Comments 80
нашёл у них политику конфидициальности, там написано:
…
Предоставление доступа к информации
…
2. Если нужно обработать информацию от имени компании, то она предоставляет такие данные своим аффилированным и дочерним компаниям и некоторым доверенным лицам и организациям. При этом ее главным требованием при обработке подобных данных является следование строгим инструкциям и соблюдение настоящей политики конфиденциальности, а также принятие других, необходимых для защиты конфиденциальности мер.
То есть если это некто «aidata» их афилированная компания, то вроде как и законно. Но вот является ли она таковой?
при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы
Это освобождает от ответственности сам вордпресс (если этот пункт признают законным), но не создателей плагина, которые сливают данные в обход закона.
Ага, теперь почитайте соглашение создателей плагина, то есть uLogin. Важную выдержку оттуда я привел выше
А тут как раз вступает в силу то, на что указал автор.
Соглашение, на которое пользователь не соглашался (т.к. никак с ним не пересекался), не имеет силы.
Хотя как работает российское законодательство в этих вопросах я не спец.
Возможно, достаточно чтобы в описании плагина было написано "скачивая и устанавливая этот плагин, вы соглашаетесь с [ссылка]".
p.s. сам сервис совершенно бесполезен. Если вы программируете сами, или у вас есть свой разработчик, то прикрутить авторизацию через соц сети дело одного-двух дней. Если у вас какая-то готовая cms/фреймворк, то почти ко всем из них есть готовый плагин для этого.
Это все справедливо если вы работает на проекте и получаете с него прибыль.
Соц. сети переодически меняют свое и API и на поддержание хотя бы 3-5 провайдеров уходит время.
И с популярными CMS тоже не все так гладко. Нужно в каждой соц. сети получить токен\секрет и следить за изменениями в их API.
У меня есть небольшой проект на Drupal/MediaWiki.
Давайте рассмотрим вариант модулей доступных для них:
Drupal 8 — https://www.drupal.org/project/social_auth — до сих пор beta.
Drupal 7 — https://www.drupal.org/project/hybridauth — вероятно работает, переодически отваливается.
MediaWiki — https://www.mediawiki.org/wiki/Extension:SocialLogin — unstable, Latest version 0.9.9 (2012-11-26)
Возможно на других движках все гораздо лучше, но вариант "поставил и все работает" очень заманчивый. Однако это ни в коем случае не оправдывает поведение uLogin.
При этом если клиент ничего не платит и не будет платить — то это вообще-то и не клиент.
И ассоциации даже с ним тех времен, когда юзали всю эту тему на Kohana github.com/ulogin/ulogin-Kohana… КОХАНА, КАРЛ.
Они уже давно замечены в грязных делах https://habr.com/post/238117/
Наверное, это какая-то вордпрессовская фишка?
По мне так удивительно, использовать сторонний сервис для авторизации пользователей через сторонние сервисы. Странно было бы, если бы они не сливали все подряд любому, кто покажет доллар.
что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные
Как хорошо, когда вся эта гадость локально заблокирована и не грузит ни браузер, ни внешний вид страницы.
uLogin uloginteam же есть на Хабре. Может быть ответ напишут?
Читал вашу запись «Биглион освоил чёрное продвижение?» — вы в конце записи оставили «Update» — и говорили, цитирую:
В комментариях отмечают, что это может быть деятельность исключительно партнёров, что на самом-то деле не сильно обеляет компанию, если не противодействуешь, значит одобряешь.
Но со «скидкой»-лотереей на покупку Ford Focus, где ни ответа, ни привета о чёткой дате, когда хоть кто-нибудь сможет купить автомобиль со скидкой 70%, складывается ощущение, что они пытаются выжать максимум из тех сотен тысяч, которые придётся выложить для реализации акции, в последние дни.
1. Если они хотят собирать данные:
1.1. пусть трекают через свой сервер и свой js скрипт (потому что я на своем сайте — контролирую работу своих скриптов, ну они будут контролировать работу своих — обеспечивая отсутствия в логах моего сайта ошибок, а не третья сторона — которая лезет: см. скрин выше в записи)
1.2. на странице плагина в ВП репозитории надо написать что они собирают и зачем
1.3. при активации плагина я должен согласиться с тем что они собирают данные. Если я не принял попап с этой информацией — плагин у меня работать не должен.
Больше 2-х месяцев не отвечать своим пользователям на площадке что они завели сами — это не дело.
Аналогично и на форуме поддержки плагина — больше месяца тишина. Если вы делаете сервис — вы ответственно должны подходить.
Но я выбираю отказаться от них. У меня пользователи входят с 3-х соцсетей максимум — буду токены прописывать сам и контролировать процесс.
1.2 «Надо прописать»
1.3 «Они должны получать моё согласие так, а не иначе»
«Если делаете сервис — вы должны»
Внимание, вопрос: почему кто-то Вам что-то должен?
Вы договор с ними заключили?
Если да и они нарушили — идите в суд.
Если нет — нечего плакать. Никто Вас не заставлял использовать сторонний продукт.
Использование стороннего продукта — всегда риск (даже если продукт платный, даже если есть договор).
Если Вы этого не понимаете — ССЗБ.
ЗЫ. У них на странице русским по белому указано: «Другие сайты – эта политика конфиденциальности относится исключительно к службам uLogin. Сайты, на которые есть ссылки, непосредственно из этих служб, сайты, использующие продукты, приложения и службы uLogin компания не контролирует. Эти сайты могут самостоятельно помещать на электронное устройство пользователя файлы cookie, а также заниматься сбором данных или присылать запросы о личной информации.»
Кто Вам виноват, что вы не читаете?
У них на странице— пользователь, ставя плагин из репозитория ВП ничего не знает про «их страницу» и их правила что они прописали. Только регистрируясь на их сайте ему дают возможность увидеть эти правила.
p.s. плагин из репозитория вордпресс безопасники удалили (закрыли возможность скачать)
Сейчас дополню пост
2) С чего вы решили, что плагин в репозитории WP связан с ulogin.ru? Ссылка с ulogin.ru ведет на GitHub
В данном случае пользователь обнаружил нарушения правил добросовестного ведения дел и законодательства, решил вопрос, обнародовал решение. Бизнес-среда от этого — улучшилась. Автор — молодец.
Автор нашёл в парке на скамейке коробку с надписью «вкусный торт».
Он не пришёл в магазин, где совершил сделку купли-продажи «я вам деньги — вы мне торт». Не заказал торт в пекарне «сделайте мне такой-то и такой-то торт».
Нашёл и забрал. Никто никаких гарантий о содержимом коробки ему не давал. А маленькую записку, что лежала рядом с коробкой, автор проигнорировал.
С этой коробкой он пришёл в гости к знакомым.
Открыли коробку, стали пить чай. И в процессе чаепития выяснилось, что в качестве ингредиента в торт кто-то добавил собачье [censored].
Я не одобряю добавления [censored] в торты.
Но в сложившейся ситуации, на мой взгляд, виноват только автор — изготовитель торта не обещал, что его (изготовителя) цели совпадут с ожиданиями автора.
И более того — рядом поместил бумажку, которую автор либо невнимательно прочитал, либо не обратил на неё внимания.
Нет договора — не должно быть и ожиданий. Ожидаешь чего-то без договора — ССЗБ.
И да, оставлять испорченные продукты питания на скаймейке в парке с умыслом отравить других лиц — уже состав преступления. Даже если где-то рядом (да хоть на самом торте) была бумажка с описанием ингредиентов.От [censored] не умирают.
Закон не запрещает изготовления [censored].
Закон не запрещает даже предоставления [censored] для потребления в пищу.
Закон от поставщика (не производителя!) только требует предварительно получить у потребителя галку «согласен потреблять [censored]».
Изготовитель торта не нарушил закон.
Он создал продукт, соответствующий закону.
И честно рассказал, что полученный продукт содержит [censored].
Нарушение закона может произойти при использовании определенного способа потребления данного продукта.
Нарушил закон автор, не получив от друзей перед чаепитием галку «согласен потреблять [censored]».
Автор может теперь рассказывать всем «я не знал, что там [censored]», но по закону виноват будет именно он.
И может сколько угодно кричать «изготовитель торта мне должен то-то и то-то». Изготовитель торта ему ничего не обещал, и поэтому — не должен.
Кроме того, пострадавшие — это не те, кто установил себе подобный виджет на сайт, а пользователи этого сайта, которые о uLogin могли никогда и не слышать.Ещё раз — ответственность несет поставщик, а не изготовитель.
Именно поэтому виноват автор, накормивший непроверенным тортом друзей, а не изготовитель торта.
Без договора обычно ожидают исполнение требований законодательства. В том числе касательно персональных данных.Создание торта с [censored] не нарушает никаких законов.
Предоставление такого торта потребителю — может.
Ожидания автора о том, что кто-то за него должен решать его проблемы — необоснованны.
Когда владелец открывает магазин и вешает ценники на товар, он начинает действовать в рамках договора публичной оферты (офёрты?). Когда покупатель приходит с улицы и покупает в магазине товар, скажем, булку хлеба, он присоединяется к дорговору оферты (акцептирует его). Подтверждением заключения договора является кассовый чек.
Наличие или отсутствие бумаги с текстом договором, подписью и печатями — вопрос удобства.
Без закона о защите ПД WordPress не стали бы так быстро закрывать плагин от скачивания.
Сам смотрю на вот этот набор «Hybridauth»: github.com/hybridauth/hybridauth
Ссылка Для хрома.
AdBlock Plus (блокирует рекламу)
uBlock Origin (защищает IP от слива через WebRTC)
Ghostery (блокирует все трекеры и статистики)
HTTPS Everywhere (всегда использовать HTTPS)
На этой ВМ вполне можно использовать Linux. Плюс, сейчас уже вроде есть какие-то решения для подделки browser fingerprinting, надо бы почитать.
Если лень ВМ шаблонить — регулярно использовать плагин Click&Clean.
Достаточно noscript и все. Сторонные ресурсы не будут подгружены.
AdBlock Plus (блокирует рекламу)
uBlock Origin (защищает IP от слива через WebRTC)
Я, наверное, скажу общеизвестную вещь, но uBlock тоже блокирует рекламу.
Как это доказывает ваше утверждение, что «большинство плагинов из „AdBlock Plus / uBlock Origin“ могут быть использованы для создания отпечатка вашей системы?»
Еще раз, медленно — Как. Плагины. Вроде AdBlock и uBlock используются для создания отпечатка?
Ответ — никак.
Пункт 19 описания не канает, ибо там можно подставить любой плагиннейм, и что, теперь он будет использоваться для создания отпечатка?
Более того, он не канает еще и потому, что факт отсутствия AdBlock точно так же используется для создания отпечатка.
С таким же успехом можно утверждать, например, что плагин Disconnect.Me может быть использован для создания отпечатка. Тоже чушь, потому что сам плагин для этого не используется, используется факт его наличия/отсутствия.
И все еще нет доказательства первого утверждения («большинство из этих плагинов трекают вас»).
большенство из этих плагинов
А я и писал про любой плагин
Напоминаю, речь шла о адблоке и юблоке. Каких «этих», кроме этих двух? Откуда взялся «любой» плагин?
чем плагинов больше, тем точнее отпечаток.
Там много от чего зависит, но и от количества плагинов — тоже.
Так что там с доказательством первого утверждения?
изучайте интересующий вас плагин на предмет запросов и поведения
Воу-воу, палехчи. Тяжесть доказательства всегда лежит на утверждающем.
утверждение было в том, что они как минимум используются для фингерпринтинга, как максимум сами отправляют трек информацию.
Нет. Утверждение было:
большенство из этих плагинов трекают вас, либо могут быть использованы для создания отпечатка вашей системы.
Вы же не будете спорить с тем что плагины впн в том числе и контролируют ваш трафик?
Смотря что считать контролем. Вмешиваются в трафик — да, однозначно, но такова суть их работы. Записывают — вряд ли.
Ну докажите, что они не ведут логов тогда
Давайте я вам лучше кое-что объясню.
Для того, чтобы утверждать, что «большинство этих плагинов либо трекает вас...» необходимо: провести аудит программного кода этих самых плагинов, найти закладки для трекинга, посчитать отношение количества плагинов с найденными закладками к общему числу оных, и если это отношение превысит 50% — вот только тогда утверждать, что «большинство плагинов трекают».
Ибо всякий факт зиждется на доказательстве. Если это не аксиома, конечно.
я вам вполне доказал вторую половину этого стейтмента
Вторую да, пусть. Первую — нет, да и не получится.
впн плагины не записывают ничего
Я не утверждал, что они не записывают. Я сказал — «вряд ли». Это означает «я думаю, что нет, но допускаю такую возможность, что таки да».
Я использовал именно такую формулировку специально, так как отлично понимаю, что у меня нет доказательств, чтобы утверждать однозначно — есть запись или нет.
чего вы от меня тогда хотите?
Да я не лично от вас хочу. Ничего личного, абсолютно, вот честное слово.
Если нарвался на очевидное и предсказуемое преступление в отношении тебя — виноват сам.
Если кто с криком «Эй вы, дайте пива!» подходит к незнакомой толпе быдловатой наружности, то во всём, что последует, виноват он. Не по закону виноват, а по уму.
Какая разница, кто там виноват по закону?
Это вот вы шутите так сейчас?
интеллект толпы, как известно, всегда низводится к наихудшему её представителю
«Как известно, лучший способ протащить какуюнибудь сомнительную идею — начать ее со слов «естественно», «очевидно» или «как известно»» (С)
Не по закону виноват, а по уму.
Хорошо, что в уголовном праве отсутствуют фразы вида «по уму», «по-людски», ну и «по понятиям» тоже.
На всякий случай удалил.
Периодически проверяйте свои аккаунты в соц. сетях на наличия доступов к персональной информации от сторонних приложений.
Около 2 лет назад я начал проверять аккаунт гугл, вк и нашел такие приложения и сайты, у которых домены уже просрочены и никому не нужны. После этого начал делать подобные проверки раз в несколько месяцев.
Большое спасибо гуглу, который периодически в последнее время начал об этом напоминать.
Это ведь JS скрипт? Если да, то почему тогда просто не прописать integrity атрибут и на всякий залочить его cors правами (same-origin)?
Первое зафиксирует версию и любые изменения будут блочиться браузером, а второе избавляет от утечек кукисов, если разраб не прикрыл их http-only.
Написал 10 строк для oAuth2, теперь нажимают одну кнопку для авторегистрации или входа.
Всегда думайте — перед тем, как использовать сторонние сервисы на вашем сайте.
Сервис uLogin отправляет данные из форм (почта, телефон) на сторонний сайт и молчит об этом