Ошибки при интеграциях разных систем случаются не так редко. И главное тут вовремя получать звоночки и фиксить эти проблемы.
Хочу рассказать вам о критической уязвимости при такой интеграции и возможности потерять свой аккаунт на гос. услугах.
Началось всё вечером. Отдыхая после работы, я получаю смс от гос. услуг с паролем для первого входа. У меня вначале появляется недоумение. Потом осознание того, что что-то тут не так. И я лезу в приложение гос. услуг на телефоне проверять свои персональные данные. И тут я обнаруживаю, что у меня нет привязанного номера телефона.
После этого начинается паника. Пытаюсь свой номер телефона привязать к аккаунту, на что получаю смс о том, что он уже привязан к другому. После такого сообщения меня начинает трясти, т.к. осознаю, что на гос. услуги много чего привязано. Хорошо, что имею второй номер телефона. Я сразу же его привязала и сменила пароль. После этого более менее успокоилась. Но осадок как бы остался.
Пока искала как мне связаться со службой тех. поддержки, пришел муж и начал мне говорить про странные сообщения от Сбера. Я ему рассказываю, что меня взломали. И тут выясняется что же в результате произошло.
Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. И отдал мне зарплатную карту. И кроме этого, он так же на Сбер получает пенсию. И как-то так получилось, что мой номер телефона оказался в его личном кабинете Сбера основным. Ну мне то как бы было без разницы, поэтому никто ничего не менял.
В этом году его для пенсии заставили выпустить карту Мир. И вот теперь ему пришло сообщение, что он должен был отправить свои данные по карте в ПФР. И что это можно сделать нажатием одной кнопки в приложении Сбера. Ну как говорится это он и сделал. И после этих действий я потеряла свой номер на гос. услугах. Точнее мой номер оказался привязанным в его личном кабинете на гос. услугах. Естественно после этого он привязал свой номер телефона, а мой убрал.
После этого мне конечно очень сильно отлегло. Но это критическая уязвимость. При нажатии на кнопку не говорится, что основной номер в сбере уйдет в личный кабинет.
После звонка в тех. поддержку гос. услуг (они никак не хотели составлять тикет, на общение у меня ушло 30 минут) мне начали отвечать сплошными отписками.
Я понимаю, что это не сплошная вина гос. услуг. Тут пошло на перекосяк при интеграции Сбера с ПФР и передачей данных в гос. услуги. Но что в результате выяснилось — что какие бы данные не пришли — можно спокойно потерять свой аккаунт. Т.к. любой номер телефона можно отвязать от левого человека и привязать к другому.
Уважаемые сотрудники Сбер, ПФР и Гос. услуг — решите, пожалуйста, данную проблему. Т.к. по перепискам с тех. поддержкой поняла, что скорее всего до вас это не дойдет и в итоге я получу какую-то глупую отписку о том как привязать номер телефона в гос. услугах.
Уверена, что не я одна такая. И кто-то еще может пострадать или уже пострадал от этого.
P.S.
Ответ службы поддержки:
Данное поведение системы является корректным, так как номер мобильного телефона *** указан в Сбербанке у другого пользователя.
Метод Импорта, с помощью которого была совершена операция, в качестве актуальных контактов использует данные из внешней системы (в данном случае — Сбер-онлайн).
Т.е. это не баг, это фича. Грубо говоря теперь нужно будет везде пользоваться одним ящиком и одним номером телефона.
Ded_Keygen
По-моему, главная проблема в том, что серьезные учетные записи в банке, госуслугах привязываются к мобильному номеру телефона, которые не является собственностью гражданина. Номер принадлежит оператору сотовой связи, который может этот номер изъять и передать кому-то другому, может выпустить дублирующую сим карту, и передать кому-то другому.
Пока не будет законодательная база, позволяющая оформлять мобильный номер телефона в собственность граждан — проблема с возможностью угона учетной записи хоть в банке, хоть на госуслугах будет сохраняться.
Та же ситуация с адресом электронной почты — большинство используют email на бесплатных сервисах. Государству стоило бы обеспокоиться созданием специальной почтовый службы для госуслуг и банков, где почтовый адрес был бы привязан с конкретному гражданину, а вероятность его увода была бы исключена.
Плохо, что электронных услуг становится все больше, а такими дырами в безопасности так никто и не занимается.
bora050
Полностью согласен!
+1000
Velibekov
Тссс!
А то вас услышат, сделают на “Спутнике” почтовый сервис и обрубят Gmail.
DmitryDM
Ded_Keygen
Госуслуги Ростелеком сделал и поддерживает. Вполне подходит под ваше определение «господелка от подрядчика с неизвестной кривизной рук». Да хоть их плагин для авторизации по ЭЦП.
Гмейл вам ничем не обязан. Были случаи, когда блокировали гугл аккаунт целиком, включая почту. И никому ничего не докажешь. Отличие гмейл от яндекс/мейлру только в том, что у гмейла сервера за границей, но и то не факт. С Китаем сотрудничали, сочтут соблюдение законодательства о локализации данных выгодным — и в РФ перенесут все данные.
Речь о том, что есть пробелы в законодательстве.
rzerda
Госуслуги именно подрядчики сделали, а не Ростелеком, который выступает прокси между табуном этих самых подрядчиков и государством. Имел возможность лично наблюдать процесс изготовления колбасы и в коммерческих компаниях, и в (около)государственных — отличий не очень много. Каргокультовый эджайл вместо водопада, офисы поцветастее.
vadimk91
Сейчас под лейблом «Ростелеком» может работать кто угодно. Доходило до смешного: штатный сотрудник Ростелекома выходит к клиенту на подключение услуги, а там кто-то что-то делает, на вопрос «а вы кто?» получает ответ «Ростелеком». И только с третьей попытки неизвестный признается, что он подрядчик.
DrMefistO
А ещё у Гмейла большой и больший опыт в разработке, а также в исправлении багов. Т.к. гмейл чуть ли не самый популярный почтовый сервис, атаки на него делают чаще всего, а значит каких-то основных багов почтовых сервисов он лишён (кроме соц инженерии).
Выбирая между мейлру и джимейлом, я бы выбрал последний как раз по указанной причине.
JohnDoe_71Rus
С некоторых пор, на gmail стали приходить сообщения от мордокниги, какого-то сервиса доставки. Причем началось с сообщений «вы зарегистрировались». При попытке отписаться от сообщений оказалось, что у меня в адресе между буквами есть ".", а в адресах подписок точек нет. И каким образом они валятся мне в ящик не знаю. Приходят сообщения с чужого ящика.
sumanai
Точки в адресе на гмейл ничего не значат, можно хоть каждую букву точкой разделить. Да, вот такая вот поддержка стандартов.
policeman
И не только точки:
support.google.com/a/users/answer/9308648
JohnDoe_71Rus
там другое, к существующей почте добавляешь +<слово> и такой модифицированный адрес распространяешь среди абонентов.
А тут заводишь адрес почты, тебе сообщают что такой адрес занят. добавляешь в рандомном месте "." и вот уже свободный адрес. А по факту получается точки не учитываются и это один адрес? У 2 людей общий ящик?
mkll
Нет, не свободный.
moviq
Да, интересно. А то мне с Украины на мой Gmail письма от банка приходят в адрес некого человека. То ли неправильно он свой email указал, что получился мой, то ли дубликат :)
mkll
О, у меня целая эпопея была на такую тему, дважды. Тоже удивлялся, как так. Оказалось всё проще — человек вообще даже не на gmail почту имел. Т.е. человеческий фактор, как обычно, является более реалистичной причиной. :)
Al_Chemist
На самом деле у них смешно получилось — до определённого момента точки учитывались. А когда обновили и перестали учитывать — просто тому, кто первый зарегистрировался перешли права, поэтому, вполне возможно, что когда-то давно человек нормально регистрировался — а потом просто остался без ящика. Не знаю, наверное, была возможность в тот момент восстановить или поменять имя — как обычно заблаговременно, скорее всего, информировали — но кто-то мог и пропустить
moviq
Надеюсь меня никто не читает :). А почту я регистрировал на gmail'е давно, тогда ещё по-моему по инвайтам только можно было (наверное году так в 2004)
Wesha
Я просто оставлю это здесь.
salnicoff
У «Мейл.ру» еще веселее: у них адреса регистрозависимые. Т. е. vasya@mail.ru, Vasya@mail.ru и VASYA@mail.ru — это три разных ящика с разными логинами. Зато я теперь знаю, что в Москве живет еще один человек с моей фамилией, который должен сколько-то рублей «Тинькову», ездит на «Тойоте ***», которая обслуживается у дилера «***» и еще много чего. В СБ «Тинькова» писал, что мыло не того человека, но им пофигу…
tendium
Откуда дровишки? Только что на свой ящик для спама на mail.ru отправил мыло с гмыла, указав первую букву caps'ом. Всё пришло.
P.S. Вы удивитесь, но rfc5321 не определяет почтовые ящики как регистронезависимые.
salnicoff
Из леса, вестимо. Отправил два письма — на свой (типа vasya@) и адрес моего оппонента (Vasya@). Отчет: доставлены оба. В моем ящике — только одно. Видимо, если другой вариант написания не существует, то доставляется в ящик vasya@, а если существует — то куда надо.
А какой-то более древний RFC не действует? Который описывает полную схему URL типа mailto://user:password@domain.tld?
tendium
Я бы на вашем месте обратился в саппорт. У меня при любом написании хоть VaSyA@ доставляется всё без проблем.
salnicoff
Обращался. Тупо игнорят.
aklimano
Так логично, никто не зарегистрировал ящик в других регистрах, поэтому приходит к вам. Попробуйте зарегать в другом регистре и отправить опять, вполне возможно, что на основной приходить перестанет.
tendium
А вы сначала попробуйте не в низком регистре почту зарегистрировать на mail.ru (hint: не выйдет).
P.S. А вот, что меня действительно беспокоит, так это то, что у меня на амазоне 2 аккаунта с одним емейлом. Отличаются только паролем… Случилось это из-за того, что у меня был акк на amazon.de и был на amazon.com. И были они в разных базах. А потом амазон их объединил. И всё завертелось.
salnicoff
Сегодня — не выйдет. А икс лет тому назад — еще и как выходило.
aklimano
Опять не вижу противоречия — если раньше давало (как выше ответили) — то кто "успел", тот и смог зарегистрировать себе занятый в других регистрах. Теперь новые ящики видимо не регистрируются в другом регистре. Gmail, когда с таким столкнулся, в итоге отдал все адреса первому зарегистрированному, Mail видимо решил оставить старые адреса как есть.
Wesha
Раздел 2.3.10 RFC 2821:
— habr.com/ru/post/274985
tendium
А разве такая схема адресации как-то связана с предметом обсуждения?
salnicoff
Дык регистро(не)зависимость. Формат протокол://логин: пароль@домен был придуман давным-давно, и получается, изначально был регистронезависимым. До сих пор site.com и HTTP://SITE.COM — это одно и то же. Потом только началось — то путь регистрозависимый стал (из-за UNIX), то почтовые адреса ушли на упрощенный формат…
trawl
Просто раньше, в лохматых годах, адреса с точками и без были разными. А потом гугл решил, что адреса с точками будут алиасами адресов без точек. И все такие ящики стали владением кого-то одного.
Я недавно начал получать письма на свой адрес (как мой, только без точки) от сайтов знакомств. Мол я приглянулся девочке, вам подмигнули и вот это вот всё...
Сначала меня это забавляло, а потом предстоял долгий разговор с супругой. Чтобы доказать свою правоту, пришлось сбросить пароль на этих сайтах, зайти в профиль и показать, что аккаунт вообще в другом городе проживает/ищет, общается с девушками в том же городе (к которому я отношения вообще не имею).
Пришлось лезть в грязные переписки и показывать, что кому-то было хорошо со "мной", но у меня было железобетонное алиби на эту дату.
Ну и на всякий случай удалил аккаунты. Пусть регается на свой ящик, который может подтвердить.
zipaa
История бывает смешными и плачевными. Такое вплетение что доверяемые компании не излечились от детских болезней.
Тока за этот год прочитал про затычку в соц. сетей в договорах, продажа квартир онлайн.
Боюсь, будет большой такой Адский снеговик.
Походу надо будет писать регламент про привязку гос услугам ид устройства телефона, номер симки, а также доказать что данная симка зарегистрирована на N- гражданина.
Вести несколько уровней ограничений
лимит снятия или совершаемых сделок (в деньгах или недвижимости авто).
Временные лимиты (баны) если ид телефона и симки не совпадают (как операторы банят на 1-2 час переизданную симку)
Практика покажет насколько ценный труд люди делают.
JamesonRU
аведь была чья то инициатива присваивать гражданину его персональный мобильный номер.
jedecuz
… и где всю базу этих госномеров сольют в первые же полгода. Нахнах, бесплатные сервисы надежней.
Ded_Keygen
Про номер мобильного телефона вы тоже согласны, что пусть лучше оператор может с ним делать что хочет?
dhaenoor
Госпочту проще легкого сделать работающей в режиме "получаем сообщения только от специально удостоверенных организаций жкх, связи, банков и госслужб, остальные слать не могут" ну и пусть себе сливают. Допустим вы узнаете мой адрес 73636373745637@sitizen.ru, но пароль не узнаете — как вы сможете это использовать? Ну, а регаться на сайтах можно отправляя им письма со своего ящика. Они высвечивают временный адрес и код, вы шлёте со своего гос.ящика на этот адрес этот код.
Было бы желание — проблемы решить можно, как мне кажется.
avost
Деаномизация — это довольно много. Пробежался по другим слитым базам, нашёл ваши пароли, если некоторые из них совпадают, значит, с высокой степенью вероятности и там такой же пароль.
Или за мзду малую попросил продажного чиновника слить последний месяц сообщений гражданина 73636373745637, имея в виду персональную атаку именно на ваши цифровые и не очень активы.
Это только навскидку.
Revertis
Так ведь для личных переписок есть бесплатные сервисы, кому в голову взбредёт на таком мыле вести личные переписки? В Словакии, например, у каждого ИПэшника есть ящик на государственном портале, и никто его не юзает для личных целей.
VolCh
Да кому угодно может в голову взбрести,
avost
А причём здесь личные переписки? Всем плевать на сводки о здоровье ваших котиков. А вот на сведения о ваших банковских счетах, документах, движимом и недвижимом имуществе очень даже не плевать.
Vilgelm
В таком виде госпочта уже существует в приложении Почты России. Пока в бете, но можно зайти через Госуслуги, нажать кнопку «получать письма сюда» и письма от госорганов некоторых регионов будут приходить в приложение в электронном виде.
HEKOT
Я тоже так думал, когда у меня была почта на rbcmail.ru
Потом она стала qip.ru и стала глючить (спасибо им за этот тревожный звоночек, я успел с них слезть).
Потом она перестала существовать.
Вы можете возразить, что, мол, «Гууугл», «корпорация добра», «забота о пользователе»… Даже спорить не буду — блажен, кто верует.
Но включат вам чебурнет и всё.
Vilgelm
Вероятность включения чебурнета напрямую зависит от наличия аналогов всяким Гуглам с их сервисами.
brokeruma
Е-рун-да.
В РФ (в отличие от Европы, кстати) полный набор развитых сервисов (аналогов Гугля) существует еще с конца прошлого века.
Vilgelm
Не совсем. Один из популярнейших ресурсов что в России, что в мире — Youtube. Конечно существуют другие видеохостинги, типа Vimeo, но всем им до Ютуба очень далеко, что по аудитории, что по количеству контента, что по техническим характеристикам, что по мотивации авторов (имею ввиду партнерскую программу).
Если брать Россию, то у нас доля телефонов на Android близка к 90%. Практически все они имеют Google Play Services, которые отвалятся в случае блокировки Google, что сделает использование этих смартфонов крайне затруднительным. Создать подобную экосистему пытался Яндекс, но не взлетело.
И так далее, и тому подобное.
Поэтому если врубить завтра чебурнет, то люди это очень сильно заметят. В то же время в Китае он врублен давно, но там изначально был свой Youtube, своя экосистема (скорее экосистемы) для телефонов и все в таком духе. Поэтому для рядового китайца подобные блокировки менее заметны. Это несомненно учитывается, отсюда и недавнее обращение РКН по поводу создания «своего» Youtube, и предустановка приложений, и все в этом духе.
Что касается Европы, то там всякие локальные почтовые сервисы и поисковики тоже существуют, просто они менее популярны чем Яндекс с Мейл.ру.
brokeruma
Так это не техническая проблема.
А результат договоренностей:
Предустановки Гугля на смартфоны, по договоренности с производителями.
При желании административного ресурса предустановить Яндекс вместо Гугля — не проблема.
Да и Huawei обрадуется со своими сервисами.
Vilgelm
Можно заставить предустанавливать Яндекс и не устанавливать Гугл, но это не понравится ни потребителям, у которых синхронизация не заведется и которые не смогут себе купить какой-нить Samsung Galaxy, ни производителям, потому что им придется с этого рынка уйти, потому что насколько я знаю правила Google требуют либо устанавливать Play на все телефоны производителя, либо ни на какие (т.е. создать «локальные» версии моделей для России тут не получится, а между Россией и всем остальным миром любой производитель выберет второе, т.к. объемы рынков несравнимы).
Поэтому это можно сделать, но вызовет это две вещи: 1. на рынке останется Dexp с Дигмой, а всякие A бренды (кроме Huawei) не будут продаваться, 2. будет огромный серый рынок. Все это будет очень заметно и вызовет недовольство, о чем я и писал выше.
brokeruma
Huawei от этого только выиграл. Теперь у него свои сервисы.
Производителям — понравится, ибо им тоже монополия Гугля поперек горла.
Izhevsk
Недавно поменял телефон, Хуавей даже не рассматривал из-за отсутствия сервисов Гугла. Товарищ купил Хуавей, пару месяцев помучился и продал его, купил Самсунг и счастлив. Так что минимум двух покупателей они потеряли.
Dolios
Трех. У меня сейчас хуавей, но когда он сломается, я буду смотреть на других производителей. А жаль, железки у них хорошие.
brokeruma
Все правильно.
Потому что есть альтернатива.
До тех пор пока есть альтернатива.
Эта часть технологий устроена так, что нам не нужно более одной альтернативы.
И вот только когда та альтернатива отключается, так сразу взлетает другая.
«Выживет только один» (с) фильм Горец.
Al_Azif
Кому «вам» и сколько «вас»?
Вы вообще осознаёте какую пургу несёте или вам наличие слушателей необязательно?
VolCh
Скорее так "Каждому конкретному человеку редко нужно больше одной альтернативы для прямого использования"
Vilgelm
Huawei проиграл, потому что их сервисы за пределами Китая нужны только фанатам (падение продаж это подтверждает). И ничего с этим не сделаешь, не получилось даже у Amazon (гуглите Firephone) на домашнем рынке, хотя сервисы Amazon сильно популярнее, чем сервисы Huawei. Аналогичная история постигла Яндекс.Телефон и кучу других подобных проектов.
Я лично не куплю телефон на Android, куда нельзя установить Play, просто потому что куча приложений вообще не будет работать без гуглосервисов. Даже какая-нибудь банальная онлайн игра не заведется. Хотя в целом какую-нибудь ungoogled версию хотелось бы иметь, но покуда там будут проблемы с приложениями это не очень вариант. Есть конечно microg, но это не сильно исправляет ситуацию.
Производители конечно будут рады, но для того чтобы они были рады нужно будет чтобы новая экосистема имела долю сравнимую с Apple. Иначе никто (из крупняка) не будет уходить на альтернативную экосистему, поскольку это нарушает соглашение с Google и продавать телефоны с экосистемой Google они не смогут.
Вообще альтернативы это хорошо конечно, но локальные альтернативы — это боль и костыль. Даже в Китае. Альтернатива может быть только такой же глобальной, как допустим Apple.
sumanai
Как выпилить гугл я знаю, а как выпилить эти сервисы с хуавея?
saege5b
Пока не завезут стабильный рут — смысла мало.
можно попробывать через адб.
logran
Как же это бренды, бедные, в Китае то выживают и свои устройства продают, если их без гугло-сервисов производить нельзя, а в Китае они без них?
Из года в год кто-то подобную копипасту приносит… Можно делать смартфоны без гугл-сервисов на отдельные рынки. Нельзя делать смартфоны, в которых миксуются гугло-сервисы с иными.
И у Яндекса не вышло как раз потому, что они хотели сервисы все свои, а Play Store — от гугла (ибо без него людям смартфоны не интересны были).
vp7
Проблема не только техническая.
Гуглосервисы представляют различные полезные фишки для разработчиков приложений, поэтому огромное количество приложений без гуглосервисов на телефоне просто не смогут работать.
А это значит, что даже просто скачать .apk файл не получится, разработчики должны будут выпускать специальные версии приложений с отрезанными гуглосервисами.
Пойдут на это далеко не все, многие даже не догадываются о существовании такой страны как Россия.
А если с какого-то перепугу Яндекс начнёт встраивать в свои телефоны полный эмулятор API гуглосервисов и будет этими гуглосервисами прикидываться, то головная компания Яндекса проживёт совсем недолго.
VolCh
Вроде как, нигде не запрещено делать свои реализации каких-то программных интерфейсов типа Yandex Speech API полностью совместимый с Google Speech AP
vp7
Есть нюансы.
Вы говорите про отдельные API, которые, уверен, либо основаны на открытых стандартах, либо каким-либо образом лицензированы Яндексом.
Я говорю про закрытую часть экосистемы.
К примеру, Google Cloud Messaging является частью гуглосервисов.
Что такое GCM?
Это «встроенный в андроид» механизм получения PUSH нотификаций.
Делать эмуляцию GCM только на стороне мобильного устройства абсолютно бессмысленно, т.к. все приложения для отправки PUSH нотификации на ваш телефон будут отправлять команды на сервера Google. Которые ничего не знают о вашей эмуляции GCM.
И это только один из сервисов.
VolCh
Мы говорим про сервисы, а значит эмуляцию нужно делать и на стороне Яндекса. То есть пропатченный Яндексом телефон подменяет Java-классы по определённым FQCN или типа того, на такие, которые "выглядят как утка, крякают как утка, летают как утка", но летают не в Гугл, а в Яндекс
vp7
Вы можете сделать что угодно на стороне телефона, но как вы поддержите серверную часть на стороне гугла?
Возьмём условный WhatsApp — на телефоне вы полностью повторите Google Services, ok.
Но для отправки PUSH уведомлений на ваш телефон WhatsApp будет отправлять команды на сервера гугла. А гугл знать не знает о том, что есть какой-то телефон с какой-то там эмуляцией.
Всё, сервис сломан.
Чтобы WhatsApp заработал на таком «адаптированном» телефоне потребуется аналогичная адаптация на стороне самого WhatsApp'а.
И, к сожалению, такая проблема будет с каждым вторым приложением.
p.s. И это мы ещё не рассматриваем аналогичную «доработку» телефонов от Apple. Там всё окажется существенно хуже.
VolCh
Если адреса Гугла захардкожены в коде WhatsApp, а не обращаются к Google Service API телефона, то можно на уровне сети подменять, сертификаті доверенніе вставить и т. п. Но тут гарантий меньше. Я экосистему Гугла плохо знаю, исходил из того, что постоянно обновляющийся на моём телефоне пакет "Сервисы Гугл" — это API для приложений, сами они на сервері Гугла не стучатся.
vp7
Именно.
Сервера WhatsApp обращаются напрямую к серверам Googleчерез один из поддоменов домена google.com, а уже между мобильным телефоном и серверами Google есть выделенный канал для отправки нотификаций.
«Подмену сертификатов» и всего такого сможет сделать только владелец WhatsApp, но никак не какой-то там Яндекс.
Аналогично с другими приложениями.
Часть функций — да, то самое API.
Но как минимум весь механизм PUSH уведомлений жёстко завязан на сервера Google. Не будет с ними связи — сломаются PUSH'и всех приложений.
VolCh
Где-то в нашем диалоге я упустил что речь об общении сервер-сервер. Извините за отнятое время.
sumanai
Вот когда нужны антимонопольщики, их всегда нет ((
vp7
Решать технические вопросы средствами антимонопольщиков — такое себе упражнение. Мало чем отличается от обязательной предустановки российского ПО на всё, что похоже на телевизор.
Он не просто так завязан на сервера Google.
Представьте — есть у вас приложение с 100k пользователями, периодически (к примеру, раз в неделю) вам необходимо доставлять сразу всем пользователям какую-нибудь нотификацию.
Как бы вы это сделали без серверов Google:
1. Опрос ваших серверов методом PULL. Каждая копия приложения раз в минуту присылает запрос на ваш сервер «есть для меня что-то новое?». Минусы — задержка до минуты, ваше приложение всегда должно быть активным и будет кушать батарейку, плюсы — ваша инфраструктура. Нюанс — 100k пользователей вам дадут нагрузку в 1500 запросов в секунду (!!!) на ваш сервер.
2. Работа методом PUSH, все копии вашего приложения держат TCP сессию с вашим сервером. Минусы — только ускорение разряда батарейки, плюсы — отсутствие задержки. Нюанс — ваш сервер должен одновременно поддерживать 100k TCP соединений. Это совсем нетривиальная задача.
А теперь представьте — на телефоне одновременно в активном состоянии работает 60 таких приложений, каждое из которых постоянно дёргает свой сервер.
Это значит, что:
1. Приложение нельзя деактивировать, иначе оно теряет связь с сервером. А значит оно висит в памяти. И памяти начнёт резко нехватать.
2. Для PULL модели каждый запрос-ответ требует ~1kb трафика, получаем 1kb/s постоянного трафика просто для выяснения «есть чё для меня?». В месяц это 2.5 гигабайта трафика. Вдумайтесь — 2.5 гигабайта трафика будет тратить смартфон только для того, чтобы получать нотификации от всех приложений (!!!)
Вместо этого же смартфон держит в полу-активном состоянии одно единственное подключение к push серверам Google.
Каждый смартфон с Android и Google Services на нём держит такое соединение.
Так что привязка к серверам гугла тут во благо, а не «во имя монополии».
sumanai
Написал бы стандарт для пушей, чтобы каждое устройство могло зарегистрировать свой сервис доставки уведомлений. Хоть гугл, хоть хуавей, хоть аппл, хоть личный сервер на канарах.
Так что нет, это именно монополизация.
vp7
А кто бы написал? :)
Гугл написал свой стандарт и внедряет его как часть Google Services. Если на телефоне стоят гугло-сервисы, то есть и пуши от гугла. Если вместо них (или вместе с ними) стоят пуш-сервисы от какого-нибудь Xiaomi, то и они будут работать. По собственному протоколу.
К примеру, у Huawei есть что-то своё.
Проблема в том, что нет единого стандарта. У Apple своя проприетарщина, у гугла своя, у хуавея своя.
sumanai
Если автор приложения не озаботиться, то нет.
Ndochp
Стоп, значит как мне нужно файл найти, так я могу писать
Intent intent = new Intent(Intent.ACTION_GET_CONTENT)
А как пуш отправить, то обязательно к конкретному серверу обращаться?
Другое дело, что нужен будет роутинг типа почты между пуш серверами.
vp7
«Стоп, если я хочу своими деньгами воспользоваться, то я лезу в свой карман. А если мне нужны деньги в долг, то обязательно обращаться к кому-то, кто мне эти деньги даст в долг?» © прямая аналогия.
Поиск файлов — использование внутренних сервисов телефона. Или использование стандратных протоколов (если речь про работу с http).
Работа с пушами — это собственный протокол от Google.
Вас же не смущает, что вы не можете создать себе почтовый ящик myname@gmail.com в обход гугла?
Было бы круто, я всеми руками «за».
Но сейчас, к сожалению, этого нет :(
Ndochp
А если я не файлы ищу, а карту открываю, УРЛ и тому подобное это же уже ресурсы внешние, но обработчик намерения может быть любой. Так что вся беда в маршрутизации, чтобы установленный на телефоне Амазон пуш сервис получал сообщения от приложения настроенного в серверной части на гугл пушера.
grumbler66rus
Что-то вы загибаете.
Протокол SIP обходится без описанного вами треша. Всего лишь приложение регистрируется на сервере, сервер про него помнит и, когда нужно, инициирует сеанс передачи сообщения.
vp7
Во-первых, тут речь не про SIP, а про совсем другую штуку, хотя чисто технически она кое-что общее с SIP'ом и имеет.
Но причём тут вообще SIP?
Во-вторых, а напомните-ка мне, пожалуйста, КАК это работает у SIP'а под капотом? :)
Как для SIP/TCP, так и для SIP/UDP.
Вот вам для удобства простая вводная — клиент сидит за NAT'ом с серым IP.
И ответьте мне на три вопроса:
1. Нужна ли открытая TCP сессия между SIP сервером и клиентом для того, чтобы сервер смог что-то отправить клиенту за NAT'ом (для SIP/TCP)? Нужна ли активная запись в session tracking'е на NAT'е для того, чтоб сервер смог что-то отправить клиенту за NAT'ом (для SIP/UDP)?
2. Через какое приблизительное время неактивности (отсутствия трафика) сессия будет принудительно сброшена на firewall'е? Хотябы ориентировочно.
3. Может ли указанный вами режим «приложение регистрируется на сервере, сервер про него помнит и, когда нужно, инициирует сеанс передачи сообщения» работать в случае, если клиент за NAT'ом или в этом случае держать TCP/UDP сессию необходимо для сохранения возможности инициировать что-либо?
И вообще, вот интересное чтиво на эту тему: RFC 6223 (https://tools.ietf.org/html/rfc6223)
p.s. В мире с «только белыми адресами» всё бы отлично работало как вы указали. Никаких сессий, запомнили IP адрес клиента и можем ему слать единичные пакеты хоть через неделю. Но вышло так, что лишь единицы имеют белые IP адреса на своих мобилках. Даже если в квартиру подаётся «белый IP», то обычно это одна штука для роутера, а живущие внутри квартиры 15 мобилок сидят уже за NAT'ом.
grumbler66rus
SIP я привёл как пример корректной реализации без описанных вами «ужасов».
TCP я не рассматриваю в принципе как протокол с большим оферхэдом и серьёзными ограничениями даже у серверных ОС
Поддержка открытого сеанса в NAT маршрутизаторов на стороне клиента при использовании UDP тривиальна: отправляем пакет c dummy-данными или вовсе пустой каждому клиенту раз в несколько минут. Таймаут у маршрутизаторов выставлен достаточно большой. (К примеру? в том же SIP, сервер Mango Telecom каждую минуту отправляет пакет прямо так и озаглавленный — NAT Traversal).
vp7
Ну вот вы и ответили на вопрос — для поддержания канала необходимо постоянно отправлять что-либо каждую минуту или около того.
Если каждое приложение будет реализовывать свой канал, то для 60 приложений мы получим 1-3 Gb трафика в месяц. Значит в любом случае потребуется мультиплексирование канала и централизованные сервера.
К сожалению, сейчас массово такое есть только у гугла для Android и у Apple для iOS.
brokeruma
Понимаете в чем дело:
В интернете достаточно одного хорошего сервиса каждого вида.
Остальные — только объедки подъедают.
Поэтому при наличие ЮТуба (и поиска Гугля, что форсит на ЮТуб) другие не могут раскрутиться.
Поэтому достаточно блокировки ЮТуба, кто-то один быстро займет его место.
Сейчас уже есть почти готовые ЮТубы внутри РФ, несколько штук (у Яндекса, у Одноклассников, у ВК, у Mail.ru и rutube). Достаточно только заблочить ЮТуб и кто-то из них быстро займет его место. Полагаю, это будет яндексовский, он наиболее похож на «почти ЮТуб». И через пару лет о ЮТубе забудут.
Vilgelm
Это так не работает. Этих «хороших сервисов каждого вида» уже было столько, что и не вспомнить, но появлялся более хороший и предыдущий или терял долю рынка или исчезал вообще. Например если взять формат коротких видеороликов, то был Vine, который был по сути монополистом, ну и где он сейчас? Его вытеснил Musical.ly, а потом TikTok. До Vine кстати были другие, но названия мне не вспомнить.
Если брать почту в России, то когда-то была популярна pochta.ru (помните такую?) и Рамблер. И где они сейчас? И так далее.
Это вполне нормальный рыночный процесс, который идет постоянно.
Любые нерыночные меры никогда ни к чему хорошему не приводили и не приведут. Если заблочить Youtube, то люди конечно от безысходности перейдут на какой-нибудь другой сервис (по крайней мере та часть, которая не сможет обойти блокировки), но без конкуренции это будет не сервис, а кусок говна, который при помощи административного ресурса захватил долю. Даже если он изначально будет хороший (хотя в таком случае никакой административный ресурс ему не нужен, а среди перечисленных таких в общем-то нет), то в итоге все равно скатится в говно, как это происходит с чем угодно после подобного вмешательства.
Я уж не говорю о том, что перетянуть пользователей — это только часть дела, нужно перетянуть еще контентмейкеров. А для этого им нужно платить, нужна монетизация. Кто еще готов будет предоставить доступ к такой аудитории и такой рекламной сети?
Я уже не говорю о том, что если такое произойдет, то цель у него будет одна — цензура, главный образом политическая. Следовательно эта цензура будет и внутри нового хостинга, который не даст куче контентмейкеров на нем размещаться. Если смотреть на тренды Ютуба и самые популярные каналы, то далеко не все там чистый энтертейнмент, довольно много (процентов 30 точно) политики, которая окажется зацензурена. Что опять же еще больше ухудшит характеристики нового хостинга и уменьшит его аудиторию.
Конечно власти очень хотят заблокировать Ютуб и прочее неподконтрольное их цензуре, однако блокировка популярного ресурса вызовет массовое недовольство. Думаю именно поэтому они этого и не делают, а если сделают, то значит они решили пойти на крайние меры.
И совсем другое дело если у сервиса уже есть популярная альтернатива. Грубо говоря если заблочить Gmail, то настолько массового возмущения скорее всего не будет, потому что у Gmail нет и 50% аудитории в России благодаря вполне себе рыночной конкуренции со стороны Mail.ru и Яндекс. Так например было с Linkedin.
И причина того, что у Youtube до сих пор нет конкурентов довольно простая — это дорого. Я даже сомневаюсь что для Google он прибылен учитывая их выплаты авторам, а трафика видео генерирует тонны. Поэтому позволить себе держать сервис типа Youtube могут очень немногие, возможно еще Apple, Microsoft и некоторые другие подобные компании, остальных он или разорит, или это будет довольно специфическая вещь с особой моделью монетизации, например как у Vimeo, которые берут деньги за загрузку видео.
Исключения составляют разве что p2p хостинги, в которых расходы размазываются по пользователям, но к сожалению пока ни один такой проект не взлетел (в частности потому, что авторам будет неинтересно пилить контент, если за него не платят, а там такая монетизация отсутствует by design). Был проект Play2Live, который вроде как решал эту проблему и на который у меня были надежды, но он оказался скамом.
Но думаю рано или поздно произойдет одно из двух: либо появится p2p хостинг с монетизацией и без гугловской цензуры, который Youtube и вытеснит, либо появится конкурент от какого-нить Apple со своими фичами, который займет место Youtube. Рано или поздно это произойдет, потому что ничего вечного не бывает вообще, в том числе и рыночной монополии, но это произойдет явно не в результате наглого вмешательства в рынок.
brokeruma
Это не так работает.
Вы какие-то маргинальные сервисы приводите, сравнивая их с видеосервисом, принадлежащим глобальной поисковой системе.
Андроид, ЮТуб, Гугль — друг друга подогревают.
Про Рамблер расписано в:
Ашманов. «Жизнь внутри пузыря».
Если вкратце:
Инвесторы, привыкшие к легким деньгам «диких девяностых», вложились в Рамблер. В надежде скоро перепродать по завышенной цене. В развитии не были заинтересованы. Ибо привыкли покупать советские заводы и перепродавать их по частях. А не созидать.
Руководство купленного инвесторами Рамблера, не будь идиотами, пилила инвесторовские деньги, в то время, пока Яндекс пилил поиск. После чего Яндекс закономерно взлетел, а Рамблер закономерно упал.
Это не рыночный элемент регулирования, не выбор потребителей.
Примерно та же история была и с Яху.
Они свалились просто потому что перестали развиваться, а принялись пилить бабло инвесторов.
Vilgelm
Это TikTok маргинальный сервис? Или Vine (Twitter)? Тогда по вашему весь Яндекс такой же маргинальный, потому что выручка всего Яндекса за текущий год по имеющимся данным всего где-то в два раза выше чем у одного приложения ByteDance. А пользователей у TikTok похоже и вовсе больше (800 млн).
По поводу Рамблера и Yahoo — это как раз рыночный элемент регулирования. Начал вместо развития пилить бабки? Пришли конкуренты, которые работают и выкинули тебя с рынка. И это выбор потребителей. Потому что потребители выбрали более удобный Яндекс\Google на замену Рамблеру\Yahoo. Если бы потребители продолжили по каким-то причинам пользоваться вторыми, то хоть запились. Так что вполне себе рыночная история.
brokeruma
Разумеется Яндекс маргинален.
Кроме РФ и Турции — везде маргинален.
Вы зачем сравниваете весь мир с рынком страны, что 2% от населения Земного шара?
Да еще в контексте обсуждения блокировок иноземных сервисов конкретно в РФ? При чем тут весь остальной мир?
playnet
И всё-таки ютубу нет конкурентов. Рутуб? Если ютуб без адблока относительно можно смотреть, то рутуб — просто нереально, хуже чем иви (где при старте 4!!! рекламы, но им мало, она ещё и каждые минут 20!!! По 4 шт!!)
Реально, это всё надо именно кричать, настолько рутуб мерзок (был, когда я пытался его использовать).
И… всё? Если убрать чисто стримерские площадки типа твича и wasd, потому что туда ни клип, ни фильм, ни музыку не выложишь, что останется? Лично я вообще ничего назвать более не могу.
mig126
Для ютуба есть плагины которые автоматом пропускают встроенную рекламу. Но работает с более менее популярными каналами. Т.к. одному из посмотревших нужно задать тайм коды.
playnet
для ютуба есть адблок, и есть юблок. И они работают. Если в самом видео встроено в видеоряд — хрен с ним. Другое дело что на мобилах адблоков особо нет, вроде как хром не умеет в плагины, а фф сломали в последних обновлениях и отломали блокировщики.
Смутно помнится, что иви и рутуб просто не работали с блокировщиками. И зачем они нужны такие «красивые» и оборзевшие?
tendium
Работают блокировщики в ФФ на мобиле. Да и фоновое воспроизведение починили. Можно пользоваться дальше.
playnet
для фона я поставил Vanced.
mig126
Может меня неправильно поняли, для рекламы на ютубе встроенной в видеоряд есть спонсорблок.
VolCh
Вы как-то странно определяете конкурентов. Явно не так как антимонопольные службы. Основная функциональность та же? Та же! Для использования пользователем есть сложноисполнимые требования? Нет! Значит конкурент!
playnet
твич и вазд пару недель хранят, потом удаляют, это именно стрим платформы.
Рутуб — по документам конкурент, но не по удобству и возможностям.
VolCh
Какие основные возможности есть у ютуба, которых нет у ютуба? Просто список, без "лучше" или "хуже". Без учёта стороннего софта, использование которого запрещено лицензиями.
playnet
адблок ничем не запрещён, так-то, это не кряк. Он не мешает работе сервиса (упущенная прибыль именно на работу сервиса не влияет никак, поэтому никакой «лицензией» это нельзя запретить).
tendium
Да, когда-то rutube пытался играть на том же поле, что и youtube. Но после проведенной реорганизации он стал превращаться в онлайн-кинотеатр.
P.S. Если прям очень горит посмотреть, а аккаунта нет — можно зарегать по-быстрому на несуществующий email. :D
xenon
В нормальной капиталистической экономике — тут нет проблемы. Рыночные законы одинаково действуют и на того, у кого в кармане сто долларов, и на того, у кого в кармане сто миллиардов.
Убыточность успешного (не оксюморон) предприятия — нормальное дело. На любой момент t можно выдумать много направлений движения в будущее. Одно будет экстремально монетизируемым: хочешь залить видео — плати копеечку, хочешь посмотреть видео — плати копеечку. И моментально выручка гугла попрет вверх. (Правда, популярность гугла полетит вниз). И каждый владелец акции получит, допустим $1 дивидендами. А можно иначе — завлекать еще сильнее, каждому платить и за заливку (даже если никто не смотрит) и за просмотр. Аудитория достигнет почти 100%. В этом случае, будут большие убытки и не будет дивидендов, но акции вырастут на $100. Что выберет инвестор, $1 прибыли (дивидендами) или $100 (на росте курса)?
Поэтому вполне логично, например, что растущий Uber возит за копейки и еще и доплачивает водителям. Телеграмм содержит тысячи серверов и не берет денег. Ютуб тратится еще больше, и почти не монетизируется. Зато Uber — это такси #1 в мире, и все свои доплаты на этапе роста — окупит за пару лет. Телеграмм, используя то, что у него миллиарды пользователей и он почти в каждом телефоне — может запустить криптовалюту, например. И стать эмитентом основной крипты (или псевдо-крипты) в мире. Это почти как владелец всех денег мира. Неплохо, да? Ютуб — это главный в мире «телеканал», весь мир смотрит разные ролики, но весь мир смотрит рекламу от ютуба. Это все охренительный успех, охренительные деньги, уже сейчас, но выраженные в росте ценности продукта.
Если вы нищий разработчик — пилите прототип и инвесторы в него вкладываются. Кто-то сто рублей, кто-то миллиард. Каждому хочется удваивать-утраивать свое вложение ежегодно.
И теперь важный момент — это все возможно в стране, где есть развитый фондовый рынок, право собственности и независимые суды. В стране без этого, можно десять лет развивать проект, вбухивать в него огромное бабло, а через десять лет сесть, а проект отожмут и будут выжимать из него прибыль.
Vlashr
Ютуб хорош в т. ч. огромным, чудовищным объемом междунородного контента, которого в чебурнете нмкогда не будет.
Vilgelm
В том числе, хотя международный (если имеется ввиду нерусскоязычный) контент нужен намного меньшему числу пользователей, а власти скорее всего считают его потенциально вредным, так что это вряд ли будет учитываться, к сожалению.
JerleShannara
Окей, заходим в ютуб без логина, с чистого браузера, с IP какого-то провайдера, который NATит с 500 абонентов, смотрим на главную страницу — привет всяким отечественным топовым блоггерам. Я не думаю, что ютуб на главную страницу кидает не популярные видео. В итоге 85% потребителей сожрут замену ютуба на скепкинескоп, куда вынуждены будут переехать популярные блоггеры(надо же кушать что-нибудь). А вот оставшиеся 15% будут ругаться и искать способы смотреть не такие популярные ролики.
vp7
А они (популярные блогеры) точно переедут?
Вы правильно сказали про "надо кушать".
Если на условном Ютьюбе они получали 600 т.р. в месяц, 300 из которых отдавали команде (оператор, монтажёр, визажист, аренда света, помещения,...), то когда на условном НашВидеоХостинг им выплатят 30 т.р. (и то много, но уж ладно), то долго они не продержатся и из блоггеров переквалифицируется обратно кто куда.
Т.е. вопрос не в том "перейдут, никуда не денутся", а в том, что они перестанут генерировать тот самый контент.
Komrus
Гипотетическое включение чебурнета — это, конечно, зело печальный сценарий.
НО! Как Вы думаете: неудобство рядового пользователя, которому будет не посмотреть видосики с Ютьюба и у которого внезапно отвалятся гугло-сервисы — сильно будет учитываться при (опять же — гипотетическом) решении о включении Чебурнета?
Я думаю, что — будет, конечно, учитываться… Но месте так на стопиисятом… :(
В контетксте — «какую надо пропаганду перед этим в СМИ закинуть и какими ужастиками напужать»…
Vilgelm
Это зависит от ситуации. Если окуклиться решат когда прижмет, то не будет учитываться вообще. Если решат просто по плану, то тогда будет, потому что вызывать на ровном месте недовольство и падение рейтингов никто не хочет.
Поэтому это «по плану» будет сделано только когда будут серьезные и популярные внутренние альтернативы. Для этого нужна предустановка софта, создание местных аналогов и так далее, что сейчас делается. Если у них это получится, то чебурнет включат, если не получится, то только в крайнем случае. На истину не претендую, но мне кажется так.
andrejazanov
Может, население книжки читать начнёт, а не прожигать время в ютьюбчике? :)
mig126
Скорее опять по подъездам/стройкам шариться. Кто книжки читает, тому наличие или отсутствие ютуба никак не мешает.
a0fs
Это мысль в правильном направлении, но с малым горизонтом. На самом деле имеется пара огромных проблем:
Из этих бед, а точнее из попыток решения их по-быстрому, путём наименьшего сопротивления, и рождается использование почты пользователя, поскольку это самый простой способ его идентификации (попробуйте придумать всем уникальные логины, которые можно запомнить, а почта это сама как-то решает) и связи с ним, и СМС как второй фактор аутентификации и канал оперативного оповещения. Я не думаю что нам нужна гос. почта (ну иная чем она есть на гос. услугах, когда всякие ФНС-ы шлют тебе всякие письма счастья) и гос. СМС-ки. Нам нужна стройная система решающая вышеперечисленные задачи. А пока эти задачи (а они вообще стоят перед всеми этими комитетами цифровизации и иными электронными государствами??!...) не будут решены, к сожалению СМС-ки и почта самое малое из зол. В конце концов, от спец. почты придётся хранить спец пароль… а с хранением паролей у народа ситуация сильно хуже чем с вдумчивым чтением СМС-ок…
И да, для параноиков есть ЭЦП, которая даёт чуть большую защиту, чем просто авторизация по СМС-кам, по крайней мере теоретически.
Ded_Keygen
Госуслуги требуют верификацию по паспорту в офисе Ростелекома. Условная госпочта тоже должна.
ЭЦП сложная штука, из-за этого она в конечном итоге не надежна — большинству граждан для использования придется привлекать посторонних, кто разбирается. Лучше уж верифицировать по отпечатку пальца — сканеры есть в смартфонах, при необходимости можно и в компьютеры поставить. Но тут тоже надо решить — как определять, что авторизующийся свой палец отправляет, а не его скан, или вообще перехваченный набор данных, ваш п.2
Конечно, то или иное решение по безопасности требует продуманности, но пока не заметно, чтобы к нему приступали.
Dolios
Не ходил ни в какие офисы, получил пароль заказным письмом. Конечно, его тоже только по паспорту выдавать должны, но часто почтальоны забивают и в почтовый ящик бросают.
Vilgelm
Сейчас это вроде бы не работает уже, а когда работало такой аккаунт был ограничен. В тот же личный кабинет налоговой нельзя было попасть с таким аккаунтом. В «полноценный» он превращался только после верификации из банка-партнера (Тинькофф, Сбер).
Dolios
У меня полноценный аккаунт, никаких дополнительных верификаций не проходил.
Ndochp
Налоговую декларацию подать можете? Раньше был полноценный после письма. (3 уровень) Потом появился еще более полноценный, только с визитом.
Dolios
8 лет подаю. Правда я регистрировал ЛК в налоговой и хожу туда по ИНН/паролю, тогда еще невозможно было с помощью госуслуг логиниться.
Загранпаспорта, штрафы, регистрации, детсады, замена ВУ и т.д., все это у меня работает и ни разу отказа не было.
Ndochp
Мне налоговая предложила или квал электроподпись (3к в год) или хватило госуслуг, но после личного визита в ВТБ.
Уточню, имею в виду именно 3-НДФЛ без визита в налоговую.
Детсады замена ВУ и прочие услуги, требующие личного визита за результатом не считаются — там сверка личности с паспортом происходит в момент визита.
playnet
Я в МФЦ верифицировался а не в банке.
И недавно менял ВУ, тоже в МФЦ. Доки подал, через несколько дней там же получил новое ВУ. Фоткали прямо в МФЦ если что.
Был вариант через портал подать, но тогда получать надо было бы в гаи, что дальше. Проще 2 раза в 1 место сходить.
Всё жду, когда можно будет загран в МФЦ сделать, последний раз когда узнавал — можно было только через портал подать доки, а потом семьёй и детьми ехать получать в другую часть города…
Ndochp
Ну собственно вся ветка о том, что раньше можно было получить максимальный уровень акка госуслуг "бесконтактно" заказным письмом с паролем. После того, как к ним прикрутили налоговую максимальный уровень достигается только лично. (или нет)
mig126
Для физ. лиц налоговая бесплатно выдаёт(или скоро должна начать) подпись для бесконтактной работы.
vadimk91
Верификацию сейчас делают через МФЦ, которые есть в каждом городе.
Nikolai1
Переболел какой-то кожной болезнью — и палец не сканируется.
nickker
Всё так, но можно было бы добавить о биометрии, в свою очередь порождающей ряд социальных проблем, да и далеко не всем доступной по материальным соображениям. ЦП же вполне заменяют суррогаты вроде майкрософтовского Authenticator'а.
a0fs
Биометрия бы вполне спасла, вот только пока терминалы для снятия биометрии не так чтобы везде стоят, главное не у всех дома. Их стоимость достаточно велика, а платформы по связыванию систем аутентификации различных организаций нет, и пока не предвидится. Кроме того, в биометрии тоже идут по пути наименьшего сопротивления и делают только верификацию по лицу, хотя факторов должно быть больше (ну как минимум отпечаток пальца и голос, как максимум ещё чего придумать), для возможности более надёжной аутентификации.
Суррогат вроде Google Auth, Microsoft Auth, Yandex Key — это всего лишь суррогат. На каких то моделях устройств это всё завязывается на биометрию, где-то закрывается пином, что не так чтоб сильно улучшает ситуацию. Плюс, это хоть и хитро сгенерированный, но тоже пароль и передаётся тот пароль в том же канале связи, и может программа от того пароля попасть неведомо куда. В общем по своей сути, это тот же пароль с теми же недостатками, хотя в немного подправленном виде.
А вообще, в идеале аутентификация с применением нескольких биометрических данных (в зависимости от серьёзности системы или операции до нескольких одновременно), должна проходить вне основного канала передачи данных через систему посредник. Но опять таки, сдесь нужно думать о схеме работы такой системы, защиты её от предприимчивых людей во власти и за её пределами и обеспечивать массовость и вездесущесть терминалов этой системы, что явно не входит в какие-либо планы.
vikarti
Не все.
ЕБС вот сделали — там голос и видео.
Что интересно — заявлена эта ЕБС как средство для дистанционного заключения договоров банковского обслуживания (угу и кредиты брать). Почему то вот мало полностью проверенной записи госуслуг для этого.
Yalishanda
К сожалению, нет. Человек постоянно и непроизвольно оставляет за собой биометрический след — отпечатки, голос, лицо, ДНК и т.п. Этим биометрия полезна для полиции и следствия.
Но использовать биометрию в качестве ключа от квартиры? Это сомнительное и довольно спорное решение. Мы ведь обычные ключи не разбрасываем на всем пути от дома до работы, а биометрию — разбрасываем.
В качестве ключа от квартиры не должны использоваться те вещи, которые злоумышленник сравнительно легко может перехватить и затем использовать отдельно от владельца и без ведома владельца. Биометрия не отвечает этому требованию — ее можно перехватить и использовать без ведома владельца.
sumanai
И главное, после утечки биометрию почти невозможно сменить.
JerleShannara
[чёрный_юмор]
Частично сменить биометрию очень легко — возьмите новый модный смартфон в руку и погуляйте ночью по неблагоприятным районам города, периодически выкрикивая «алё, лашары, я тут главный». Вам почти гарантированно помогут поменять биометрический отпечаток лица
[/чёрный_юмор]
AstorS1
Если быть точным до конца, то ресурс нумерации выделяется оператору Федеральным агентством связи. Первичное выделение на платной основе. И есть обстоятельства, при которых выделенный ранее ресурс может быть отозван.
SakuradaJun
Это решение проблемы не с того конца.
Надежда на номер телефона, как на надежное средство идентификации — это в любом случае зло.
Если делать номера собственностью, то рано или поздно они закончатся как IPv4-адреса.
Для неважных сервисов достаточно логина-пароля без привязки к чему-либо.
Для важных, таких как банк, госуслуги и т.д. единственным способом привязки номера или его замены на другой должен быть личный визит в офис, ну или хотя бы к банкомату с картой, с введением pin-кода.
Ded_Keygen
У многих по два, у кого-то по три номера телефона (симки) по разными причинам.
Как быть с ситуацией, когда ты теряешь по какой-то причине номер, который был в учетной записи в банке? Были случаи, когда в Сбербанке клиент менял номер телефона, но старый номер оставался в базе каким-то образом к нему привязан. И старый номер телефона оператор передавал другому человеку. Что в этом случае?
У нас давно действует перенос номера от одного оператора к другому. Не вижу проблемы окончательно выдать хотя бы один номер телефона гражданину в ЕГО собственность.
vikarti
Придется еще как то разрулить ситуацию с переводом номера на юрика и обратно. Либо отдельно прописать запрет таких переходов для этих номеров. И я не про колхозы. Я про ИП. У той же Yota переход номера физика на ту же личность но в ипостаси ИП — предусмотрен. Обратно — нет (при этом завлекалки на тему вам как ИП скидки и особые тарифы — есть).
xenon
Так вроде ИП не юрлицо, насколько я знаю. Это тот же физик, но «вышедший из шкафа», признавшийся, что он предприниматель. Может быть это просто бонус и нет смысла в обратном переходе? Или у этого тарифа для ИП есть минусы?
VolCh
Номера рано или поздно кончатся. Что тогда? Добавлять цифры к номерам? А старые номера как будут работать? Как в аське шестизнаки-семизнаки? Ну и собственность предполагает возможность продавать-дарить?
vikarti
Префиксы заменить/добавить если кончатся.
А насчет «продавать/дарить» — в чем собственно проблема в пределах страны?
MNP УЖЕ есть.
Ну да — фиксированная телефония и IP-телефония (та что для бизнеса,Zadarma всякие) пока не портируемые… вот только роутинг портированных номеров они уже должны учитывать. Вот прямо так сложно добавить и возможность переносить их номера и к ним?
На международном уровне портируемости нет. Но это ТАК проблема?
VolCh
Только добавить, если заменить, то значит мой собственный номер изменится. И вообще понятие "префикс" должно исчезнуть, наверное.
Если мы говорим о номере как об идентификаторе для госуслуг, банков и т. п., то проблема опять в том, что доступ к каким-то аккаунтам получит не владелец аккаунта, а владелец номера.
А если просто чтобы позвонить, то в чём разница с текущей ситуацией?
ibrin
«Позвони на СНИЛС» через спец префикс для РФ.
«Call to SSN» через спец префикс для США.
И т.д.
Доп фактор — паспорт с RFID приложить к телефону.
Всё решаемо!
Tufed
Проблема да есть, но в данном случае не она главная. А принятие данных, ответственных за авторизацию пользователя и восстановление доступа, не от самого пользователя, а от другого сервиса; и замена этими новыми данными реально существующих и легитимных. Отсутствие здравого смысла в таком действии я не могу объяснить ничем. Просто это слишком тупо для любого здравомыслящего человека.
GAS_85
У меня так и произошло, т.к. симки без платных звонков «сгорают» у разных операторов от 3х до 6и месяцев. И вот, я переехал за границу, оператор выключил номер. На госуслугах нельзя стереть этот номер, его можно только заменить на другой. Но номера не +7ххх не поддерживаются. Теперь уже несколько лет надеюсь, что скинуть пароль по смс нельзя (так меня саппорт уверял), а новый владелец номера не сможет использовать его для госуслуг.
VolCh
Специально для этого держу старую нокию (в современные телефоны полноразмерную симку не воткнуть)и регулярно шлю смсмки самому себе в роуминге
nickker
Ващет, старую симку легко обменять на современную микро да вставить второй в любой нынешний телефон.
VolCh
Не легко, только в офисе конкретного оператора. До ближайшего тысяча километров минимум.
tendium
Еще можно попытаться обрезать (я так разок делал), но есть шанс, что радиус кривизны рук повлияет на работоспособность симки.
xenon
У меня получилось, несколько раз. И ни одной запоротой симки. (а уж моя кривизна рук близка к эталонной). Единственный минус — где уж очень неаккуратно обрезал — там симка в трее ненадежно стоит. Когда основное срезал — лучше напильничком, надфилем, пилкой для ногтей подпиливать, чтобы лишнее не срезать.
Или заказать на али резак для симок за две копейки.
vikarti
esim.
как минимум Билайн и Тиньков — могут идентифицировать клиента удаленно.
При этом Билайн — может идентифицировать и будущего клиента тоже (по паспорту РФ, ну да — удаленно через приложение) и на регион — им наплевать (если не наплевать на страну — то это так сложно читателю хабра объяснить приложению на смартфоне что это смартфон вообще на Красной Площади в данный момент? тем более что надо то — один раз).
И прислать QR-код для esim на e-mail.
В смысле это у меня получалось с Билайном и Тиньковым удаленно эти коды получить.
VolCh
Как-то об esim не думал в этом плане. Как куплю телефон с их поддержкой, то попробую заменить симку Билай на esim онлайн, без визита в Россию. Спасибо за наводку
playnet
я старую симку до микро обрезал ножом. До нано или какая там самая мелкая — уже контакты надо резать (не факт что работать будет, но чип же в центре, может и нормально обрежется), но телефонов под микро ещё много. У хяоми например у меня было 2 слота, один микро, второй нано.
tendium
Режется и под нано.
playnet
По контактам. Это 100%, свою симку (2000 года покупки) пытался, но решил что пора обновить просто. Под микро — уже была обрезана к тому времени.
mig126
Есть и под под сим(не микро и нано) формат. Но в бюджетном сегменте где задняя крышка снимается.
VolCh
Я б поэкспериментировал, если б в случае неудачи не нужно было границы пересекать.
sumanai
Ещё 15 лет назад по приколу резанул симку тех годов в том числе и по контактам, и ничего, 14 лет она отпахала.
salnicoff
Именно по SMS на записанный номер он и сбрасывается. Недавно одному родственнику такую процедуру делал.
R820T2
А разве закон об отмене мобильного рабства не сделал номер собственностью пользователя?
Ded_Keygen
Если ваш текущий оператор расторгнет с вами договор, например, после нулевого баланса и не внесения денег на баланс в течение 6 месяцев, то номер вернется оператору, которому был выдан данный пул номеров. А он сможет выдать номер другому абоненту. Думаю, вероятны и другие ситуации потери номера. Плюс как регулируется выдача дублирующих сим карт?
philya
У меня почтовый ящик на своем домене.
2017 год. Госуслуги в личном кабинете благополучно приняли мой ящик z@домен, а для получения справки об отсутствии судимости — нет. И это тоже не баг, а фича. Еще призывали связываться с ними через Телеграмм )
Уважаемый пользователь!
Работы по вашему обращению завершены.
Согласно технического задания, в данном поле перед знаком "@" должно быть строго больше одного символа, иначе сервис не сможет корректно обработать заявку.
При отсутствии от вас обратной связи по данному обращению через три дня обращение будет подлежать закрытию как решенное.
Благодарим за обращение на Портал госуслуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.
С уважением,
Служба поддержки Портала госуслуг
8(800)100-70-10
support@gosuslugi.ru
www.gosuslugi.ru
Свяжитесь с нами через Telegram!
tendium
Гениальная отмазка!
mig126
У разработчика совок из головы не выветрился. У Сбера какое то время к примеру при регистрации нового пользователя обязательно требовалось указывать почтовый адрес. И если адрес не указан, то письма шли на какой то по умолчанию. Потом скандал был.
Больше бесит когда пишешь в ТП о какой то новой функции, а тебе в ответ: «а кто вы такой чтобы решать какой у нашего сайта будет функционал?». На сайтах гос структур такое не раз встречал.
aamonster
Погодите. Вы хотите сказать, что у мужа ваш номер оказался привязан на госуслугах без ввода подтверждающего кода (который пришёл вам на телефон)?
kimisa Автор
Да. Просто у меня оказалось пусто в поле номер телефона. А у него мой номер записан.
aamonster
Угу. Итого, это несколько проблем. По опыту IT, если хочется, чтобы исправили – на каждую надо багрепорт написать, с методом воспроизведения (по пунктам, максимально упрощённым), ожидаемым и наблюдаемым поведением. Вообще это должен бы по результатам общения с вами сделать саппорт и QA госуслуг, но "они за вас свою работу делать не будут".
(critical) Номер телефона может быть привязан без ввода пришедшего в sms кода
Ожидаемое поведение: Пока не ввели код – номер не привязывается.
Наблюдаемое – номер привязался (хотя, возможно, до ввода кода он остаётся в неподтверждённом состоянии)
(critical) Номер телефона может быть отвязан от аккаунта без подтверждения в этом аккаунте.
Путь воспроизведения: как важ муж делал
Ожидаемое поведение: номер не отвяжется от вашего аккаунта. Либо номер не будет привязан к аккаунту мужа, либо окажется привязан к двум аккаунтам.
Наблюдаемое поведение: номер отвязан от вашего аккаунта и привязан к его аккаунту (возможно, в "неподтверждённом" состоянии).
kimisa Автор
Самое основное — это должно решаться сразу 3мя конторами. Но это уже не моя работа. Я и так полчаса умоляла оператора принять у меня заявку. А так быть по идее не должно. Т.е. получается я умоляла их пофиксить у себя баг.
aamonster
Ну да.
На общую беду первой линии саппорта (это низкооплачиваемая работа, и там работают люди, особо не разбирающиеся в системе) накладывается привычное для госконтор "вас много, а я одна!"
Три конторы, кстати, для решения не нужны: оба бага целиком внутри госуслуг. Но, опять же, участие других контор в воспроизведении даёт любимую отмазка "проблема на другой стороне". Сочувствую, в общем.
Главное, конечно, что вы разобрались с ситуацией, да ещё статью не поленились написать – надеюсь, теперь-то багрепорт оформят и поправят всё.
ReklatsMasters
Ну можно и в прокуратуру накатать, если не понимают. Или в ФСБ. И ещё ЦБ, от них вроде чаще толк есть.
Ndochp
Но что в этой ситуации делать, когда ты купил новую симку, а номер был привязан прошлым его владельцем — это большой вопрос. Связаться ты с ним не можешь, а робота госуслуг не факт что он читает. Ну а контактный номер у тебя в руках ;)
kimisa Автор
Такой вариант в Сбере у меня был. Я сама отвязала новый номер. Вот только не помню с какого номера сделали отвязку. Т.к. звонила, то с одного, то с другого номера.
Dotarev
В свете двухфактурной авторизации через SMS везде где ни попадя, утеря телефонного номера является для владельца крайне нежелательным событием.
aamonster
kimisa Автор
Прикол состоит в том, что его никто не вводил. А номер прикрепился. Там видимо при привязке нового номера телефона сработал тригер.
tan76
Это ещё цветочки, я в начале Ноября испытал весь спектр эмоций ТС примерно по тому же поводу. Мне также пришла смс о смене пароля. Через 10 минут я попытался попасть в ЛК. Попытка войти по старому паролю не успешна, по новому тоже не успешна. Решил восстановить пароль по телефону, не вышло, такой номер не зарегистрирован, пробую почту, тоже не удача. Звоню в госуслуги, там регистрируют заявку, срок разбирательства 5 дней. Немножко удивляюсь такой оперативности, прошу заблокировать учетку а потом разбираться. Отказывают, «мы так не можем, ждите». Беру паспорт и мчусь в МФЦ, про так как попасть в МФЦ без предварительной записи отдельный разговор. В общем попал, показал паспорт, оператор говорит ловите смс с новым паролем. Смс нет. Уточняет у меня, ваш номер такой то такой, отвечаю нет, называю свой номер. В этом момент до меня дошло что нужно заполучить номер который был вписан в ЛК но оператор отказалась его выписать. В общем, доступ восстановили. Приехав домой, захожу на госуслуги хоть историю посмотреть, чем там кто занимался. И вижу в настройках чужие номер и емайл. Все скриншотю, готовлюсь писать заявление в полицию. Потом пришла мысль что я ничего не потеряю если сам позвоню «хакерам». Звоню, на том конце мой полный теска, который утром сего дня пришёл в МФЦ чтобы открыть себе ЛК так как нужно было ему срочно что то оформить. Невнимательная барышня переписала на него мой ЛК, причем если бы она сразу спросила у него его номер телефона то я «стартовую» смс просто не получил бы и не знал бы о происходящем неопределённое время. Но она сначала сбросила пароль на мой номер, а уж потом начала менять номер на тот что сказал посетитель. Ни её, ни посетителя нисколько не смутило что в тут фигурирует чей то чужой номер телефона. Та что да, подтверждающие коды это так, для отвода глаз, всё возможно и без них, к сожалению….
kimisa Автор
Ужас. Да, у меня получилось легко отделаться. Но они в гос услугах видимо считают это нормой. Я понимаю заменить номер на другой, не привязанный. Но перепривязывать номер, уже привязанный к другому человеку это жесть
singerfox
А ей всего то надо было СНИЛС сверить, ну или хотя бы паспорт. В данном случае это просто человеческий фактор, с ним бороться можно, сложно.
vis_inet
И никакой ответственности такой работник, как обычно, не несёт…
xenon
Opportunity makes a thief.
Есть (или был?) такой способ отмазки от армии, тоже на схеме понижения ответственности. Военком, если отмажет годного призывника — отвечает по закону как-то серьезно. Но, если приходит призывник, румяный, двухметровый, и дает справку, что он едва живой туберкулезник — юридически его не то что можно не брать, его даже нельзя брать. Правда, могут возникнуть сомнения, соответствует ли справочка? Другое дело, если сомнений не возникает.
Поэтому схема отмазки простая: близкий к военкому человек берет деньги и обещает, что все будет ОК. Затем приносит справку от врача в военкомат и ее там принимают. Все. По документам — все чисто, в армию не взяли больного, как и должны были. Никто в военкомате не мухлевал. Ах, да, врач в больнице перепутал кардиограммы, нехорошо-то как. Наверное, его могут отругать или лишить премии.
Появилась возможность технически это сделать — и появились тысячи уклонившихся от армии.
aamonster
Сочувствую. И вам, и вашему тёзке (у которого теперь, возможно, благодаря барышне документы оформлены на ваши данные). Теперь вам с ним надо всё перепроверять.
Но тут ситуация, которую полностью не закроешь: сотрудникам МФЦ нужен такой доступ (человек может потерять телефон, лишиться доступа к e-mail и прийти в МФЦ восстанавливать всё). Разве что максимально заменить ручные операции на машинные: если бы она паспорт сканировала, а не вбивала руками – всплыло бы несоответствие номера паспорта.
NickKolok
В прокуратуру на МФЦ. В суд за моральным ущербом.
tan76
Руководитель МФЦ на следующий день отзвонился, сильно извинялся, уверил что с виновными проведена беседа.
mig126
Это ещё ладно. Периодически из за таких совпадений ФИО(и других данных) людям со счета всё что есть снимают ещё и уводя счёт в минус(даже на дебетовой карте с запретом овердрафта). Банк потом на этот минус кредит оформляет(но в последнее время вроде запретили). А человек потом бегает в панике, не понимая откуда у него образовалась задолженность и кто виноват.
rtkprg2
1. А что надо сделать для привязки номера телефона к сберу?
Наверное, надо в сбере ввести код, который придет на этот телефон?
2. А что надо сделать для привязки номера телефона к госуслугам?
Наверное, надо в госуслугах ввести код, который придет на этот телефон?
Я к чему: похоже, действия одинаковы. В них обоих нужен доступ к привязываемому телефону. То есть чужой человек, не получив доступ к телефону, не сможет привязать ни то ни это. А получив — сможет и то и это. То есть мы имеем один ключик на 2 замка: сбер и госуслуги, причем войдя этим ключиком в комнату сбера — оттуда есть дырка в комнату госуслуг и в дверь госуслуг уже необязательно входить.
И вопрос лишь в том, что госуслуги доверяют инфе от сбера вида «этот номер принадлежит Васе».
Эта проблема из той же оперы, что уже озвучивалась на хабре: когда картой, привязанной к аккаунту яндекса, вдруг стало можно платить в как-то там такси, где есть отдельная привязка карты. Не помню подробностей этой истории.
kimisa Автор
Тут проблема в другом. Например, Вася открыл счет в Сбере тете Вале. И там его телефон основной, чтобы быть в курсе всего. И приложение от Сбера ей так же установил. И вот уехала эта тетя в деревню. Получила там сообщение такое же. Сказала родней, ей все сделали и потом куда-то в глушь уехала без связи. А этому Васе нужно срочно что-то подать через гос. услуги. И что в итоге получаем — нет доступа этому Васе.
Edwardkv
Для привязки телефона к сберу нужно в банкомате ввести в разделе мобильный банк телефон. Никаких кодов в этом случае не нужно.
slepmog
Для этого нужно предъявить банкомату карту и ввести пин-код от неё. С этим набором можно и деньги снять, так что повышения привилегий не происходит.
Xalium
своя банковская карта + левый номер телефона
aamonster
Интересно, кстати: допустим, в сбере есть несколько карт, одна из них с маленьким лимитом. Получается, что эта карта + пин дают возможность привязать другой номер телефона и таким образом обойти 3d-secure для других карт?
slepmog
Можно ли привязать номер ко всем картам разом через одну карту, утверждать не буду.
Я привязывал через банкомат разные пакеты мобильного банка к разным картам, но все на один номер — на одну карту полный пакет, на другую экономный. Изменение при этом затрагивает только вставленную карту.
При этом для смены типа пакета нужно ввести номер телефона целиком заново (т.е. нет опции "Поменять тип пакета, оставив тот же номер"), и вся операция выглядит именно как перепривязка к другому номеру — просто вы знаете, что вводите тот же "новый" номер, что и раньше. Но страшно, да. Стоишь и каждую цифру перепроверяешь по нескольку раз.
Но вот в сбербанк-онлайн с помощью банкомата можно зайти через любую карту и её пинкод. Насколько полный при этом открывается доступ к распоряжению средствами на других, не вставленных в банкомат картах, опять же, утверждать не буду, но интерфейс отображает их все, и по идее, нажать можно на любую. Я не пробовал.
G_Raider
Перекидывал деньги между двумя картами сбера, с первой на вторую, авторизуясь в банкомат с второй. А другой раз, года 2 назад, перекидывал между этими же двумя, зайдя с третьей. Полная гибкость.
slepmog
Т.е. ответ "Да", скомпрометировав доступ к маэстро-моментум с 10 рублями, получаем доступ к виза-платинум с 10 млн.
Запретить это на уровне банка нельзя, как я понимаю.
aamonster
Ну, есть решение: не иметь карты. У меня само собой получилось: у моментума кончился срок действия, и теперь у меня в сбере только виртуальная карта. Учитывая возможность перекидывать на неё с карты другого банка по СБП – физическая нафиг не нужна, пределов СБП с лихвой хватает для оплаты коммуналки и т.п..
nickker
Большинство имеет карты не для того, «чтобы было». Чаще это зарплатные Мир и социальные Маэстро. Потом, всё-таки получение наличных в банкомате иногда имеет значение.
vorphalack
не просто «да», оно еще и между разными регионами сбера работало, причем ни разу не двунаправленно.
Py6uH
На гос. услугах был привязан старый номер телефона, лет 5 назад привязывал. Недавно перепривязал учетную запись к другому номеру телефона. СМС подтверждения пришла только на новую симку.
brokeruma
Некоторые банки (Сбер, разумеется, да) могут быть использованы для подтверждения вашей личности на госуслугах.
Поэтому.
vikarti
Но вот зачем данные менять без подтверждения с самого аккаунта если аккаунт госуслуг УЖЕ подтвержден?
Особенно если этот телефон уже есть на другом аккаунте.
Shaman_RSHU
В данном случае это как раз сплошная вина Госуслуг. На каком основании ЕСИА предоставляет API для систем не из их экосистемы (система Сбера), позволяющее привязывать номер телефона?
kimisa Автор
Тут думаю, что посредник ПФР. И вот как раз ЕСИА и доверяет ПФР.
Но основная проблема в логике ЕСИА — как можно телефон от чужого аккаунта отвязать и привязать к другому. Это же не замена номера телефона.
le1ic
когда-нибудь эта вся гос-онлайщина кончится феерическим пи… цом. Многие документы уже существуют только в электронном виде, и как их оспорить вообще непонятно. У меня уже лет пять традиционно раз в год появляется и исчезает жилой дом в росреестре.
mig126
А налоговая часто теряет уплаченные налоги за недвижимость при переезде в другой населённый пункт. У нас так у всей семьи(4 человека) за два года потерялись платежи. А в отделении почты России сотрудники говорят, что к ним часто приходят для повторной оплаты налогов(сумма небольшая, большинству проще заплатить чем тратить нервы и время).
slepmog
Меня через 7 лет после переезда в другой населённый пункт (официально, с пропиской) налоговая "вернула" обратно.
Вдруг вписала мне в личный кабинет на nalog.ru, что я прописан в старом населённом пункте, и отправила налоговое уведомление (а это злостные персональные данные) по соответствующему адресу в этом пункте. Но это я узнал уже потом, а пока я этого ещё не знал — наложила на меня пени и штрафы за просрочку уплаты по уведомлению, которого я не получал и всё думал, где же оно.
Потом разбирательство было год, по результатам которого меня "вернули" обратно и тут же выставили к уплате те же налоги, но уже в правильном регионе. Так что в тот год я заплатил налоги дважды — один раз по прошлому месту жительства, с пенями и штрафами, и один раз по новому.
В телефонных разговорах со старым регионом тётенька из налоговой не верила, что я переехал 7 лет назад, а не только что. Думаю, так и не поверила. Хотя все эти годы получал уведомления по новому правильному адресу.
vis_inet
Кстати, да, совершенно не понятно что мешает паралельно с электронными регистрирующими действиями выдавать людям соответствующий документо ещё и на бумажном носителе?
vikarti
да!
При этом вот выдавать электронные документы — не забывают
А обучить тех кто их должен принимать — забыли. И ситуация что требуют документ которого нет — не предусмотрена толком. В результате например техподдержка МТС говорит что для работы с ИП достаточно в салоне показать распечатку с ЕГРНИПом, а в салоне говорят что этого НЕ достаточно и давайте красивую бумагу о регистрации на бланке налоговой (за которой еще в эту налоговую идти надо и заказывать, платно).
Dolios
Звоните прямо из салона в техподдержку и даете телефон сотруднику.
playnet
МТС уже на моменте регистрации говорят о своём качестве? Зачем продолжать лезть?
(у самого ИП уже третий год, НИКОГДА никаких справок не требовали, только ту бумажку что при регистрации выдали)
Vsevo10d
Да уже иногда ниочинь.
1) Однажды я случайно свернул в переулок на красный (движение было одностороннее и многорядное, на площади, один светофор был где-то в заднице, второй за перекрестком, стоп-линией, я думал, он не относится ко мне) и меня остановили. Я отпираться вообще не собирался, но на планшете у гаишника высветился как неоплаченный какой-то мой давний штраф, который был точно оплачен вовремя. То есть на госуслугах, сайте ГИБДД его уже не было, а в патрульке он висел как задолженность. Вместе с произошедшим нарушением вполне могли добавить 20.25, суд и лишение.
2) Также по уже оплаченному онлайн штрафу приходило взыскание от приставов, уже просроченное почтой, что естественно тоже преступление и удвоение суммы взыскания само по себе. Пришлось переться в ФССП лично, не самый приятный опыт.
3) Также был момент с услугой в МВД. Там прикрепляешь в госуслугах нужные сканы, а система должна сформировать квитанцию на пошлину. Время идет, ничего не происходит, я пару раз захаживал спросить в отдел — а что делать, часики-то тикают уже по срокам оплаты мной этой госпошлины. В результате через пару дней лейтенантша присылает мне фото квитанции в вотсапе (а так можно было? о_О).
mig126
Проблема с «не уплаченными» штрафами(а так же налогами) из за дробления баз. Для каждого города она своя. Даже город/область это разные базы и соотв. проблемы из за кривой реализации синхронизации. Потому никогда не возникает ситуаций что налог/штраф вдруг оплачен, но частые ситуации когда оплата потерялась, т.к. в одной базе оплачено, в другой нет.
Вроде как эта проблема дошла до верхушки(а скорее количество жалоб на ошибки перевалило критический уровень) и начали пилить единый реестр. Что из этого выйдет, посмотрим. Но я на 100% уверен что будут факапы, вплоть до полной потери данных на людей.
Vsevo10d
Если про штрафы, то разница в базах в первую очередь между организациями (ГИБДД с нарушениями правил и МАДИ со своими парковками). И в статье описано тоже кривое взаимодействие БД двух экосистем на уровне «у кого больше прав на твои данные». Но я больше приводил в пример, что электронный геморрой время от времени даже сильнее бумажного.
Кстати о бумагах. Вон выше пишут, что почему не подтверждают многие документы бумагой, а я с интересом узнал, что заплатить на госуслугах транспортный налог можно, только если его просрочить — тогда доступна услуга погашения налоговой задолженности и пеней. А просто реквизиты и УИН продублировать в кабинете — до сих пор не сделали почему-то.
titbit
Ответственности нет никакой у всей этой гос-онлайнщины — отсюда и все беды. Вот сейчас всем предлагают перейти на электронные трудовые книжки, а ответственности за утерю данных — нет. Пишут только, что «у нас все очень надежно». Но у меня электронную медицинскую карту уже теряли (после потери бумажной), и мне пришлось самому бегать по врачам и собирать информацию заново и никто не помог. А что будет если потеряют трудовую (а они обязательно потеряют, чисто статистически)? Про госуслуги тоже есть мутная история — там не совпадает дата выдачи паспорта, т.е. вводишь дату с физического паспорта, через пару дней проверка молча исправляет дату на неверную, а после этого паспорт не проходит проверки на сервисах мвд. Техподдержка посылает, потому что якобы «проверка данных не их зона ответственности», а почему по тихому меняются данные — никто не знает. Вот и получается что воспользоваться частью госуслуг нельзя в принципе. И вот так вот это все работает…
playnet
через прокуратуру пробовали?
Вообще, повод обратиться к юристу, но не тому что «ничего нельзя сделать», а которому не лень Ж поднять и изучить нестандартную проблему. И там выдадут, что и кому писать.
singerfox
С тех пор, как это требование закона.
Это не только сбер так может, а вообще любой банк (если он подключился к ЕБС, конечно). Просто не у любого банка это все так интегрировано в собственные системы.
kimisa Автор
Скиньте номер этого закона.
singerfox
115-ФЗ, пункт 5.6
kimisa Автор
Это — О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
И где там говориться, что теперь во всех сервисах я обязана указывать один ящик и один номер телефона?
singerfox
Я отвечал на вопрос о том, на каком основании ЕСИА предоставляет API для систем не из их экосистемы. Так вот, такой доступ к ЕСИА предоставляется на основании этого закона.
Про один ящик и номер телефона я не говорил, вы меня с кем-то путаете.
kaiwoo
разве возможно сделать госуслуги без номера телефона?
там же подтверждение учетной записи нужно.
kimisa Автор
И у меня и у мужа уже были аккаунты на гос. услугах.
tendium
У меня госуслуги без номера телефона (к счастью, ибо живу за границей). Регистрировал практически сразу после запуска сервиса.
sakontwist
Сталкивался с такой проблемой. Номер можно перевязать обратно, но только через 30 дней, сделав вход через СНИЛС или почту. Это фичу говорят только в техподдержке, даже в МФЦ про нее не знают. Вообще здесь проблема в слишком высоких правах Сбера на Госуслугах. Они клацают не глядя.
mikelavr
Недавно влетал в аналогичную ситуацию в лайт-версии.
В личный кабинет на nalog.ru можно зайти при верификации через госуслуги. Но для этого аккаунт на госулугах должен быть сам верифицирован, обычно через личное посещение ПФР. Но можно верифицировать аккаунт на госуслугах через Сбербанк-онлайн.
Работает этот процесс с частыми перебоями, но все же он прошел с какой то попытки. После чего госуслуги меня внезапно порадовали информацией о смене e-mail! Дело в том, что аккаунты в сбере и на госуслугах были зарегистрированы на разные e-mail (оба моих). Никакого предупреждения о возможности смены e-mail я не получал. А теперь понимаю, что хорошо что телефон был один и тот же, иначе тоже бы подменился.
Sly_tom_cat
У меня с заходом на nalog.ru через госуслуги еще веселее было.
Я получал доступ к госуслугам довольно давно и там был только один вариант — получить полный доступ: через получение заказного письмо на почте. После этого аккаунт становился верифицированным/подтвержденным…
И вот пробую тут не так давно на nalog.ru через госуслуги попасть и мне там пишут, что мне нужно подтвердить свою учетку на ГУ. Ну, а варинтов там не много — несколько банков и МФЦ. Добрел до МФЦ говорю оператору — мне нужно свою учетку подтвердить — даю паспорт. Она мне говорит — так у вас уже подтвержденная. Ну я ей и объясняю что как-то не так она подтверждена — не пущают меня в налоговую. Ну она говорит — давайте попробуем подтвердить повторно — проводит это все и говорит, что у нее пишет что учетка стала подтвержденной, но разницы с тем как она была до этого подтвержденной — никакой внешне нет…
Однако налоговая пропустила после этого.
Вот чем их Почта России так обидела что они ей перестали доверять… загадочно однако…
zaiats_2k
Веселее было у меня. Так же аккаунт, полученный заказным письмом когда-то давно. В начале этого года понадобилось залогиниться на nalog.ru — он мне говорит что надо подтвердить. Ну, ок, звоню, выясняю что да, эти полученные почтой аккаунты действительно недоподтверждённые какие-то. Самый простой вариант, как казалось — через Сбер-онлайн. Ну, логинюсь в сбер, подтверждаюсь, и тут nalog.ru начинает выдавать 500ю ошибку при попытке логина через ЕГАИС. Пишу в поддержку, отвечают что проблема зело сложная, но её передали каким-то хитрым специлистам, ответят через сколько-то там дней обязательно. В указанный срок ответа нет. Жду ещё неделю, понимаю что без толку, иду пешком в налоговую получать бумажку с паролем. Логинюсь этим паролем, тут же после этого там что-то щёлкает, и теперь можно зайти и через ЕГАИС тоже. А ещё через неделю приходит письмо от тех хитрых специалистов — ура, мол, ваша проблема решена, проверяйте! ;)
mig126
Я как то подтвердил учётку матери через сбер, теперь в госуслугах паспорт упорно не привязывается. Хотя до этого был привязан и подтверждён.
tmin10
У меня тоже была учётка через почту, но не полная, а средняя. Для налоговой тоже ходил показать паспорт. Возможно это был глюк в вашем случае, что выдали полную.
Sly_tom_cat
Так в том и соль — нет(не было на тот момент) там градаций «полная»/«средняя» ни у меня в лк ни у работника МФЦ (она мне экран показывала своего компа). Там и до и после повторной верификации стояло «учетная запись — подтвержденная».
Mihail57
При входе в «Личный кабинет налогоплательщика для физических лиц» есть внизу раскрывающий список «Как получить доступ к сервису», там в последнем пункте написано:
У меня аккаунт был подтвержден заказным письмом, которое просто положили в почтовый ящик. Также не мог войти. После подтверждения аккаунта через желтый банк налоговая стала пускать в личный кабинет.
Возможно, что для аккаунтов, которые подтверждены через почту, предусмотрели вариант, когда письмо просто кладут в ящик, поэтому ограничили доступ для этого варианта подтверждения.
Sly_tom_cat
Я свое заказное получал с паспортом.
А у вас видимо почта схалявила, и возможно именно из за таких кейсов этот метод верификации и попал в ненадежные. Но до столкновения с налоговой это никак не мешало получить всякие справки, загран паспорт и права. И что самое неприятное (по крайней мере на тот момент) никаких признаков что аккаунт верифицирован как-то ненадежно ни в ЛК, ни у работника МФЦ нигде ни как не отображалось. Только ЛК налоговой отказывался пускать.
diakin
Чипирование решит проблему. В смысле ID карта.
brokeruma
Строго говоря, номер телефона тоже по паспорту.
Так что что чипирование, что СМС подтверждающую получить — одного уровня проверка.
dabar347
Но номер телефона не имеет строгой привязки к лицу. (тот же номер при определенных условиях могут отдать другому клиенту например)
vikarti
ID карту можно отобрать.
А еще — может выяснится что в прошивке бага и если правительство вменяемое — отзыв карт и бесплатная замена (угу а КАК идентифицировать людей если мы карте доверять уже не можем). Если НЕвменяемое — ну скажут что это клевета про баг.
А баги — были www.bleepingcomputer.com/news/government/estonia-cancels-760-000-electronic-id-cards-because-of-crypto-flaw например (там правда с самого начала была возможность эту карту как бумажный документ использовать но если бы не было?)
diakin
Значит только чипирование Ж8-(). Поглубже, чтоб отрезать не смогли. Прада с багами бороться будет сложнее. Опять же данные могут подменить на лету. В общем мрак.
vikarti
Баги. Да.
Ну и та сложность что если «поглубже» то как со считывателем взаимодействовать? у NFC ж ограничения по дальности, а если мы используем что-то свое (или спецантенны + усилители) — то облучаем тушку излишне.
И опять же вопрос — а КУДА вшивать -:). В конечности нельзя (потеря конечностей — бывает), в грудь — нельзя (у женщин операции на груди — норма скорее, могут тупо забыть про чип) да и травмы бывают разные.
В тело — не удобно (особенно если самостоятельно считывать надо) + потенциально нарушение общественно порядка + невозможность считывать зимой вне теплого помещения. + опять же травмы разные бывают.
Под кожу головы? Шапки зимой снять можно почти в любых условия на пару минут, но для некоторых людей это будет проблемой если они болеют. Ну и слой кожи тонкий. При травме может тупо сорвать кожу. И чип.
В нос/губы — после челюстно-лицевых травм может быть затруднительно считывать (это если вообще не вылетит чип с частью костей).
Под кожу лица в других местах(ну там — на лоб) — ладно, проблему со считыванием зимой решили но с тонким слоем кожи — нет. Значит надо в кость (если у человека осколки черепа отлетели — ну врядли этот человек в ближайшее время сбежит из текущего местанахождениия и все равно его надо в клинику вести, заодно можно попробовать как то еще идентифицировать). Лучше конечно сразу в мозг но чем считывать(проблемы с дальностью и с тем что нельзя греть ткани мозга излучением а также с тем, что нужна высокая квалификация хирурга, и операция — дорогая будет.)
Получается… в лобную кость надо встраивать? И желательно неглубоко (потому считывать повышенной мощности который облучает лобную костью… будут протесты точно)
-:)?
Или как вариант — несколько дублирующих чипов (ну там — в конечности по одному, в тело парочку, под кожу головы парочку)
-:)
me21
Ну сейчас проблему утери основного идентифицирующего документа — паспорта — решают же как-то.
vikarti
Решают.
Общение с полицией + существующие документы (свидетельства о рождении и браке, загран если есть, военный билет если есть). + потом всякие банки руками извещать о смене.
По сути за счет избыточности в документах, далеко не мгновенно. И при активном содействии потерявшего паспорт товарища.
Тогда смысл с чипизацией? Можно просто оставить ид-карту, возможно с чипом но с учетом того что если чип не работает или ему нельзя доверять — смотрим что на бумаге.
Dinver
Пару лет назад, отца регистрировали на госуслугах в МФЦ, чего то у него было с телефоном то ли не взял, то ли номера не помнил. В МФЦ ничего умнее не предложили, чем зарегистрировать на номер сына. Они создали ему учетную запись на мой номер, при том что на моем номере учетная запись на госуслугах 2013 года. А узнал я об этом из смс что-то вроде: «вы зарегистрированы на сайте госуслуг» и никаких смс подтверждений. Разумеется моя учетная запись отвалилась доступ был потерян. Разбирался с техподдержкой, вопрос решили очень быстро, всего за несколько часов, самое смешное что от техподдержки я узнал в этом «замешан» мой отец :-).
P.S. Разработчики госуслуг довольно неординарные личности.
mig126
Несколько вчерашних студентов на пол ставки. Это судя по тому что оно в начале представляло. Потом опыта набрались(и специалистов), но осталось множество детских болезней осталось.
up7
И эти люди потом жалуются на низкие зарплаты врачей, плохие дороги, низкие пенсии и прочее.
ibrin
Какую зп дали, той и рады. Другой нет.
Alexrook
А разве тут есть какая-то связь? ) У нас часто бывал профицитный бюджет в прошлые годы. И что? Зарплаты врачей сразу вырастали, плохие дороги чинились, а низкие пенсии становились большими?
Тут всегда будут выделять деньги по принципу необходимого минимума, чтобы не сдохли или чтобы по дороге хотя бы грузовики могли проехать. От пополняемости бюджета подходы не меняются. Ну только если будет больше возможностей разворовать бюджет.
Более того, уже сейчас заводят такие разговоры, что у нас пенсий уже не будет вовсе. Так какого лешего человек должен всю жизнь отчислять деньги в непонятный ПФ, который потом скажет, что денег нет, но вы держитесь? Если, конечно, он вообще до этой пенсии еще доживет.
Стыдить кого-то в нежелании платить налоги в этом государстве — такое себе… сначала хотелось бы увидеть, что эти налоги идут не на дачи чиновников, а на реальное улучшение жизни людей, ну как в соседней Финляндии хотя бы.
up7
Не знаю, как у вас, а у меня в регионе дороги с каждым годом все лучше. Далеко от идеала, но но каждый код делают новые и латают старые. Доходы у врачей и учителей растут, а пенсии… пенсии да, тут слезы.
Но это не значит, что надо призывать не платить налоги.
sumanai
Когда зарплаты растут медленнее инфляции, это называется снижение доходов.
mig126
Пользуйтесь официальными терминами. Не снижение доходов, а отрицательный рост зарплат. Не взрыв, а хлопок. И т.д.
up7
Все правильно. Я только за, если будут платить больше учителям и врачам. В том числе и поэтому я честно плачу налоги и не призываю не платить их.
Alexrook
А ваш регион не Москва случаем? ))) Тогда это все объясняет.
Bedal
При плоском и низком подоходном налоге основная налоговая нагрузка — на работодателях. И именно они и именно потому они выводят работников в серую зону.
В низких перечисленных Вами уровнях виновата наша алармисткая система, цель которой — балансировать на краю краха, а не развиваться.
saege5b
Пришёл устраиваться, тебе работодатель говорит: — «ФОТ 50 тысяч. Хочеш всё белое, хочешь покажем минималку».
rinace
Эти же самые люди жалуются на ограничения при пандемии и при этом всячески игнорируют элементарные требования — как правильно носить маски и не толпится в общественных местах.
rinace
"Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. " — неперестаю удивляться безапелляционности обобщений.
Kwisatz
Просто жесть товарищи, выдавать сторонней организации такие дикие права на своем сервисе — за гранью добра и зла. Разработчики которые это сделали — вон из проффесии.
wtigga
Сбер и Госуслуги — косячники. Но с другой стороны, мне непонятно, почему так много людей куда-попало привязывают номер телефона/почту, что потом концов не найдёшь. Никому же не приходит в голову делиться зубной щёткой, а SIM-картой почему-то — пожалуйста.
vikarti
Потому что банки, когда просят номер — говорят что это для связи, и для передачи 3dsecure кодов/авторизации в приложении.
Соответственно если Алиса — доверяет Бобу (и этот Боб И ТАК имеет доступ к интернетбанку/мобильному банку Алисы(и к смартфону), ну да с нарушением правил банков но Алиса считает что проблем от Боба по этой (или любой другой) линии у нее — не будет) а Боб — Алисе (что та не позвонит сообщением что Кремль заминирован и вот вот взорвется) (ну там — если Алиса с Бобом — муж и жена — они могут доверять другу настолько, если кто-то из них чей то ребенок и ребенок разбирается в технике значительно лучше — тоже не проблема) то совершенно не проблема если номер телефона у Алисы будет — зарегистрированный на Боба.
Было не проблемой, такие вот фокусы с Госуслугами (а недавно была статья на vc.ru что у Тиньков-банка похожая проблема бывает но решается проще) — проблему создают.
wtigga
Я не про доверие, а про гигиену, что ли. К примеру, я доверяю жене, но зубные щётки у нас разные.
Чувствуете, насколько это разного порядка цели использования?
Bedal
Внятно разобралась в ситуации.
+
Описала ситуацию без (увы, частых здесь) стонов и конспирологии.
=
Плюс и в карму.
KivApple
Если трезво посмотреть на ситуацию, то номер привязывается не абы какой, а от мобильного банка. Тот самый номер, на который приходят СМС-коды подтверждения операций, авторизация в мобильном банке и т. д. Таким образом варианта только два:
— Это ваш номер и вы его контролиурете (либо бесконечно доверяете его владельцу) — никаких проблем, кроме лёгкого дискомфорта (с другой стороны вы ведь САМИ нажали на кнопку привязки в приложении банка)
— Это не ваш номер и вы его не контролируете — у вас УЖЕ были проблемы, потому что злоумышленник мог переводить деньги с ваших счетов, оформлять заявки на кредитные карты и овердрафт. Теперь он просто ещё сможет заказать справку об отсутствии судимости и записаться к врачу. Возможностей стало больше, но принципиальных изменений не случилось.
Не отдавайте свои банковские карты посторонним людям, не регистрируйте аккаунты на важных сайтах на чужие номера или email'ы. Это вроде очевидные правила…
Не уверен, что это актуальное замечание для сайта с айтишной ЦА.
trawl
В Сибири, к примеру, очень распространено. Я статистику не подводил, процентов не знаю, но очень часто слышу от знакомых (я сейчас про тех, что в ИТ) про серую ЗП или схемы через ИП (а скоро наверное ещё и самозанятость подтянут).
VivovaK
Пока читал, вспомнил свое общение с тех.поддержкой гос.услуг, это просто ужас, ни один из специалистов некомпетентен, в задумке этот сервис хороший, в реализации…
w4tcher
То, что описано в статье не является критической уязвимостью, так как атакующему нужно привязать телефон жертвы к своему сберу. То есть нужно угадать шестизначный сберовский код.
websurfer
Если не взять цифровизацию России в чьи-то умелые (а не очумелые) руки, будет цифровой апокалипсис, который произойдёт, не, из-за атаки суперумных хакеров, а какой нибудь мелочи, или русского «авось». Страшно.
mig126
Или из за бабы Вали, которая пролила воду на серверную стойку, когда пол там мыла.
harbid
Пообщался недавно с техподдержкой Сбербанка и первое, что поспешил сделать — активировать хотя бы пин код на симку. Потому что обнаружил, что у Сбербанка так заведено, что если чел подходящего пола (наверно, потому что я это не уточнял) звонит с привязанного к сбербанку номера телефона, то он автоматически = я. Никого не интересует никакое кодовое слово, это вообще до лампочки. И это пипец. Так что на смартфон блокировка, на симку пин. Однако, не факт, что этого будет достаточно :(
mig126
Сколько раз звонил с привязанного номера, всегда требовали кодовое слово из договора(что договор, что кодовое слово я успешно куда то засунул и забыл).
harbid
Хорошо, если у вас так. У меня был эпизод, покупал на Али пару вещей на весьма ограниченной распродаже, оплатил, пришло сообщение что всё ок, на Али смотрю — платежей нет. Залез в сбербанк онлайн — платежи задержаны. Стал строчить в саппорт, там сроки ответа… На утро оплатил ещё раз — ок. Хорошо, срок оплаты на Али был не 1 час, как это изредка бывает. Потом стал договариваться о возврате, и потом состоялся такой вот диалог по телефону. Я не очень знаю эти тонкости, что можно сделать со счетами, если есть телефон или симка человека, но сам факт, что по 900 приветствуют по имени-отчеству и даже утверждают, что раз сбербанк онлайн оформлен на меня и трубка у меня, значит больше ничего им и не надо… Напрягло!
anmilez
Не «одним номером телефона», а «номером телефона, не используемым кем-то ещё». Что логично с точки зрения программиста, но не всегда очевидно для пользователя, и поэтому правильно спроектированная система должна такое пресекать. Если конечно обнаружит, что номер телефона уже используется. Номер телефона, который ваш муж изначально привязывал к своему сбербанку, использовался вами где-то ещё? Если нет, то по идее система могла посчитать, что это его личный номер. Если да, то система этого просто не проверяет.
kimisa Автор
Вы не внимательно читали. В гос услугах к моему аккаунту был привязан номер телефона, который был основным в аккаунте Сбера. А к аккаунту мужа на гос услугах был привязан его номер телефона.
По идее система должна пресекать привязку номера телефона, уже используемого другим пользователем в этой же системе. А на данный момент наблюдается, что система этого не делает. Она просто убирает номер из одного аккаунта и привязывает его к другому. И это полный бред с точки зрения логики.