движения в эту сторону есть, причем давненько, но не очень понятно насколько общие и эффективные.
qw1
Это защита от угона аккаунтов, раньше прикладывали вредоносную программу, а когда они стали удаляться антивирусом, стали прикладывать зашифрованный архив с комментарием — «Пароль: 123»
Никто не мешает пользоваться PGP, которая была стандартом в шифрованной переписке.
dimm_ddr
Да я не спорю, и в общем знаю зачем. Я всего лишь ответил на вопрос где запрещают запароленные архивы.
EviGL
Ну во-первых в паблик попал интерфейс администратора, а не модератора. Это разное. Наверняка там есть ряд уровней доступа, открывающих те или иные кнопки. А эти молодцы умудрились всем выдать самый крутой доступ.
Во-вторых, если бы каждый модератор (а их там должно быть 500-1000) мог бы посмотреть переписку всех своих друзей, про это в сети бы уже ходило миллион легенд, покруче бывших работников мегафона. Если бы я придумывал систему модерации, каждый модератор бы получал только контент людей из другого города и не ближе трёх рукопожатий по социальному графу. Ну и конечно, доступ только к публичному контенту либо переписке, которая попала под автоматический спам-фильтр.
А администратору и положен доступ ко всему, ему и баги надо фиксить и систему поддерживать. В конце концов, если даже бы и не было доступа в интерфейсе, никто не сможет помешать ведущему разработчику SQL-запрос написать.
Akon32
Социальный граф может быть не так велик, чтобы в него входили все знакомые (особенно если не добавлять всех подряд
после каждой вечеринки).Город таки может определяться неверно.
При желании обойти эти условия не настолько сложно, чтобы на них полагаться.
EviGL
Модератор — это тот, кто пришёл в офис работать. Ну либо удалённо работает, с ним заключается договор, ему выплачиваются деньги на счёт. Работодатель знает о нём гораздо больше, чем просто город в котором он живёт, с достоверностью 100%.
Ну и выборочные проверки логов старшими сотрудниками никто не отменял. Я к тому, что если бы в ВК процветало злоупотребление модераторскими полномочиями, про это было бы известно в сети. Видимо, процесс регулирования этих полномочий там неплохо налажен. Единичные случаи может есть, но не массовые.
Но хранить там суперважные секретные данные, конечно, глупо, хотя бы из-за багов и дырок, подобных той, что в посте.
rzhannoy
Что это? Холодный душ здравого смысла!
wellusion
Ну, в целом, не факт, что то, что представлено на видео — пульт управления рядового модератора.
Видимо, были нарушены настройки ролей, и для каждого пользователя вывалились вообще все доступные опции для разных категорий сотрудников.
Argazzmos
Меня больше всего поражает глубокая некомпетентность комментаторов.
То, что доступ к такой информации всегда должен ограничиваться и логироваться (И я уверен, что он логируется) это индустриальный стандарт де-факто.
questor
Разумеется. И модераторы модераторов, чтобы смотреть эти логи.
PavelGatilov
Эй, Вася тут не при чем, это другой парень был.
А по сути вы правы. Если фотография не была сделана на аналоговый носитель — то наверное уже нет гарантии, что она не доступна «третим» лицам. И так со всеми данными. Переписка — если не на листке бумаге и лично в руки, то считай что уже «публичная».
tentakle
Не знаю, что меня больше всего поражает — наличие вообще подобных комментариев на хабре или количество плюсов, которые они собирают. Господа, мы с вами на хабре находимся, мы за кого болеем вообще? Мы вроде как должны анализировать ошибки, делать на основании этих анализов наши продукты лучше и безопаснее, а не относиться к таким серьезным проблемам с безопасностью с совковым смирением.
Остановите хабр, я сойду.
s1im
А что вам по факту не понравилось в моем комментарии? Или вы с призывом шифровать все подряд, использовать TOR, VPN, спать с учебником по информационной безопасности под подушкой и т.д.? Каким бы безопасным не было приложение, всегда есть вероятность утечки. Ну и еще один факт, которому учат на курсах по информационной безопасности: чем безопаснее приложение, тем дороже его разработка и обслуживание, а также сложнее использование. Поэтому в коммерческой разработке никто не стремится к 100%-ой безопасности, а находят какое-то промежуточное положение, удовлетворяющее затратам бизнеса и ожиданиям пользователей.
Все что я хотел сказать на самом деле не сложнее следующего: если вы хотите, чтобы ваши приватные данные, такие как фотографии, например, оставались приватными — просто не выкладывайте их в сеть. Иначе, не удивляйтесь, если обнаружите их где-то еще.
Спасибо за внимание, можете сходить.
tentakle
То, что всегда есть вероятность утечки не значит, что ничего не надо с этим делать. В данном случае, мне кажется, дороже обошлась разработка кнопки «Открыть приватное», чем не разработка этой кнопки.
Все, что вы хотели сказать это закрыть все окна и двери, сесть в уголке и никуда не выходить, иначе с вами может что-то случиться.
Вы же потом будете слюной брызгать, когда будет утечка ваших кредиток или других важных сведений. Вы же потом будете писать статьи, как плох закон Яровой. То же мне, айтишники.
s1im
Спасибо за подаренный значок «отхабренный». Ранее, я хотя бы мог отвечать вам без ограничений по времени, а теперь даже этого удовольствия вы меня лишили.
А скажите, товарищ сисадмин, обслуживаете ли вы какую-либо информационную систему с данными пользователей? Если да, есть ли у вас физический доступ к бэкапам этой системы? И самое главное, что происходит с носителями, на которых эти бэкапы были записаны, после того как истек срок их службы?
tentakle
Права доступа к бекапам есть у программ, которые этим бекапом занимаются. Носители затираются по алгоритмам и/или уничтожаются. Есть даже такой копеечный инструмент как шредер.
Только не надо говорить о том, что программы, которые делают бекап имеют уязвимости, а информацию с дисков можно восстановить. У принципа безопасности, о которой вы написали, есть и обратная сторона: затраты на получение доступа к этой информации. Сравнивать восстановаление данных с отформатированных дисков и прямая ссылка к приватной информации вообще за гранью. В данном случае, даже не надо стараться, чтобы получить доступ к приватным данным, для вашего удобства сделана кнопка.
Ну и для развлечения и что бы понимать, как дела обстоят с айти, немного размышлений:
BookaZoid
del
HeaTTheatR
Вот по этой причине я не оставляю настоящих данных в социальных сетях. В сети я Вася Пупкин и плевал и на Дурова и на модераторов ВК! Считаю, что это равносильно визиту в какое-нибудь ФСБ с заявкой "Я тут досье на себя составил, возьмете?"
EviGL
Ну вот вы и прохОдите у ФСБ с пометкой «фальшивый профиль, есть что скрывать», рядом со всеми паспортными данными :)
Myosotis
Я в ВК Павел Мамедов. Пыталась как-то изменить имя на настоящее, но ВК потребовал от меня скан паспорта, чтобы подтвердить, что я это я. Не дождутся =) Как гос конторка какая-то, смешно. И отвязать номер телефона не дают, вот интересно, если кто-то потеряет номер телефона (например, после полугода неиспользования), и кто-то другой получит этот номер, он будет иметь доступ к чужой ВК странице?
romanegunkov
И не только. Можно, например, запросить баланс по крупным мобильным банкам, вдруг откуда-нибудь придёт ответ. Так что лучше номер телефона не терять.
tutunak
Да. Купил симкарту мегафона, ввел этот номер в форму восстановления. Получил доступ к странице. Связался с владельцем через скайп и вернул доступ.
questor
Помогал как-то знакомым, они держат сообщество вконтакте. Так однажды им позвонил такой же добрый человек, возвращал страницу, которая ему досталась по просроченной симкарте. То, что этот аккаунт был в администраторах сообщества и всё обошлось хорошо — это лишь вопрос случайности и везения.
Bronekalmar
Когда-то сменил номер мобильного в официальном салоне Мегафон, на него часто сыпались спам-смс на имя некой Марии. В то время аккаунт в ВК был привязан только к электронной почте. После привязки телефона пытался залогинится, но получал ошибку о неверном пароле, восстановил по телефону и получил доступ до аккаунта той самой Марии.
webmasterx
не будет. При восстановлении пароля с некоторых пор запрашивается фамилия владельца
Zibx
А друзья реальные там есть? А если взять десяток которые друг у друга зафренжены и послать к ним специальных сотрудников — сколько из них получится расколоть и узнать настоящее ФИО Васи Пупкина? Единственный вменяемый путь использования социальных сетей (если уж они нужны) — жесткий контроль потоков информации. Конфиденциальное не должно попадать третьим лицам. Приватное должно лежать только в своём облаке и желательно в закриптованном виде. Пароль шифрования держать в капсуле в зубе. Капсулу можно раскусить при возникновении угрозы. Считываться данные из капсулы должны иметь возможность только с помощью устройства которое обменялось с капсулой парой приватных\публичных ключей.
Только при такой схеме можно говорить хоть о какой-то безопасности и тайне.
qw1
А какой смысл раскалывать Васю Пупкина, который ничего плохого не сделал?
Смысл сидеть в соцсетях под чужим именем в том, чтобы если ваш босс/коллега/сосед захотел узнать, какой вы хентай предпочитаете, он никогда не смог бы выйти на ваш аккаунт, потому что поиск по фамилии ничего ему не даст.
sidny_vicious
Хорошо, что перестал заливать туда актуальную информацию.
очень интересны права доступа модераторов.
Как я понимаю, у них есть полноценный доступ к каждому аккаунту и его метрике. А это очень большие возможности как по манипуляции, так и по сбору статистики о пользователе. Все это очень неприятно и нарушает частную жизнь.
sumanai
Не понимаю, почему вы вообще заливали туда актуальную информацию.
beavis88
А модераторы это хотя бы сотрудники компании? А то может какие нибудь одобренный добровольцы, тогда вообще пипец.
dennis777
Тут про порно домашнее все шутят в чатиках, но порно — это такое. А вот то, что некоторые «умные» люди, фото паспортов и банковских карт, например, перекидывают порой — вот это реально неприятно.
Понятно, что не стоит этого делать, но тот факт, что любой Вася видит эту инфу, и никто не может проконтролировать то, что он видит — это такое себе удовольствие.
ra3vdx
Не то, чтобы «порой», достаточно вбить в местный поиск «паспорт», или «договор» или нечто подобное — можно найти массу интересного. Как правильно пишут ниже — человеческий фактор. А на всякий человеческий фактор бывает «социальная инженерия».
Вот пожалуйста — неявный баг (неплохо бы владельцам сети запретить подобные ключевики в названиях файлов) и наглядная демонстрация бритвы Хэнлона.
zartarn
в документах по поиску находится все файлы окторые лежат в открытых пабликах. Там тоже оч много интересного так находится.
stanislavkulikov
Паспортные данные как раз раздобыть не сложно, ещё пару лет назад продавались свежие базы Мск и СПб и многие паспорта из них актуальны. Но с паспортными данными особо ничего и не сделаешь. А вот с помощью домашнего порно можно неплохо так шантажировать, есть печальные примеры, когда за эти фотки/видео люди расставались с приличными суммами.
Отдельный вопрос, конечно, зачем вообще эти фотки в сеть закачивать, но к сожалению у многих людей плохо с понятиями компьютерной безопасности.
Fox56
Модератор- априори не админ. Выше было написано, что модератор- это что-то на подобие клерка. Если брать соц. сеть, то скорее всего права ограничены тупо возможностью бана юзеров за нарушение, сбора какой-то статистики и т.п… Админ-это уже уровень выше. Если рассудить логически, то в такую масштабную сеть запустив «до хрена» модераторов с правами админа, соц сеть рискует помереть от «перенасыщения» жаждующих «поадминить».
Короче говоря, модераторов, как постовых на улице, может быть много, но права у них явно ограничены будут. Ибо нехуй!)
ZMayk
Да уж, от человеческого фактора никто не застрахован.
Pakos
dennis777
Ахахаха. Ну тогда я так и оставлю.
Я просто самый настоящий кармодрочер. Так спешил опубликовать скорее новость (ну чтоб там сливки все собрать, все дела), что тоже зафакапился и не до конца вычитал.
abr_k
Встречаем! Первый коммент в истории хабра про то, что нельзя нызывать, собравший пачку плюсов!
Saint64
Самое интересное то, что люди верят скринам и этим постам. Согласен факт фактом то что у ВК был сбой, но согласитесь, я возьму страницу вк, открою html код, допишу новые пункты в меню, сделаю скрин, выложу и скажу-за вами следят, вот эти пункты, которые были вскрыты, смешно наблюдать за наивными людьми))))
dennis777
там видео человек записал. Оно в посте. Сомневаюсь, что кто-то ради секундочки славы будет так заморачиваться ;)
dimm_ddr
С одной стороны — зря сомневаетесь, ради секунды славы еще и не так заморачиваются. С другой стороны это никак не отменяет возможного раздолбайства вконтактика. И оба варианта крайне правдоподобны и, более того, никак друг друга не взаимоисключают.
Tatooine
каждый раз когда слышу вой про то что большой брат следит за всеми и т.п. то мне становится смешно.
Лично мне до это дела нет. Я не нарушал законы и не собираюсь, и если кто-то следит за мной то попусту теряет время зря…
dennis777
хорошая попытка, но нет…
lx0
Не нарушали законов? Никаких? Никогда? Честно?
redmanmale
Добавлю: и будущих? Тех которые ещё не приняли? А то у нас любят законы с обратной силой.
Germanets
Какой-то подозрительно чистый, белый и пушистый персонаж получается… Надо проверить, вдруг шпион!)
riot26
Метит в святые, а это уже тянет на оскорбление чувств верующих
Andrew_SWH
Ладно большой брат. А если случайные люди, которые не прочь заработать на сливе? В последнее время мошенники, когда звонят от имени «попавшего в беду родственника», уже часто не на шару работают, а называя кучу реальных имен, фактов и дат. Информация — это дорогой и многим нужный товар. Так что к фразе «а кому я нужен, я же не нарушал закон» — надо добавлять «а также не имею банковских счетов (с кодовыми словами и прочим), родственников-друзей, которых кто-то может попытаться обмануть представившись мной и вообще ничего не имею». Понятное дело, что самое правильное — тупо не оставлять в сети важных данных. Но тут надо какой-то разумный баланс соблюдать и пользователю (между — выложить все, включая фото ню — и выкинуть телефон и уехать в деревню) — и сервисам в плане все же задумываться над конфиденциальностью и сохранностью предоставленных им данных.
jok40
«Дайте мне 6 строчек, написанных рукой самого честного человека, и я найду в них то, за что его можно повесить» © Кардинал Ришелье.
river-fall
Спорная цитата, ну и во времена Ришелье (17 век) умение писать свидетельствовало о весьма высоком ранге, т.е. скорее всего у человека было где нарушить закон :)
KivApple
1) Времена меняются, законы меняются. Например, появляется ответственность за хентай, оскорбление чувств верующих и т. д. Сейчас обсуждают введение ответственности за оскорбление президента. Допустим, это всё не для вас. Но достаточно ли хорошо вы мониторите все принимаемые законы и оперативно на них реагируете?
2) В команде техподдержки вконтакте, в спецслужбах работают точно такие же люди, как и мы с вами. Да, они подписали какие-то бумажки. Но это самые простые люди. И они могут иметь интересы помимо служебных.
3) Не стоит исключать техническую возможность слива данных (собственно, что сейчас в статье и описано). А в этом случае информация попадает в распоряжение неопределённого круга лиц, у которых могут быть очень и очень разные цели.
KivApple
Соответственно ваша ошибка в двух местах:
1) Вы, вероятно, представляете под незаконным сугубо всякие очевидные вещи типа грабежей, убийств, педофилии и т. д. Хотя на самом деле существуют вещи, когда без чтения законов совсем не очевидно.
2) Вы, вероятно, думаете, что все кто получит доступ к вашим личным данным будут исходить только из целей поиска и наказания преступника. Однако они могут иметь банальные корыстные цели. Свой пинкод от банковской карточки вы ведь таки держите в тайне?
M_AJ
А мне есть. Я уверен, что у каждого есть свои секреты, которые лучше не открывать, даже не смотря на то, что они не нарушают никаких законов. Даже информация о том, что ты временами посматриваешь порнушку, может здорово испортить отношения например с глубоко религиозными родственниками. Медицинская информация не в тех руках (например о ВИЧ-статусе) может повлечь проблемы на работе, и это только самые простые примеры, на самом деле вариантов, когда законная информация может выйти боком больше.
NIKOSV
Еще скажи что на митинги Навального не ходишь и в церкви не танцуешь
Andrew_SWH
Вот такой вот интересный вопрос. А есть какое-то определение «переписки», тайна которой должна соблюдаться? Ну, например, понятно, что содержимое почтового — бумажного — конверта есть как раз та самая переписка. Как-то исторически к «переписке» все приравнивают электронную почту и мессенджеры всех видов. А вот система личных сообщений на форумах? Возникает ли на основании чего-то у администратора некого сетевого ресурса обязанность хранить тайну общения двух пользователей его ресурса — или, если он не заявляет себя поставщиком соответствующих услуг, то может на все болт забить?
В свое время долго бились над юридическим определением «персональных данных» — и все равно фактическая правоприменительная практика весьма разнообразна, каждый трактует как хочет. А как обстоит дело с «перепиской»? В какой момент некий набор байтов перестает считаться публичным и становится частной перепиской?
ZoomLS
Судя по судебной системе — как решат на конкретном суде, так и будет. Когда надо — это будет считаться публичной перепиской, когда не надо — личной.
Lennonenko
говорят, что американская правовая система руководствуется простым правилом: нешифрованная переписка приравнена к открыткам, шифрованная — к письмам
mtivkov
Уверен, что источник таких проблем — отношение к сотрудникам владельцев ВК.
В Яндекс.Книге весьма дипломатично упомянуто про их психологию, в эпизоде когда эти люди хотели заполучить себе Яндекс (как медиаресурс, т.е. ресурс влияния на население), а основатели Яндекса их отговаривали.
Если говорить недипломатично, то оно примерно такое: slaves shall serve.
Вот и разбегаются хорошие специалисты ИТ, вот и падает качество ИТ-систем.
JIuMOHKA
Никогда так рано не ложусь спать, но как на зло, сегодня лег.
Чел, снявший видео приторможенный какой-то. Вместо того, чтобы открывать в новой вкладке все, что на глаз попадается, он решил открыть что-то одно и изучить вдоль и поперек
questor
Более того: в браузере у него порядка двадцати вкладок, но тут он вдруг решил на одном табе остановиться и кликать туда-сюда. Ну кто так делает, а?
dennis777
да, видео очень дебильное. Но по крайней мере, это лучше, чем ничего
Caelwyn
Насколько я помню, фотографии раньше были на vk.me. Судя по тому что там сейчас лендинг для быстрого доступа к сообщениям для сообществ, мне, кажется, они его целенаправленно освободили для этого, а не забыли продлить.
dennis777
когда целенаправленно освобождают — не должны картинки пропадать на несколько дней у всех пользователей. Ну а если это все таки целенаправленно было — то это еще страннее
IvanKamynin
А я вот, не против, чтобы кто-то, что-то там обо мне видел. Что же поделать, если безопасность требует жертв, а идиотов которые чисто для 'развлекалова' могут что-либо сделать, всегда хватало. Без этого, увы — никуда.
Ahen
Отправляю другу в личку вк скриншоты из данного поста и вижу как на моих глазах этот скриншот исчезает из диалога, а друг видит сообщение «к сожалению данное фото уже удалено». (Скриншот с меню группы)
dennis777
да, это занимательно!
Jmann
Дуров с бородой и с автоматом Калашникова =)
megmage
Надо было сразу тереть свои логи.
p.s.
Who is watching the watchers?
dimm_ddr
Вы так говорите, будто удаленные для вас ваши логи реально удаляются с серверов. Как будто не было скандалов с тем же фэйсбуком с «удаленными» но доступными фотографиями. Еще можно вспомнить тот факт, что с объемами данных гигантов вроде контактика дешевле докупить еще памяти, чем дефрагментировать уже имеющуюся. Так что нужно было изначально свои логи не создавать =)
Contriver
Ага случайный сбой — он же злобный хак
Ждём сайт с платным доступом для удаления или получения приватных данных, аналогичный небезизвестному сайту с телефонным номерам, адресами, фамилиями.
Хорошо хоть от гопников роскомнадзор его прикрыл.
ilansk
У меня 2 вопроса к местным Гикам:
1) Если я добавил фотографии, посты и прочую информацию на страницу в ВК, а потом все это удалил/изменил. Остаются ли данные и фотографии на серверах ВК вечно? Фиксируются ли логи с производимыми изменениями на страничке пользователя сети ВК?
2) Могут ли модераторы Вконтактика отслеживать историю всех ваших комментариев за все время существования соцсети и удаляются ли комментарии с серверов когда их удаляет пользователь или модератор?
Что написано пером — не вырубишь и топором потом (с) русская народная пословица
tema_sun
По поводу первого пункта даже не сомневаюсь в этом.
YaakovTooth
Остаются. И вовсе не из-за паранойи мамкиных кулхацкеров, а по гораздо более прозаичным причинам: фрагментация.
megmage
Возможно удаляется все по сроку давности… лет через 10. Потом данные просто не актуальны.
ilansk
Мне кажется что личные данные и фотографии не могут терять актуальность. По этой причине мы храним старые фотографии и письма, аттестат и т.п.
Другое дело, что они удаляются в силу ограниченного места на жестких дисках. Но логи даже за 10 лет много не будут весить. Да и вся ваша переписка вместе со всеми комментами за все время в ВК вряд ли превысит 2 гб
Am0ralist
личку, причем, еще и выгрузить можно в текстовом виде
лайкнутые фотки до какого-то момента вы сами просмотреть можете, а значит и другие. так что большая часть всего хранится
Skaurus
Это вам только сотрудники могут рассказать. Гики, даже с большой буквы, не в курсе — разве что если взломали вк и изучили исходные коды :)
Germanets
По поводу второго, а именно: «Могут ли модераторы Вконтактика отслеживать историю всех ваших комментариев за все время существования соцсети» — если их ещё не удалили — то возможно, что даже пользователь какого-нибудь API или автор парсера может такое сделать, пусть даже серьёзными усилиями… На счёт удалённых — кроме сотрудников ВК вряд ли кто и правда ответит, но лучше предполагать, что всё-таки да и лишний раз параноить…
neko
Ответ на вопрос №1:
я залил фотографию в ВК, затем удалил её, сохранив прямую ссылку. Время от времени я её проверяю. На данный момент фотография уже два года доступна по прямой ссылке, хотя числится удалённой и нигде в интерфейсе ВК (обычного пользователя) не видна. Эксперимент продолжается…
michael_vostrikov
Есть вероятность, что тут факт наблюдения влияет на результат наблюдения) Открыли фото — обновилось время последнего доступа — файл недавно запрашивался — удалять не надо.
MikalaiR
Я думаю, что такие данные как фотографии тупо не удаляются, чтобы не увеличивать фрагментацию жестких дисков.
YaakovTooth
Да, об этом сами ВК и рассказывали на одном из хайлоадов.
LynXzp
Фотографии не удаляются, кажется что официальная причина — борьба с фрагментацией. Так уже более 8 лет (потому что у меня прямая ссылка на фотографии с универа есть, не помню за какой курс, возможно больше 8 лет).
С тех пор как узнал эту возможность — пользуюсь vk как безлимитным фотохостингом без ограничения срока хранения. Заливаю фотографию, открываю «оригинал», удаляю, профит!
KoToSveen
тссс
Am0ralist
По лайкам — видна будет у пользователя)
У меня так даже фотки удаленных пользователей просматриваются.
devalone
Остаются, можете провести эксперимент, загрузить фотку, сохранить ссылку и «удалить» фотку из вк, по ссылке она будет доступна, на таком принципе раньше работал сайт скотобаза(сам проект почил, но остались наследники), он сохранял ссылки на фотографии пользователей в своей базе. Может быть удаляется совсем уж старая информация.
popov654
Удалённые сообщения и комментарии, а также посты, не удаляются, но текст стирается. Попробуйте удалить сообщение, а потом получить его по id через API. Другое ж дело — там может стоять подмена при выдаче, по флагу "удалён"… Тут уже да, трудно сказать)
tentakle
Зачем нужны всякие https, SHA256 и прочее, если есть просто кнопка «Открыть все, что скрыто»? Пароли может там тоже в открытом виде лежат на самом деле? Что это за кейсы такие?
vovaniva
Тоже словил этот баг, интересные такие возможности поиска…
Neuromantix
[параноид мод он]А что, если вся эта история с синими китами и тп была тестированием некоего фильтра/механизма цензуры? При помощи истерии были запущены слова-маркеры, редко встречающиеся в обычной речи/переписке, чтобы по ним настроить фильтры. Т.к. руки у большинства техподдержки чуть ниже спины, начинает вываливаться и что-то-еще[параноид мод офф]
t0ly2013
пили пиво, меняли пароли…
seo8ceo8com
1984 + 452 по фаренгейту нервнок урят в сторонке
sumanai
451 же.
namwen
Неизвестно из какой метрической системы переводил чувак, думаю, ошибка округления
Old_Chroft
Ээээ… 232,78 по
ЯндексуЦельсию? В оригинале эта книга так называлась? :-)Light_Metal
Причем тут метрическая система, когда речь идет о названии всем известного художественного произведения Рэя Бредбери?
RusPixel
Я считал, что это уже давно не новость. То что мои фото, загруженные в интернет, может кто-то просмотреть.
К тому же, у нас пакет Яровой подписали
ximik
Тоже заметил расширенные возможности в рекламном кабинете. Успел только просмотреть. )))
Забавно было на несколько минут почувствовать себя модератором.
ChymeNik
В ВК не так уж мало модераторов; интересно, почему все это оказалось «вскрывшейся тайной» только сейчас? Неужели ни один из них не написал раньше, к чему модераторы имеют доступ?
spoutnik
Да, интересный вопрос. Прошёл в новостях вк по «Рекомендации» и сразу ссылочка сюда, опа! Если трут картинки, то почему в рекомендации пропукают… Риторический вопрос.
lovermann
Все бугуртят по поводу личных фоток. Знаете, на дороги тоже все в бюджет скидываются, однако за их отсутствие что-то никто на государство не бугуртит, а фотки на бесплатном хостинге-социальной сети, вон как кричат в энторнетах!
NickKolok
Гуглить «росяма». Бугуртят.
PekaFat
Теперь понятно, почему на фикс даже мелкой уязвимости, о которой им сообщено на hackerone, у них у ходит 1-2 года.
Совсем всё плохо там с разработчиками.
rockin
Честно говоря, удивлён не столько текстом статьи, сколько каментами.
Надо же, подросло поколение, которое реально думает, что кто-то в сети обязан обеспечивать приватность его информации!!! :D
Де-юре, возможно, обязан, а де-факто… умные понимают, а глупые надеются
Допустим, в некоторых случаях де-юре соотвествует де-факто. И сидят чуваки, реально обеспечивают безопасность вашей информации. Но любой чувак, будь он хоть гуру 80 левела, пользуется сторонним софтом.
Вот тут и наступает всеми четырьмя лапками на ваши истины известный пушной зверёк.
Никто. Ничего вам не гарантирует. Даже банки. Хотя кое-кто несёт ответственность. Например, банки.
Но точно не VK =)
tentakle
Ну то есть вы и те люди выше, кто считает так же, косвенно намекаете на то, что безопасность вообще не нужна и можно даже пароли просто в открытом виде у себя на стене написать, ведь все равно сохранность ничего не гарантирует?
Хабр, который мы заслужили.
michael_vostrikov
Говорят не про безопасность, а про сам факт наличия системы доступа. Одни почему-то удивляются ему (наличию), другие удивляются удивлению первых. А то, что был баг, из-за которого доступ получили посторонние, и что это плохо, никто и не спорит.
tentakle
И почему не надо удивляться наличию системы доступа, как вы выразились? Даже если это какой-то сверх великий модератор, то модерироваться должен открытый контент, это как бы заключено в самом понятии модерирования. Если человек какие-то данные в открытый (будем подразумевать нормальную систему доступа) доступ не выкладывает, то с чего они должны модерироваться? С какой стати посторонний человек вообще имеет доступ к контенту, который закрыт? Повторюсь, я подразумеваю нормальную систему прав доступа.
michael_vostrikov
С такой, что это не посторонний человек, а сотрудник организации, владеющей сайтом. Как-то странно удивляться наличию возможности у владельца сайта сделать тот же SQL-запрос в свою же базу данных. Это ведь тоже система доступа.
tentakle
Странно, что не вызывает удивление, когда сотрудник организации, а не посторонний человек делает запрос к базе данных и получает пароль в виде хеша, а не в открытом виде.
michael_vostrikov
Пароль это служебная вещь, необходимая для входа в систему, и ни для чего другого она больше не используется, в отличие от произвольного текстового сообщения от одного пользователя другому. Кроме того, есть техническая и организационная возможность хранить пароль не полностью, в отличие от того же произвольного текстового сообщения. Весело будет, если вам в личку хеш придет, а вы будете угадывать, что собеседник имел в виду?
Но ок, если без шуток, даже если шифровать сообщения. Вы-первых, как исправлять ошибки? Придет вам жалоба от пользователя «в моем сообщении отображаются нечитаемые символы». Как сотрудник организации должен это исправить, или хотя бы ошибку проверить? Нужна система доступа. Во-вторых, вы, допустим, согласны, чтобы пользователи торговали планом через ваш сайт в личных сообщениях. А другие не согласны. И ничего удивительного тут нет. В третьих, это еще без обсуждения монетизации бесплатного сервиса. Так что причины, по которым владельцы сайта имеют доступ к пользовательским разделам, вполне простые и понятные.
tentakle
Пароль это то, что не должны знать третьи лица. И это первично, а не то, что это пароль. То, что скрыто должно быть скрыто. В каких-нибудь Whatsapp'ах и прочих мессенджерах (не берем теорию заговоров и все такое) с шифровкой/расшифровкой и исправлением багов проблем нет. Как-то они справляются с передачей зашифрованной информации.
И еще раз про само понятие модерирование. Модерировать можно только то, что выложено в открытый доступ, в этом и вся суть модерирования. Пользователи торговали планом через сайт — информация о продаже плана лежит на сайте, то есть в открытом доступе. Меня могут заминусовать на хабре за статью, которую я выложил, но не могут за статью, которая лежит у меня в черновиках.
michael_vostrikov
Пароль должен быть скрыт. А информация, которую пользователь размещает, используя сайт, совсем необязательно. В Whatsapp'ах нет проблем, потому что они предлагают этот сервис. А Вконтакты и другие не предлагают. Более того, пользователь сам соглашается на обработку указанной информации.
И еще раз, это не модерирование, это система предоставления доступа. Предоставить доступ можно к тому, что не выложено в открытый доступ. Для каких целей она используется, дело владельцев сайта.
Почему это она в открытом доступе, если они торговали через личные сообщения?
tentakle
И технологию «совсем необязательно» вы считаете верной? Информация может быть не скрыта только в том случае, если нет флага «скрытый». Если я альбом делаю скрытым и его кто-то может посмотреть, то какой же он скрытый? Этот сервис предлагают потому, что всем не нравится небезопасная передача данных. С той же целью вводят https. Это не сервис, который предлагает интернет, это путь развития интернета, обеспечение безопасности передаваемых данных. Зачем нужны всякие MITM-атаки, если есть атака «пара бутылочек пиваса в баре с модератором»? Отличная практика это когда даже сами разработчики не могут получить доступ к данным пользователя, как в protonmail или mega. Плохая практика это когда делают вот такие явные и открытые пути доступа к закрытым данным пользователя. И если планом торгуют через личные сообщения, то каким образом другие пользователи об этом узнают? С чем они не согласны? И что это за роскомнадзоровскя политика такая — блокировать все, что кому-то не нравится, тем более если это происходит в личных сообщениях, которых недовольные пользователи не видят?
michael_vostrikov
Я считаю, что это определяется правилами пользования сервисом.
Вы делаете альбом скрытым от других пользователей. Но не от владельцев сайта или технических работников, имеющих доступ к БД и файлам.
Ну так пользуйтесь, зачем вам Вконтакты всякие. Более того, раз появляются такие сервисы, значит у других нет полного шифрования от всех, значит тем более не стоит удивляться наличию доступа.
Одни сервисы предоставляют одни условия, другие другие. Если прямо не указано, что предоставляется услуга шифрования личных данных, то почему надо удивляться ее отсутствию?
Данные закрыты от других пользователей, но не от обслуживающих сайт работников. Опять вспоминаем разрешение на обработку указанных данных.
Речь не о других пользователях, а о вас, как о владельце сайта, предоставляющего услуги по обмену информацией. Вы согласны, чтобы на вашем сайте торговали планом, а другие не хотят, чтобы на их сайте торговали планом.
tentakle
Чтобы уйти из всяких Вконтакте, нужно чтобы все ушли из всяких Вконтакте, вы это прекрасно должны понимать. Так же вы прекрасно должны понимать, почему люди не уходят из всяких Вконтакте, хоть и пишут у себя на стеночках всякие красноречивые «В ответ на новую политику «ВКонтакте» я настоящим объявляю...» Информационная грамотность у большинства отсутствует и преобладает лень. Сколько уже гром гремел, а мужик все никак не перекрестится.
Давайте начнем не с шифрования, а хотя бы с малого — просто не делать кнопку «Открыть приватное». А судя по тому, как даже на таком ресурсе как хабр так рьяно защищают подобные кейсы по безопасности, то не долог тот час, когда жена не сможет отправить мужу сообщение «купи конфет» и будет забанена, потому что среди продавцов плана это означает собственно покупку онного, а в вашу квартиру нагрянет наряд полиции, потому что вы решили дома при зашторенных шторах поиграть в игру «покажи, где солнце?».
Стыдно, господа, мне просто стыдно за такое отношение к безопасности в комьюнити.
michael_vostrikov
Чего бы ради ее не делать, если есть много причин ее сделать? Начиная от самого факта существования бесплатного сервиса.
Ага, сегодня он играет джаз… Вы вот даже не понимаете, что как раз для предотвращения подобных ситуаций доступ сотрудников к переписке очень даже подходит. Сотрудник проверил переписку пользователей, увидел обсуждение домашних дел, сообщения типа "купи хлеба", и сделал вывод, что это обычная просьба. И да, это никак не меняет того факта, что владельцы некоторых сайтов не хотят, чтобы их сайт использовали в не очень хороших целях, и поэтому делают себе доступ для проверки.
А никто не предлагает открывать то, что заявляется как закрытое. Предлагают не удивляться тому, что информация, не заявленная как закрытая от всех, кроме вас, является открытой. А вы почему-то упорно подменяете понятия.
tentakle
Я, пожалуй, пойду из этой дискуссии.
michael_vostrikov
Ага, только они не заявляются как закрытые от владельцев сайта. Они заявляются только как закрытые от других пользователей. Что вы почему-то никак не можете понять.
tentakle
Заявляются как закрытые — да, но если вы владелец сайта или Владимир Владимирович Путин, то не закрытые. Слово «закрытый» имеет только одно определение, нет всяких «если». В вашем пласту специалистов по безопасности какие-то проблемы с определением слова «закрытый».
michael_vostrikov
Закрыто может быть только от кого-то, от каких-то действий этого кого-то. Поэтому не "заявляются как закрытые", а "заявляются как закрытые от других пользователей".
Хотите определение? Вот определение.
Закрытый — недоступный для посторонних, не позволяющий посторонним лицам входить, пользоваться и т. п.
То есть, кто-то считается посторонним, кто-то нет. Вы считаете, что владельцы сайта посторонние, они так не считают. В первую очередь потому, что они эту возможность (закрыть что-то от других пользователей) вам предоставляют.
dimm_ddr
Никто не мешает иметь формальную страницу в вк и использовать его только для связи с нужными людьми. Зачем при этом загружать туда приватные фото?
tentakle
-Колян, даров, че как?
-Да нормас, пойдем в ватсап, я тебе приватные фото передам
Давайте лучше сделаем еще 10 тысяч мессенджеров, чем просто не будем делать кнопку «Открыть закрытое», да?
Проблема даже не не в том, что данные лежат не зашифрованные и прочее. Проблема в том, что к закрытым данным, на которых так и написано «Кто может просматривать этот альбом? Только я.» могу получить доступ не только я, а какой-то модератор одной кнопкой, которую сделали разработчики.
michael_vostrikov
С чего вы решили, что это "просто"? Некоторые возможные причины появления этой кнопки я вам привел. От того, что вам они не нравятся, они не перестанут действовать.
Угу, первый пункт прочитайте. Который имеет максимальные разрешения. "Все пользователи". Соответственно, остальные пункты это подмножество пользователей.
tentakle
Писать код для кнопки оказывается может быть проще, чем не писать. Наркомания пошла. Валяться на диване сложнее, чем работать. Логика, достойная хабра.
Я как-то пропустил дискуссию в постах о законе Яровой, вы там такие же комментарии оставляли?
michael_vostrikov
Хм, я думал, вы понимаете, что дело не в себестоимости кнопки, а в последствиях ее наличия или отсутствия. Извините, если не так.
Я не в курсе, что это за законы. Я говорил, что нет ничего удивительного в том, что у владельцев сайта есть доступ к данным на своем сайте. Поскольку вы переходите на личности, оставив мои аргументы без внимания, можно сделать вывод, что своих аргументов у вас нет.
tentakle
Почитайте этот закон, прочитайте еще раз, что вы написали, а я из диалога с некомпетентным человеком просто выхожу.
michael_vostrikov
Ага, перейти на личности, привести закон в двадцатом сообщении ветки об удивлении очевидному, обвинить человека в некомпетентности потому что он им не интересовался, и удалиться в закат. Отвечу, пожалуй, себе, оставив за вами последнее слово в диалоге.
Am0ralist
Вы еще старательно не замечаете, что любые фотки доступны по из полному пути, а не только модераторам.
tentakle
Это уже другой вопрос. Попробуйте найти фото, которое принадлежит моей странице по полному пути. Попробуйте вообще узнать полный путь к фото. Это все другая тема, вы это не к месту.
Am0ralist
А как это отменяет тот факт, что фотка по полному пути доступна любому без оглядки на права?
qw1
Если фотка была у кого-то в доступе (читай — был известен прямой URL), этот человек мог сделать себе копию или распространить фотку по любым каналам. Так что, никаких существенных векторов атаки это не добавляет.
Am0ralist
Мой коммент был к тексту обсуждения вот этого: «Кто может просматривать этот альбом? Только я.»
Поэтому я указал, что прямая ссылка на фотку вообще всегда игнорировала настройки приватности, даже такие строгие.
PS. Раньше по адресу фотки можно было определить еще существующую страницу пользователя (в адресе был забит ID профиля). Но уже несколько лет с новыми фотографиями такое сделать больше нельзя… А вот адреса старых фоток никто не изменил.
PPS. В советской теме для ВК настройки безопасности более корректно описаны: «Только Я и КГБ».
qw1
Ещё раз. Если левый человек сохранил прямой линк на фото, то криптопараноик — владелец аккаунта — должен считать, что и фото он само собой сохранил. Если левый человек дал линк другому левому человеку, то так же он мог и оригинал фото дать.
tentakle
А еще если в бухгалтерию с флешкой прийти, то можно скопировать базу 1C.
Хабр, ну ты чего?
Am0ralist
Вот именно! А какой-то бухгалтер, о боже, может узнать закрытую по NDA зарплату, кошмар. Или банковский служащий по пополнению вашего счета. И им разработчики для этого в 1С кнопочки сделали.
Ведь это ваша же цитата, я не ошибся?
И это не говоря о том, что вы, такое ощущение, вообще не зная как работает функционал данной кнопочки выдумываете его исходя из своего понимания ее названия.
PS. Единственно непонятно, как у вас родилась ассоциация между доступом по прямой ссылке на файл и возможность скачать базу при непосредственном доступе к железу?
PPS. И да, не всегда сможет. Например, база крутится на сервере, доступа к базе для физического копирования из бухгалтерии нет. Прав выгрузки базы у бухгалтеров нет. Хотя, казалось бы, вот она, пользователь в ней шаловливыми ручками балуется. Так что аналогия, мало того, что не корректная (пред.пункт), так еще и пример с ошибкой с точки зрения нормального подхода в сисадминстве.
tentakle
С вами всеми пообщаешься — лоб себе расшибешь.
Am0ralist
Странно, я вроде вас не учил молиться.
Но могу попробовать воззвать к логике:
Что ж, вы, как системный администратор, опишите модель доступа к контенту, когда на ресурсе запрещено размещать определенные вещи, есть система прав доступа пользователей, есть возможность расшарить где угодно, в том числе вовне по прямой ссылке контент, есть система жалоб на контент от пользователей, и есть модераторы, которые не имея право на просмотр какой-либо информации, должны лишь по наличию жалобы без возможности увидеть подробности о контенте решить: нарушает контент правила ресурса или нет.
Нигде за собой абсурда не замечаете? Лоб расшибленный не мешает думать? Но если у вас получится — я думаю многие будут рады об этом прочитать.
Логично предположить, что модератор должен иметь возможность увидеть информацию, на которую поступила жалоба. Но не иметь права произвольно просматривать чужие файлы по своему хотению. Более того, в идеале чтоб прочая закрытая информация пользователя или группы пользователей была ему не доступнее, чем обычному пользователю без соответствующих прав доступа к ней. И чтоб все его действия строго логировались, особенно просмотры чужих закрытых данных.
Так что если ваш контент действительно скрыт от всех и ссылку на него никто не может послать модератору — он его не сможет и увидеть, превышая свои полномочия. Если же вы в свою закрытую папочку положили файлики, поделились с кем-то, кто посчитал контент не правильным и послал ссылку модераторам на проверку — то вы ССЗБ, нарушивший правила пользованием ресурсом.
А вот что вы выше описывали исходит из того, что любой модератор царь и бог и может сам решать, что проверять, куда смотреть, по чьему профилю полазить, какой закрытый альбом открыть и посмотреть и все это бесконтрольно и безнаказано. Хотя нигде нет основания предполагать такого идиотского подхода (кроме факапов, которые со всеми могут случиться).
Да, всегда будут еще и администраторы, которые будут иметь еще больший доступ, которые в том числе будут управлять модераторами и раздавать им разные права, а так же контролировать вмешательства. Но в этом случае надо понимать, что практически в любой системе такие люди всегда будут — админы с волшебными паролями от всего. Ибо ИИ еще не придумали (да и не знаешь, что хуже — администратор-человек, который физически не сможет такую информацию просмотреть и обработать, или ИИ, который прекрасно сможет обработать и исследовать все согласно заложенным в него алгоритмам).
Итого, все описанные ваши проблемы в том, что вы приписываете какие-то свои страхи или какое-то свое виденье ситуации конторе, в которой работает куча людей вряд ли глупее вас, причем делаете это на каких-то обрывках информации, по которой можно нафантазировать что угодно. Даже то, что все управляют орки и эльфы.
tentakle
Вам модель доступа к контенту с модераторами мешает думать.
Am0ralist
А вам мешает думать неспособность признавать себя не правым?
tentakle
Вы согласны с тем, что ваши закрытые данные на самом деле открыты, а не прав оказываюсь я? Эх, ну ладно.
Am0ralist
Я согласен с тем, что это все прописано в условиях использования ресурса, это раз.
Во-вторых, вы так и не представили своего варианта управлениями правами доступа по простейшему ТЗ с точки зрения управлением доступом и контролю контента. То, что описывали вы… с логикой не дружит.
Ну и в третьих, если модератору кто-то послал ссылку с жалобой на ваш контент — то ваши данные не такие уж и закрытые. Если же к ним никто не имеет доступ, то и первый попавшийся модератор тоже не увидит.
А если есть с отдельные с более глобальным уровнем — то опять же для доступа к данным данным у них должна быть явная причина (например, использование во вне запрещенного контента по прямой ссылки, по которой они и найдут вашу страничку), то есть опять же из-за того, что ваш контент не был «закрытым» или по еще какому поводу нарушения вами правил ресурса.
И да, я пользуюсь советской темой оформления. Там честно написано, что доступ к данным имею Я и КГБ.
popov654
Там человек удивлялся не отсутствию шифрования (которое не обязано быть, в самом деле), а возможному наличию нелимитированного доступа сотрудников к его личной информации. Это разные вещи. Шифрование — средство борьбы с таким доступом. Шифрования может и не быть, но доступ всё равно может регламентироваться (просто в этом случае это нельзя проверить, приходится верить на слово).
Я кстати пару раз полтора года назад уже натыкался на то, что мои личные сообщения парсились, и на основе их содержания вк предлагал мне рекламу. Я понимаю, что скорее всего это делает робот. Но лично мне такое не нравится.
michael_vostrikov
Ну я и привел в пример SQL-запрос как систему доступа, далее уже появилось шифрование данных. Вообще, речь во всей ветке идет о самом наличии системы доступа, с логами или без.
popov654
Есть тайна личной переписки. Сообщения в социальных сетях, имхо, должны попадать под это понятие.
povargek
Неплохая драма вышла, этот день мы запомним надолго
sergak01
Может уже писали выше — скрин с фото настоящий. Вчера на одном фото видел такую-же панель и успел сделать скрин. Как сюда добавить — не разобрался
saboteur_kiev
Помнится, еще в середине девяностых писал текстовую онлайн RPG игрушку, в котороый были игровые «бессмертные», у которых было несколько уровней доступа. Можно было даже индивидуально настроить под конкретного человека, что именно он может делать.
Вконтакте, спустя почти 30 лет, не глупее. B доступ на видяшке явно не модераторский, а административный.
И уровней модерации должно быть множество, начиная от самого простого — типа подтвердить спам или удалить/скрыть, на которое УЖЕ пожаловалось xx пользователей.
И понятно, что это все идет с логированием всех действий модератора/администратора. И в случае жалобы пользователя, всегда по логам можно будет отследить действия конкретного модератора. Не удивлюсь, если есть автоматическая система анализа логов, которая отслеживает особо подозрительных модераторов и оповещает кураторов.
В любом случае, совершенно глупо надеяться, что «личная переписка» и «личные фотки» будет недоступны владельцу ресурса и его сотрудникам. В лучшем случае, можно надеяться, что они подписали соответствующие договора и соблюдают их достаточно, чтобы не выкладывать вашу личную информацию где-нибудь еще. Причем, я предположу, что ситуация в ВК даже сейчас лучше, чем в FB.
dimm_ddr
Кстати насчет логов вы совсем необязательно правы. Вроде бы так должно быть, наверняка для модераторов и есть. Но совсем не факт что есть для администраторов.
saboteur_kiev
Администраторы тоже должны быть разных уровней.
Да и вообще, логирование любых административных действий — полезная вещь. Даже для отслеживания своих же действий, если надо что-то проверить.
Другое дело, что при достаточном доступе можно свои логи почистить.
dimm_ddr
Должны быть — да. Полезно — да. Так ли это в реальности? Я не знаю.
hommiusx
Не совсем понятно что значит «В случае жалобы пользователя...». Как вы себе представляете такую жалобу? «Здравствуй, сотрудник поддержки ВК. Паучье чутье подсказывает мне, что содержимое моей личной переписки стало доступно третьим лицам и было использовано в чьих-то корыстных/личных интересах. Прошу провести служебную проверку, найти виновного и наказать по всей строгости закона.»?
Каковы шансы того, что жалобу пользователя на действия модератора (информации о которых у него нет) вообще будет кто-то рассматривать? Я уж молчу про какие-то реальные действия по наказанию «виновного».
seo8ceo8com
WC =контроле татале :) +алчность акционеров =писец стучащий
однажды нарвался на евангелиста из WC просто блокернули экаунт
за предложение товаров и усуг в wc
вывод прост только личный архив и телекс :))
и сауна в реале
всем бобра
Itachi261092
Ходят слухи, что это происходило из-за массовых попыток ФСБ читать личные данные и сообщения организаторов митингов 26 марта.