Comments 280
Пока не будет законодательная база, позволяющая оформлять мобильный номер телефона в собственность граждан — проблема с возможностью угона учетной записи хоть в банке, хоть на госуслугах будет сохраняться.
Та же ситуация с адресом электронной почты — большинство используют email на бесплатных сервисах. Государству стоило бы обеспокоиться созданием специальной почтовый службы для госуслуг и банков, где почтовый адрес был бы привязан с конкретному гражданину, а вероятность его увода была бы исключена.
Плохо, что электронных услуг становится все больше, а такими дырами в безопасности так никто и не занимается.
+1000
Тссс!
А то вас услышат, сделают на “Спутнике” почтовый сервис и обрубят Gmail.
Государству стоило бы обеспокоиться созданием специальной почтовый службы для госуслуг и банков, где почтовый адрес был бы привязан с конкретному гражданину, а вероятность его увода была бы исключена.на одной стороне известный продукт ИТ-компании, которая будет фиксить уязвимости, потому что это отражается на ее репутации, на другой — господелка от подрядчика с неизвестной кривизной рук, которому главное формально закрыть договор, чтобы получить попиленые остатки тендера. лично я в таком раскладе лучше на гмейле почту подержу
Гмейл вам ничем не обязан. Были случаи, когда блокировали гугл аккаунт целиком, включая почту. И никому ничего не докажешь. Отличие гмейл от яндекс/мейлру только в том, что у гмейла сервера за границей, но и то не факт. С Китаем сотрудничали, сочтут соблюдение законодательства о локализации данных выгодным — и в РФ перенесут все данные.
Речь о том, что есть пробелы в законодательстве.
Госуслуги именно подрядчики сделали, а не Ростелеком, который выступает прокси между табуном этих самых подрядчиков и государством. Имел возможность лично наблюдать процесс изготовления колбасы и в коммерческих компаниях, и в (около)государственных — отличий не очень много. Каргокультовый эджайл вместо водопада, офисы поцветастее.
А ещё у Гмейла большой и больший опыт в разработке, а также в исправлении багов. Т.к. гмейл чуть ли не самый популярный почтовый сервис, атаки на него делают чаще всего, а значит каких-то основных багов почтовых сервисов он лишён (кроме соц инженерии).
Выбирая между мейлру и джимейлом, я бы выбрал последний как раз по указанной причине.
каких-то основных багов почтовых сервисов он лишён (кроме соц инженерии).
С некоторых пор, на gmail стали приходить сообщения от мордокниги, какого-то сервиса доставки. Причем началось с сообщений «вы зарегистрировались». При попытке отписаться от сообщений оказалось, что у меня в адресе между буквами есть ".", а в адресах подписок точек нет. И каким образом они валятся мне в ящик не знаю. Приходят сообщения с чужого ящика.
support.google.com/a/users/answer/9308648
А тут заводишь адрес почты, тебе сообщают что такой адрес занят. добавляешь в рандомном месте "." и вот уже свободный адрес. А по факту получается точки не учитываются и это один адрес? У 2 людей общий ящик?
и вот уже свободный адрес
Нет, не свободный.
Точки в адресе на гмейл ничего не значат
У «Мейл.ру» еще веселее: у них адреса регистрозависимые. Т. е. vasya@mail.ru, Vasya@mail.ru и VASYA@mail.ru — это три разных ящика с разными логинами.
Откуда дровишки? Только что на свой ящик для спама на mail.ru отправил мыло с гмыла, указав первую букву caps'ом. Всё пришло.
P.S. Вы удивитесь, но rfc5321 не определяет почтовые ящики как регистронезависимые.
Откуда дровишки?
Из леса, вестимо. Отправил два письма — на свой (типа vasya@) и адрес моего оппонента (Vasya@). Отчет: доставлены оба. В моем ящике — только одно. Видимо, если другой вариант написания не существует, то доставляется в ящик vasya@, а если существует — то куда надо.
P.S. Вы удивитесь, но rfc5321 не определяет почтовые ящики как регистронезависимые.
А какой-то более древний RFC не действует? Который описывает полную схему URL типа mailto://user:password@domain.tld?
Из леса, вестимо. Отправил два письма — на свой (типа vasya@) и адрес моего оппонента (Vasya@). Отчет: доставлены оба. В моем ящике — только одно.
Я бы на вашем месте обратился в саппорт. У меня при любом написании хоть VaSyA@ доставляется всё без проблем.
Так логично, никто не зарегистрировал ящик в других регистрах, поэтому приходит к вам. Попробуйте зарегать в другом регистре и отправить опять, вполне возможно, что на основной приходить перестанет.
А вы сначала попробуйте не в низком регистре почту зарегистрировать на mail.ru (hint: не выйдет).
P.S. А вот, что меня действительно беспокоит, так это то, что у меня на амазоне 2 аккаунта с одним емейлом. Отличаются только паролем… Случилось это из-за того, что у меня был акк на amazon.de и был на amazon.com. И были они в разных базах. А потом амазон их объединил. И всё завертелось.
А вы сначала попробуйте не в низком регистре почту зарегистрировать на mail.ru (hint: не выйдет).
Сегодня — не выйдет. А икс лет тому назад — еще и как выходило.
Опять не вижу противоречия — если раньше давало (как выше ответили) — то кто "успел", тот и смог зарегистрировать себе занятый в других регистрах. Теперь новые ящики видимо не регистрируются в другом регистре. Gmail, когда с таким столкнулся, в итоге отдал все адреса первому зарегистрированному, Mail видимо решил оставить старые адреса как есть.
А какой-то более древний RFC не действует?
Раздел 2.3.10 RFC 2821:
Следовательно — и благодаря длинной череде проблем, вызванных промежуточными хостами, пытавшимися оптимизировать передачу путём изменения их [адресов — перев.], локальная часть ДОЛЖНА быть интерпретирована (и ей должен быть назначен семантический смысл) исключительно сервером, указанным в доменной части адреса.— habr.com/ru/post/274985
2821 is obsoleted by 5321. Тем не менее, эта же фраза есть и в 5321 (п.2.3.11).
Кроме того, в 4.1.2 есть две чудесные с точки зрения стандартописания фразы:
Local-part = Dot-string / Quoted-string ; MAY be case-sensitive
и, чуть ниже,
a host that expects to receive mail SHOULD avoid defining mailboxes ... where the Local-part is case-sensitive.
То есть, с точки зрения соответствия стандарту, описанные выкрутасы mail.ru ничего не нарушают.
Который описывает полную схему URL типа mailto://user:password@domain.tld?
А разве такая схема адресации как-то связана с предметом обсуждения?
Просто раньше, в лохматых годах, адреса с точками и без были разными. А потом гугл решил, что адреса с точками будут алиасами адресов без точек. И все такие ящики стали владением кого-то одного.
Я недавно начал получать письма на свой адрес (как мой, только без точки) от сайтов знакомств. Мол я приглянулся девочке, вам подмигнули и вот это вот всё...
Сначала меня это забавляло, а потом предстоял долгий разговор с супругой. Чтобы доказать свою правоту, пришлось сбросить пароль на этих сайтах, зайти в профиль и показать, что аккаунт вообще в другом городе проживает/ищет, общается с девушками в том же городе (к которому я отношения вообще не имею).
Пришлось лезть в грязные переписки и показывать, что кому-то было хорошо со "мной", но у меня было железобетонное алиби на эту дату.
Ну и на всякий случай удалил аккаунты. Пусть регается на свой ящик, который может подтвердить.
Тока за этот год прочитал про затычку в соц. сетей в договорах, продажа квартир онлайн.
Боюсь, будет большой такой Адский снеговик.
Походу надо будет писать регламент про привязку гос услугам ид устройства телефона, номер симки, а также доказать что данная симка зарегистрирована на N- гражданина.
Вести несколько уровней ограничений
лимит снятия или совершаемых сделок (в деньгах или недвижимости авто).
Временные лимиты (баны) если ид телефона и симки не совпадают (как операторы банят на 1-2 час переизданную симку)
Практика покажет насколько ценный труд люди делают.
Та же ситуация с адресом электронной почты — большинство используют email на бесплатных сервисах. Государству стоило бы обеспокоиться созданием специальной почтовый службы для госуслуг и банков, где почтовый адрес был бы привязан с конкретному гражданину, а вероятность его увода была бы исключена.
… и где всю базу этих госномеров сольют в первые же полгода. Нахнах, бесплатные сервисы надежней.
Госпочту проще легкого сделать работающей в режиме "получаем сообщения только от специально удостоверенных организаций жкх, связи, банков и госслужб, остальные слать не могут" ну и пусть себе сливают. Допустим вы узнаете мой адрес 73636373745637@sitizen.ru, но пароль не узнаете — как вы сможете это использовать? Ну, а регаться на сайтах можно отправляя им письма со своего ящика. Они высвечивают временный адрес и код, вы шлёте со своего гос.ящика на этот адрес этот код.
Было бы желание — проблемы решить можно, как мне кажется.
ну и пусть себе сливают. Допустим вы узнаете мой адрес 73636373745637@sitizen.ru, но пароль не узнаете
Деаномизация — это довольно много. Пробежался по другим слитым базам, нашёл ваши пароли, если некоторые из них совпадают, значит, с высокой степенью вероятности и там такой же пароль.
Или за мзду малую попросил продажного чиновника слить последний месяц сообщений гражданина 73636373745637, имея в виду персональную атаку именно на ваши цифровые и не очень активы.
Это только навскидку.
Вероятность включения чебурнета напрямую зависит от наличия аналогов всяким Гуглам с их сервисами.
Е-рун-да.
В РФ (в отличие от Европы, кстати) полный набор развитых сервисов (аналогов Гугля) существует еще с конца прошлого века.
Если брать Россию, то у нас доля телефонов на Android близка к 90%. Практически все они имеют Google Play Services, которые отвалятся в случае блокировки Google, что сделает использование этих смартфонов крайне затруднительным. Создать подобную экосистему пытался Яндекс, но не взлетело.
И так далее, и тому подобное.
Поэтому если врубить завтра чебурнет, то люди это очень сильно заметят. В то же время в Китае он врублен давно, но там изначально был свой Youtube, своя экосистема (скорее экосистемы) для телефонов и все в таком духе. Поэтому для рядового китайца подобные блокировки менее заметны. Это несомненно учитывается, отсюда и недавнее обращение РКН по поводу создания «своего» Youtube, и предустановка приложений, и все в этом духе.
Что касается Европы, то там всякие локальные почтовые сервисы и поисковики тоже существуют, просто они менее популярны чем Яндекс с Мейл.ру.
Если брать Россию, то у нас доля телефонов на Android близка к 90%. Практически все они имеют Google Play Services, которые отвалятся в случае блокировки Google, что сделает использование этих смартфонов крайне затруднительным. Создать подобную экосистему пытался Яндекс, но не взлетело.
Так это не техническая проблема.
А результат договоренностей:
Предустановки Гугля на смартфоны, по договоренности с производителями.
При желании административного ресурса предустановить Яндекс вместо Гугля — не проблема.
Да и Huawei обрадуется со своими сервисами.
Поэтому это можно сделать, но вызовет это две вещи: 1. на рынке останется Dexp с Дигмой, а всякие A бренды (кроме Huawei) не будут продаваться, 2. будет огромный серый рынок. Все это будет очень заметно и вызовет недовольство, о чем я и писал выше.
Можно заставить предустанавливать Яндекс и не устанавливать Гугл, но это не понравится ни потребителям, у которых синхронизация не заведется и которые не смогут себе купить какой-нить Samsung Galaxy, ни производителям, потому что им придется с этого рынка уйти, потому что насколько я знаю правила Google требуют либо устанавливать Play на все телефоны производителя, либо ни на какие (т.е. создать «локальные» версии моделей для России тут не получится, а между Россией и всем остальным миром любой производитель выберет второе, т.к. объемы рынков несравнимы).
Huawei от этого только выиграл. Теперь у него свои сервисы.
Производителям — понравится, ибо им тоже монополия Гугля поперек горла.
Недавно поменял телефон, Хуавей даже не рассматривал из-за отсутствия сервисов Гугла. Товарищ купил Хуавей, пару месяцев помучился и продал его, купил Самсунг и счастлив. Так что минимум двух покупателей они потеряли.
Трех. У меня сейчас хуавей, но когда он сломается, я буду смотреть на других производителей. А жаль, железки у них хорошие.
Недавно поменял телефон, Хуавей даже не рассматривал из-за отсутствия сервисов Гугла.
Все правильно.
Потому что есть альтернатива.
До тех пор пока есть альтернатива.
Эта часть технологий устроена так, что нам не нужно более одной альтернативы.
И вот только когда та альтернатива отключается, так сразу взлетает другая.
«Выживет только один» (с) фильм Горец.
Я лично не куплю телефон на Android, куда нельзя установить Play, просто потому что куча приложений вообще не будет работать без гуглосервисов. Даже какая-нибудь банальная онлайн игра не заведется. Хотя в целом какую-нибудь ungoogled версию хотелось бы иметь, но покуда там будут проблемы с приложениями это не очень вариант. Есть конечно microg, но это не сильно исправляет ситуацию.
Производители конечно будут рады, но для того чтобы они были рады нужно будет чтобы новая экосистема имела долю сравнимую с Apple. Иначе никто (из крупняка) не будет уходить на альтернативную экосистему, поскольку это нарушает соглашение с Google и продавать телефоны с экосистемой Google они не смогут.
Вообще альтернативы это хорошо конечно, но локальные альтернативы — это боль и костыль. Даже в Китае. Альтернатива может быть только такой же глобальной, как допустим Apple.
не смогут себе купить какой-нить Samsung Galaxy, ни производителям, потому что им придется с этого рынка уйти, потому что насколько я знаю правила Google требуют либо устанавливать Play на все телефоны производителя, либо ни на какие
Как же это бренды, бедные, в Китае то выживают и свои устройства продают, если их без гугло-сервисов производить нельзя, а в Китае они без них?
Из года в год кто-то подобную копипасту приносит… Можно делать смартфоны без гугл-сервисов на отдельные рынки. Нельзя делать смартфоны, в которых миксуются гугло-сервисы с иными.
И у Яндекса не вышло как раз потому, что они хотели сервисы все свои, а Play Store — от гугла (ибо без него людям смартфоны не интересны были).
Проблема не только техническая.
Гуглосервисы представляют различные полезные фишки для разработчиков приложений, поэтому огромное количество приложений без гуглосервисов на телефоне просто не смогут работать.
А это значит, что даже просто скачать .apk файл не получится, разработчики должны будут выпускать специальные версии приложений с отрезанными гуглосервисами.
Пойдут на это далеко не все, многие даже не догадываются о существовании такой страны как Россия.
А если с какого-то перепугу Яндекс начнёт встраивать в свои телефоны полный эмулятор API гуглосервисов и будет этими гуглосервисами прикидываться, то головная компания Яндекса проживёт совсем недолго.
Вроде как, нигде не запрещено делать свои реализации каких-то программных интерфейсов типа Yandex Speech API полностью совместимый с Google Speech AP
Вы говорите про отдельные API, которые, уверен, либо основаны на открытых стандартах, либо каким-либо образом лицензированы Яндексом.
Я говорю про закрытую часть экосистемы.
К примеру, Google Cloud Messaging является частью гуглосервисов.
Что такое GCM?
Это «встроенный в андроид» механизм получения PUSH нотификаций.
Делать эмуляцию GCM только на стороне мобильного устройства абсолютно бессмысленно, т.к. все приложения для отправки PUSH нотификации на ваш телефон будут отправлять команды на сервера Google. Которые ничего не знают о вашей эмуляции GCM.
И это только один из сервисов.
Мы говорим про сервисы, а значит эмуляцию нужно делать и на стороне Яндекса. То есть пропатченный Яндексом телефон подменяет Java-классы по определённым FQCN или типа того, на такие, которые "выглядят как утка, крякают как утка, летают как утка", но летают не в Гугл, а в Яндекс
Возьмём условный WhatsApp — на телефоне вы полностью повторите Google Services, ok.
Но для отправки PUSH уведомлений на ваш телефон WhatsApp будет отправлять команды на сервера гугла. А гугл знать не знает о том, что есть какой-то телефон с какой-то там эмуляцией.
Всё, сервис сломан.
Чтобы WhatsApp заработал на таком «адаптированном» телефоне потребуется аналогичная адаптация на стороне самого WhatsApp'а.
И, к сожалению, такая проблема будет с каждым вторым приложением.
p.s. И это мы ещё не рассматриваем аналогичную «доработку» телефонов от Apple. Там всё окажется существенно хуже.
Если адреса Гугла захардкожены в коде WhatsApp, а не обращаются к Google Service API телефона, то можно на уровне сети подменять, сертификаті доверенніе вставить и т. п. Но тут гарантий меньше. Я экосистему Гугла плохо знаю, исходил из того, что постоянно обновляющийся на моём телефоне пакет "Сервисы Гугл" — это API для приложений, сами они на сервері Гугла не стучатся.
Если адреса Гугла захардкожены в коде WhatsApp, а не обращаются к Google Service API телефона, то можно на уровне сети подменять, сертификаті доверенніе вставить и т. п. Но тут гарантий меньше.
Именно.
Сервера WhatsApp обращаются напрямую к серверам Googleчерез один из поддоменов домена google.com, а уже между мобильным телефоном и серверами Google есть выделенный канал для отправки нотификаций.
«Подмену сертификатов» и всего такого сможет сделать только владелец WhatsApp, но никак не какой-то там Яндекс.
Аналогично с другими приложениями.
это API для приложений, сами они на сервері Гугла не стучатся
Часть функций — да, то самое API.
Но как минимум весь механизм PUSH уведомлений жёстко завязан на сервера Google. Не будет с ними связи — сломаются PUSH'и всех приложений.
Сервера WhatsApp обращаются напрямую к серверам Google
Где-то в нашем диалоге я упустил что речь об общении сервер-сервер. Извините за отнятое время.
Вот когда нужны антимонопольщики, их всегда нет ((
Решать технические вопросы средствами антимонопольщиков — такое себе упражнение. Мало чем отличается от обязательной предустановки российского ПО на всё, что похоже на телевизор.
Он не просто так завязан на сервера Google.
Представьте — есть у вас приложение с 100k пользователями, периодически (к примеру, раз в неделю) вам необходимо доставлять сразу всем пользователям какую-нибудь нотификацию.
Как бы вы это сделали без серверов Google:
1. Опрос ваших серверов методом PULL. Каждая копия приложения раз в минуту присылает запрос на ваш сервер «есть для меня что-то новое?». Минусы — задержка до минуты, ваше приложение всегда должно быть активным и будет кушать батарейку, плюсы — ваша инфраструктура. Нюанс — 100k пользователей вам дадут нагрузку в 1500 запросов в секунду (!!!) на ваш сервер.
2. Работа методом PUSH, все копии вашего приложения держат TCP сессию с вашим сервером. Минусы — только ускорение разряда батарейки, плюсы — отсутствие задержки. Нюанс — ваш сервер должен одновременно поддерживать 100k TCP соединений. Это совсем нетривиальная задача.
А теперь представьте — на телефоне одновременно в активном состоянии работает 60 таких приложений, каждое из которых постоянно дёргает свой сервер.
Это значит, что:
1. Приложение нельзя деактивировать, иначе оно теряет связь с сервером. А значит оно висит в памяти. И памяти начнёт резко нехватать.
2. Для PULL модели каждый запрос-ответ требует ~1kb трафика, получаем 1kb/s постоянного трафика просто для выяснения «есть чё для меня?». В месяц это 2.5 гигабайта трафика. Вдумайтесь — 2.5 гигабайта трафика будет тратить смартфон только для того, чтобы получать нотификации от всех приложений (!!!)
Вместо этого же смартфон держит в полу-активном состоянии одно единственное подключение к push серверам Google.
Каждый смартфон с Android и Google Services на нём держит такое соединение.
Так что привязка к серверам гугла тут во благо, а не «во имя монополии».
Хоть гугл, хоть хуавей, хоть аппл, хоть личный сервер на канарах.
А кто бы написал? :)
Гугл написал свой стандарт и внедряет его как часть Google Services. Если на телефоне стоят гугло-сервисы, то есть и пуши от гугла. Если вместо них (или вместе с ними) стоят пуш-сервисы от какого-нибудь Xiaomi, то и они будут работать. По собственному протоколу.
К примеру, у Huawei есть что-то своё.
Проблема в том, что нет единого стандарта. У Apple своя проприетарщина, у гугла своя, у хуавея своя.
Стоп, значит как мне нужно файл найти, так я могу писать
Intent intent = new Intent(Intent.ACTION_GET_CONTENT)
А как пуш отправить, то обязательно к конкретному серверу обращаться?
Другое дело, что нужен будет роутинг типа почты между пуш серверами.
А как пуш отправить, то обязательно к конкретному серверу обращаться?
«Стоп, если я хочу своими деньгами воспользоваться, то я лезу в свой карман. А если мне нужны деньги в долг, то обязательно обращаться к кому-то, кто мне эти деньги даст в долг?» © прямая аналогия.
Поиск файлов — использование внутренних сервисов телефона. Или использование стандратных протоколов (если речь про работу с http).
Работа с пушами — это собственный протокол от Google.
Вас же не смущает, что вы не можете создать себе почтовый ящик myname@gmail.com в обход гугла?
Другое дело, что нужен будет роутинг типа почты между пуш серверами.
Было бы круто, я всеми руками «за».
Но сейчас, к сожалению, этого нет :(
Протокол SIP обходится без описанного вами треша. Всего лишь приложение регистрируется на сервере, сервер про него помнит и, когда нужно, инициирует сеанс передачи сообщения.
Протокол SIP обходится без описанного вами треша.
Во-первых, тут речь не про SIP, а про совсем другую штуку, хотя чисто технически она кое-что общее с SIP'ом и имеет.
Но причём тут вообще SIP?
Всего лишь приложение регистрируется на сервере, сервер про него помнит и, когда нужно, инициирует сеанс передачи сообщения.
Во-вторых, а напомните-ка мне, пожалуйста, КАК это работает у SIP'а под капотом? :)
Как для SIP/TCP, так и для SIP/UDP.
Вот вам для удобства простая вводная — клиент сидит за NAT'ом с серым IP.
И ответьте мне на три вопроса:
1. Нужна ли открытая TCP сессия между SIP сервером и клиентом для того, чтобы сервер смог что-то отправить клиенту за NAT'ом (для SIP/TCP)? Нужна ли активная запись в session tracking'е на NAT'е для того, чтоб сервер смог что-то отправить клиенту за NAT'ом (для SIP/UDP)?
2. Через какое приблизительное время неактивности (отсутствия трафика) сессия будет принудительно сброшена на firewall'е? Хотябы ориентировочно.
3. Может ли указанный вами режим «приложение регистрируется на сервере, сервер про него помнит и, когда нужно, инициирует сеанс передачи сообщения» работать в случае, если клиент за NAT'ом или в этом случае держать TCP/UDP сессию необходимо для сохранения возможности инициировать что-либо?
И вообще, вот интересное чтиво на эту тему: RFC 6223 (https://tools.ietf.org/html/rfc6223)
p.s. В мире с «только белыми адресами» всё бы отлично работало как вы указали. Никаких сессий, запомнили IP адрес клиента и можем ему слать единичные пакеты хоть через неделю. Но вышло так, что лишь единицы имеют белые IP адреса на своих мобилках. Даже если в квартиру подаётся «белый IP», то обычно это одна штука для роутера, а живущие внутри квартиры 15 мобилок сидят уже за NAT'ом.
TCP я не рассматриваю в принципе как протокол с большим оферхэдом и серьёзными ограничениями даже у серверных ОС
Поддержка открытого сеанса в NAT маршрутизаторов на стороне клиента при использовании UDP тривиальна: отправляем пакет c dummy-данными или вовсе пустой каждому клиенту раз в несколько минут. Таймаут у маршрутизаторов выставлен достаточно большой. (К примеру¸ в том же SIP, сервер Mango Telecom каждую минуту отправляет пакет прямо так и озаглавленный — NAT Traversal).
Поддержка открытого сеанса в NAT маршрутизаторов на стороне клиента при использовании UDP тривиальна: отправляем пакет c dummy-данными или вовсе пустой каждому клиенту раз в несколько минут.
Ну вот вы и ответили на вопрос — для поддержания канала необходимо постоянно отправлять что-либо каждую минуту или около того.
Если каждое приложение будет реализовывать свой канал, то для 60 приложений мы получим 1-3 Gb трафика в месяц. Значит в любом случае потребуется мультиплексирование канала и централизованные сервера.
К сожалению, сейчас массово такое есть только у гугла для Android и у Apple для iOS.
C темы на 4pda
О Google services на 9А
На данный момент разблокировать загрузчик и соответственно получить Root права и установка Google services на нашем устройстве невозможно, а также Вопросы об этом будет удаляться без предупреждения.
Но Whatsapp работает без проблем
Но Whatsapp работает без проблем
Он держит постоянную сессию с сервером и для корректной работы требует включить для него режим «никогда не выгружать из памяти».
Если этот режим выключить и отключить PUSH нотификации (через сервисы гугла), то работать он будет крайне хреново.
В то же время в Китае он врублен давно, но там изначально был свой Youtube
Понимаете в чем дело:
В интернете достаточно одного хорошего сервиса каждого вида.
Остальные — только объедки подъедают.
Поэтому при наличие ЮТуба (и поиска Гугля, что форсит на ЮТуб) другие не могут раскрутиться.
Поэтому достаточно блокировки ЮТуба, кто-то один быстро займет его место.
Сейчас уже есть почти готовые ЮТубы внутри РФ, несколько штук (у Яндекса, у Одноклассников, у ВК, у Mail.ru и rutube). Достаточно только заблочить ЮТуб и кто-то из них быстро займет его место. Полагаю, это будет яндексовский, он наиболее похож на «почти ЮТуб». И через пару лет о ЮТубе забудут.
Если брать почту в России, то когда-то была популярна pochta.ru (помните такую?) и Рамблер. И где они сейчас? И так далее.
Это вполне нормальный рыночный процесс, который идет постоянно.
Любые нерыночные меры никогда ни к чему хорошему не приводили и не приведут. Если заблочить Youtube, то люди конечно от безысходности перейдут на какой-нибудь другой сервис (по крайней мере та часть, которая не сможет обойти блокировки), но без конкуренции это будет не сервис, а кусок говна, который при помощи административного ресурса захватил долю. Даже если он изначально будет хороший (хотя в таком случае никакой административный ресурс ему не нужен, а среди перечисленных таких в общем-то нет), то в итоге все равно скатится в говно, как это происходит с чем угодно после подобного вмешательства.
Я уж не говорю о том, что перетянуть пользователей — это только часть дела, нужно перетянуть еще контентмейкеров. А для этого им нужно платить, нужна монетизация. Кто еще готов будет предоставить доступ к такой аудитории и такой рекламной сети?
Я уже не говорю о том, что если такое произойдет, то цель у него будет одна — цензура, главный образом политическая. Следовательно эта цензура будет и внутри нового хостинга, который не даст куче контентмейкеров на нем размещаться. Если смотреть на тренды Ютуба и самые популярные каналы, то далеко не все там чистый энтертейнмент, довольно много (процентов 30 точно) политики, которая окажется зацензурена. Что опять же еще больше ухудшит характеристики нового хостинга и уменьшит его аудиторию.
Конечно власти очень хотят заблокировать Ютуб и прочее неподконтрольное их цензуре, однако блокировка популярного ресурса вызовет массовое недовольство. Думаю именно поэтому они этого и не делают, а если сделают, то значит они решили пойти на крайние меры.
И совсем другое дело если у сервиса уже есть популярная альтернатива. Грубо говоря если заблочить Gmail, то настолько массового возмущения скорее всего не будет, потому что у Gmail нет и 50% аудитории в России благодаря вполне себе рыночной конкуренции со стороны Mail.ru и Яндекс. Так например было с Linkedin.
И причина того, что у Youtube до сих пор нет конкурентов довольно простая — это дорого. Я даже сомневаюсь что для Google он прибылен учитывая их выплаты авторам, а трафика видео генерирует тонны. Поэтому позволить себе держать сервис типа Youtube могут очень немногие, возможно еще Apple, Microsoft и некоторые другие подобные компании, остальных он или разорит, или это будет довольно специфическая вещь с особой моделью монетизации, например как у Vimeo, которые берут деньги за загрузку видео.
Исключения составляют разве что p2p хостинги, в которых расходы размазываются по пользователям, но к сожалению пока ни один такой проект не взлетел (в частности потому, что авторам будет неинтересно пилить контент, если за него не платят, а там такая монетизация отсутствует by design). Был проект Play2Live, который вроде как решал эту проблему и на который у меня были надежды, но он оказался скамом.
Но думаю рано или поздно произойдет одно из двух: либо появится p2p хостинг с монетизацией и без гугловской цензуры, который Youtube и вытеснит, либо появится конкурент от какого-нить Apple со своими фичами, который займет место Youtube. Рано или поздно это произойдет, потому что ничего вечного не бывает вообще, в том числе и рыночной монополии, но это произойдет явно не в результате наглого вмешательства в рынок.
Это так не работает. Этих «хороших сервисов каждого вида» уже было столько, что и не вспомнить, но появлялся более хороший и предыдущий или терял долю рынка или исчезал вообще. Например если взять формат коротких видеороликов, то был Vine, который был по сути монополистом, ну и где он сейчас? Его вытеснил Musical.ly, а потом TikTok. До Vine кстати были другие, но названия мне не вспомнить.
Это не так работает.
Вы какие-то маргинальные сервисы приводите, сравнивая их с видеосервисом, принадлежащим глобальной поисковой системе.
Андроид, ЮТуб, Гугль — друг друга подогревают.
Если брать почту в России, то когда-то была популярна pochta.ru (помните такую?) и Рамблер. И где они сейчас? И так далее.
Про Рамблер расписано в:
Ашманов. «Жизнь внутри пузыря».
Если вкратце:
Инвесторы, привыкшие к легким деньгам «диких девяностых», вложились в Рамблер. В надежде скоро перепродать по завышенной цене. В развитии не были заинтересованы. Ибо привыкли покупать советские заводы и перепродавать их по частях. А не созидать.
Руководство купленного инвесторами Рамблера, не будь идиотами, пилила инвесторовские деньги, в то время, пока Яндекс пилил поиск. После чего Яндекс закономерно взлетел, а Рамблер закономерно упал.
Это не рыночный элемент регулирования, не выбор потребителей.
Примерно та же история была и с Яху.
Они свалились просто потому что перестали развиваться, а принялись пилить бабло инвесторов.
По поводу Рамблера и Yahoo — это как раз рыночный элемент регулирования. Начал вместо развития пилить бабки? Пришли конкуренты, которые работают и выкинули тебя с рынка. И это выбор потребителей. Потому что потребители выбрали более удобный Яндекс\Google на замену Рамблеру\Yahoo. Если бы потребители продолжили по каким-то причинам пользоваться вторыми, то хоть запились. Так что вполне себе рыночная история.
Тогда по вашему весь Яндекс такой же маргинальный, потому что выручка всего Яндекса за текущий год по имеющимся данным всего где-то в два раза выше чем у одного приложения ByteDance. А пользователей у TikTok похоже и вовсе больше (800 млн).
Разумеется Яндекс маргинален.
Кроме РФ и Турции — везде маргинален.
Вы зачем сравниваете весь мир с рынком страны, что 2% от населения Земного шара?
Да еще в контексте обсуждения блокировок иноземных сервисов конкретно в РФ? При чем тут весь остальной мир?
Реально, это всё надо именно кричать, настолько рутуб мерзок (был, когда я пытался его использовать).
И… всё? Если убрать чисто стримерские площадки типа твича и wasd, потому что туда ни клип, ни фильм, ни музыку не выложишь, что останется? Лично я вообще ничего назвать более не могу.
Смутно помнится, что иви и рутуб просто не работали с блокировщиками. И зачем они нужны такие «красивые» и оборзевшие?
Вы как-то странно определяете конкурентов. Явно не так как антимонопольные службы. Основная функциональность та же? Та же! Для использования пользователем есть сложноисполнимые требования? Нет! Значит конкурент!
Рутуб — по документам конкурент, но не по удобству и возможностям.
Какие основные возможности есть у ютуба, которых нет у ютуба? Просто список, без "лучше" или "хуже". Без учёта стороннего софта, использование которого запрещено лицензиями.
Про рутуб ничего не могу по существу сказать. Знаю только, что там много русских сериалов, жена что-то смотрела, но рекламу всю выдавить не сумела.
Попытался глянуть «фиксики». «Для получения доступа к видео войдите или зарегистрируйтесь на сайте». Кликнул на случайный фильм — «оформите подписку».
По разным категориям прошелся. Без регистрации — вообще ничего невозможно смотреть. Так что это вообще не замена ютубу, на котором можно смотреть и так. Даже иви — отдельные вещи доступны, хоть и несмотрибельно. А это другая сфера, «онлайн кинотеатр», туда же окко. Сам туда не постримишь как играешь например, или тот же «this is хорошо».
Я даже сомневаюсь что для Google он прибылен учитывая их выплаты авторам, а трафика видео генерирует тонны.
В нормальной капиталистической экономике — тут нет проблемы. Рыночные законы одинаково действуют и на того, у кого в кармане сто долларов, и на того, у кого в кармане сто миллиардов.
Убыточность успешного (не оксюморон) предприятия — нормальное дело. На любой момент t можно выдумать много направлений движения в будущее. Одно будет экстремально монетизируемым: хочешь залить видео — плати копеечку, хочешь посмотреть видео — плати копеечку. И моментально выручка гугла попрет вверх. (Правда, популярность гугла полетит вниз). И каждый владелец акции получит, допустим $1 дивидендами. А можно иначе — завлекать еще сильнее, каждому платить и за заливку (даже если никто не смотрит) и за просмотр. Аудитория достигнет почти 100%. В этом случае, будут большие убытки и не будет дивидендов, но акции вырастут на $100. Что выберет инвестор, $1 прибыли (дивидендами) или $100 (на росте курса)?
Поэтому вполне логично, например, что растущий Uber возит за копейки и еще и доплачивает водителям. Телеграмм содержит тысячи серверов и не берет денег. Ютуб тратится еще больше, и почти не монетизируется. Зато Uber — это такси #1 в мире, и все свои доплаты на этапе роста — окупит за пару лет. Телеграмм, используя то, что у него миллиарды пользователей и он почти в каждом телефоне — может запустить криптовалюту, например. И стать эмитентом основной крипты (или псевдо-крипты) в мире. Это почти как владелец всех денег мира. Неплохо, да? Ютуб — это главный в мире «телеканал», весь мир смотрит разные ролики, но весь мир смотрит рекламу от ютуба. Это все охренительный успех, охренительные деньги, уже сейчас, но выраженные в росте ценности продукта.
Если вы нищий разработчик — пилите прототип и инвесторы в него вкладываются. Кто-то сто рублей, кто-то миллиард. Каждому хочется удваивать-утраивать свое вложение ежегодно.
И теперь важный момент — это все возможно в стране, где есть развитый фондовый рынок, право собственности и независимые суды. В стране без этого, можно десять лет развивать проект, вбухивать в него огромное бабло, а через десять лет сесть, а проект отожмут и будут выжимать из него прибыль.
Ютуб хорош в т. ч. огромным, чудовищным объемом междунородного контента, которого в чебурнете нмкогда не будет.
А они (популярные блогеры) точно переедут?
Вы правильно сказали про "надо кушать".
Если на условном Ютьюбе они получали 600 т.р. в месяц, 300 из которых отдавали команде (оператор, монтажёр, визажист, аренда света, помещения,...), то когда на условном НашВидеоХостинг им выплатят 30 т.р. (и то много, но уж ладно), то долго они не продержатся и из блоггеров переквалифицируется обратно кто куда.
Т.е. вопрос не в том "перейдут, никуда не денутся", а в том, что они перестанут генерировать тот самый контент.
НО! Как Вы думаете: неудобство рядового пользователя, которому будет не посмотреть видосики с Ютьюба и у которого внезапно отвалятся гугло-сервисы — сильно будет учитываться при (опять же — гипотетическом) решении о включении Чебурнета?
Я думаю, что — будет, конечно, учитываться… Но месте так на стопиисятом… :(
В контетксте — «какую надо пропаганду перед этим в СМИ закинуть и какими ужастиками напужать»…
Поэтому это «по плану» будет сделано только когда будут серьезные и популярные внутренние альтернативы. Для этого нужна предустановка софта, создание местных аналогов и так далее, что сейчас делается. Если у них это получится, то чебурнет включат, если не получится, то только в крайнем случае. На истину не претендую, но мне кажется так.
Та же ситуация с адресом электронной почты — большинство используют email на бесплатных сервисах. Государству стоило бы обеспокоиться созданием специальной почтовый службы для госуслуг и банков, где почтовый адрес был бы привязан с конкретному гражданину, а вероятность его увода была бы исключена.
Это мысль в правильном направлении, но с малым горизонтом. На самом деле имеется пара огромных проблем:
- Идентификации и аутентификации конкретного гражданина. Поскольку системы оперируют учётными данными а они напрямую не связаны с людьми а представляют собой всего лишь имя и некий секрет (пароль). То есть нет простого способа не дать завести УЗ на Ивана Ивановича Ивану Петровичу. Вернее можно заводить учётки по паспортам, но вот как проконтролировать, что логин-пароль используются владельцем паспорта, не ясно. А при этом данные системы должны привязываться к человеку а не к логину и паролю, которые могут быть уведены или иными способами скомпрометированы.
- Налаживания канала связи с гражданином, а не с абонентским устройством. Та же беда что и в первом пункте, устройство не всегда однозначно находится у конкретного гражданина.
Из этих бед, а точнее из попыток решения их по-быстрому, путём наименьшего сопротивления, и рождается использование почты пользователя, поскольку это самый простой способ его идентификации (попробуйте придумать всем уникальные логины, которые можно запомнить, а почта это сама как-то решает) и связи с ним, и СМС как второй фактор аутентификации и канал оперативного оповещения. Я не думаю что нам нужна гос. почта (ну иная чем она есть на гос. услугах, когда всякие ФНС-ы шлют тебе всякие письма счастья) и гос. СМС-ки. Нам нужна стройная система решающая вышеперечисленные задачи. А пока эти задачи (а они вообще стоят перед всеми этими комитетами цифровизации и иными электронными государствами??!...) не будут решены, к сожалению СМС-ки и почта самое малое из зол. В конце концов, от спец. почты придётся хранить спец пароль… а с хранением паролей у народа ситуация сильно хуже чем с вдумчивым чтением СМС-ок…
И да, для параноиков есть ЭЦП, которая даёт чуть большую защиту, чем просто авторизация по СМС-кам, по крайней мере теоретически.
ЭЦП сложная штука, из-за этого она в конечном итоге не надежна — большинству граждан для использования придется привлекать посторонних, кто разбирается. Лучше уж верифицировать по отпечатку пальца — сканеры есть в смартфонах, при необходимости можно и в компьютеры поставить. Но тут тоже надо решить — как определять, что авторизующийся свой палец отправляет, а не его скан, или вообще перехваченный набор данных, ваш п.2
Конечно, то или иное решение по безопасности требует продуманности, но пока не заметно, чтобы к нему приступали.
Госуслуги требуют верификацию по паспорту в офисе Ростелекома.
Не ходил ни в какие офисы, получил пароль заказным письмом. Конечно, его тоже только по паспорту выдавать должны, но часто почтальоны забивают и в почтовый ящик бросают.
У меня полноценный аккаунт, никаких дополнительных верификаций не проходил.
Налоговую декларацию подать можете? Раньше был полноценный после письма. (3 уровень) Потом появился еще более полноценный, только с визитом.
8 лет подаю. Правда я регистрировал ЛК в налоговой и хожу туда по ИНН/паролю, тогда еще невозможно было с помощью госуслуг логиниться.
Загранпаспорта, штрафы, регистрации, детсады, замена ВУ и т.д., все это у меня работает и ни разу отказа не было.
Мне налоговая предложила или квал электроподпись (3к в год) или хватило госуслуг, но после личного визита в ВТБ.
Уточню, имею в виду именно 3-НДФЛ без визита в налоговую.
Детсады замена ВУ и прочие услуги, требующие личного визита за результатом не считаются — там сверка личности с паспортом происходит в момент визита.
И недавно менял ВУ, тоже в МФЦ. Доки подал, через несколько дней там же получил новое ВУ. Фоткали прямо в МФЦ если что.
Был вариант через портал подать, но тогда получать надо было бы в гаи, что дальше. Проще 2 раза в 1 место сходить.
Всё жду, когда можно будет загран в МФЦ сделать, последний раз когда узнавал — можно было только через портал подать доки, а потом семьёй и детьми ехать получать в другую часть города…
Ну собственно вся ветка о том, что раньше можно было получить максимальный уровень акка госуслуг "бесконтактно" заказным письмом с паролем. После того, как к ним прикрутили налоговую максимальный уровень достигается только лично. (или нет)
У налоговой свой лк, пароль от лк получают в МФЦ, персонально.
- Личный визит работал всегда, но было время, когда вместо него можно было получить заказное письмо, и статус был равным. Потом заказное стало 3 уровнем, но не максимальным.
- Может и получают, я пользуюсь пунктом "Войти через госуслуги (ЕСИА)" и пароля от налогового кабинета не получал. Для списка налогов/получения платежек хватало уровня с письмом. Но вот для подачи 3-НДФЛ уровень доверия к госуслугам пришлось повышать в банке Москвы (или уже ВТБ, не помню точно).
Всё так, но можно было бы добавить о биометрии, в свою очередь порождающей ряд социальных проблем, да и далеко не всем доступной по материальным соображениям. ЦП же вполне заменяют суррогаты вроде майкрософтовского Authenticator'а.
Суррогат вроде Google Auth, Microsoft Auth, Yandex Key — это всего лишь суррогат. На каких то моделях устройств это всё завязывается на биометрию, где-то закрывается пином, что не так чтоб сильно улучшает ситуацию. Плюс, это хоть и хитро сгенерированный, но тоже пароль и передаётся тот пароль в том же канале связи, и может программа от того пароля попасть неведомо куда. В общем по своей сути, это тот же пароль с теми же недостатками, хотя в немного подправленном виде.
А вообще, в идеале аутентификация с применением нескольких биометрических данных (в зависимости от серьёзности системы или операции до нескольких одновременно), должна проходить вне основного канала передачи данных через систему посредник. Но опять таки, сдесь нужно думать о схеме работы такой системы, защиты её от предприимчивых людей во власти и за её пределами и обеспечивать массовость и вездесущесть терминалов этой системы, что явно не входит в какие-либо планы.
Кроме того, в биометрии тоже идут по пути наименьшего сопротивления и делают только верификацию по лицу, хотя факторов должно быть больше (ну как минимум отпечаток пальца и голос, как максимум ещё чего придумать), для возможности более надёжной аутентификации.
Не все.
ЕБС вот сделали — там голос и видео.
Что интересно — заявлена эта ЕБС как средство для дистанционного заключения договоров банковского обслуживания (угу и кредиты брать). Почему то вот мало полностью проверенной записи госуслуг для этого.
Биометрия бы вполне спасла
К сожалению, нет. Человек постоянно и непроизвольно оставляет за собой биометрический след — отпечатки, голос, лицо, ДНК и т.п. Этим биометрия полезна для полиции и следствия.
Но использовать биометрию в качестве ключа от квартиры? Это сомнительное и довольно спорное решение. Мы ведь обычные ключи не разбрасываем на всем пути от дома до работы, а биометрию — разбрасываем.
В качестве ключа от квартиры не должны использоваться те вещи, которые злоумышленник сравнительно легко может перехватить и затем использовать отдельно от владельца и без ведома владельца. Биометрия не отвечает этому требованию — ее можно перехватить и использовать без ведома владельца.
Это решение проблемы не с того конца.
Надежда на номер телефона, как на надежное средство идентификации — это в любом случае зло.
Если делать номера собственностью, то рано или поздно они закончатся как IPv4-адреса.
Для неважных сервисов достаточно логина-пароля без привязки к чему-либо.
Для важных, таких как банк, госуслуги и т.д. единственным способом привязки номера или его замены на другой должен быть личный визит в офис, ну или хотя бы к банкомату с картой, с введением pin-кода.
Как быть с ситуацией, когда ты теряешь по какой-то причине номер, который был в учетной записи в банке? Были случаи, когда в Сбербанке клиент менял номер телефона, но старый номер оставался в базе каким-то образом к нему привязан. И старый номер телефона оператор передавал другому человеку. Что в этом случае?
У нас давно действует перенос номера от одного оператора к другому. Не вижу проблемы окончательно выдать хотя бы один номер телефона гражданину в ЕГО собственность.
Не вижу проблемы окончательно выдать хотя бы один номер телефона гражданину в ЕГО собственность.
Номера рано или поздно кончатся. Что тогда? Добавлять цифры к номерам? А старые номера как будут работать? Как в аське шестизнаки-семизнаки? Ну и собственность предполагает возможность продавать-дарить?
А насчет «продавать/дарить» — в чем собственно проблема в пределах страны?
MNP УЖЕ есть.
Ну да — фиксированная телефония и IP-телефония (та что для бизнеса,Zadarma всякие) пока не портируемые… вот только роутинг портированных номеров они уже должны учитывать. Вот прямо так сложно добавить и возможность переносить их номера и к ним?
На международном уровне портируемости нет. Но это ТАК проблема?
Префиксы заменить/добавить если кончатся.
Только добавить, если заменить, то значит мой собственный номер изменится. И вообще понятие "префикс" должно исчезнуть, наверное.
А насчет «продавать/дарить» — в чем собственно проблема в пределах страны?
Если мы говорим о номере как об идентификаторе для госуслуг, банков и т. п., то проблема опять в том, что доступ к каким-то аккаунтам получит не владелец аккаунта, а владелец номера.
А если просто чтобы позвонить, то в чём разница с текущей ситуацией?
«Call to SSN» через спец префикс для США.
И т.д.
Доп фактор — паспорт с RFID приложить к телефону.
Всё решаемо!
Специально для этого держу старую нокию (в современные телефоны полноразмерную симку не воткнуть)и регулярно шлю смсмки самому себе в роуминге
Не легко, только в офисе конкретного оператора. До ближайшего тысяча километров минимум.
Еще можно попытаться обрезать (я так разок делал), но есть шанс, что радиус кривизны рук повлияет на работоспособность симки.
Или заказать на али резак для симок за две копейки.
как минимум Билайн и Тиньков — могут идентифицировать клиента удаленно.
При этом Билайн — может идентифицировать и будущего клиента тоже (по паспорту РФ, ну да — удаленно через приложение) и на регион — им наплевать (если не наплевать на страну — то это так сложно читателю хабра объяснить приложению на смартфоне что это смартфон вообще на Красной Площади в данный момент? тем более что надо то — один раз).
И прислать QR-код для esim на e-mail.
В смысле это у меня получалось с Билайном и Тиньковым удаленно эти коды получить.
Режется и под нано.
Я б поэкспериментировал, если б в случае неудачи не нужно было границы пересекать.
У меня почтовый ящик на своем домене.
2017 год. Госуслуги в личном кабинете благополучно приняли мой ящик z@домен, а для получения справки об отсутствии судимости — нет. И это тоже не баг, а фича. Еще призывали связываться с ними через Телеграмм )
Уважаемый пользователь!
Работы по вашему обращению завершены.
Согласно технического задания, в данном поле перед знаком "@" должно быть строго больше одного символа, иначе сервис не сможет корректно обработать заявку.
При отсутствии от вас обратной связи по данному обращению через три дня обращение будет подлежать закрытию как решенное.
Благодарим за обращение на Портал госуслуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.
С уважением,
Служба поддержки Портала госуслуг
8(800)100-70-10
support@gosuslugi.ru
www.gosuslugi.ru
Свяжитесь с нами через Telegram!
Согласно технического задания, в данном поле перед знаком "@" должно быть строго больше одного символа, иначе сервис не сможет корректно обработать заявку.
Гениальная отмазка!
Больше бесит когда пишешь в ТП о какой то новой функции, а тебе в ответ: «а кто вы такой чтобы решать какой у нашего сайта будет функционал?». На сайтах гос структур такое не раз встречал.
Но пока это могут лишь суды, точнее, гос услуги каким-то образом парсят дела по номеру соц страха и сигналят
А вот зависимость от телефона начинает стремиться к 100%. В нем гос услуги, налоги, банки, электронные подписи, недвига, авто(кто пользуется каршерингом) личная жизнь и т.п. Хоть под кожу зашивай.
Погодите. Вы хотите сказать, что у мужа ваш номер оказался привязан на госуслугах без ввода подтверждающего кода (который пришёл вам на телефон)?
Угу. Итого, это несколько проблем. По опыту IT, если хочется, чтобы исправили – на каждую надо багрепорт написать, с методом воспроизведения (по пунктам, максимально упрощённым), ожидаемым и наблюдаемым поведением. Вообще это должен бы по результатам общения с вами сделать саппорт и QA госуслуг, но "они за вас свою работу делать не будут".
(critical) Номер телефона может быть привязан без ввода пришедшего в sms кода
Ожидаемое поведение: Пока не ввели код – номер не привязывается.
Наблюдаемое – номер привязался (хотя, возможно, до ввода кода он остаётся в неподтверждённом состоянии)
(critical) Номер телефона может быть отвязан от аккаунта без подтверждения в этом аккаунте.
Путь воспроизведения: как важ муж делал
Ожидаемое поведение: номер не отвяжется от вашего аккаунта. Либо номер не будет привязан к аккаунту мужа, либо окажется привязан к двум аккаунтам.
Наблюдаемое поведение: номер отвязан от вашего аккаунта и привязан к его аккаунту (возможно, в "неподтверждённом" состоянии).
Ну да.
На общую беду первой линии саппорта (это низкооплачиваемая работа, и там работают люди, особо не разбирающиеся в системе) накладывается привычное для госконтор "вас много, а я одна!"
Три конторы, кстати, для решения не нужны: оба бага целиком внутри госуслуг. Но, опять же, участие других контор в воспроизведении даёт любимую отмазка "проблема на другой стороне". Сочувствую, в общем.
Главное, конечно, что вы разобрались с ситуацией, да ещё статью не поленились написать – надеюсь, теперь-то багрепорт оформят и поправят всё.
- Скорее всего в подтвежденном, так подтверждение в сбере посчитали надежным, а в Сбере он подтвержден. Это же не просто строчка из 11 цифр была, а передача данных из доверенного источника.
- Вот тут да, вместо отвязки должен быть выброшен красный флаг "номер уже привязан к другому человеку".
Но что в этой ситуации делать, когда ты купил новую симку, а номер был привязан прошлым его владельцем — это большой вопрос. Связаться ты с ним не можешь, а робота госуслуг не факт что он читает. Ну а контактный номер у тебя в руках ;)
Но что в этой ситуации делать, когда ты купил новую симку, а номер был привязан прошлым его владельцем — это большой вопрос.
Такой вариант в Сбере у меня был. Я сама отвязала новый номер. Вот только не помню с какого номера сделали отвязку. Т.к. звонила, то с одного, то с другого номера.
- Автору пришла sms с кодом подтверждения. Так что она как минимум вправе рассчитывать, что пока код не введёт – привязки не будет.
Есть (или был?) такой способ отмазки от армии, тоже на схеме понижения ответственности. Военком, если отмажет годного призывника — отвечает по закону как-то серьезно. Но, если приходит призывник, румяный, двухметровый, и дает справку, что он едва живой туберкулезник — юридически его не то что можно не брать, его даже нельзя брать. Правда, могут возникнуть сомнения, соответствует ли справочка? Другое дело, если сомнений не возникает.
Поэтому схема отмазки простая: близкий к военкому человек берет деньги и обещает, что все будет ОК. Затем приносит справку от врача в военкомат и ее там принимают. Все. По документам — все чисто, в армию не взяли больного, как и должны были. Никто в военкомате не мухлевал. Ах, да, врач в больнице перепутал кардиограммы, нехорошо-то как. Наверное, его могут отругать или лишить премии.
Появилась возможность технически это сделать — и появились тысячи уклонившихся от армии.
Сочувствую. И вам, и вашему тёзке (у которого теперь, возможно, благодаря барышне документы оформлены на ваши данные). Теперь вам с ним надо всё перепроверять.
Но тут ситуация, которую полностью не закроешь: сотрудникам МФЦ нужен такой доступ (человек может потерять телефон, лишиться доступа к e-mail и прийти в МФЦ восстанавливать всё). Разве что максимально заменить ручные операции на машинные: если бы она паспорт сканировала, а не вбивала руками – всплыло бы несоответствие номера паспорта.
В прокуратуру на МФЦ. В суд за моральным ущербом.
Наверное, надо в сбере ввести код, который придет на этот телефон?
2. А что надо сделать для привязки номера телефона к госуслугам?
Наверное, надо в госуслугах ввести код, который придет на этот телефон?
Я к чему: похоже, действия одинаковы. В них обоих нужен доступ к привязываемому телефону. То есть чужой человек, не получив доступ к телефону, не сможет привязать ни то ни это. А получив — сможет и то и это. То есть мы имеем один ключик на 2 замка: сбер и госуслуги, причем войдя этим ключиком в комнату сбера — оттуда есть дырка в комнату госуслуг и в дверь госуслуг уже необязательно входить.
И вопрос лишь в том, что госуслуги доверяют инфе от сбера вида «этот номер принадлежит Васе».
Эта проблема из той же оперы, что уже озвучивалась на хабре: когда картой, привязанной к аккаунту яндекса, вдруг стало можно платить в как-то там такси, где есть отдельная привязка карты. Не помню подробностей этой истории.
Для этого нужно предъявить банкомату карту и ввести пин-код от неё. С этим набором можно и деньги снять, так что повышения привилегий не происходит.
своя банковская карта + левый номер телефона
Интересно, кстати: допустим, в сбере есть несколько карт, одна из них с маленьким лимитом. Получается, что эта карта + пин дают возможность привязать другой номер телефона и таким образом обойти 3d-secure для других карт?
Можно ли привязать номер ко всем картам разом через одну карту, утверждать не буду.
Я привязывал через банкомат разные пакеты мобильного банка к разным картам, но все на один номер — на одну карту полный пакет, на другую экономный. Изменение при этом затрагивает только вставленную карту.
При этом для смены типа пакета нужно ввести номер телефона целиком заново (т.е. нет опции "Поменять тип пакета, оставив тот же номер"), и вся операция выглядит именно как перепривязка к другому номеру — просто вы знаете, что вводите тот же "новый" номер, что и раньше. Но страшно, да. Стоишь и каждую цифру перепроверяешь по нескольку раз.
Но вот в сбербанк-онлайн с помощью банкомата можно зайти через любую карту и её пинкод. Насколько полный при этом открывается доступ к распоряжению средствами на других, не вставленных в банкомат картах, опять же, утверждать не буду, но интерфейс отображает их все, и по идее, нажать можно на любую. Я не пробовал.
Т.е. ответ "Да", скомпрометировав доступ к маэстро-моментум с 10 рублями, получаем доступ к виза-платинум с 10 млн.
Запретить это на уровне банка нельзя, как я понимаю.
Ну, есть решение: не иметь карты. У меня само собой получилось: у моментума кончился срок действия, и теперь у меня в сбере только виртуальная карта. Учитывая возможность перекидывать на неё с карты другого банка по СБП – физическая нафиг не нужна, пределов СБП с лихвой хватает для оплаты коммуналки и т.п..
И вопрос лишь в том, что госуслуги доверяют инфе от сбера вида «этот номер принадлежит Васе».
Некоторые банки (Сбер, разумеется, да) могут быть использованы для подтверждения вашей личности на госуслугах.
Поэтому.
Я понимаю, что это не сплошная вина гос. услуг.
В данном случае это как раз сплошная вина Госуслуг. На каком основании ЕСИА предоставляет API для систем не из их экосистемы (система Сбера), позволяющее привязывать номер телефона?
Но основная проблема в логике ЕСИА — как можно телефон от чужого аккаунта отвязать и привязать к другому. Это же не замена номера телефона.
Меня через 7 лет после переезда в другой населённый пункт (официально, с пропиской) налоговая "вернула" обратно.
Вдруг вписала мне в личный кабинет на nalog.ru, что я прописан в старом населённом пункте, и отправила налоговое уведомление (а это злостные персональные данные) по соответствующему адресу в этом пункте. Но это я узнал уже потом, а пока я этого ещё не знал — наложила на меня пени и штрафы за просрочку уплаты по уведомлению, которого я не получал и всё думал, где же оно.
Потом разбирательство было год, по результатам которого меня "вернули" обратно и тут же выставили к уплате те же налоги, но уже в правильном регионе. Так что в тот год я заплатил налоги дважды — один раз по прошлому месту жительства, с пенями и штрафами, и один раз по новому.
В телефонных разговорах со старым регионом тётенька из налоговой не верила, что я переехал 7 лет назад, а не только что. Думаю, так и не поверила. Хотя все эти годы получал уведомления по новому правильному адресу.
При этом вот выдавать электронные документы — не забывают
А обучить тех кто их должен принимать — забыли. И ситуация что требуют документ которого нет — не предусмотрена толком. В результате например техподдержка МТС говорит что для работы с ИП достаточно в салоне показать распечатку с ЕГРНИПом, а в салоне говорят что этого НЕ достаточно и давайте красивую бумагу о регистрации на бланке налоговой (за которой еще в эту налоговую идти надо и заказывать, платно).
1) Однажды я случайно свернул в переулок на красный (движение было одностороннее и многорядное, на площади, один светофор был где-то в заднице, второй за перекрестком, стоп-линией, я думал, он не относится ко мне) и меня остановили. Я отпираться вообще не собирался, но на планшете у гаишника высветился как неоплаченный какой-то мой давний штраф, который был точно оплачен вовремя. То есть на госуслугах, сайте ГИБДД его уже не было, а в патрульке он висел как задолженность. Вместе с произошедшим нарушением вполне могли добавить 20.25, суд и лишение.
2) Также по уже оплаченному онлайн штрафу приходило взыскание от приставов, уже просроченное почтой, что естественно тоже преступление и удвоение суммы взыскания само по себе. Пришлось переться в ФССП лично, не самый приятный опыт.
3) Также был момент с услугой в МВД. Там прикрепляешь в госуслугах нужные сканы, а система должна сформировать квитанцию на пошлину. Время идет, ничего не происходит, я пару раз захаживал спросить в отдел — а что делать, часики-то тикают уже по срокам оплаты мной этой госпошлины. В результате через пару дней лейтенантша присылает мне фото квитанции в вотсапе (а так можно было? о_О).
Вроде как эта проблема дошла до верхушки(а скорее количество жалоб на ошибки перевалило критический уровень) и начали пилить единый реестр. Что из этого выйдет, посмотрим. Но я на 100% уверен что будут факапы, вплоть до полной потери данных на людей.
Кстати о бумагах. Вон выше пишут, что почему не подтверждают многие документы бумагой, а я с интересом узнал, что заплатить на госуслугах транспортный налог можно, только если его просрочить — тогда доступна услуга погашения налоговой задолженности и пеней. А просто реквизиты и УИН продублировать в кабинете — до сих пор не сделали почему-то.
Это не только сбер так может, а вообще любой банк (если он подключился к ЕБС, конечно). Просто не у любого банка это все так интегрировано в собственные системы.
И где там говориться, что теперь во всех сервисах я обязана указывать один ящик и один номер телефона?
там же подтверждение учетной записи нужно.
Сталкивался с такой проблемой. Номер можно перевязать обратно, но только через 30 дней, сделав вход через СНИЛС или почту. Это фичу говорят только в техподдержке, даже в МФЦ про нее не знают. Вообще здесь проблема в слишком высоких правах Сбера на Госуслугах. Они клацают не глядя.
В личный кабинет на nalog.ru можно зайти при верификации через госуслуги. Но для этого аккаунт на госулугах должен быть сам верифицирован, обычно через личное посещение ПФР. Но можно верифицировать аккаунт на госуслугах через Сбербанк-онлайн.
Работает этот процесс с частыми перебоями, но все же он прошел с какой то попытки. После чего госуслуги меня внезапно порадовали информацией о смене e-mail! Дело в том, что аккаунты в сбере и на госуслугах были зарегистрированы на разные e-mail (оба моих). Никакого предупреждения о возможности смены e-mail я не получал. А теперь понимаю, что хорошо что телефон был один и тот же, иначе тоже бы подменился.
Я получал доступ к госуслугам довольно давно и там был только один вариант — получить полный доступ: через получение заказного письмо на почте. После этого аккаунт становился верифицированным/подтвержденным…
И вот пробую тут не так давно на nalog.ru через госуслуги попасть и мне там пишут, что мне нужно подтвердить свою учетку на ГУ. Ну, а варинтов там не много — несколько банков и МФЦ. Добрел до МФЦ говорю оператору — мне нужно свою учетку подтвердить — даю паспорт. Она мне говорит — так у вас уже подтвержденная. Ну я ей и объясняю что как-то не так она подтверждена — не пущают меня в налоговую. Ну она говорит — давайте попробуем подтвердить повторно — проводит это все и говорит, что у нее пишет что учетка стала подтвержденной, но разницы с тем как она была до этого подтвержденной — никакой внешне нет…
Однако налоговая пропустила после этого.
Вот чем их Почта России так обидела что они ей перестали доверять… загадочно однако…
У меня тоже была учётка через почту, но не полная, а средняя. Для налоговой тоже ходил показать паспорт. Возможно это был глюк в вашем случае, что выдали полную.
С помощью учетной записи Единой системы идентификации и аутентификации (ЕСИА)…. Внимание! Авторизация возможна только для пользователей, которые обращались для получения реквизитов доступа лично в одно из мест присутствия операторов ЕСИА (отделения Почты России, МФЦ и др.)
У меня аккаунт был подтвержден заказным письмом, которое просто положили в почтовый ящик. Также не мог войти. После подтверждения аккаунта через желтый банк налоговая стала пускать в личный кабинет.
Возможно, что для аккаунтов, которые подтверждены через почту, предусмотрели вариант, когда письмо просто кладут в ящик, поэтому ограничили доступ для этого варианта подтверждения.
А у вас видимо почта схалявила, и возможно именно из за таких кейсов этот метод верификации и попал в ненадежные. Но до столкновения с налоговой это никак не мешало получить всякие справки, загран паспорт и права. И что самое неприятное (по крайней мере на тот момент) никаких признаков что аккаунт верифицирован как-то ненадежно ни в ЛК, ни у работника МФЦ нигде ни как не отображалось. Только ЛК налоговой отказывался пускать.
Чипирование решит проблему. В смысле ID карта.
Строго говоря, номер телефона тоже по паспорту.
Так что что чипирование, что СМС подтверждающую получить — одного уровня проверка.
А еще — может выяснится что в прошивке бага и если правительство вменяемое — отзыв карт и бесплатная замена (угу а КАК идентифицировать людей если мы карте доверять уже не можем). Если НЕвменяемое — ну скажут что это клевета про баг.
А баги — были www.bleepingcomputer.com/news/government/estonia-cancels-760-000-electronic-id-cards-because-of-crypto-flaw например (там правда с самого начала была возможность эту карту как бумажный документ использовать но если бы не было?)
Ну и та сложность что если «поглубже» то как со считывателем взаимодействовать? у NFC ж ограничения по дальности, а если мы используем что-то свое (или спецантенны + усилители) — то облучаем тушку излишне.
И опять же вопрос — а КУДА вшивать -:). В конечности нельзя (потеря конечностей — бывает), в грудь — нельзя (у женщин операции на груди — норма скорее, могут тупо забыть про чип) да и травмы бывают разные.
В тело — не удобно (особенно если самостоятельно считывать надо) + потенциально нарушение общественно порядка + невозможность считывать зимой вне теплого помещения. + опять же травмы разные бывают.
Под кожу головы? Шапки зимой снять можно почти в любых условия на пару минут, но для некоторых людей это будет проблемой если они болеют. Ну и слой кожи тонкий. При травме может тупо сорвать кожу. И чип.
В нос/губы — после челюстно-лицевых травм может быть затруднительно считывать (это если вообще не вылетит чип с частью костей).
Под кожу лица в других местах(ну там — на лоб) — ладно, проблему со считыванием зимой решили но с тонким слоем кожи — нет. Значит надо в кость (если у человека осколки черепа отлетели — ну врядли этот человек в ближайшее время сбежит из текущего местанахождениия и все равно его надо в клинику вести, заодно можно попробовать как то еще идентифицировать). Лучше конечно сразу в мозг но чем считывать(проблемы с дальностью и с тем что нельзя греть ткани мозга излучением а также с тем, что нужна высокая квалификация хирурга, и операция — дорогая будет.)
Получается… в лобную кость надо встраивать? И желательно неглубоко (потому считывать повышенной мощности который облучает лобную костью… будут протесты точно)
-:)?
Или как вариант — несколько дублирующих чипов (ну там — в конечности по одному, в тело парочку, под кожу головы парочку)
-:)
Ну сейчас проблему утери основного идентифицирующего документа — паспорта — решают же как-то.
Общение с полицией + существующие документы (свидетельства о рождении и браке, загран если есть, военный билет если есть). + потом всякие банки руками извещать о смене.
По сути за счет избыточности в документах, далеко не мгновенно. И при активном содействии потерявшего паспорт товарища.
Тогда смысл с чипизацией? Можно просто оставить ид-карту, возможно с чипом но с учетом того что если чип не работает или ему нельзя доверять — смотрим что на бумаге.
P.S. Разработчики госуслуг довольно неординарные личности.
История текущего года, правда с налог.ру
Отец забыл оплатить транспортный налог (не пришла бумажка).
Звоню в налоговую, спрашиваю, где бумажка? Мне отвечают — все бумажки отменили, следите в ЛК. Я говорю, — отцу 74 года, какой лк? как отменить? — приходите с паспортом в МФЦ, получайте пароль от ЛК, в ЛК снимите (или поставьте) галочку получать в ЛК(бумажном) виде. Вот так работает система, «во» благо, но без спроса)
Мой муж, как и 90% населения России (не Москвы), получает серую ЗП.
И эти люди потом жалуются на низкие зарплаты врачей, плохие дороги, низкие пенсии и прочее.
Какую зп дали, той и рады. Другой нет.
У нас часто бывал профицитный бюджет в прошлые годы. И что? Зарплаты врачей сразу вырастали, плохие дороги чинились, а низкие пенсии становились большими?
Не знаю, как у вас, а у меня в регионе дороги с каждым годом все лучше. Далеко от идеала, но но каждый код делают новые и латают старые. Доходы у врачей и учителей растут, а пенсии… пенсии да, тут слезы.
Но это не значит, что надо призывать не платить налоги.
Источники «Медузы» в силовых ведомствах и администрации президента говорят, что это целенаправленная политика по внедрению «режима информационного благоприятствования» — чтобы «не сеять панику» сообщениями о взрывах.
В низких перечисленных Вами уровнях виновата наша алармисткая система, цель которой — балансировать на краю краха, а не развиваться.
И эти люди потом жалуются на низкие зарплаты врачей, плохие дороги, низкие пенсии и прочее.
Эти же самые люди жалуются на ограничения при пандемии и при этом всячески игнорируют элементарные требования — как правильно носить маски и не толпится в общественных местах.
"Мой муж, как и 90% населения России (не Москвы), получает серую ЗП. " — неперестаю удивляться безапелляционности обобщений.
Соответственно если Алиса — доверяет Бобу (и этот Боб И ТАК имеет доступ к интернетбанку/мобильному банку Алисы(и к смартфону), ну да с нарушением правил банков но Алиса считает что проблем от Боба по этой (или любой другой) линии у нее — не будет) а Боб — Алисе (что та не позвонит сообщением что Кремль заминирован и вот вот взорвется) (ну там — если Алиса с Бобом — муж и жена — они могут доверять другу настолько, если кто-то из них чей то ребенок и ребенок разбирается в технике значительно лучше — тоже не проблема) то совершенно не проблема если номер телефона у Алисы будет — зарегистрированный на Боба.
Было не проблемой, такие вот фокусы с Госуслугами (а недавно была статья на vc.ru что у Тиньков-банка похожая проблема бывает но решается проще) — проблему создают.
+
Описала ситуацию без (увы, частых здесь) стонов и конспирологии.
=
Плюс и в карму.
— Это ваш номер и вы его контролиурете (либо бесконечно доверяете его владельцу) — никаких проблем, кроме лёгкого дискомфорта (с другой стороны вы ведь САМИ нажали на кнопку привязки в приложении банка)
— Это не ваш номер и вы его не контролируете — у вас УЖЕ были проблемы, потому что злоумышленник мог переводить деньги с ваших счетов, оформлять заявки на кредитные карты и овердрафт. Теперь он просто ещё сможет заказать справку об отсутствии судимости и записаться к врачу. Возможностей стало больше, но принципиальных изменений не случилось.
Не отдавайте свои банковские карты посторонним людям, не регистрируйте аккаунты на важных сайтах на чужие номера или email'ы. Это вроде очевидные правила…
Мой муж, как и 90% населения России (не Москвы), получает серую ЗП
Не уверен, что это актуальное замечание для сайта с айтишной ЦА.
В Сибири, к примеру, очень распространено. Я статистику не подводил, процентов не знаю, но очень часто слышу от знакомых (я сейчас про тех, что в ИТ) про серую ЗП или схемы через ИП (а скоро наверное ещё и самозанятость подтянут).
Извините, но Ваши доводы ничтожны. Если так рассуждать — у каждого члена семьи должно быть не менее одного мобильного номера, но никаким мобильным номером не может пользоваться более одного человека. Это раз. Два. Это позволяет проводить атаки при условии перевыпуска симки оператором или передаче номера другому абоненту в пользовании (номером, например, давно не пользовались — многие операторы таким балуются). Короче, гниловатая ситуация.
Если так рассуждать — у каждого члена семьи должно быть не менее одного мобильного номера, но никаким мобильным номером не может пользоваться более одного человека.
Да, для использования большого количества современных цифровых сервисов это именно так. С поправкой, что это актуально для дееспособных членов семьи. Младенцу симка не нужна и аккаунта на госуслугах у него тоже нет. Может вызывать негодование требование деанонимизации через номер телефона для всяких мессенджеров, но для государственных услуг и банков таких проблем нет, так как эти сервисы по определению не анонимны и активно обрабатывают персональные данные. Но в целом такие вещи как номер телефона, счёт в банке, адрес электронной почты должны быть у каждого человека свои. Мне понравилась аналогия выше про гигиену — вы можете очень доверять кому-либо, но зубную щётку держите себе отдельную. Так же и с персональными аккаунтами в различных сервисах, которые используются в повседневной жизни и которые для вас важны. Их использование так, как задумано их авторами, решает множество проблем.
Это позволяет проводить атаки при условии перевыпуска симки оператором или передаче номера другому абоненту в пользовании
Такая проблема имеет место быть, но она совершенно нерелевантна статье. Если тырить номер, то можно стырить и существующий аккаунт госуслуг, к которому номер был привязан правильный. Перепривязка не является основой такой атаки.
То, что описано в статье не является критической уязвимостью, так как атакующему нужно привязать телефон жертвы к своему сберу. То есть нужно угадать шестизначный сберовский код.
Грубо говоря теперь нужно будет везде пользоваться одним ящиком и одним номером телефона.
Не «одним номером телефона», а «номером телефона, не используемым кем-то ещё». Что логично с точки зрения программиста, но не всегда очевидно для пользователя, и поэтому правильно спроектированная система должна такое пресекать. Если конечно обнаружит, что номер телефона уже используется. Номер телефона, который ваш муж изначально привязывал к своему сбербанку, использовался вами где-то ещё? Если нет, то по идее система могла посчитать, что это его личный номер. Если да, то система этого просто не проверяет.
По идее система должна пресекать привязку номера телефона, уже используемого другим пользователем в этой же системе. А на данный момент наблюдается, что система этого не делает. Она просто убирает номер из одного аккаунта и привязывает его к другому. И это полный бред с точки зрения логики.
Полностью согласен с Вашей точкой зрения и сочувствую. Это реально баг в логике, причём я бы сказал — реальная дыра. Учитывая, что валидация номера на стороне Сбербанка может отсутствовать вовсе. За такое надо программистов в Сибирь ссылать ))))
И ситуация прям как из Кафки. Полная безнадёга
Почему не доделана, потому что при смене номера присылать на него смс с кодом подтверждения(и блокировать смс на сутки при перевыпуске симки, как с банками), тогда вероятность привязки левого номера(и потери привязки своего) стремится к нулю.
Мне вот непонятно, почему информационная система какого-то коммерческого банка может вот так запросто перезаписать какую-то информацию в БД госуслуг? Почему 1) банк это делает, и безнаказанно? 2) почему госуслуги позволяют это делать коммерческому банку?
На фиг нужна такая интеграция систем вообще?
Как потерять аккаунт на Гос. услугах за 5 секунд