Скриншот аналитики Appsee
Редакция Хабра связалась с Бургер Кингом и Appsee, чтобы они рассказали свою версию событий. Потому что несколько взглядов на вопрос всегда лучше, чем один. Бургер Кинг ответил объемным пресс-релизом и таки выдал запись видео Appsee с экрана. А Appsee ограничился коротким PDF, которым как бы говорит: ребята, наше дело маленькое, мы просто любим анализировать.
Что говорит Бургер Кинг
(если интересно, вот пресс-релиз целиком)
- Сам сервис не записывает данные банковских карт
- Наш эквайринг (Яндекс.Касса) не передает нам данные банковских карт. Так что никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками.
Если верить этому видео, поля не блюрят, а закрывают черными плашками
Говорят, что данные собирают только с 10% из 3 млн юзеров и не в сотовой сети — только когда смартфон подключен к Wi-Fi. Чтобы наверняка исключить себя из тех 300к юзеров, действия которых анализируют, в приложении есть кнопка «Служба поддержки», а дальше — форма обратной связи. Там нужно явно попросить выключить вас из выборки Appsee.
Написал им. Обещали обработать заявку «в рабочее время с 10 до 18, с понедельника по пятницу».
Заявлено, что все данные приходят на сервер без имени пользователя и личных данных. Appsee соблюдает правила GDPR, поэтому следит за этим тщательно.
Бургеркингу данные Appsee нужны для улучшения юзабилити приложения.
Даже данные, которые мы получаем (имя, телефон и имейл) нам нужны только для того, чтобы начислять нашим гостям бонусы за заказ.При этом в пользовательском соглашении написано, что пользователь передает:
- имя,
- фамилию,
- дату рождения,
- номер телефона,
- имейл,
- информацию об устройстве.
8.1. В соответствии с положением Федерального закона от 27.07.2006 №152 ФЗ «О персональных данных» Пользователь свободно, своей волей и в своем интересе предоставляет Компании свои персональные данные в следующем составе: имя, фамилия, дата рождения, номер телефона, адрес электронной почты, данные о модели мобильного устройства Пользователя (производитель, модель, версия операционной системы, идентификатор устройств и иные технические параметры и идентификаторы, включая IMEI), и иная информация, которую Пользователь может указать в своем обращении, не относящееся к специальным категориям и биометрическим персональным данным, и прочие сведения, сформированные в рамках процессов обработки персональных данных Компанией, в том числе: информация о предпочтениях и заказах Пользователя (даты, состав заказа и т.д.) список аккаунтов на устройстве Пользователя; данные о местонахождении устройства Пользователя; иные технические данные, необходимые для улучшения функционала и работоспособности Приложения. Пользователь дает согласие (а также третьими лицами для исполнения обязанностей Компании) на совершение следующих действий со своими персональными данными: сбор (получение), запись, систематизация, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), блокирование, обезличивание, удаление и уничтожение, персональных данных, действия (операции) совершаемые с использованием средств автоматизации и оказание консультационных услуг по запросу физического лица, в том числе хранение сведений по запросу субъекта, проведение рекламных, маркетинговых и информационных компаний для клиентов, оформление и доставка заказа клиенту, хранение сведений о субъекте в соответствии с локальными актами Общества.Про право на использование пользовательских данных написано в этом же пункте, кстати.
Полный текст соглашения на сайте Бургер Кинг
Что говорит Appsee
Appsee тоже выпустила официальный релиз, в котором говорит, что компания, которая пользуется их услугами, должна:
- явным образом донести до конечного пользователя, что данные об использовании приложения будут собирать,
- указать, что все поля, где фигурирует персональная информация пользователя, будут скрыты.
P.S. Отправил еще официальный запрос разработчику приложения Бургер Кинга — e-legion. Они ведут блог на Хабре и решили ответить прямо в нем.
Комментарии (102)
fennikami
12.07.2018 17:32+2Попрошу не спешить с выводами и уж тем более не слушать BK.
Ждите мой второй пост, пожалуйста. Там и видео, и описание подробное, и прочее.baragol Автор
12.07.2018 17:33+1Я только за факты. Выводы каждый делает сам.
a_batyr
13.07.2018 01:17-2Мне вот интересно, написал человек обвинение, компания понесла репутационные ущерб несмотря на то, что обвинение опровергли. Пикабу и хабр опровергнутые статьи не удалили и даже не заминусовали, а следовательно они продолжают наносить удар по репутации компании. Если автор обвинительных статей не прав, то должен ли он возместить репутационный и финансовый ущерб компании? Виновата ли юридически администрация информационных сайтов, на которых была опубликована «новость»? Виноваты ли другие СМИ раздувшие «новость»?
winox
13.07.2018 02:01-4Вообще это демонстрирует на сколько все(компании, персоны) уязвимы, никто не защищен от подобных вбросов. А человек нашел подход(может и не специально), ему бы в армии троллей работать, например на конкурентов.
vikarti
13.07.2018 07:06+2Обвинение все же не такое голословное — заблуренное видео — отсылается (зачем — вопрос другой, как и сам вопрос необходимости эти номера карт из видео выдирать — БК может и так их получить).
a_batyr
13.07.2018 10:22> Обвинение все же не такое голословное
Чтобы мы говорили об одном и том же, я зацитирую fennikami:
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.
Это цитата fennikami, которая является голословной. Автор до сих пор не исправил этого и даже не признал ложность этого утверждения. У меня после прочтения такой статьи было поначалу впечатление «ну всё, массовая утечка банковских данных», а потом оказалось что разработчки собирали абсолютно легальную статистику для дебага.
Что же вы этот GDPR суете везде?
А также голословные и не обоснованные комментарии.
GDPR — глупый закон, который сам по себе ну никак не помогает в privacy regain, и это не показатель.
winox
12.07.2018 17:38Пруфы с видео не только BK предоставлял, предоставляли так же другие пользователи youtu.be/nYhRy30SYfE
TYLLIKAH
12.07.2018 17:42+2А с чего бы вдруг нам стоит верить тебе, но не верить БК? Они не то не придумывали детские отмазки дабы не постить видео.
Жалкая попытка самопиара.
MINYSMOAL
12.07.2018 17:44+1Если бы ты хотел сделать нормально, то ты бы запилил все технические подробности + пруфы сразу в первый пост, подготовившись держать линию обороны. Но нет, ты решил копипастнуть сюда статью с пекобу, забыв видимо, что тут публика обладает критическим мышлением. Поэтому скорее всего, многие уже сделали выводы..:(
UJIb9I4AnJIbIrUH
13.07.2018 01:58+15Выскажу, наверно, непопулярное мнение, но «тутошняя публика с критическим мышлением» в начале очень бодро и уверенно заплюсовала статью и сдобрила автору карму. На момент написания данного комментария рейтинг статьи составляет 232-97 = +135 при карме автора в -1 при 207 голосах, а статья из песочницы, так что все эти кармические баллы относятся именно к данному кейсу. И снижаться она начала только после того, как отдельные личности в коментах начали разруливать что и как. Получается, что критическое мышление именно публики на самом деле свелось к тому, кто убедительнее пишет. Без обид.
DracoL1ch
13.07.2018 12:53Всегда так было и будет. Я не разбираюсь в создании приложений, да и не обязан. Я вижу репорт о записи экрана, я помню, что вбивал туда данные карты. Естественно, меня охватит легкая паника, но компании я худо-бедно доверяю, что она не сольет мою карту. Затем, через пару часов, вспомнили документации AppSee и то, что оно затирает все окошки для ввода. И вот тогда сенсация превратилась в пшик. Но дочитать до того момента не так-то просто.
Люди, конечно, паникеры, но иногда лучше перебдеть, когда счет на миллионы загрузок.
KivApple
12.07.2018 21:56Кто-то уже поспешил и это вы.
Приложение не вчера запись экрана делать начало. И от того, что вы написали бы свою статью днём раньше или днём позже абсолютно ничего не изменилось бы. А за это время можно было бы подготовить нормальную публикацию со всеми пруфами. Но вы погнались выигрывать секунды с громкими выкриками. Зачем?
cloid
13.07.2018 15:26-1Ооо да чувак, во втором посте у тебя должно быть что-то такое, что поставит на колени БК и АппСи и мою пипирку от прочитаного, потому как ущерба ты им явно нанес, деловая репутация все дела. Как человек имеющий дело к разработке аппов могу ответственно заявить что АппСи это еще ангел. В современных реалях без подобного софта никуда, и оно есть абсолютно в каждом ухоженном аппе. Поройся в других популярных аппов, возможно твое мировозрения изменится. А так да, оно реально перед отправкой мажет поля которые ты задал, да и качество изображения обычно 144п. И взаключение хотел добавить что инициатива еб#т инициатора. Ставлю шляпу что ты сольешься когда БК подсчитают убытки. Удачи.
MedicineMan
12.07.2018 17:42Мне понравился ответ автора нашумевшего поста по поводу GDPR.
Valery35
12.07.2018 23:33Его за это поминусовали изрядно.
Нормально парень болото взболтнул. Речь тихонько пошла про номера карт, то есть факт внезапной передачи остального не отрицается.
3amynoK
12.07.2018 17:47+3Краткая инструкция для проверки
Ставите mitmproxy, настраиваете transparent proxy docs.mitmproxy.org/stable/howto-transparent, далее сертификат docs.mitmproxy.org/stable/concepts-certificates Прописываете WiFi соединение Gate через компьютер с mitmproxy, запускаете прокси mitmproxy --mode transparent --showhost --save-stream-file ~/mitp-dump Заходите в приложение BK, регистрируетесь идете на форму ввода карты и ждете в консоли mitproxy урла вида api.appsee.com. Может потребоваться минута две. Останавливаете прокси, открываете дамп, ищите это запрос и берете данные от Content-Type: application/octet-stream до -------------appsee--. Эти данные это и есть видео файл, сохраняете его в mp4/mov и видите что поля карты замазаны.
Может кто заинтересуется.farwayer
12.07.2018 17:57А вы не разбирались, как происходит настройка замазываемых полей? Локально в приложении или удаленно? Если второе — то сейчас видео уже ничего не доказывает.
3amynoK
12.07.2018 18:06Я могу судить по API AppSee в котором в коде (т.е. локально) указываются поля www.appsee.com/docs/ios/api метод markViewAsSensitive. Удаленно приходит конфигурация, они могут просто выключить запись
Обновление в AppStore обычно занимают не меньше одного дня.farwayer
12.07.2018 18:12Да, похоже, что локально. И проверить, что они замазывают не так уж и сложно в таком случае.
mingw2018
13.07.2018 15:26+1>> habr.com/post/416919
>> В ответ телефону приходит информация (снизу) о том, как записывать видео с экрана.
Смотрю те скриншоты… Сужу по ним… гм…
А ничё что параметры «HideInput» и «HideSensitiveViews» приходят с удалённого сервера?
Типа захотели — включили замазывание, захотели — выключили замазывание..?
Таким Макаром они ещё утром всюду выключили — и уже фик чё докажешь. С:3amynoK
13.07.2018 19:56Да уж, вот я время то убил на это все. Вы правы. Я подменил ответы, с той же версией приложения и получил видео где данные карты есть. Все кроме CVC, они кружками и не как на iOS по умолчанию Secure поля, секунду видно что вводится, а сразу кружек, можно это увидеть и в самом приложении. Пруфы yadi.sk/d/tjxg2OJ83Z6YB8 Можно куда-то добавить в новость, так поступать нельзя, удаленный сервер решает записывать или нет данные карт, строже нужно контролировать в приложениях где AppSee может записывать видео.
denis-19
12.07.2018 17:47у БК есть свой бесплатный вайфай в локациях почти всех. Многие на него цепляются посетители с удовольствием.
Это тоже в своем роде получается уловка для работы потом с приложением и передачей данных. Если только по вифи все передается в приложении.
Пока что нужно копать глубже и смотреть что же действительно пишет на видео и. возможно, это будет немного скорректировано в некоторое время от вчерашнего. Тогда будет сложнее ловить.
По факту БК — франшиза и хорошо собирает со своих филиалов разных и берет деньги за приложение тоже, как сервис в своем прайсе.
AndreyYu
12.07.2018 17:51А в БК большие очереди?
denis-19
12.07.2018 17:54смотря в каких локациях. аэропорты — большие. в фуд-кортах средние. по городу если — там от времени зависит дня.
но там отличие от МакД — продается пиво. Поэтому студентов и молодежи более.AndreyYu
12.07.2018 17:57Понятно. Просто пытаюсь осмыслить насколько люди стали ленивы.
denis-19
12.07.2018 18:02Плюс приложения — типа можно заказать и оплатить порцию из элементов которые хочется.
Далее в приложении выбрать локацию. время когда там прийдешь и заберешь. потом приходишь и забираешь там ко времени, ну или доставку оформляешь себе по адресу.
А на месте в локации БК проще в терминале ввести номер купона и купить что нужно быстро и без очередей.AndreyYu
12.07.2018 18:08Согласен, функционал приятный. Однако, насколько ж нужно любить БК!
denis-19
12.07.2018 18:14Там еще разные допы типа купонов и разных подарков в минииграх есть.
Молодеж это любит и бегает с этими купонами на экране смартов к кассам.
Сейчас еще какие то наклейки дарят и прочие плюшки простые через вкбота и т.д…
У них ранее до приложения была просто БК-карта типа на нее кладешь деньги и потом с нее расплачиваешься — каждый десятый раз — дарят что-то из бургера и т.д.
Но срок карты вышел, потом через 2-3 года они новые карты выпустили. А мой телефон был привязан к прошлой карте и икак в ТП даже не смогли меня переподключить на новую их карту. забил потом на это.
Так что приложение у нихэто след.этап после таких карт.
artyums
12.07.2018 20:33Вся эта кутерьма с приложениями и прочее — зачем? Очереди? Почему нельзя придти в какое-нибудь другое заведение, где нет очередей?..
Вот не чувствую я потребности посещать заведение, в которое владельцы меня всеми правдами и неправдами пытаются затянуть — купоны, приложения, бесплатные бургеры, какие-то наклейки ВК… Все равно что на рынке за руку хватают и ведут покупать.
Каждый раз, будучи на каких-нибудь фудкортах, где много различных заведений, представляющих самую разнообразную кухню, искренне удивляюсь тому, какие толпы стоят за (на мой взгляд) бросовой едой (БК, МД, Саб и т.д.), когда рядом есть не менее (если не более) достойные внимания места. Например, регулярно вижу простаивающий Ливан-Хаус (с наивкуснейшими восточными блюдами), Теремок (с привычной русской едой) или Воккер (азиатская, в основном китайская кухня).
В ответ на это мне многие любят приводить аргумент цены, мол, в БК/МК/Сабе дешевле! Но, ведь, во-первых, на себе и близких экономить не стоит (в пределах достатка, конечно), а во-вторых все эти люди зачастую стоят с пакетами далеко не из second-hand магазинов :)
Что же так привлекает в этих сетевых бургерных/бутербродных?
P.S.: люблю вообще любую кухню, бургеры в том числе. Но массовый бургер из известных заведений не идет ни в какое сравнение с каким-нибудь, скажем, из Бургер&Фрайс.denis-19
12.07.2018 20:54-2Воппер кстати очень интересная тема была, когда только БК зашел в РФ. Да и тогда он был вкуснее и больше, как мне кажется, чем сейчас. Ибо 4 года назад по купону можно было взять 2 воппера по цене одного, чтобы в обед между монтажами и до позднего вечера работать без голода.
Сейчас только купон 11152 спасает в разных городах, куда мотаемся и знаем, что можно взять с собой нужное и нормальное для перекуса без особого шанса отравиться и на объекте тратить время на лоперамид и прочее.
KivApple
12.07.2018 22:04+4Люди хотят перекусить:
1) Вкусно (даже в ущерб полезности)
2) Относительно безопасно (вероятность отравиться в крупных сетевых заведениях ниже, чем в каком-нибудь ларьке с шаурмой)
3) Не дорого (не все могут позволить себе каждый день питаться в ресторанах)
4) Быстро (производство бургерах в KFC/Mcdonalds/Burger King поставлено чуть ли не на конвейер)
Также надо отметить тот факт, что что-нибудь из тройки фастфудов есть почти в любом городе. И вне зависимости от города имеет одинаковое меню (не надо гадать, понравится ли неизвестное блюдо) и вышеуказанные параметры. В случае неизвестной кафешки ничего этого нет и надо всё разведывать с нуля. А тут можно просто ориентироваться на вывеску уже известной тебе сети.
stanislavskijvlad
13.07.2018 08:36Голодному студенту и купон – праздник.
Особенно, из провинции.artyums
13.07.2018 10:16+3Голодному студенту можно питаться более дешево и, при этом, здорово. Например, в столовых Москвы обед из первого, второго, салата и напитка обойдется в ~200р, а воппер с картошкой и колой по купону стоят 290р. К тому же, увы, гастрит у многих студентов имеется, фастфуд явно не на улучшение пойдет...
balexa
13.07.2018 10:36Ну я могу сказать за себя. Я бы предпочел обычную столовую-кафе, но нсли мы не говорим про классические рестораны-кафе, а про фастфуд — то да, я тоже выберу макдак/бк и кфс.
Во первых в сетевых магазинах гарантированно качество лучше. Отравиться в малопопулярной сети гораздо проще.
Как вы заметили, в макдаках и бк больше поток людей, значит там более свежие блюда. В кфс я вижу как эти куриные запчасти высыпают со сковородок. Когда в крошке-картошке готовили салаты я не в курсе, может позавчера.
В теремке я пару раз натыкался на несвежую начинку, после чего есть там перестал в принципе. Уж лучше макдак, там с этим проблема нет. И я уверен, что там администраторы не будут пытаться доказать что мясо в блине так и должно пахнуть. Вот как-то так.artyums
13.07.2018 10:51Крошку Картошку сам обхожу стороной. Там действительно все странно, вроде свежей картошки, но растворимых супов.
По поводу несвежего… Оно мне попадалось почти везде, не только в Теремке, но везде блюдо заменяли на аналогичное без вопросов и по первому требованию.
0xd34df00d
13.07.2018 17:27Если это приложение позволяет не общаться с человеком за кассой, а просто тупо получить свой заказ, то вот и ответ.
Для меня с моей социофобией, по крайней мере.vlivyur
13.07.2018 18:07У них вроде есть телевизоры, где можно натыкать свой заказ, без общения с кассиром.
KorDen32
12.07.2018 19:27А на месте в локации БК проще в терминале ввести номер купона и купить что нужно быстро и без очередей.
Зависит от места видимо. Сужу по своему городу:
Мак отдельно — 4 терминала, мак на фудкорте — 2 терминала. Редко бывает что один из них не работает.
БК есть только на том же фудкорте — долгое время был 1 терминал, сейчас вроде 2 поставили, но частенько то один не работают, то оба.
В итоге на практике в БК очереди на заказ субьективно в среднем больше, хотя народу вроде ± одинаково, если наблюдать за выдачей.
Gluuuk
13.07.2018 15:26Да приложение скорее для того, что бы ты пролетая мимо точки мог забрать заказ, другого сммысла в нем не много. Хотя признаюсь я делал через него заказ потому что меню на вывеске увидеть не мог.
tvr
12.07.2018 17:59+3Чтобы наверняка исключить себя из тех 300к юзеров, действия которых анализируют, в приложении есть кнопка «Служба поддержки», а дальше — форма обратной связи. Там нужно явно попросить выключить вас из выборки Appsee.
Ну да, ну да. Читаем пользовательское соглашение БК
4.10. Пользователь вправе в любое время в одностороннем внесудебном порядке отказаться от исполнения настоящего Соглашения путем удаления Приложения со своего мобильного терминала. В этом случае, обработка сведений о Пользователе прекращается с момента и при условии получения Компанией письменного заявления с отказом от исполнения настоящего Соглашения.
kemko
12.07.2018 18:34+1Прямо между 2 и 3 секундами видео видно, как часть экрана сначала отображается, потом sdk такое "ой" и заливает её чёрным. Так что нет, считайте что ничего чёрного на этих экранах нет. То, что замазывается программно — не замазывается вообще, потому что мало ли где ещё sdk не сработает молниеносно.
Beltoev
12.07.2018 18:51Прямо между 2 и 3 секундами видео видно, как часть экрана сначала отображается, потом sdk такое «ой» и заливает её чёрным.
Пересмотрел этот промежуток, проблемы с SDK не увидел. Увидел только то, что открылся экран приложения, потом пользователь кликнул по полю ввода, отобразилась клавиатура, которую SDK вывело черным прямоугольником.kemko
12.07.2018 18:55Ок, тут я ступил и не понял, что это так маскируется клавиатура. Но всё равно стрёмно, не хочу быть зависимым от того, на сколько хорошо вылавливаются баги в замазывателе подобного SDK.
denis-19
12.07.2018 18:38Зачем тогда вообще сливать видео. где 70% экрана в черных полосках? Что там анализировать по сути — черные полосочки?
Лукавят. однако.vics001
13.07.2018 01:45+4Маркетинг отдел не знает как выглядит приложение, поэтому они не ходят к разработчикам, а берут скриншоты прямо у пользователей.
Welran
13.07.2018 14:01Анализируют какая последовательность действий привела к крашу приложения. Собственно для этого апси и ставят.
Mugik
12.07.2018 18:41+1Я ожидал от грамотных и зрелых взрослых людей услышать примерно такое:
«Сорян, да, пишем видео для анализа, писали видео и с картами. Мы не разработчики, и не нихрена не понимаем как и что работает. Дали паре чуваков за 2 бургера написать кривую приложуху, те по тупости и видосы с данными карты писали. Косяк правим и к вечеру выкатим обнову. Просим прощения за это. Каждому пользователю нового обновлёного приложения готовы выдать по бесплатной картошке».
Вместо этого, я вижу примерной такой посыл:
«Я не я, хата не моя. Всё там блюриться, всё круто, всё офигенно. Хавайте утырки нашу отмазку и отвяньте клоуны».
Не вижу больше смысла посещать ваши заведения, хотя мне нравилось.winox
12.07.2018 19:07+11Так за что им извинятся, если всё в порядке и проблему высосали из пальца?
Vkuvaev
12.07.2018 19:41-2Интересно, Вы не смотрели что грозит компании нарушившей положения GDPR? Вот так признать факап, чтоб порадовать публику, особенно, если признавать нечего, это может дорого стоить.
KivApple
12.07.2018 22:08+2Так если нужные поля заблюрены, то в каком месте там нарушение GDPR? Это закон о персональных данных. Тупо данные о том, как юзер переходит между экранами без содержимого этих экранов, персональными данными не является.
braineater
12.07.2018 19:23Вайфай тоже бывает лимитированным. Мало ли, я просто себе вайфай с другого мобильного раздал например? Или ситуация как у меня, АДСЛ канал, любой аплоад этот канал забивает намертво. Нехорошо. Для такой задачи вполне хватит записи точек нажатия с тайм-кодами и простенького бота который эти действия, при необходимости, воспроизведет. Естественно исключить нажатия на клавиатуру.
Из плюсов:
— Можно собирать где угодно, траффика тратится пренебрежимо мало по сравнению с видео.
— Никакой паники. Все таки статистику в таком виде собирают почти все. Хотя, конечно, честнее бы было при установке спросить у пользователя разрешения как делают, например, в JetBrains.
— Отлов багов проще, бот сам воспроизведет все действия пользователя.
Vilgelm
12.07.2018 19:53+3А что мешает делать запись по принципу вебвизора? Содержимое приложение известно заранее, достаточно передавать клики (тапы) и введенные данные (если это не карта и прочая приватная информация). И расход трафика сократится в разы, и качество картинки будет выше, удобнее анализировать (в конце концов это делается для того, чтобы повысить продажи).
PurpleTentacle
12.07.2018 20:02Ответ очень прост: готовое решение от AppSee. Разработчикам приложения ничего не нужно ни придумывать, ни сопровождать — подключили, собрали, настроили, смотрим. Не понравилось — отключили. Всё-таки, БК не рекоамное агенство, и не айти-компания, чтобы писать себе такие продвинутые инструменты, как вэбвизор. Они больше по бургерам :)
Vilgelm
12.07.2018 20:11+1Я имел ввиду AppSee. Зачем они выкатили такое тяжелое (с точки зрения трафика и потребления) решение, если есть вариант куда интереснее.
PurpleTentacle
12.07.2018 23:13Предположу, что содержимое заранее не всегда известно. В огромной куче приложений стоит UIWebBrowser и идёт подгрузка контента с сервера, о содержании которого слинкованный с приложением фреймворк AppSee ничего не знает. А так – просто пишут в видео всё, что происходит на UIView и не усложняют себе жизнь наложением контента и кликов.
SkidanovAlex
12.07.2018 19:58+15У меня знакомые разрабатывают мобильные приложения, сидел с ними смотрел видео записанные подобным сервисом. Выглядит очень некомфортно. Даже с замазанными полями кажется что вторгаешься в чью-то личную жизнь. Люди пишут какие-то вещи, немного думают, удаляют их. На видео все есть.
Тот факт что эта практика GDPR-compliant не меняет того факта, что она неправильная. В конечном итоге улучшение в приложении которое я как пользователь получаю от анализа этих видео не сравнимо мало для меня по сравнению с дискофортом от того факта, что кто-то будет смотреть как я пользуюсь приложением.
Тот факт, что от него нельзя отписаться простым check-box — это очень сильное неуважение к пользователю. Это как HBO который требует чтобы я им позвонил чтобы отписаться от сервиса — понятно что нет никакой технической проблемы реализовать check-box или кнопку, есть желание усложнить процесс для людей, чтобы меньше их них отказались от сбора данных.
В конечном итоге все идет к тому, что пользователи выбирают между комфортом и приватностью, какие-то regulations есть, но разработчики всегда будут пытаться собрать как можно больше Sensitive information, потому что данные очень ценны.
slavait
12.07.2018 22:12Все онлайн службы поддержки пишут, сам столкнулся с тем как из службы поддержки пишет ответ на то что я еще не отправил. И никому ты ничего не докажешь, только и можешь погудеть на Интернет и все.
А самый прикол реальной жизни в том, что в суде без мешка денег доказывать судье, если ей уже занесли нереально. Те кто должен защищать закон, они самые первые кто его нарушает. Именно они знают все уловки и темные ходы, а мы сталкивающиеся с этим в редких случаях как нубы на вертеле.
Viacheslav01
12.07.2018 20:14Напомнило слив аналитики из онлайн банка сбербанка: «Вы что, у нас все круто и безопасно, ваши данные только ваши данные, нам ничего не видно, все блюрится»
asaks
12.07.2018 22:16+1Отключение аналитики больше позоде на отписку, напишите нам туда, мы прочтем и вам ответим, а может и не ответим. Что мешало сделать галочку "помочь в усовершенствовании приложения"?
Al_Azif
12.07.2018 23:56+2Учитывая что обе статью обсуждают проблему в духе «ну замазывают же, всё в порядке»,
у меня назрел вопрос: а что, записывать что-то с экрана и куда-то передавать содержимое моей персональной, по сути, записной книжки стало нормой?
Я не говорю даже о том что я не желаю чтобы в моей трубке за 200-500-1000 долларов какое-то говно постоянно жрало батарею, просто тупо шпионя за мной, но запись всех чатов, всех записных книжек и заметок, рабочих документов, сайтов, паролей — это что, уже норма?vedenin1980
13.07.2018 10:20Обратите внимание записывают и передают видео только своего приложения (и без данных). Какие записы вы можете делать в приложении заказа БК?
P.S. Другое дело батарея и трафик — тут согласен.
XanKraegor
13.07.2018 00:33+2Независимо от того, замазывают или не замазывают поля для ввода, но что об этом прямо не предупреждают — уже как минимум некрасиво.
Во-первых, отжирает ресурсы: трафик, батарейку, ЦП, память, пусть и чуть-чуть, но если в каждом приложении будет такой код, то может и набраться порядочно.
Во-вторых, — это дополнительный вектор атаки. Все мы знаем, что чем меньше кода, тем меньше ошибок и потенциальных уязвимостей. Тем более если чужой код — это уже собранный «черный ящик», а не исходники.
Чтобы таких историй не происходило, надо быть честными с клиентами, сообщать о сборе информации и сделать такие инструменты отключаемыми в настройках.
Barnaby
13.07.2018 01:16+4Чтобы наверняка исключить себя из тех 300к юзеров, действия которых анализируют, в приложении есть кнопка «Служба поддержки», а дальше — форма обратной связи. Там нужно явно попросить выключить вас из выборки Appsee.
А могли бы сделать переключатель в настройках.
Но, наверное пользователям так удобнее? Не зря же вы вы столько аналитики собираете, улучшаете юзабилити.Sinatr
13.07.2018 11:07Уже порядком начинает бесить, когда за тебя решают, что по умолчанию разрешено.
Устанавливаешь приложение, за тебя поставят галку «установить МегаБроузер».
Установил приложения, за тебя поставили галку «запускать автоматически».
Теперь вот эта опция, для которой даже галочку не сделали.
Тут явно выбор не в сторону интересов пользователя. С некоторых пор предпочитаю веб интерфейс (если он предоставляется) любым установленным программам. Даже если они в 100500 раз удобнее, вот такие троянские кони уже порядком подзадолбали.
И насчет видео аналитики, как разработчик, я очень сильно сомневаюсь в полезности сего действия. Видео не заменит, как уже заметили в другом комментарии, сессионное логирование и тестирование.
Идея: в видео можно включать звуковую дорожку с микрофона и с помощью нейронки определять настроение пользователя, чтобы сразу перематывать к моменту, когда начинаются проблемы! Ну и естественно распознавать контекст, чтобы показывать внутри приложения только интересующую пользователя рекламу! И как бонус: произнесенные слова «бомба», «президент» и тд. автоматически генерируют емейл для ФБР с прикрепленным видео, защитим отчизну!
Londoner
13.07.2018 12:13Так, а давайте накидаем здесь список зарекомендовавших себя файрволов, ограничителей доступа, антиследилок и т.п.
evr1ka
13.07.2018 13:45-2Пользуюсь мобильным приложением от Burger King на Android 6.0.1 Galaxy S5 (не рутованный)
До недавнего времени было удобно.
Подключил туда бонусную карту и теперь не надо таскать ее с собой.
Но за последние 2 недели пошли странные глюки:
— Из профиля исчезла моя ранее добавленная карта.
— Добавить карту (пробовал Сбер и Тинькоф) по новой не дает: списывает один рубль, долго тупит (видимо возвращает), и после говорит что ничего не получилось, мол карта не добавлена
Спрашивается — почему нельзя добавлять карту на этапе оформления заказа? Тогда можно не делать такую странную процедуру со снятием и возвратом 1 рубля.
Идем дальше, заказать очень хотел (была акция, угадай счет по футболу Россия-Хорватия добавив в заказ Nе число соусов = количеству голов сделанных Россией), и через сайт смог пополнить бонусную карту.
Через неделю проверяю, — огонь, выиграл по акции бургер за рубль,… но приложение удалило мою бонусную карту… Супер.
Написал в поддержку. Сейчас прежде чем писать текст, зашел в приложении проверить — бонусная вернулась, а вот карту добавить не могу.
Все бы ничего, но плюс приложения был в том, что заказал когда свободен, пока идешь к выдаче, уже готово, забрал — и ушел. Плюс акции разные выгодные… А тут или диверсия какая, или что похуже.
А читая что еще есть и видеоаналитика — вообще не понятно как приложение может иметь такие глюки? Не единственный же я
Особенно интересно наблюдать при старте инфу, что ура, мы все починили, и глюк с исчезновением карт пофиксен. И всего одна кнопка — ОК, все круто!
Так вот… нифига.Beltoev
13.07.2018 13:51+1Зачем дублировать комментарий в разных постах?
evr1ka
13.07.2018 16:33Тот случай когда нашел как достучаться до разработчика (когда игнорят прямые запросы) и повысить шанс быть услышанным.
А чем был вызван ваш вопрос, может вы разработчик этого приложения?Beltoev
13.07.2018 16:51Так разработчик ведь в своём посте только отвечает ( habr.com/company/e-Legion/blog/417043 ), там комментария и хватило бы. А то уведомления о комментариях в смежных постах сыпятся, а по факту — это дубль одного комментария, что немного раздражает.
evr1ka
13.07.2018 19:25Прошу извенить ) Немного расстроило, что закинул им тысячу, а ее отжали, и вернут ли обратно — не сказали.
P.S. Как выяснилось бонусная появляется рандомно, если прибить, запустить приложение на телефоне…
evr1ka
13.07.2018 19:27Ну собственно я тоже на 2 забитых меча (Россией) ставил в матче Россия-Хорватия…
fennikami
13.07.2018 14:11И снова здравствуйте.
Я предоставил видео-доказательство того, что поля не скрываются + видео отправляется каждый раз при запуске.
Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.
Исправьте, пожалуйста, статью и не вводите людей в заблуждение лживыми заявлениями БК.
Спасибо.Beltoev
13.07.2018 14:30+4Вы точно ответ с конфигом в Fiddler-е не правили? А то на скрине видео, который предоставляли изначально, были замазаны поля, другие пользователи выкладывали видео, где тоже замазаны поля, а тут бац… и ни одного замазанного поля.
Beltoev
13.07.2018 16:17+1Тем временем, fennikami отключил комментарии к видео (там были вопросы про подмену конфига) и везде активно суёт свой блог, так как там добавил интересную ссылку:
fennikami.cf/donate
Серьезно? Фейковое видео ради пожертвований?TYLLIKAH
13.07.2018 16:58Заврался fennikami. Целые сутки готовил видео-подтверждение, вот только его не единожды опередили как с видео пруфами, так и с текстовыми доказательствами. Но ведь признать, что ты не прав это так сложно. Комментарии отключил? Правильно, ведь на ютубе можно их писать кучу, а вот на хабре увы не прокатит. Да и очень забавно смотреть на то, как везде пропускают ссылки на его блог. Это же не самопиар и реклама, нет.
Да и комментарии, казалось бы обычные, он не хочет постить. А ведь я всего-лишь написал вот это:
"ему посоветовали на пикабу сюда запостить новость — типа тут СМИ куда лучше подхватят и раздуют пламя."fennikami
13.07.2018 18:58Знаете почему готовил целые сутки? Потому что я спал.
Я целую ночь (и утро) сидел и отвечал на комменты разных людей, в том числе и таких как Вы. А я, между прочим, человек.
У меня нет кнопки «Отключить сон и делать доказательство для людей, которые на тебя наезжают».
И, прикиньте, это не выходные и мне надо работать!
Впрочем, обратите внимание на то, что я вообще Вам ответил. Хотя не обязан.TYLLIKAH
13.07.2018 19:35-3О боже! Я наверно должен кого-то благодарить, что сам fennikami мне ответил. Не тут-то было. Лучше бы не отвечал, в очередной раз отмазываясь своей «усталостью». Моё мнение, которое разделяет часть пользователей, неизменно:
1. дешевый пиар на некомпетентности пользователей пикабу а также так называемых электронных СМИ (там о компетентности вообще нечего говорить).
2. сомнительный пиар на хабре.
Но постойте, сейчас ты скажешь про свою цель — донести инфу пользователям… Хм. Тогда к чему:
1. размещение ссылок на свой «блог»?
2. Контакты для СМИ?
3.Донат в битках?
Цепочка такова: попробую-ка я хайпануть на мобильной аналитике, о которой мало кто задумывается в повседневной жизни. -> Да, сделаю я вброс на хабр, ведь как мне посоветовали, там СМИ подхватят. -> Вау, проканало. Дайка сделаю «блог» ведь интернет уже трубит о БК. -> А почему бы не сделать донат? Может какой хомячок скинет копеечку?! Да и желательно в битках, ведь это популярно,и совсем не для анонимности.
P.S. В ответе не нуждаюсь, береги силёнки для других. Адьёс.
fennikami
13.07.2018 18:55Комментарии я отключил по логичной причине. :)
Ссылка на донат в моем личном блоге сервере — моё дело, не находите?
fennikami
13.07.2018 18:53На скрине видео — ни одного поля не было замазано.
На скрине фиддлера — замазаны айдишники клиента и ресторана (по очевидным причинам).
Конфиг из фиддлера Вы видели.
Трафик я никак не менял и видео никак не правил. Залил на ютуб прямо из фиддлера.
В отличии от БК, которые выложили видео, засунутое в видеоредактор.
sw0rl0k
Если вы используете любое современное приложение на компе/телефоне/планшете с выходом в интернет, то, скорее всего, ваши действия логгируются и куда-нибудь отправляются. Тут надо использовать презумпцию виновности — любое приложение следит за вами, если вы на 100% не уверены в обратном.
semen-pro
Для параноиков — есть фаервол, с белым списком приложений.
UPD:
Пусть это и костыль
arandomic
Файрволл — это непараноидально
— vpn на свой сервер
— Там белый список
Для белого списка — mitm-proxy + DPI
Antervis
хорошая идея. Жаль, что всякие приложухи типа БК не работают без выхода в сеть…
semen-pro
Изначально, у меня появилась эта идея, когда была услуга «бесплатный доступ в соцсети». Думал, весь лишний трафик резать и платить копейки.
i8008
Помимо того, что костыль, фаервол не решает проблему, когда приложению действительно нужен онлайн. А таких приложений сейчас, наверное, большинство.
Намного практичнее другие решения. Например, завести отдельную кредитку для оплаты онлайн и не хранить на ней сумму, большую чем вы потенциально готовы потерять. Аналогично, не предоставлять приложениям реальные данные о себе, если бизнес логика приложений не требует реальных данных. И т. п.
devalone
Так говоришь, как будто это хорошо
sw0rl0k
Это было не оценочное суждение, а рекомендация.
trdm
Пошел гуглить Android Firewall.