Pull to refresh

Comments 235

Т.е. госуслуги будут использовать для восстановления пароля почту, для восстановления которой нужен доступ на госуслуги, я правильно понял? ) Безопасно... А если ещё вспомнить, что доступы в ЛК мобильных операторов - тоже через те же самые госуслуги...

Это ведь обычный OAuth, или разве нет? В чем это тогда хуже или лучше (технически), чем OAuth от MS, Google, или Yandex.

Так проблема не в OAuth, а в том, что тут, по сути, второй фактор уже исчезает - достаточно влезть хотя бы в один сервис в цепочке, чтобы получить доступы вообще во все остальные, т.к. они все друг на друга завязаны для восстановления этих доступов.

Так выяснилось вроде бы, что с банками совершенно также. Достаточно получить доступ к пустому аккаунту в каком-нибудь втб и через него можно сбросить пароли к госуслугам.

И конца края этому бардаку не видать :(((

Ну так по-отдельности каждая пара сайтов с этими способами восстановления доступов выглядит нормально. Но когда ты начинаешь смотреть на всю эту кучку скопом, то получается какая-то фигня...

Вообще, давно уже пора на критичных сервисах (банки, госуслуги, почта) авторизовываться аппаратным ключом, выдаваемым госорганами так же, как паспорт. С контролем этой авторизации соответствующими гос.органами - которые будут активно ловить любого, кто хотя бы попытается этот сервис авторизации пощупать на предмет взлома.

Все эти вот подходы с паролями или смс по факту больше не работают и не являются надежными. Это же просто вопрос времени, когда твой пароль утечет с какого-то из сайтов или этот сайт просто взломают через какую-нибудь дырку. Причем потеря доступов в почту или телефонного номера - это ж фактически потеря вообще всего ценного, что у вас есть. Через них сейчас можно попасть вообще куда угодно, на любой сервис.

Причем сайтов дофига, делать уникальные пароли для каждого - нереально. Использовать спец.софт для этого - создавать себе проблемы при переходе между железками, а если этот софт использует облачную синхронизацию, то мы опять-таки получаем одну-единственную точку отказа.

Любая навязываемая "правильная" схема безопасности - уже неправильная.

Так же, как неправильна схема, что я завожу аккаунт в информационной системе "госуслуги" для какой-то одной функции (подача заявления на получение загранпаспорта, например) и ничего страшного, если мой аккаунт кто-то украдет. Ну не загран же от себе получит за мое имя? Но потом вдруг к этому (почти мусорному, не опасному аккаунту) без моего согласия разработчики подключают кучу функционала через который можно и юрлицо открыть/закрыто и кредит взять и квартиру продать и измену родине совешить через донат ВСУ. И внезапно в моей жизни появился +1 огромный риск, защите от которого, по хорошему надо уделять много времени и сил. Это невозможно, и поэтому никто это и не делает, все забивают. Большинство мошенничеств через госуслуги происходит через функционал, который жертвам мошенничества даже и не нужен был! Его им разработчики (неявные сообщники бандитов, по факту) подключили.

Правильная схема безопасности такая, где пользователь сам определяет, каким функционалом он хочет пользоваться и какими методами защиты защищать. Переключение этих режимов - только очно с предьявлением морды лица, отпечатков пальцев и флююрографии из поликлиники. И только по схеме "где карту открывали, туда и идите". Любые удобства, например "хочу получать услуги в МФЦ любого города страны, а не только в моем", "хочу изменять настройки безопасности удаленно", или "автоматически подключайте мне все новые фишечки, я так люблю новые фишечки" - все это пусть будет галочками, которые пользователь может включить, но может и не включать.

Проблем две:

  • все предлагаемые сейчас схемы безопасности - отвратительны, неудобны и не безопасны. Причем каждое новое "улучшение" этих схем безопасности по факту безопасность только снижает (вспомним переход с паролей на "безопасные" 4-значные пин-коды в банковских приложениях или в винде)

  • за корректность работы схемы безопасности ответственности не несет вообще никто. Т.е., в принципе, внутри якобы безопасного сервиса может сидеть софт десятилетней давности с кучей известных дырок - и никто вообще в принципе за это не отвечает и даже государство сегодня не сможет такой сервис принудить что-то исправить

А еще можно вспомнить, что люди всегда идут исключительно по самому легкому пути, поэтому вот это ваше предложение "не включать" фишечки - оно не сработает у большинства...

И попробую сформулировать по-другому: одно дело когда у вас, например, почта в начале 2000х была "просто прикольной штукой", потеря которой ни на что не влияла вообще. И совсем другое, когда на почтовый аккаунт оказываются завязаны куча критичных и дорогих сервисов (причем в некоторых даже емейл сменить нельзя) - от банков, до того же Стима, где у некоторых библиотека на 100к руб и более (я уж не говорю про всякие ММО, где персонаж в лям ценой - не что-то прям необычное). Или вот я ещё помню времена, когда люди просто постоянно телефонные номера меняли - разные операторы, разные тарифы и все бегали за выгодой. Сегодня такие тоже есть, но их мало - и телефонный номер уже сам по себе стал ценной собственностью, которую нельзя потерять.

При всем при этом, отношение к безопасности этих базовых сервисов по-прежнему как в начале 2000х. Имхо, давно уже пора с этим хоть что-то делать - и за такие вещи все-таки должно отвечать государство, а не частник (которому важнее прибыль).

На проблему "легкого пути" у меня есть ответ.

Должны быть несколько готовых вариантов-шаблонов, например
1) бабушка-лохушка. все опасное запретить, на всё что надо - приду сама в МФЦ

2) Молодой и энергичный параноик - разрешены частые путешествия по стране и за ней. Но все важные-опасные решения (кредиты, недвижимость) - так же ограниченны

3) "Можно все". Просто как сейчас, владелец кабинета имеет доступ по сети ко всему функционалу

4) Кастомный - как раз вся всяких зануд-маньяков-безопасников, которым легкий путь не нужен, и они сами себе накрутят настройки как хотят. Или возьмут готовый шаблон и в него добавят пару фишечек себе.

Это решает проблему, когда мы одни правила навязываем и молодому человеку, который сегодня из Чехии в госуслуги заходит, завтра из Австрии желает квартиру продать и в ту же телегу запрягаем и бабушку, которая по звонку от росфинмониторингасбербанка готова сделать все, что ее попросят.

Вообще, давно уже пора на критичных сервисах (банки, госуслуги, почта) авторизовываться аппаратным ключом, выдаваемым госорганами так же, как паспорт.

В Финляндии довольно удобно сделано: если у тебя есть счет в банке, то банк может подтвердить твою личность для сервиса (есть небольшие условия, но они решаются за пару недель). И любой госсервис принимает эту аутентификацию.

То есть я условно захожу на сайт полиции, хочу заполнить заявление, то мне достаточно нажать "логин", после этого:

  • попадаю на страницу выбора банка

  • выбираю любой из своих банков

  • ввожу логин и пароль

  • мне на телефон в банковское приложение приходит запрос на авторизацию (получаем 2ФА)

  • Я ввожу еще один пароль или пин (не тот, что в первый раз)

  • Банк подтверждает меня для сервиса и

  • Госсервис прослойка уведомляет меня о том, какие данные будут переданы Буда, куда я логинюсь

  • Если я согласен, то после нажатия "ок" я попадаю в список услуг от полиции.

Так работает с любым госсервисом или, например, частными клиниками. Иногда так можно авторизироваться на более мелких сайтах, но сильно реже.

Получается такой себе 2ФА от государства для государства (и не только), но только личность подтверждают банки.

Естественно, помимо банка есть еще аппаратный ключ, который можно сделать в полиции. Но я почти не знаю людей, у которых он есть, потому что у всех есть банковский аккаунт.

Отлично, чё. У нас так тоже теперь. И тоже никакого 2фа, а только его видимость. И некоторые уже "влетели", пока правда довольно "слегка", насколько я понимаю на пару зарплат всего лишь.

Это плохая, порочная система. Вместо того, чтобы обеспечивать безопасность она обеспечивает сомнительное удобство. Не надо ничего в направлении от банков к госуслугам привязывать, если уж есть кто-то кто вас проверяет - это должен быть кто-то один и других услуг он оказывать не должен.

Чтобы не вышло так, что купив в автомате банку колы ты случайно попутно женился...

Мне тоже иногда страшно становится от неимоверной кучи паролей и т.п. И хранение паролей, passkey, данных кредиток в менеджере паролей тоже не особо хорошо.

Но с другой стороны - я не могу придумать подходящего варианта.

Условный Yubikey? Крайне ограничена память. Я не могу туда ни сотню OTP занести, ни десятки SSH ключей (residental, не буду же я еще флешку с самими файликами таскать)... Даже 2 GPG не могу (типа один официальный с полным ФИО для госорганов, банков и т.п., и с "ником" для форумов, гитхабов...).

Еще "аппаратный ключ" - загранпаспорт нового образца. Но опять же - не буду я с собой загранник таскать, чтобы войти в приложение банка или гитхаб.

Разве что "возможность восстановления" сделать исключительно через него, а остальное как есть оставить... Но даже в этом случае - получил новый паспорт, забыл в какой-то системе "возможность восстановления" проапдейтить, и опаньки.

И это я даже для себя не могу более-менее удобную систему придумать :(

И картинка прикольная. И "сорок тысяч обезьян" - классика. Но тут ведь речь не о паролях, а об отдельных вторых факторах. С которыми либо недостаточно надежно, либо насколько неудобно, что на популярность для реального каждодневного использования не приходится рассчитывать.. Причем не только из-за цены аппаратного токена...

На заре компьютерной эры читал одну книжку, в которой предлагалась восхитительная идея, фанатом которой я стал. Смысл в том, что при логине компьютер выдаёт на экран случайную строку символов, а пользователь держит в памяти некий алгоритм, по которому он эту строку преобразовывает (например: "первая буква пароля - это третья буква челленжа, сдвинутая на две буквы; вторая буква парола — это восьмая буква челленжа, регистр которой поменян на противоположный; третья буква пароля — это первая буква сегодняшнего дня недели" и т.п.), после чего вводит результат в качестве пароля. Запомнить алгоритм не так сложно, как кажется; разгадать алгоритм — не так просто, как кажется; а replay attack в принципе невозможен, потому что челлендж-то каждый раз разный — соответственно, и правильный ответ тоже будет каждый раз разный.

Зачетная идея!

Причем пароль получается динамический (разный в разные дни недели) и в некотором смысле совмещенный с капчей.

Ну если сам сервис выдает челлендж с картинками, а не некое устройство преобразует такую сложность в обычный статический пароль для сайта.

пароль получается динамический (разный в разные дни недели)

Пароль не просто разный в каждые дни недели, пароль разный при каждой попытке ввода, потому что при первой попытке (специально использую абсолютно очевидные правила, чтобы было понятно, о чём речь) челлендж ABC567 и ответ BCD456, а при второй попытке челлендж DEF234 и ответ EFG123.

На заре компьютерной эры читал одну книжку, в которой предлагалась восхитительная идея, фанатом которой я стал.

У меня один такой сервис есть. Точнее, похожий. Спрашивает две случайные буквы из "секретного слова".

Так вот - вхожу я туда минуты по 2. Человек отвратно помнить и выполняет хоть сколько-то сложные алгоритмы, особенно если их больше дюжины штук.

Так что - реально пригодны к использованию только устройства-аутентификаторы. Разной устойчивости к взлому.

У устройств-аутентификаторов есть один большой недостаток: они физические и их надо с собой таскать. Собственно старый-добрый пароль это до сих пор в итоге единственно пригодный к использованию трейд-офф между устойчивостью и удобством, все остальное так или иначе или неудобно (например, надо постоянно таскать с собой аппаратные токены) или ненадежно

У устройств-аутентификаторов есть один большой недостаток: они физические и их надо с собой таскать.

Это не недостаток. Это так и задумано. Более-менее гарантирует, что "нет на руках физического артефакта - нет доступа". А у мошенника где-то там, который хочет удаленный доступ получить - этого самого артефакта на руках обычно нет.

По поводу удобства - ключи от квартир/складов/сундуков тысячи лет с собой таскаем и нечего.

По поводу удобства - ключи от квартир/складов/сундуков тысячи лет с собой таскаем и нечего.

И тысячи лет их воруют и подделывают... :-(

И тысячи лет их воруют и подделывают... :-(

Ну да. Но на современный артефакт доступа можно еще дополнительно пароль поставить, кому хочется. Т.е. даже если украдешь - заветные байтики внутри него просто не расшифруются.

Вот только это не решает проблемы "в артефакте сели батарейки" или "уронил артефакт в реку".

Да вон, NFC есть же. В общем, с запитыванием чипа в момент взаимодействия со считывателем - как в тех же банковских картах при оплате.

Вот только это не решает проблемы "в артефакте сели батарейки" или "уронил артефакт в реку".

Эту проблему решает то, что артефакт не единственный. И зачем ему батарейка? В банковской карте батарейки нет - и пользуемся же.

Я вообще не понимаю аргументации и всего обсуждения. У каждого в кармане по две-три таких железки лежит (SIM карта и банковская), большого неудобства от того, что приходится ими пользоваться, а не пароли набирать, крайне мало кто испытывает, но нет, пароли для сервисов почему-то оказываются лучше.

Это не недостаток. Это так и задумано.

Ну вот по этому эта схема и получила распространение только внутрикорпоративное в основном.

А у мошенника где-то там, который хочет удаленный доступ получить - обычно нет.

Проблема в том, что на одного мошенника приходится тысяча легальных юзеров, которым понадобился удаленный доступ.

По поводу удобства - ключи от квартир/складов/сундуков тысячи лет с собой таскаем и нечего.

Очень даже чего, эти ключи постоянно теряются, забываются, ломаются, и при том при всем, у человека обычно нет нескольких десятков квартир и ему никогда не понадобится войти в квартиру, пока он в отпуске на Мальдивах.

Проблема в том, что на одного мошенника приходится тысяча легальных юзеров, которым понадобился удаленный доступ.

Вот не вижу проблемы. Привяжи к учетке целую пачку аппаратных ключей и таскай везде, где тебе понадобиться может. На шею в виде кулона одень и не снимай никогда. Тем более что один ключ может на много сервисов работать. Если потеряешь - привязку потерянного к учеткам всегда отозвать можно.

А вот такого, что есть "Один Самый Главный Ключ", без которого ничего не работает и который сменить нельзя - этого, конечно, не должно быть.

таскай везде, где тебе понадобиться может

В том то и дело, что заранее не знаешь, где понадобиться может, и как следствие таскать придется везде и всегда, со всеми вытекающими. Это ключ от дачи мне 100% не понадобится, если я еду в Китай, а вот ключ от почты мне может понадобиться и в Китае и в лесу

В том то и дело, что заранее не знаешь, где понадобиться может, и как следствие таскать придется везде и всегда, со всеми вытекающими. 

Это с какими вытекающими? Можно потерять? Смотри пункт что их много. Какие-то злодеи могут настойчиво попросить "открой доступ в <название сервиса>". Так пароль без физического артефакта еще хуже. С артефактом можно его честно дома оставить и просить будет бессмысленно, а убеждать, что пароль забыл - ну, так себе занятие.

Можно потерять

Можно потерять и не заметить, что потерял, могут украсть, в конце концов лишнюю хрень с собой постоянно таскать чисто физически неудобно. К тому же потеря не сколько компрометирует этот токен, сколько делает невозможным чем-либо пользоваться, пока замену не раздобудешь.

Пароль забыть и не заметить и украсть пароль так, чтобы хозяин не заметил - еще проще. Особенно если он один из многих. Для временного забывания порой достаточно просто быть не выспавшимся.

А по поводу таскать - еще раз смотри ключи и украшения. Люди тысячелетиями таскают с собой и на себе разные мелкие предметы. Поскольку все-таки таскают - то, видимо, не настолько оно и неудобно.

Для временного забывания порой достаточно просто быть не выспавшимся.

В том то и дело, что для временного, а в случае с токеном - для перманентного (ну по крайней мере до момента пока вы опять домой не попадете), при этом если уж авторизация у нас двухфакторная, то пароль остается, и точек отказа становится 2: и пароль можете забыть и токен потерять

А по поводу таскать - еще раз смотри ключи и украшения. 

Ну опять же: ключи вы носите только тогда, когда они могут понадобится, а токен придется таскать вот вообще всегда. И таки да - неудобно, поэтому бывает замки ставят комбинационные, а не с ключами

Вот только в тысячелетиями таскаемых мелких предметах нет было батареек и им не было страшно купание.

Вот только в тысячелетиями таскаемых мелких предметах нет было батареек и им не было страшно купание.

Смотрим на один из популярных брендов.

IP68 rated, crush resistant, no batteries required, no moving parts

Ну вот откуда аргументы про батарейку берутся-то. Да даже если с батарейкой - электронных часов с батарейкой, в которых купаться и нырять можно -- полно.

Ну и где у него дисплей (в смысле с которого цифирки считывать)?

Ну и где у него дисплей (в смысле с которого цифирки считывать)?

Возможность прочитать вывод авторизатора - конечно, от кое-каких атак защищает. Он они уж очень серьёзные - когда мы уже не доверяем той железке, на которой работаем.

А в более нормальном состоянии - а зачем? Нужные циферки оно отлично на основное устройство само передаст, без того, чтобы пользователя интерфейсом между двумя компьютерами заставлять работать.

Можно фантазию на тему идеального авторизатора?

Он явно должен быть отдельным устройством, не требующим обслуживания, обеспечивать подтверждение на недоверенных устройствах, процесс подтверждения должен быть максимально прост.

Вырисовывается мелкое устройство размером с фитнес-браслет, с монохромным ЖК экраном, и питанием от индуктивного источника (внутри магнит на пружинке и катушка, потрясли - зарядился ионистор и устройство готово). Но можно и батарейку литиевую, в таком устройстве хватит лет на 5-7.

Одна кнопка - по нажатию устройство слушает данные с фотодиода, запрашивающий подтверждение сервис отправляет анимированный gif, в котором черными и белыми кадрами закодирован челлендж, устройство его принимает и выдает суть подтверждаемой операции и ответ.

Доступ к устройству - пароль, 4-6-8-ххх символов. Вводить той же одной кнопкой - меняются цифры, появляется нужная - нажимаем кнопку. И так, пока не введем все.

Начало хорошее. Но как с устройства передается результат в смартфон, в комп без камеры (впрочем, даже если ноут с камерой, обычно она закрыта шторкой)?

Если все равно по BT/BLE обменивается, тогда и рукой не надо вертеть, чтобы gif поймать.

Смысл же не для себя "расшифровать" и показать несколько временных символов, которые руками нужно вбивать, для этого есть TOTP, а либо длиннющий пароль ввести автоматически, либо passkey..

В идеале при установленной софтинке иметь возможность подписать/зашифровать GPG и прикинуться агентом SSH :)

Не, не настолько навороченное, чтобы GPG зашифровать, там уже надо и питания побольше, и связь какую-то. :)

Я бы хотел именно автономную альтернативу TOTP/sms, причем с неограниченным количеством сервисов.

Так все-таки какой сценарий и от каких угроз защищаемся?

Например:

А) Облегчаем запоминание, что позволяет использовать длиннющие пароли. При этом никаких переделок на сайтах не требуется. Они даже не знают, что им пароль не вручную вводится.Тогда важно, как с устройства это будет вводиться на сайт.

Б) Убираем статичные пароли, которые можно украсть (в т.ч. в первом случае, но это уже сейчас решается TOTP хотя бы при входе с нового устройства). Тогда сайты должны переходить на новую схему, но в это слабо верится. Тут вспоминаются брелочки типа RSA SecureID. Можно считать аналогом TOTP (разница, пожалуй, в том, с какой стороны идет инициализирующая последовательность - от клиента серверу с уникальным номером SecureID или от сервера клиенту для инициализации TOTP). Насколько повысится безопасность добавлением анимированных gif для вычияслений пока не понял.

1) TOTP создается на устройстве (телефоне, ПК), которое тоже может быть скомпрометировано. Вот от этого предлагаю уйти.

2) Передача челленджа через гифку вместо использования времени предлагается для того, чтобы можно было прозрачно использовать один "брелок" для множества сервисов (в челлендже еще и идентификатор сервиса передавать).

Да, сайтам придется менять систему идентификации, поэтому это так, фантазия на вольную тему ;)

1 - согласен, на чем-то внешнем генерить безопаснее. Поэтому и вспоминал про SecureID. Но там короткий код все же был дополнением к паролю.

2 - мне кажется, если у каждого устройства есть уникальный номер, а сайт "умеет в новый стандарт", нет проблем при регистрации устройства ввести его номер (один и тот же на разных сайтах, лучше несколько - резервирование брелочков) и обойтись без гифки. Точнее, усложнение вижу, преимуществ не вижу.

Другое дело, что слабо верю в массовый переход сатов на такой новый стандарт. Вон passkey и то мало где внедрили. Больше шансов у комбинированного устройства, чтобы и legacy сайты защищало.

мне кажется, если у каждого устройства есть уникальный номер, а сайт "умеет в новый стандарт", нет проблем при регистрации устройства ввести его номер (один и тот же на разных сайтах, лучше несколько - резервирование брелочков) и обойтись без гифки. Точнее, усложнение вижу, преимуществ не вижу.

Это на случай, если условный CDEK взломали, и сперли все секреты пользователей (а также их почты и ФИО с адресами).

Дабы не прошлись и по остальным сервисам - ту же почту вскрыть, по ее содержимому определить, где еще может этот пользователь обитать и так по всей цепочке.

Ну будет кто-то знать, что этот ID используется в другом сервисе. Разве что "деанонимизация". Но не угон аккаунта.

Примерно как "публичный ключ" угнать. Можно по нему узнать имя пользователя в github, gitlab. Неприятно, но обычно не слишком смертельно.

Ну я склоняюсь к идее аппаратного ключа. Что-то в формате кольца или пластиковой карты. Выпускает это государство, как паспорт. Ну и, соответственно, авторизация/регистрация тоже идет через единый государственный OAuth (это не значит, что другие способы авторизации/регистрации надо запретить!). Оно же передает сервисам отдельные перс данные - причем что именно передавать сертифицируется отдельно и, например, чтобы добраться до адреса доставки, сервис должен пройти соотв. проверки со стороны гос.структур - ну, в смысле надежности хранения и обращения с этими данными. Причемчасть данных можно передавать только в виде ид так, чтобы, например, интернет-магазин адрес доставки не видел (т.к. сертификацию не прошел), но мог его передать дальше в службу доставки (которая эту сертификацию прошла).

В итоге это все выльется в цифровой концлагерь. Есть кольцо — значит, миска риса и кошка-жена. А если это все собьется — см. «Терминатор» и или чит. «Мы».

Да что ж всех сразу уносит в сторону "запретим все остальные методы авторизации"?

Еще раз повторю: есть куча сервисов, где необходимо иметь жестко контролируемый доступ. Банки, госуслуги, налоговая, почта, телефон и т.д. и т.п. При этом популярные сегодня методы авторизации тупо неудобны вообще во всём (про безопасность я даже говорить не хочу).

Вон, на сайт налоговой сейчас можно через сертификат электронной подписи войти - но сам процесс ужасен же. Представьте, что вместо вот этого вот доп. софта (платного!) и возни с юсб-флешками вы просто прислоняете к универсальному считывателю ваш ключ - и всё, вы залогинены. Не надо ничего настраивать, не надо думать как оно там работает. Вам надо подписать документ? Вы прикладываете ключ к считывателю - и он подписан. Одно движение! А не как сейчас - сто тыщщ приседаний, причем на любом шаге что-то может сломаться. Причем никто же не запрещает на одной такой железке иметь несколько разных ключей - ещё и с разными провайдерами OAuth.

Ну и цифровой концлагерь давно уже тут: вы с кучи сервисов слезть не сможете, даже если очень хотите. Потому что альтернатив им или совсем нет, или они бесполезны.

Представьте, что вместо вот этого вот доп. софта (платного!) и возни с юсб-флешками вы просто прислоняете к универсальному считывателю ваш ключ - и всё, вы залогинены.

А вот с этим - к Microsoft.

Я уже давно говорю, что если бы они лет 15 назад потребовали, что Microsoft Compatible клавиатура должна иметь считыватель смарт-карт (очень дешевая штука при таких объемах производства) -- то мы с большой вероятностью так бы и жили.

Да что ж всех сразу уносит в сторону "запретим все остальные методы авторизации"?

Потому что в некоторых странах к этому и идет. Или уже.

На каждый форум доступ через OAuth Госуслуг? Если будет выбор зайти на Хабр по небезопасному имени-паролю или "удобно и безопасно через Госуслуги", я продолжу использовать первый способ.

Зачем адрес доставки брать из Госуслуг вообще непонятно. Может я родителям жены или кому-то подарок заказываю.

Максимум - подтвердить, что да, входит тот самый человек, что создавал аккаунт. Даже имя-фамилию Госуслуги не должны передавать. Только подтвердить, что вот этот ID корректно аутентифицровался. А уж имя/адресдля этого ID я в профиле на сайте сам укажу, причем какие сочту нужным. Причем ID должен генериться на сайте и с ID на других сайтах не коррелироваться.

На каждый форум доступ через OAuth Госуслуг? Если будет выбор зайти на Хабр по небезопасному имени-паролю или "удобно и безопасно через Госуслуги", я продолжу использовать первый способ.

Так суть в том, что сейчас у вас есть только один вариант - неудобно и небезопасно. А второго варианта вообще нет)

Зачем адрес доставки брать из Госуслуг вообще непонятно. Может я родителям жены или кому-то подарок заказываю.

Ну так а кто-то заказывает исключительно домой и ему давно уже надоело на каждом новом сайте один и тот же адрес вводить.

И вообще, идея же в том, что ваши данные не обязательно отдавать сервисам, которые их должны использовать - если эти сервисы всего лишь посредники, а не конечные в цепочке. Тогда и утекать при взломах будет просто нечему. Условно, вы точно так же можете передать вместо перс. данных их ид на сайт с мед.анализами, но реальные ваши данные будет знать только сайт больницы. Не упирайтесь только в адрес доставки )

Максимум - подтвердить, что да, входит тот самый человек, что создавал аккаунт. Даже имя-фамилию Госуслуги не должны передавать.

Должны - по моему желанию. Где-то я хочу реальные ФИО отобразить, где-то нет. Зависит от конечного сервиса же - где-нибудь на банковском сайте или в страховке довольно странно будет использовать ник вместо ФИО.

А уж имя/адресдля этого ID я в профиле на сайте сам укажу, причем какие сочту нужным.

Ну да. Никто ж и не предлагал всех теперь публично по реальным ФИО отображать)

Причем ID должен генериться на сайте и с ID на других сайтах не коррелироваться.

Само собой. Но с другой стороны, никто не должен мешать вам забить какой-то свой уникальный ID/ник в госуслугах и чтобы он автоматом мог подставиться при регистрации (по вашем желанию опять-таки, не принудительно).

Mooltipass какой-нибудь чем плох ?

Аппаратное что-то нужно. И да, придется таскать с собой или иметь везде по копии. Вообще напрашивается кастомная прошивка для не дорогого отдельного сотового(просто чтобы аппаратную часть не желать). Но боюсь маленькой ее не собрать, а большую не вереыицировать.

Mooltipass какой-нибудь чем плох ?

Ценой.

Вообще напрашивается кастомная прошивка для не дорогого отдельного сотового(просто чтобы аппаратную часть не желать).

Напрашивается ридер с экраном-отдельно, защищенный элемент, прошивка которого верифицирована - отдельно. Ридер - в частном случае и смартфон.

Что не так с его ценой ? Для простого устройства немного дороговат, но учитывая то, что средний гражданин не понимает что это зачем итп, цена вполне адекватна.

Боюсь верифицировать хоть как-то прошивку телефона будет стоить в тысячи раз дороже.

Что не так с его ценой ?

То, что простой защищенный чип на одну условную учетку стоить рублей 200 (смотри банковские карты и SIM-ки). Это криптопроцессор и какой-то там софт.

Поскольку добавить к этому лишние килобайты памяти явно не стоят сотни долларов, как и этот экранчик - то цена выглядит ну очень завышенной.

Нет, понятно, почему оно так - оно, практически, на devboard микропроцессора собрано. А должно быть - "кристалл под каплей", чтобы цену до нужного уровня опустить. И выпускаться теми же тиражами, что эти самые банковские и SIM карты.

Можете немного про Mooltipass (видимо, Mini BLE) подсказать? Не могу найти, сколько добра он может хранить. Паролей, TOTP...

Насколько я понимаю, в реальности это хранится на смарт картах и в случае чего можно просто "вторым человеком с другой смарткартой" прикинуться. Но все-таки хотелось бы понимать, чтобы не оказалось, что для пары сотен сайтов десяток карточек нужно....

На карте хранится ключ, база в устройстве.

С ТОТР, к сожалению, по слухам работало не очень, часы убегали. Они обещали более новую версию запилить с нормальным rtc но воз и ныне там. Для старой тоже вроде бы решали прошивкой, но у меня совсем старая, там тотр еще отсутствует как класс.

Не помню есть ли там вход через госуслуги. Я вхожу в мэйл через vk id

Еще бы получить комментарий, почему я, заводя ящик на этом самом xmail.ru, должен привязать аккаунт в соцсети VK, а без привязки завести ящик не даёт. Ну да mail.ru с VK теперь всё сильнее интегрируются, видимо, ВК теряет рынок? Собственно, на mail.ru ящик тоже без привязки ВК не завести, если не ошибаюсь.

Яндекс как надежного провайдера рассматривать не очень хочется (я так понимаю, почта и ДНС для них уже по остаточному принципу, если остаётся время после получения денег за ни к чему не обязывающие услуги отправки заказов курьерам и таксистам?).

В общем, кажется, пора снова поднимать свой собственный почтовый сервер!

Скрин с регистрации почты на mail.ru
Скрин с регистрации почты на mail.ru

Может, я Вас неправильно поняла, но вроде как при создании новой почты на mail.ru сейчас не требует обязательно привязки VK, может позднее на других шагах конечно, кто знает.
На первом этапе это стандартная информация, насколько ее можно такой считать конечно, + телефон,
либо VK ID, если неохота создавать с нуля и не парит связывание своего ВК с почтой,
либо как раз перенос Gmail в Xmail, о чем собственно этот пост и повествует, где Вас попросят войти через google аккаунт.

Но утверждать, что на следующих шагах или через какое-то время Вас не попросят дать им что-нибудь еще из данных, я не буду. Все меняется и развивается, вопрос лишь в какую из сторон и какими будут последствия.

Не правда, без вк обязателен

Ну всё логично. Без вк указываешь номер телефона, без номера телефона указываешь вк в котором указан номер телефона.

Странно, 2 раза заводил почту, кажется ни разу номер не спрашивало и обязательную привязку к vk. Сейчас полазил в почте, нигде указанного номера телефона нет

На следующем окне они по номеру телефона находят акк в vk и требуют в него войти, пропустить нельзя. То есть ты как бы подтверждаешь номер телефона смс кодом, но одновременно привязываешь vk id

Обалдеть, хотя чего я удивляюсь, если база едина, а этими всеми сервисами одна компания владеет, то они по максимуму будут стараться всё связать в одну сеть. К сожалению, только, что теперь ещё и без права выбора 🤷‍♀️

Меня в свое время поразило, что мне ВК решил автоматом по аккаунту сделать ещё и ВК почту, которую я потом случайно заметила в mail. Это как раз времена, когда происходило тесное присоединение mail к ВК. Может, я конечно где-то лоханулась и что-то подтвердила, но я уже не вспомню этого.

и эта компания еще и будет знать ваш ящик gmail и его переписку. Если вы где-то анонимно регистрировались с этим ящиком - то, считай, регистрировались с ФИО, ИНН, домашним адресом и историей покупок на маркетплейсах и в доставках. Полная деанонимизация.

Это как регистрация с помощью госуслуг где-либо,
либо вход на госуслуги в помощью ID банков ;-)

либо вход на госуслуги в помощью ID банков ;-)

Банки и так уже слили все данные в госструктуры (см. списки Ваших счетов в личном кабинете налоговой), так что этот пункт можно пропускать.

Я знаю🙂
Из последнего было - это сколько заработано со вкладов за 2023-2024 год c номерами счетов 🙃

Хорошо, что мой ВК заблокирован надолго

Это что такое нужно натворить, чтобы даже в этом сральнике забанили? Еще один Холокост устроить? :D

Достаточно несколько раз написать "привет" или что-то подобное незнакомкам. Проверено.

Эх, да, прошли те благословенные времена когда можно было аккаунт на мамбе сделать с пронокартинкой и полгода знакомиться с ним.

Все-таки интересно сравнить подход Дурова и государства. Дуров делает ресурсы с блэкдж... пиратским контентом (в том числе и 18+) и шл... вкшницами, с которыми можно знакомиться. Потом государство отбирает ресурс, новых вкшниц там не появляется, старые стареют, да и с теми знакомиться нельзя. И порно убирают. А Дуров в это время делает новый проект, с 18+ и шл... свежими телеграмщицами, который завоевывает популярность.

Я думаю, тут можно заметить некоторую тенденцию.

Да, это достаточно смешно, в плане цикличности.
Проблема еще в том, что знакомиться можно не только для ну этого самого, но и по, так сказать, профилю. К примеру, я в вк часто искал моделей и визажистов. Учитывая, что 3/4 это попросту игнор или сразу бан, а остальное частенько неадекват в виде МЧ с коротки.. низкой самооценкой, представьте, сколько нужно перелопатить. И это в профильных группах, вида "ищу %name%".

отказаться давать номер мобильного )

Без привязки мобильника, если был зареген еще до его требования в VK, пока продержаться можно. Но их программисты с каждым обновлением понемногу "выпиливают" возможности пользователей без привязки к мобильнику.

вот мне пару лет назад "выпилили" возможность заходить в вк. Якобы удалив страницу без возможности восстановления, хотя страница находится в поиске.

Я решил, что значит так и надо и больше туда не хожу.

отказаться давать номер мобильного )

А разве можно получить VK ID без слива своего номера ?

Когда-то было можно. Говорят, что до сих пор эти эккаунты живы.

Ну да mail.ru с VK теперь всё сильнее интегрируются, видимо, ВК теряет рынок?

Я напомню, или если вы ещё не в курсе, mail.ru уже несколько лет как принадлежит ВК целиком и полностью

Мэилру давно владеет вк, а недавно и основная компания мэилру стала называться вк. Логично, что у них авторизация через вк

Пусть на xmail катятся с такими предложениями.

Заботитесь о том, что пользователь потеряет доступ к почте - сделайте возможность прикрепить более одной почты.

дедушка уже старый, ему проще следить за яйцами когда они все в одной корзине.

тоже об этом подумал - если vk, то почему именно "xmail")

После этого процесса всё, что лежит в ящике Gmail, переедет на почту [@]xmail автоматически, а новые письма тоже будут приходить на этот адрес.

Кто-нибудь уже переходил? Самому не хочется, но видимо рано или поздно придется. Собственно вопрос как это реализовано? Просто сборщик почты, когда на gmail'е будут оставаться копии писем, или как-то "глубже", что gmail'ом пользоваться после перехода уже будет невозможно?

Очевидно же что перетянет все письма с gmail и в госуслугах заменит почту на новую. Почта gmail останется работать как и было, для всех остальных ваших дел.

Скажем чуть точнее: пока в России не заблокируют к ней доступ

Скажу точнее - пока, для начала, не запретят её использовать для регистрации. Пока этот процесс отложили (дату не помню).

Забавно... вот на этот мой комментарий прибежали кремлеботы и проминусовали мне карму )))))
Не то чтобы я расстроился, просто наглядный факт: на хабре разгул соответствующего контингента

Скажем чуть точнее: пока в России не заблокируют к ней доступ

Или наоборот, с другой стороны. Можно же привести ряд примеров того, как россиянам запрещают доступ оттуда.

И, конкретно с почтой, лучше, понятно, для российских сервисов использовать российский же email, а для иностранных - тут больше неопределённости, видимо лучше иностранный хотя может лучше вообще использовать свой собственный адрес, т.е. свой домен в международной зоне и свой почтовый сервер в VPS за границей.

То есть, чтобы минимизировать возможный ущерб, нужно разложить яйца по разным корзинам правильным образом. Российская почта при регистрации на иностранном сервисе и иностранная почта при регистрации на российском - это явно неудачные сочетания.

это явно неудачные сочетания.

Никогда не понимал это. (Если это не корпоративная политика) Почта ведь на стандартных протоколах работает. Там же не важно было откуда она. Удобство решает.

Ну вот представь, запретили у нас в России некий сайт, а почтовые сервисы обязали не принимать письма оттуда, и как зайти, если забыл пароль? Обратная ситуация: иностранный почтовый сервис заблокировал аккаунты россиян, а с его помощью зарегистрировался на российском сайте, опять же, как в случае чего доказать, что ты - это ты?

То, что протоколы стандартные, тут не поможет, и удобство сейчас может привести к неудобной ситуации потом.

Тогда лучше разрешить множественные адреса или вообще другие методы надежной идентификации, иначе это все равно ненадежно, как ни посмотри. Может быть, xmail тоже будет требовать чего-то вечного и доброго, вроде сканов паспортов, неожиданно возникающих секретных вопросов, что было с некоторыми сервисами (на хабре полно таких ситуаций), да и никаких гарантий абсолютной доступности сервиса тоже не дается и гарантий удачности комбинаций тоже нет, поскольку нет никаких гарантий 100% сервиса. Гмейловская почта иногда падает, а здесь xmail от непонятной компании, непонятно как связанной с госуслугами, сплошной хаос и несуразица.

Все что сейчас происходит с госуслугами - это уже ужасно неудобная ситуация и все это уже давно началось и непонятная эволюция продолжается (от удобного сервиса переход к таинственной лапше), одним переходом на почту вряд ли все это решится (хотя поможет спам про фантастические фильмы от госсервиса и прочую ахинею унести в новый неиспользуемый аккаунт почты). Формально госуслуги должны были помочь людям, особенно там где это сложно, а в реальности эволюция сервиса превращается в комедийный проект со странными заинтересованными компаниями. Гарантий никаких, но проблем доставили огромному количеству ни в чем невиноватых людей. Удачность сочетания комбинации только как у великого комбинатора, где для мошенников-помогаторов сейчас огромное поле возможностей, спасибо госуслугам.

Давно уже использую подход с несколькими почтовыми ящиками. Очень удобно!

  1. Вся рабочая переписка в одном ящике. Он почти пустой, несколько писем в день. В дни авралов - очень удобно, не отвлекаешься на хабр и прочую социалку.

  2. Большинство аккаунтов зарегано на другой(другие) ящики. (Основная функция - адрес для входа, для oauth2, для восстановления паролей) Плюс в чем - если кто-то очень захочет взломать мой аккаунт где-то, он может знать мою основную почту (этот адрес сложно хранить в секрете, наоборот его пусть все знают), но никто кроме меня не должен знать аккаунт для ящиков

  3. Социальные аккаунты - на отдельном ящике. Хочу потрепаться, пообщаться - захожу. Не хочу - не захожу.

  4. В большинстве "продажных" сайтов, которые любят что-то слать (иногда и полезное, а часто спам) указываю отдельный ящик, который я не читаю, но тем не менее, получаю. Если мне вдруг интересно, за сколько я покупал сосиски в 2013 году - я могу посмотреть в чеках на этом ящике.

  5. Вся переписка с государством - лучше чтоб была на отдельном ящике (но можно форвардить на основной, чтоб не пропустить ничего). Тогда государство не сможет "обогатить" базу данными из других известных ему учеток (например, на озоне) и сливов. Для государства лучше быть "мертвым" человеком, который ничего не делает, только оплачивает налоги и обновляет паспорт по возрасту. Государство редко что-то делает для нас, чаще ему от нас что-то нужно.

Дополнительный бонус - обычно есть лимиты на размер бесплатного ящика, а так у вас гораздо больше суммарный доступный объем. gmail (как и яндекс) предоставляет удобную возможность все аккаунты подключить и легко перещелкиваться между ними. Хотя квота у каждого своя.

gmail позволяет в любом месте имени почты поставить точку. Таким образом можно различать mymail@ и myma.il@ в одном ящике.

Яндекс принимает по нескольким доменам одновременно (не всем!), можно любой из них использовать. Например, .ru для локальных сервисов и .com англоязычных. Раньше можно было с любого писать, но уже давно поограничили фривольность.

Любой нормальный сервер (оба к нему относятся) позволяют еще проставлять +comment префиксом к имени. И любой нормальный сайт, с нормальной валидацией должен их пропускать. Дальше по этому можно сортировать как влезет. Знают ли скрипткидди об этом, чтобы нормализовывать спам-списки - не знаю.

Любой нормальный сервер (оба к нему относятся) позволяют еще проставлять +comment префиксом к имени.

Вы даже не представляете, как должен себя вести любой нормальный сервер...

Все так. Только предложенные мной идеи ящиков были для того, чтобы никто не догадался, что vasya@gmail.com и pushistik@yandex.ru это один и тот же человек.

Уже потихоньку

На налог ру заявление пишешь и указываешь почту - надо что бы домен был .ru (.com НЕ подходит) (проверка именно по домену, если у domain.ru mx'ы - cloudflare e-mail routing а у domain.com 2 из 3 MX'ов в России - можно только .ru)

Кое где уже - вход через неправильную соцсеть был и сайт знает e-mail - сбрасывайте пароль, если сайт НЕ знает e-mail - вам в техподдержку

Ну вот представь, запретили у нас в России некий сайт , а почтовые сервисы обязали не принимать письма оттуда

Ааа точно...Прям туда и попал. у нас в Молдове буквально месяц как блокируют yandex.ru (O_o) и хоть это не страница яндекса, но все равно почта стоит за mail.yandex.ru как и авторизация за passport.yandex.ru на которые не мог попасть, как и отвалились почтовые клиенты не девайсе. благо что я знаю что есть зеркало на yandex.com которые не блокировали, а если бы не было?

мда предугадать это невозможно иди знай кто кого когда заблокирует, еще это иметь в виду.

россиянам запрещают доступ оттуда.

Вот мы своим лбом на эти (ранее теоретические) грабли наступили, но это аргумент в пользу того, что сервис никогда не должен знать о вас больше, чем нужно ВАМ, клиенту сервиса (а не сервису, его маркетологам, безопасникам, спецслужбистам). Вы владелец аккаунта, подтверждаете себя паролем - этого достаточно, а вот любопытный невинный вопрос вида "Вы еврей? Да/Нет? Просто интересуемся" уже излишен. Сегодняшний просто интерес завтра может стать не просто интересом.

я писал недавно письмо человеку, который перешел на xmail. Моё письмо он получил, но формально письмо не дошло на gmail с диагностикой, что ящик переполнен.

Потому что начинается на Х с точкой... секретность, панимаишь...

Ну какая почта — такой и домен!

Я бы сказал, что это скорее альтернатива не «жмочте», а стильным-модным-молодёжным cock.li и иже с ними. Теперь у нас тоже можно сказать контрагенту — «отправь мне, пожалуйста, документы на X!»

фамилия_имя_отчество_датарождения_паспорт_кемвыдан@федеральное.государственное.унитарное.предприятие.почта.россии.рф

Если уходить от англицизмов, то почему не хѣ-депеша?

Интересно, как xmail народ будет читать, раз гонят все население в госуслуги с обязательной англицированной почтой. Гмаил, было исторически ясно уже, а хмаил, странно, то ли майл, то ли гмейл, то ли ха-мейл, последний наверное в разговоре будет сливаться в "хамил" (И.О. собака хамил точка ру - мда), может проще даже будет устно анаграмировать в хлам для простоты? По крайней мере, для xiaomi удачно подошло хлаоми, например.

Дали бы другие звучные варианты что-ли, кроме x-mail'a, например х-pen, x-ton, x-lyab.

то почему не хѣ-депеша?

Вы предлагаете заменить англицизмы на францисизмы? Вернее на смесь французского с нижегородским…

Хм, почта ведь тоже "италоцизм", да еще (возможно) заимствованный из польского

Происходит от итал. роstа, далее из лат. positus «поставленный» (в выраж. equites positi «верховые посыльные для доставки посланий»), прич. прош. от pōnere «кластьставить», из праиндоевр. *po-s(i)nere. Русск. почта заимств. через польск. росztа

 хѣ-ꙗмьщикъ тоже не то:

Ямщик (др.-рус. «ꙗмьщикъ», «ямьщикъ»[3]) — слово татарского происхождения[4][5]. Слово «ям» (др.-рус. «ꙗмъ»), от которого происходит термин «ямщик», согласно исследованиям И. И. Срезневского, встречается в ярлыках ханов Золотой Орды, выдававшихся ими для русских князей. Он обозначает ямскую повинность, денежный сбор на ямскую гоньбу. Тот, кто взимал повинность с гонцов, в древнерусском языке назывался «ямник» («ꙗмьникъ»), начальник над «ямниками» назывался «ямщик» («ꙗмьщикъ»)[3]. Впоследствии самих гонцов стали называть «ямщиками» («ꙗмьщиками»).

Согласно М. Фасмеру, русские слова «ямской», «ямщик» и «ям» предположительно происходят от тюркского слова «jamčy» («почтовый гонец»)[6].

Нужен свободный от заимствований термин.

Нужен свободный от заимствований термин.

«Прогон». Или «малява». Из лексикона «социально близких». Хотя второе — из идиш.

"письмо.рф", для любителей краткости - сокращённый вариант "пись.мо" (домен Московской области), для эстетов - "явампишучегожеболе.рф", или как-то так. Или "достатьчернилиплакать.рф" - вроде, явных заимствований сходу не видно. Или "ящик.рф" - чтобы в разговорной речи не напрягаться: "Я на ящик послал." Ещё, конечно, в самом домене ".рф" зашифровано латинское "федерация" - с одной стороны, что переживать за домен, покуда оно присутствует в названии государства, но если упарываться в исконную посконную домотканость, то надо, наверное, регистрировать домен ".русь": "пись.русь", "ящик.русь". Опять же, новые возможности для игры слов в адресах: сайт кабака "набе.русь", сайт производителя слабительного "обос.русь". Само слово "Русь", правда, скандинавского происхождения, но где-то ж надо остановиться, а то докопаешься до того, что только останется бить себя в грудь палкой-копалкой и нечленораздельно мычать.

Ну и ещё "еры" с "ятями" добавить по вкусу, конечно же.

Для простоты пора отбросить это ".рф" ни к чему оно уже.

Хѣ-вѣсточка уж тогда. Или хэ-прогон. :-)

вѣсточка

Неплохой вариант, хотя ассоциации с другими эффектами.

Прямое навязывание сервиса под видом сторонних условий.

Намекают, что у гмайла и прочих гуглосервисов скоро тоже сервера устареют и сломаются. в одночасье

Однако, чем меньше народу будет переходить - тем позже они сломаются.

кроме gmail еще есть много альтернатив - outlook.com, yahoo.com, icloud.com и т.д. да хоть яндекс в конце концов. Зачем давать xmail доступ к своей почте если можно просто в настройках аккаунта госуслуг привязать другую почту?

Это всё обьяснимо. В двух словах- картельный сговор, под "крышей" госуд-ва.

У них тоже серверы сломаются провода отгорят. С той стороны границы.

В моем случае outlook почта не давала нормально создаться, еще и под блокировку сразу попала, но скорее всего это я где-то напортачила 😅

А так скоро вполне могут остаться почты яндекса, да mail.ru🙃

в outlook, если регистрироваться не с российского IP, не требует номер телефона. Бонус.

Вот как раз не с российского IP и было дело, но все жутко висело. Проблема была скорее всего в моем выборе средств обхода. Но номер телефона и правда не потребовался при регистрации 🤔

Можно вообще поднять свой почтовик.

Когда-то, в стародавние времена, можно вообще было получать почту по адресу vova@95.173.128.90 :) Никаких доменов, DNS и прочего...

Дык и сейчас можно. Вопрос в IP, которым Вы можете распоряжаться.

Итак, российские альтернативы иностранным на сегодняшний день:
Facebook (Meta)* - VK,
Steam** - VK Play,
YouTube** - VK Видео,
Discord** - VK Мессенджер скоро представит пространства с текстовыми и голосовыми комнатами.

Теперь gmail сменится на xmail. Интересно, как это реализовано? 🤔
Также, как можно было на Telegram перенести переписки с WhatsApp в свое время?


* Признана экстремистской организацией и запрещена на территории РФ
** РКН: иностранный владелец ресурса нарушает закон РФ

Теперь gmail сменится на xmail. Интересно, как это реализовано? 🤔

Этого никто не обещал делать. Всё добровольно :)

Спасибо за звёздочки. Без них было бы уже не то

Я долго по сети лазила и смотрела, как это правильно законно оформить, чтобы не было вопросов ко мне и к автору публикации)

Не забудьте забукмаркить комментарий, чтобы когда что-то из них получит новый титул, ну там, нежелательная организация, террорист-экстремист, иноагент - то свовременно обновить пост. У нас ведь это - "длящееся преступление".

И постарайтесь не терять аккаунт от хабра, а то не сможете своевременно пресечь свое преступление :-)

А на хабре как-то можно удалить или редактировать уже написанное? 🤔
Насколько я поняла, что это уже нереально, только если вместе с аккаунтом удалять 🙈

гугл плей - рустор (и вот сюрприз, это тоже ВК).

Интересно - сколько занесли в минцифры, чтобы оно продвигало продукты вк (в том числе в текстах законов)? И сколько - в ФАС, чтобы оно в упор этого не видело? =)

Про Google Play** не вспомнила, когда писала, но в целом, да. Интересная картина получается)

** РКН: иностранный владелец ресурса нарушает закон РФ

Ни в коем случае не гуглите фамилию нынешнего ген. директора VK

"Тот-Кого-Нельзя-Называть"? 😂

Нет, но Штирлиц никогда так не был близок к провалу :)

UFO landed and left these words here

Да чем плохо, что RuStore есть? Чем больше магазинов приложений, тем меньше возможностей у кого-либо ставить неприемлемые условия пользователям и разработчикам. Тем более хорошо, если есть ещё и отечественный вариант - у отечественных разработчиков дополнительный способ продвигать свои приложения.

Точно столько же, когда ФАС одобрило продажу Деливери Клаб прямому конкуренту Яндексу в сфере доставки еды, тем самым монополизировав ее.

Теперь gmail сменится на xmail. Интересно, как это реализовано?

Просто логинишься в xmail со своим логином и паролем от гугла. Даже новую учетку создавать не надо.

Когда-то очень давно у меня был свой почтовый сервер. И я в логах обнаруживал попытки гугла стучаться на этот сервер с паролем который я указал в гугле если указать адрес на этом сервере в качестве резервного. Я рассказал знакомому админу, а он такой: "Ачотакова? так все делают".

А Google мог определить, что это твой домен, т.е. владельца адреса? Он же не пытался войти с паролями пользователей на все почтовые сервера подряд?..

Адрес я ему сам сказал. Сервер он, очевидно, определил по адресу. А пароль он взял тот который я использовал в гугле, типа в расчете если у меня везде один пароль, вдруг прокатит.

Гугл хранит не хеши паролей, а plaintext???

А что ему за это будет? Да ничего... :-(

Стыд и позор, сделавшим такое, гореть в аду и переворачиваться.

Я не в курсе, могу только гадать, есть другие варианты - хранить зашифрованный или постучаться и удалить.

Но на сколько я помню (за давностью лет не могу ручаться), он постучался через нешифрованный протокол. Вот это совсем грустно, но надеюсь что так давно не делают.

Но с тех пор я точно знаю что не надо ставить один пароль на разные сервисы, если там есть хоть что-то ценное. Но по совсем неожиданной для меня на тот момент причине.

То есть:

Просто логинишься передаёшь в xmail со своим логином и паролемь от гугла.

Или всё же через OAuth?

-- Я высрал вам ТЗ

-- Вы хотели сказать "выслал"?

-- Нет

То есть почту они переносить научились, а вот видео с youtube нельзя перенести - "нас блокируют" .

Так закачка писем по IMAP — вполне стандартная процедура.

не то что скачивание по HTTP!

Ранее любое приложение VK после установки начинала жрать ресурсы (компьютера или телефона) как в не себя, с большой загрузкой процесса (буд-то майнит) - ну и далее с вытекающими последствиями. Постоянно лезло в список контактов, даже и в последних версиях. Так вот, с тех пор везде (где делал , исправлял компы, телефоны) первым делом сносил Файсбук (такая же фигня), и приложение гиганта VK или mail.ru. Все после говорили что машина начинала работать быстро. И навязывание Вам что сторонние и не нужное, это явно мошенники, которые прикрываются благими намерениями.

Предустановка российского софта на андроид устройства)

Интересное начинается, когда просто так (без root права) ненужные тебе приложения не уберешь и они занимают память и жрут оперативку)

Не реклама, но рекомендую для сноса предустановленного хлама программу ADB App Control

на днях пробовал перейти на оф. приложение вк. Телефон залагал. После удаления прошло. Продолжаю сидеть на Кейт.

Кейт меньше весит и шустрее сам по себе. У официального приложения ВК много фишек внутри, которые не всегда могут быть нужны человеку🤔

Это не новость. Они начали форсить привязку почты еще в 2022 — как будто телефона с SMS им для этого мало. И уже тогда они настоятельно советовали завести почту на mail.ru. Теперь то же самое, только с другой мордой.

Миграция проходит в три этапа: вход в аккаунт Gmail, предоставление разрешения Mail на доступ к аккаунту

Мало того, что предлагают перейти на изначально небезопасную почту. Так ещё и доступ к безопасной почте хотят.

Нет, спасибо, госуслуги, идите в баню.

Cпасибо за навязывание сервиса, но желания переходить на Х нет

Когда-то был красивый адрес в домене pochta.ru - отжали, правда письма на него уходят и куда-то доставляются. На кройняк остался ящик на udaff.com :)

Вот-вот, с тех пор зарекся отечественные почтовые серверы использовать. gmail и gmx.

На gmx вроде нельзя зарегистрироваться из России, причём очень давно? Может даже это не только России касается?

Начнем с того, что он в РФ заблокирован...

Я о том, что сейчас он заблокирован Р.К.Н. и на сайт просто не зайдешь.

Вом звонят из центробанка госуслуг, для сохранности ваших денег данных вам необходимо перевести ваши сбережения почту на безопасный счёт ха-мейл.
Где же я это слышал?..

А нужен ли вообще адрес почты для госуслуг, там же логин идёт через телефон или снилс? Всю переписку можно вести непосредственно в приложении госуслуг. А в почтовый ящик по сути только бесполезный спам от госуслуг валится, типа "поучаствуйте в битве роботов" или "запишитесь в университет спецназа".

Особенно прикольно, когда предложения "поучаствовать в битве роботов" или "записаться в университет спецназа" приходят на адрес, под которым в госуслугах зарегистрирована моя 80-летняя мама.

Это ж маркетинг! Известная фишка:

-- Вам нужны стальные трубы крупного диаметра?
-- Эм... нет.
-- А вашим знакомым?

У каждой 80-летней мамы есть дети и может и внуки и правнуки.

Моему знакомому нужны — они у него постоянно горят!

А куда же вам слать всякие письма по очень важным вопросам от вашгород.information-region.ru? Похоже регистрация на госуслугах рассылку от этио information-region включает автоматически (при том в письмах говорят что пользователь сам согласился и можно отписатся, и даже пишут что отписка успешна была, каждый раз как отписываешься - отписка успешна)

UFO landed and left these words here

Интересно, это что получается где-то к следующему августу у Gmail окажутся устаревшие сервера и куча неоплаченных штрафов?

Это уже постепенно происходит, так что, возможно, что даже раньше августа. Не знаю фейк или нет, но где-то пробегала информация, что российские телекомпании запросили с Google астрономический штраф (ундециллион рублей).

Они его не вот прям запросили. Когда-то давно российский суд выставил Гуглу неустойку, которая удваивается каждую неделю, и кто-то подсчитал, что на сегодняшний день там должно быть два имбециллиона (но это не точно).

Я сначала не верил, но новость легко находится на dw, rbc и других ресурсах по слову ундециллион. Ундециллион - число знаменитое только тем, что это сумма штрафа в РФ....

Напомнило перевод имени Harry - Гарри, только тут наоборот Gmail - Xmail 🙂

Писатели гуёвых интерфейсов насторожились.

иностранное "good" поменяете на отечественное "хорошее"?

Например вход на PH только через xmail.

Думаю с новым владельцем PH договорятся.

А сколько эта интегрированная реклама в государственном сервисе стоит, интересно? Может, тоже почтовый сервис написать да закинуть Госуслугам, чтобы всем именно на него предлагали перейти? /sarcasm

Я даже посчитать не могу, сколько сервисов на gmail у меня зарегистрировано. Понятное дело, там плевать хотели на таких, как я, но все же. Они не понимают, разве, что такие действия не добавляют им популярности в народе при отсутсвии прямого профита для них

Хотел одну почту перенести от Гугла, так как там ценная переписка. При переносе надо предоставить права не только на чтение и отправку, но и на удаление писем! Ну нафиг пока!

Как минимум, наверное лучше через takeout.google.com или какой-нибудь thunderbird все сначала выкачать. Сдается мне много сюрпризов вскроется с х---сервисами, лучше бекап.

UFO landed and left these words here
UFO landed and left these words here

Скоро на Госуслуги будет доступ исключительно со скрепных китайских смартов на Авроре с шильдиком "Сделано в РФ" 😆 и исключительно для расеян не запятгавших себя посещением, а тем более общением, с недружественными к кремлю странами.

Это вполне логично и ожидаемо, всё постепенно идёт к полной блокировке сервисов гугл и остальных "недружественных", иностранных интернет платформ.

UFO landed and left these words here

Потому что x - 24-я буква, две дюжины, нормально. Опять же делителей много... А z - 26-я, две чёртовых дюжины, стрёмно...

Зато скрепно и патриотично, многие бы обрадовались и платили бы за подписку, чтобы "поддержать наших", а так х какая-то.

Притом что обе буквы латинские, а не кириллические :))

А это не та mail.ru, которая заставила всех переходить на авторизацию по номеру телефона?

Да что ви такое говорите. Достаточно просто при попытке выяснить ваш номер телефона —

ответить
Знаю, для некоторых это чересур сложно.
Знаю, для некоторых это чересур сложно.

P.S. Только что в очередной раз зашёл по паролю. Безо всяких телефонов.

У меня еще год назад перестали читать письма в суде, из-за того, что у меня почта на gmail

Можно же просто сделать акк на российском почтовом сервисе для госуслуг, включить переадресацию на тот зарубежный ящик, которым пользуешься обычно и забыть.

сделать акк на российском почтовом сервисе для госуслуг, включить переадресацию на тот зарубежный ящик

Тащмаёр, у Вас фуражка торчит!

И какая же выгода для товарища майора?

Тащмаёр, у которого по определению будут ключи от "российского почтового сервиса", будет видеть всё то, что через него идёт?

Если мы всё ещё говорим об описанном кейсе "Вася не может зайти на Госуслуги, потому что у него почта на hooli.com", то что "всё" увидит ужасный Товарищ Майор? Данные, идущие с госуслуг на почту на каком-нибудь xmail? А он этого без xmail узнать не может, просто обратившись в госуслуги?

Ну Вы ж не уточнили, что "российский почтовый сервис" будете использовать только для Госуслуг...

Я думаю, что эта фраза моего первого сообщения, это подразумевает
просто сделать акк на российском почтовом сервисе для госуслуг

В качестве домашнего задания можете подумать о том, как ещё его можно проинтерпретировать.

Да, мне не трудно.

Я думаю, что лично вы проинтерпретировали эту фразу так, что я предлагаю сделать аккаунт на российском почтовом сервисе как основной и пользоваться им для удобства Товарища Майора, потому что отсутствует слово "только" (например, вы его выделили в одном из своих комментов). Но тогда получается что для вас нет разницы между фразами: "сделать акк на российском почтовом сервисе для госуслуг" и "сделать акк на российском почтовом сервисе".

В любом случае, я признаю, что это только мой косяк и лишнее мне напоминание, что даже не на работе я не должен расслабляться и учитывать особенности восприятия всех пользователей, которые, условно, нажимают не те кнопки и у них всё ломается. Прошу прощения.

Дополню, что делать переадресаю лучше на алиас своей почты, а не на реальный адрес.

Например, hotmail дает возможность создать 10 алиасов.

Советую инициатору данного сообщения с Госуслуг пойти в пешее эротическое.

Sign up to leave a comment.

Other news