Comments 134
Остальные их приложения так же в фоне постоянно запрашивают различные данные. Если запустить сниффер трафика с внедрением сертификата, то можно увидеть что они так же шлют данные на сервера яндекса периодически.
Запросы примерно такого вида:
Если запустить сниффер трафика с внедрением сертификата
А как это сделать, не подскажите?
P.S.
«Химичь» могу только на виртуалке BlueStack 2, т.к. на реальном смарте рута нет.
Максимум что делал на виртуалке – это проксировал трафик с помощью ProxyDroid на прогу Fiddle2 (установлен на том же компе, только в «реальной» ОС). Правда замучался искать как в виртуалке установить сертификат Fiddle2 в доверенные (установил, но насколько правильно – фиг его знает).
Ммм, уточните, пожалуйста, что за снифер?
У меня Яндекс.Такси и Яндекс.Транспорт суммарно, будучи запущены в фоне за неделю зачем-то запросили мои координаты более 4600 раз. Начинается это с перезапуска телефона и случается на каждом мелком евенте типа включения экрана или появления нового вайфая в зоне видимости.
Яндекс.Погоду не обновлял полгода, сижу на той версии, которой контактные данные не нужны.
Яндекс.Погоду не обновлял полгода, сижу на той версии, которой контактные данные не нужны.
А как убедиться, что при стандартном удалении какой-нибудь Яндекс.Погоды или Яндекс.Такси со смартфона Android 7 корректно удаляются также все сервисы, связанные с удаленными приложениями? Седьмой Android как-нибудь сам проверяет, чтобы после удаления приложения на смартфоне не осталось его демонов/сервисов?
Процесс приложения без предупреждения убивается системой во время удаления.
Хотя, был один трюк в 4.4 (может и раньше), который позволял кусок приложения оставить в оперативке, но я вам о нем не скажу ;) Не знаю, исправлял ли его Гуголь, или нет.
Хотя, был один трюк в 4.4 (может и раньше), который позволял кусок приложения оставить в оперативке, но я вам о нем не скажу ;) Не знаю, исправлял ли его Гуголь, или нет.
А что так можно, чтобы при удалении пакета, что-то связанное с ним продолжало работать?
В наше время без файрвола никак. Поставил «файрвол без root», работает как VPN, который фильтрует соединения, локальный сервис. Вроде успешно блокирует все попытки выхода в инэт. Только прога давно не обновляется, может знает кто хорошие альтернативы?
Adguard — два в одном. Блокировщик рекламы и следящих систем (включая всякие метрики), плюс брандмауэр, который позволяет даже регулировать какой проге в какой сети можно работать, а в какой нет.
П.С.: В Гуглоплее его нет, ибо Гуголь не позволяет таки программы, просто к названию добавьте .com и всё.
П.С.: В Гуглоплее его нет, ибо Гуголь не позволяет таки программы, просто к названию добавьте .com и всё.
После того как этот самый адгард появился на планшете мамы, а затем и на стационарном компьютере — я стал считать его вирусом.
С учетом того, что все эти действия выполняются на смартфоне, собирающем гласно и не гласно гораздо больший объем данных о пользователе — подобное как минимум странно.
Надеюсь, Firefox не продаст меня с потрохами.В автозапуск он тоже прописывается, по крайней мере.
Добро пожаловать в современный мир! Вы, конечно, можете удалить хоть все сервисы Яндекса и Гугла, однако едва ли это что-то кардинально изменит. Ни эти сервисы, так какие-нить другие. Или, быть может, вообще не сервисы, а телеметрия от производителя Вашего смартфона.
А то сайтик с погодой работает бесплатно и не трекает Вас. И да! Не забудьте поставить Ghostery и Privacy Badger. И про tor не забывайте ;)
И да, погоду я теперь смотрю в браузере.
А то сайтик с погодой работает бесплатно и не трекает Вас. И да! Не забудьте поставить Ghostery и Privacy Badger. И про tor не забывайте ;)
Это же не iPhone. Поставьте стороннюю прошивку.
Вы, конечно, можете удалить хоть все сервисы Яндекса и Гугла, однако едва ли это что-то кардинально изменит. Ни эти сервисы, так какие-нить другие. Или, быть может, вообще не сервисы, а телеметрия от производителя Вашего смартфона.
Накатываем цианоген с F-Droid, ставим в основном опенсорсный софт и профит.
Если нужна какая-то проприетарная дрянь, накатываем её при помощи yalp store, обрезаем до минимума при помощи файрволла и privacy guard. Профит.
Короче, параноикам хоть какая-то жизнь, но есть.
Накатываем цианоген
Не факт что любой набор железа заработает полноценно под Cyanogen Mod. Это, согласитесь, всё-таки полено, которое надо допиливать.
Не соглашусь. Есть девайсы (oneplus one, wileyfox swift) со стоковой абсолютной поддержкой, есть девайсы с почти идеальной поддержкой сообществом. Не хотите допиливать — берите такой девайс.
Есть девайсы (oneplus one, wileyfox swift) со стоковой абсолютной поддержкой,
Не знал, что такие бывают. Спасибо за наводку. Хотя, конечно, жаль, что их делают очень мало производителей.
почти идеальной поддержкой сообществом
А это спорно… Поддержка сообществом — лотерея. ИМХО. Для Вас — она может быть идеальной, для кого-то ещё — никакой.
Вы, конечно, можете удалить хоть все сервисы Яндекса и Гугла, однако едва ли это что-то кардинально изменит. Ни эти сервисы, так какие-нить другие. Или, быть может, вообще не сервисы, а телеметрия от производителя Вашего смартфона
Ну, можно же законопатить процессам выход во внешний мир. Причём наглухо. Или избирательно. По вкусу, короче.
Оруэлл ошибся только в размерах. Они не во всю стену. Но есть и во всю...
а на IOS Apple за такое (трекание пакетов \ приложений, отправка позиции в фоновом режиме) бьет по рукам? или там так же все плохо + галочек по контролю приложения меньше?
Тут всё не так просто, для примера опишу работу с GPS:
1) Apple может не пропустить приложение на ревью, если посчитает, что ему геосервисы (особенно в фоне) не нужны.
2) При первой попытке получить GPS координаты пользователю будет предложено разрешить подобные действия этому приложению, причём будет написано когда будут собираться данные (только когда приложение активно, или когда ещё и в фоне). Пользователь всегда может запретить это делать.
3) Если пользователь таки разрешил отдавать приложению координаты, но позже передумал, он всегда может зайти в системные настройки и запретить. Для абсолютного большинства пользователей такой сценарий маловероятен (причём в обе стороны), но всё же такая возможность есть.
В принципе это справедливо почти для всех разрешений для приложения.
Ну и в фоне приложение может работать не сильно долго, а для периодического просыпания и выполнение каких-то действий опять же нужно иметь обоснованную причину.
Но запретить доступ к интернету для приложения нельзя, только если совсем его(интернет) выключить.
1) Apple может не пропустить приложение на ревью, если посчитает, что ему геосервисы (особенно в фоне) не нужны.
2) При первой попытке получить GPS координаты пользователю будет предложено разрешить подобные действия этому приложению, причём будет написано когда будут собираться данные (только когда приложение активно, или когда ещё и в фоне). Пользователь всегда может запретить это делать.
3) Если пользователь таки разрешил отдавать приложению координаты, но позже передумал, он всегда может зайти в системные настройки и запретить. Для абсолютного большинства пользователей такой сценарий маловероятен (причём в обе стороны), но всё же такая возможность есть.
В принципе это справедливо почти для всех разрешений для приложения.
Ну и в фоне приложение может работать не сильно долго, а для периодического просыпания и выполнение каких-то действий опять же нужно иметь обоснованную причину.
Но запретить доступ к интернету для приложения нельзя, только если совсем его(интернет) выключить.
Можно запретить мобильный интернет (в 99% случаев не хочется, чтобы тратился золотой трафик), а ещё периодические обновления в фоне
Кто-то еще пользуется помегабайтным мобильным интернетом? Самый дешевый безлимит стоит порядка 100-150р, зачем вообще платить за трафик?
Какой, например? Те, что смотрел, имею ограничения порядка нескольких гигабайт...
Ну за 100-150 действительно будет ограничение по трафику (после которого, кстати, интернет работать не перестает, только скорость ограничивается). Но для примера у меня на Теле2 тариф "Беспредельно черный" за 300р в месяц без ограничений по трафику, только торренты отрезаны (до 64кбит)
Зависит от региона, конечно.
Вот выборка по Курской области:
У Мегафона тарифная опция XS. 5р в сутки 75 Мб в сутки.
У Пчел Хайвей 2Г 150р в месяц
У МТС Бит 150р в месяц, 75 Мб в сутки.
У всех после выработки лимита скорость ограничивается 64 кБит
Ну например те, у кого практически везде повсюду Wi-Fi, включая метро. В этом случае даже гигабайта хватает вполне.
UFO just landed and posted this here
Безлимит на скоростях от 64к до 0?
Я, например. С безлимитом 300 р. в месяц. С помегабайтной тарификацией рублей 50 выходит.
Позвольте с Вами не согласиться. Прекрасно всё закрывается. Root конечно нужен, но если он есть — дырки законопачиваются стандртными правилами IPtables. https://habrahabr.ru/post/320612/
Осталось только добавить, что сам эпл постоянно следит за вашим устройством. «Найти мой айфон», вот это всё. Ну да, ну да. И это не отрубается никаким рутом.
Не вижу ничего криминального. Объясните, что конкретно, по вашему мнению, не так. Ваш пост состоит из фактов, но вы их не интерпретируете, а только говорите, что это плохо.
Сервисы запускаются один раз на все приложения Яндекса, как я понимаю. Если у вас, скажем, установлено Яндекс.Такси, Метро и Погода, то только одно из приложений запускает сервисы, а остальные их используют. Для этого, вероятно, и нужно отслеживание установки и удаления приложений, чтобы добавлять привилегии для доступа к сервисам.
Вас удивило, что программе нужно знать ваше местоположение? Генерация прогноза погоды с точностью до дома подразумевает, что погода будет показываться с учетом вашего текущего местоположения.
Сервисы запускаются один раз на все приложения Яндекса, как я понимаю. Если у вас, скажем, установлено Яндекс.Такси, Метро и Погода, то только одно из приложений запускает сервисы, а остальные их используют. Для этого, вероятно, и нужно отслеживание установки и удаления приложений, чтобы добавлять привилегии для доступа к сервисам.
Вас удивило, что программе нужно знать ваше местоположение? Генерация прогноза погоды с точностью до дома подразумевает, что погода будет показываться с учетом вашего текущего местоположения.
Ну как минимум от всех приложения я хотел бы знать «что именно» им требуется и «зачем». Если приложение прописывается в автозагрузку я требую чтобы была снимаемая галка «прописать в автозагрузку». Если приложение ставит кроме себя еще кучу сервисов — то я хочу знать об этом, и хочу иметь возможность одобрять/неодобрять эти сервисы. К сожаления я понимаю что мои желания утопичны ровно настолько, насколько утопично думать что кого-то можно наказать рублём за такую бестактность в отношении пользователя. А насчет «не вижу ничего криминального» мне лично кажется что поставить 1 приложение «погода» и получить 30 работающих постоянно сервисов для меня лично это «перебор». А сколько сервисов должно установить приложение вместе с собой чтобы у Вас возникло такое же ощущение? 50? 100? пока хватает мощности девайса?
Автозапуск таких приложений не должен удивлять, как и фоновая работа: мы же хотим видеть актуальную погоду, а не результат вчерашнего тыка кнопки обновить? И после старта телефона также руками запускать нужные виджеты неудобно.
Про автозагрузку это специфика системы Android. Автор говорит «виджет могут поставить, а могут и не поставить», так вот независимо от этого в манифесте должны быть заранее прописаны нужные ресиверы. Если виджета нету, ресивер проверит это на старте и самоубьётся, ничего страшного.
Поэтому в Android и не показывают эту «о ужас, автозагрузку» обычным пользователям, т.к. это нормальное поведение, нужное куче ап для обычной работы.
Считать сервисы по количеству это ещё хуже чем в попугаях. Можно написать 1 сервис, который будет вешать процессор, можно написать 1000 сервисов, которые в фоне будут абсолютно незаметны.
Если приложение сжирает слишком много ресурсов, надо профайлером посмотреть какие именно ресурсы оно сжирает и отправить багрепорт. Только, я полагаю, таких случаев не обнаружится в данном случае :)
Ну и надо помнить, что в Android вытесняющая многозадачность. Если не хватит оперативки на любимую игрушку, Android безжалостно грохнет лишние сервисы, незаметно для пользователя. Так что нет нужды обязательно держать себе полтора свободных гигабайта на чёрный день.
Поэтому в Android и не показывают эту «о ужас, автозагрузку» обычным пользователям, т.к. это нормальное поведение, нужное куче ап для обычной работы.
Считать сервисы по количеству это ещё хуже чем в попугаях. Можно написать 1 сервис, который будет вешать процессор, можно написать 1000 сервисов, которые в фоне будут абсолютно незаметны.
Если приложение сжирает слишком много ресурсов, надо профайлером посмотреть какие именно ресурсы оно сжирает и отправить багрепорт. Только, я полагаю, таких случаев не обнаружится в данном случае :)
Ну и надо помнить, что в Android вытесняющая многозадачность. Если не хватит оперативки на любимую игрушку, Android безжалостно грохнет лишние сервисы, незаметно для пользователя. Так что нет нужды обязательно держать себе полтора свободных гигабайта на чёрный день.
Полностью согласен с @VladikSS
Яндекс уже писал про их метод определения местоположения — он работает как сервис, и раздает эту информацию другим программам от Яндекса, и таким образом экономится заряд, если одновременно используешь Яндекс. Такси, Карты, Метро, Транспорт, Погода итд…
Я ни коим образом не адвокат яндекса, или кого-либо, но статья полна желтизны и недоказанных фактов.
Касательно самой статьи — она похожа на какой-то вброс мусора. Автор сделал первую статью, написал «смотрите, яндекс погода автозапускается! Я не специалист, но считаю, что это плохо!!!», при этом автозапуск приложения — вполне нормальная реакция. Например, у меня яндекс погода в андроиде стоит как виджет на главном экране, и автозапуск — вполне нормально, чтобы он обновлял циферки на виджете.
Честно говоря, меня уже ваша полная говна статья начинает бесить — на хабре принято копаться в коде, разбирать всё по деталям. Вы же делаете выводы (причем, довольно в обвинительном тоне), взглянув только на название переменной. Касательно «работа с экраном блокировки» — в программе есть опция — выводить постоянную полоску с информацией о погоде прямо на экран блокировки. Полезно при включнии телефона, пока ты его разблокировываешь и набираешь код — видеть погоду. Отключается в настройках. И НИЧЕГО криминального в этом нет, автор просто не стал даже пользоваться этой программой, и всячески поливает грязью разработчиков.
У меня размышления такие:
1) Кто-то решил сделать себе фейк-аккаунт, и уже накачал себе +5 кармы, чтобы числиться более-менее валидным хабраюзером. Это предположение косвенно подтверждает то, что автор зарегистрирован всего 2 дня назад, не делал до этого ни одного комментария, а первая статья такая гневная, как будто он очень опытный хабра-хейтер.
2) В качестве приглашения — сделал на коленке статью ни о чем (да, есть и другие статьи ни о чем), но эта прям точно желтизной отдаёт.
3) На то, что это фейковый аккаунт — косвенно указывает тон этой статьи: она полная желтизны и недоказанных обвинений.
С фейковостью определились, а теперь предположения, зачем это нужно:
1) Выпустить желтую статью, чтобы опустить яндекс в лице их юзеров
2) Зарегистрировать себе фейк-аккаунт и прокачать его до +5, чтобы дружно накачивать и дальше себе другие фейки, чтобы затем ими барыжить, или управлять «общественным мнением» на хабре/ГТ.
Яндекс уже писал про их метод определения местоположения — он работает как сервис, и раздает эту информацию другим программам от Яндекса, и таким образом экономится заряд, если одновременно используешь Яндекс. Такси, Карты, Метро, Транспорт, Погода итд…
Я ни коим образом не адвокат яндекса, или кого-либо, но статья полна желтизны и недоказанных фактов.
Касательно самой статьи — она похожа на какой-то вброс мусора. Автор сделал первую статью, написал «смотрите, яндекс погода автозапускается! Я не специалист, но считаю, что это плохо!!!», при этом автозапуск приложения — вполне нормальная реакция. Например, у меня яндекс погода в андроиде стоит как виджет на главном экране, и автозапуск — вполне нормально, чтобы он обновлял циферки на виджете.
Воспользуемся бесплатной программой со скромным, ничего не говорящим названием MyAndroidTools. Для этого нам понадобится root.Очень похоже на рекламу вредоносной(иначе, зачем ей рут?) ничего не говорящей программы. Но «я не специалист», я своё мнение высказал.
Вне зависимости от того, запускали ли вы погоду или нет, в фоне работают минимум пять сервисовЭто как минимум не возможно. Первая особенность андроидов — программа не может прописать себя в автозапуск и другие сервисы, если после установки вы её ни разу не запускали. Автору двойка.
Как видите, разработчики не стесняются называть вещи своими именами, ведь обычный пользователь этих имен никогда не узнает.Какие желтушные слова. «обычный пользователь» вполне может скачать вашу вредоносную программу и вполне себе увидеть названия этих сервисов. А если бы, как по вашему, разработчики были бы настолько корыстными и хитрыми, то они бы назвали эти сервисы по-загадочному. Как правило — самое простое объяснение является самым правильным.
затем что-то связанное с экраном блокировки. Предположу, что разработчики хотели ограничить активность приложения в фоне, чтобы вездесущий прогноз погоды не будил ваш телефон.
Честно говоря, меня уже ваша полная говна статья начинает бесить — на хабре принято копаться в коде, разбирать всё по деталям. Вы же делаете выводы (причем, довольно в обвинительном тоне), взглянув только на название переменной. Касательно «работа с экраном блокировки» — в программе есть опция — выводить постоянную полоску с информацией о погоде прямо на экран блокировки. Полезно при включнии телефона, пока ты его разблокировываешь и набираешь код — видеть погоду. Отключается в настройках. И НИЧЕГО криминального в этом нет, автор просто не стал даже пользоваться этой программой, и всячески поливает грязью разработчиков.
У меня размышления такие:
1) Кто-то решил сделать себе фейк-аккаунт, и уже накачал себе +5 кармы, чтобы числиться более-менее валидным хабраюзером. Это предположение косвенно подтверждает то, что автор зарегистрирован всего 2 дня назад, не делал до этого ни одного комментария, а первая статья такая гневная, как будто он очень опытный хабра-хейтер.
2) В качестве приглашения — сделал на коленке статью ни о чем (да, есть и другие статьи ни о чем), но эта прям точно желтизной отдаёт.
3) На то, что это фейковый аккаунт — косвенно указывает тон этой статьи: она полная желтизны и недоказанных обвинений.
С фейковостью определились, а теперь предположения, зачем это нужно:
1) Выпустить желтую статью, чтобы опустить яндекс в лице их юзеров
2) Зарегистрировать себе фейк-аккаунт и прокачать его до +5, чтобы дружно накачивать и дальше себе другие фейки, чтобы затем ими барыжить, или управлять «общественным мнением» на хабре/ГТ.
> Очень похоже на рекламу вредоносной(иначе, зачем ей рут?)
Да вы мастер обоснованных аргументов. Тысяча и одна причина зачем не вредоносному приложению может быть нужен рут. Вы ещё скажите, что получать рут на телефоне — это моветон и необходимо носить с собой шпионскую прошивку от производителя телефона.
> на хабре принято копаться в коде,
А яндекс его публикует? Дайте ссылочку.
> 1) Кто-то решил сделать себе фейк-аккаунт
Кто-то читал хабр, и решил что наконец-то настало время туда что-нибудь написать. Если вы всех новичков огульно будете записывать в ботоводы, то откуда на хабре новые пользователи возьмутся?
> Выпустить желтую статью, чтобы опустить яндекс в лице их юзеров
О как. И что теперь ничего не писать про яндекс, чтобы не обидеть их пользователей? И коррупцию не расследовать в России, чтобы не обидеть её избирателей?
> Выпустить желтую статью
В чём же желтизна? В том что кто-то не доверяет яндексу? А корпорациям вообще нельзя доверять, это ведь не живые люди, у которых есть совесть и честь. У корпорации есть только обезличенное извлечение прибыли. Замени одного CEO на другого — извлечение прибыли будет ровно таким же.
Если хочешь, чтобы тебе доверяли — публикуй исходники, народ будет в них смотреть и убеждаться, что ничего злого не замыслили. Иначе любое требование расширенных привилегий будет казаться необоснованным. Что поделать, в мире не осталось ни одной корпорации добра, репутация всех запятнана.
Да вы мастер обоснованных аргументов. Тысяча и одна причина зачем не вредоносному приложению может быть нужен рут. Вы ещё скажите, что получать рут на телефоне — это моветон и необходимо носить с собой шпионскую прошивку от производителя телефона.
> на хабре принято копаться в коде,
А яндекс его публикует? Дайте ссылочку.
> 1) Кто-то решил сделать себе фейк-аккаунт
Кто-то читал хабр, и решил что наконец-то настало время туда что-нибудь написать. Если вы всех новичков огульно будете записывать в ботоводы, то откуда на хабре новые пользователи возьмутся?
> Выпустить желтую статью, чтобы опустить яндекс в лице их юзеров
О как. И что теперь ничего не писать про яндекс, чтобы не обидеть их пользователей? И коррупцию не расследовать в России, чтобы не обидеть её избирателей?
> Выпустить желтую статью
В чём же желтизна? В том что кто-то не доверяет яндексу? А корпорациям вообще нельзя доверять, это ведь не живые люди, у которых есть совесть и честь. У корпорации есть только обезличенное извлечение прибыли. Замени одного CEO на другого — извлечение прибыли будет ровно таким же.
Если хочешь, чтобы тебе доверяли — публикуй исходники, народ будет в них смотреть и убеждаться, что ничего злого не замыслили. Иначе любое требование расширенных привилегий будет казаться необоснованным. Что поделать, в мире не осталось ни одной корпорации добра, репутация всех запятнана.
>> похоже на рекламу вредоносной
> Да вы мастер обоснованных аргументов
Это был сарказм на то, как автор настолько же необоснованно обвиняет яндекс, при этом не приведя ничего.
> А яндекс его(код) публикует? Дайте ссылочку.
Есть множество статей по распаковке .apk — файлов, деобфускации кода, сниффингом траффика. На ум первым делом приходит разбор TroikaDumper. Да, это не так просто, как если бы вам просто дали исходный код, но и копание в коде — это не лёгкая задача, никто вам на блюдечке кусочки самого «вредного» кода не выделит, нужно будет искать самому. Плюс наличие открытого кода еще не означает, что в нём нет закладок (пример — история с TrueCrypt, когда понять не могут, есть ли там закладки, или нет).
> Если вы всех новичков огульно будете записывать в ботоводы
Я предположил, и привёл аргументы. Нормальный человек комментит, что-то пишет, статьи в избранное добавляет. А этот:
> Зарегистрирован: 25 апреля 2017 в 09:02
> Активность: Последний раз был на сайте 25 апреля 2017 в 15:22
Т.е. он отправил статью, и отключился, забил на хабр. Если человек, то ему аккаунт и так не нужен, если бот, то… бот.
> И что теперь ничего не писать про яндекс, чтобы не обидеть их пользователей?
Почему-же, писать, но примерно вот так: Расследование одного взлома или как быстро и просто потратить миллиард — автор здесь конкретно раскопал и разобрал приложение Яндекс.Такси, нашел уязвимости и возможности абуза со стороны конкурентов. И там всё по полочкам разобрано, а не то говно, которое здесь запостили.
> Да вы мастер обоснованных аргументов
Это был сарказм на то, как автор настолько же необоснованно обвиняет яндекс, при этом не приведя ничего.
> А яндекс его(код) публикует? Дайте ссылочку.
Есть множество статей по распаковке .apk — файлов, деобфускации кода, сниффингом траффика. На ум первым делом приходит разбор TroikaDumper. Да, это не так просто, как если бы вам просто дали исходный код, но и копание в коде — это не лёгкая задача, никто вам на блюдечке кусочки самого «вредного» кода не выделит, нужно будет искать самому. Плюс наличие открытого кода еще не означает, что в нём нет закладок (пример — история с TrueCrypt, когда понять не могут, есть ли там закладки, или нет).
> Если вы всех новичков огульно будете записывать в ботоводы
Я предположил, и привёл аргументы. Нормальный человек комментит, что-то пишет, статьи в избранное добавляет. А этот:
> Зарегистрирован: 25 апреля 2017 в 09:02
> Активность: Последний раз был на сайте 25 апреля 2017 в 15:22
Т.е. он отправил статью, и отключился, забил на хабр. Если человек, то ему аккаунт и так не нужен, если бот, то… бот.
> И что теперь ничего не писать про яндекс, чтобы не обидеть их пользователей?
Почему-же, писать, но примерно вот так: Расследование одного взлома или как быстро и просто потратить миллиард — автор здесь конкретно раскопал и разобрал приложение Яндекс.Такси, нашел уязвимости и возможности абуза со стороны конкурентов. И там всё по полочкам разобрано, а не то говно, которое здесь запостили.
> Есть множество статей по распаковке .apk — файлов, деобфускации кода,
В таком случае и бинарники можно дизассемблировать.
>Да, это не так просто, как если бы вам просто дали исходный код, но и копание в коде — это не лёгкая задача,
Именно, копание в коде — задача сложная. Если усложнить её ещё в 10 раз, то можно добиться от пользователя, чтобы он вместо того, чтобы разобраться в программе, просто откажется давать ей права. И скажите ещё, что он не прав.
> Нормальный человек комментит
Я тут новичок, но вот по опыту заметил, что лучше не комментить. Что бы ты не писал, карма твоя в среднем опускается. Неравно и непредсказуемо, но статистика неумолима. У меня есть подозрения, что сами система выстроена владельцами хабра таким образом, чтобы карма утекала.
> что-то пишет
Ну вот, первая статья опубликована.
> статьи в избранное добавляет
Зачем, когда есть закладки в браузере?
> Почему-же, писать, но примерно вот так… там всё по полочкам разобрано
И что, от этого становится не так обидно? Вы же на обиду пользователей напирали, как косвенный эффект обиды яндекса.
В таком случае и бинарники можно дизассемблировать.
>Да, это не так просто, как если бы вам просто дали исходный код, но и копание в коде — это не лёгкая задача,
Именно, копание в коде — задача сложная. Если усложнить её ещё в 10 раз, то можно добиться от пользователя, чтобы он вместо того, чтобы разобраться в программе, просто откажется давать ей права. И скажите ещё, что он не прав.
> Нормальный человек комментит
Я тут новичок, но вот по опыту заметил, что лучше не комментить. Что бы ты не писал, карма твоя в среднем опускается. Неравно и непредсказуемо, но статистика неумолима. У меня есть подозрения, что сами система выстроена владельцами хабра таким образом, чтобы карма утекала.
> что-то пишет
Ну вот, первая статья опубликована.
> статьи в избранное добавляет
Зачем, когда есть закладки в браузере?
> Почему-же, писать, но примерно вот так… там всё по полочкам разобрано
И что, от этого становится не так обидно? Вы же на обиду пользователей напирали, как косвенный эффект обиды яндекса.
> В таком случае и бинарники можно дизассемблировать.
Нет, распаковка .apk выдаёт вполне читаемый код в большинстве случаев. Автору в той теме доволго легко удалось переключить настройку проверки сертификата, если мне не изменяет память.
> Ну вот, первая статья опубликована
Обычно, сначала читаешь хабр, потом регистрируешься на хабре и продолжаешь его почитывать, потом потихоньку начинаешь комментить, затем со временем созреваешь, чтобы что-то своё написать, внести лепту. Регистрация в один день и целенаправленный выпуск статьи — это по-любому второй аккаунт хабражителя, вопрос только в цели: ботовод или нежелание светить основной ник. А учитывая тональность статьи, напрашивается вообще третий вывод — закинуть негатива.
Я повторюсь — я нисколько не оправдываю яндекс, я просто уже настолько привык к формату Хабра, что читая обвинительную статью, ждёшь её полного разбора по косточкам — что шлёт, куда ходит, что делает итд. А здесь нет ни того, ни другого, зато есть вбросы негатива, намёков и гадание на кофейной гуще. А заменив слово «Яндекс.погода» на любую другую популярную программу — то там будет тот же самый букет рассадника «сервисов». Автор не разобрался в вопросе от слова «совсем», и это больше раздражает.
Что я ожидал увидеть? А примено вот что:
1) Просниффать траффик и узнать, что шлёт прога
2) Распаковать .apk и поискать подозрительный код
3) Провести эксперименты с потреблением трафика этой программой — как часто она просыпается, как часто и какой объём информации шлёт, как долго работают процессы.
4) Провести эксперименты как дома, так и на улице.
тогда статья была бы более-менее осмысленной, и можно было бы делать хоть какие-то выводы.
Нет, распаковка .apk выдаёт вполне читаемый код в большинстве случаев. Автору в той теме доволго легко удалось переключить настройку проверки сертификата, если мне не изменяет память.
> Ну вот, первая статья опубликована
Обычно, сначала читаешь хабр, потом регистрируешься на хабре и продолжаешь его почитывать, потом потихоньку начинаешь комментить, затем со временем созреваешь, чтобы что-то своё написать, внести лепту. Регистрация в один день и целенаправленный выпуск статьи — это по-любому второй аккаунт хабражителя, вопрос только в цели: ботовод или нежелание светить основной ник. А учитывая тональность статьи, напрашивается вообще третий вывод — закинуть негатива.
Я повторюсь — я нисколько не оправдываю яндекс, я просто уже настолько привык к формату Хабра, что читая обвинительную статью, ждёшь её полного разбора по косточкам — что шлёт, куда ходит, что делает итд. А здесь нет ни того, ни другого, зато есть вбросы негатива, намёков и гадание на кофейной гуще. А заменив слово «Яндекс.погода» на любую другую популярную программу — то там будет тот же самый букет рассадника «сервисов». Автор не разобрался в вопросе от слова «совсем», и это больше раздражает.
Что я ожидал увидеть? А примено вот что:
1) Просниффать траффик и узнать, что шлёт прога
2) Распаковать .apk и поискать подозрительный код
3) Провести эксперименты с потреблением трафика этой программой — как часто она просыпается, как часто и какой объём информации шлёт, как долго работают процессы.
4) Провести эксперименты как дома, так и на улице.
тогда статья была бы более-менее осмысленной, и можно было бы делать хоть какие-то выводы.
В таком случае и бинарники можно дизассемблировать.
Только APK декомпилируются в читаемый код, при должном везении его можно даже попробовать собрать обратно, а уж smali сод подправить несложно, но он не такой читаемый.
Ну, самое простое объяснение Вашего поста -то, что он проплачен Янедексом. Согласен, не самое реалистичное(Янедксу плевать, что о нём думает пару тысяч гиков, иначе он не ставил-бы свой браузер «вирусными» способами). Но Вы-же предлагали считать правильным самое простое, а не самое реалистичное.
Так что там про 3х сыновей?
Так что там про 3х сыновей?
Простите, но какой еще «вирусный» способ у Браузера? Факты, пожалуйста, а не мифы. Пишу о Браузере на Хабре уже 3 года, и подобных обвинений там не было.
Т.е Вы, своим наличием опровергаете посыл, что Ядексу наплевать на гиков и его целевая аудитория это не домохозяйки и офисный планктон? Может быть. Действительно, последнее время с Яндекс-браузером проблем меньше(хотя я не стал-бы называть его Браузером с большой буквы), Амиго достаёт больше.
Или всё-же оспариваете комент по его факту: самое простое объяснение есть самое верное и комментарий на который я отвечал проплачен Яндексом?
Или всё-же оспариваете комент по его факту: самое простое объяснение есть самое верное и комментарий на который я отвечал проплачен Яндексом?
Яндекс не ставит свой браузер вирусными способами, это делают недобросовестные партнёры, которых за такое банят.
Хороший же пост.
«На Западе факты бесплатны и предоставлены в большом количестве, а аналитика — за деньги. У нас
аналитика бесплатна, а факты на вес золота.» (с) tema
«На Западе факты бесплатны и предоставлены в большом количестве, а аналитика — за деньги. У нас
аналитика бесплатна, а факты на вес золота.» (с) tema
Конечно же плохо. Всё плохо.
Удивлять будет до тех пор, пока Вы (и не только Вы) в своих ответах будете использовать «вероятно».
Потому как это ощущение неизвестности, слегка нервирует. Я допустим, использую погоду от яндекса. Но только сейчас узнал, что помимо тех функций, которые я хочу от метеосервиса, мне впечатали кучу вообще левых. Мало того, что я не знаю каких, да ещё и управлять ими не могу.
P.S. Я не против рекламы в приложении.
Удивлять будет до тех пор, пока Вы (и не только Вы) в своих ответах будете использовать «вероятно».
Потому как это ощущение неизвестности, слегка нервирует. Я допустим, использую погоду от яндекса. Но только сейчас узнал, что помимо тех функций, которые я хочу от метеосервиса, мне впечатали кучу вообще левых. Мало того, что я не знаю каких, да ещё и управлять ими не могу.
P.S. Я не против рекламы в приложении.
UFO just landed and posted this here
Weather underground. Главное только метеостанцию нормальную найти, а то в округе похоже отопление к датчикам подвели.
WeatherChanell, по этому прогнозу погоды — иногда можно часы проверять.
UFO just landed and posted this here
Яндекс получает данные об облаках с метео-радаров. Прогноз по осадкам действительно работает до микрорайона и с точностью до 10 минут https://yandex.ru/pogoda/moscow/nowcast?lat=55.64718246459961&lon=37.62911605834961
По моему опыту, обычно такой точности нет. У них максимум прогнозирования по радарам — 2 часа. На таком расстоянии ошибка обычно велика, дождь может откладываться несколько часов. На расстоянии в пол часа и меньше уже можно о чём-то говорить. Но даже в этом случае скудность отображения информации (сила осадков и т.п.) мешает получить правильное представление, что за осадки предстоят.
Foreca Weather
Authentic Weather
Yr.no, практически безальтернативно.
Лучшее, что я для себя нашёл — Weather Timeline. Приложение символически платное(85р.), но имеет лаконичный невырвиглазный дизайн и возможность выбора провайдера погодных данных из нескольких популярных(YR.no, Weather Underground, OpenWeatherMap и ещё пара штук).
Большинство установленных сервисов там от желания яндекса сделать свой андроид с шахматами и поэтессами. Они дублируют те, что есть в google play services. Ничего криминального. Автозагрузка, вероятно, как раз для их запуска.
Хренсней с погодой. Тут youtube захотел обновиться и захотел Контакты, Местоположение, СМС, Микрофон… Это точно приложение для просмотра видео?
Вообще-то это приложение для стриминга, загрузки, просмотра, оценки, комментирования видео с элементами социальной сети — как написано в описании приложения. Читайте описания функциональности перед установкой и тогда подобных вопросов будет меньше.
YouTube всегда под рукой — смотрите любимые видео, каналы и плейлисты… Все нужные функции YouTube прямо в приложении: загружайте и редактируйте видео, добавляйте комментарии, делитесь роликами и даже транслируйте контент на большой экранНу, Ok, микрофон стало понятно зачем, но поделиться через СМС с любым из Контактов и так можно было.
Понял ещё про местоположение — видео заблокировано в вашем регионе.
Используйте NewPipe. Или любое другое альтернативное приложение, благо их сейчас много появилось
UFO just landed and posted this here
Просто не надо юзать несвободные приложения. По моему опыту свободные приложения оказываются в большинстве случаев гораздо качественнее несвободных: нет рекламы, нет прочей гадости, в разрешениях обычно ничего лишнего.
Ключевое слово — «обычно», так как например f-droid имеет огромное число разрешений, и хоть можно посмотреть код, но у меня вопрос: вы каждый раз при обновлении всех программ смотрите изменения в коде? То есть сам факт наличия этих разрешений подрывает безопасность. К сожалению, у разрабов другая точка зрения.
А система разрешений в ведре как была дефектной, так и осталась, и по моему мнению сделано это умышленно. Чего я не понимаю, так это почему в lineage os не реализуют нормальную систему разрешений уровня подробности как у xprivacy. У xprivacy лицензия несовместимая (GPL), но никто не заставляет код копировать, можно посмотреть подход (какие api перехвачены и что выдаётся в качестве заглушки) и сделать подобным образом. Более того, до xprivacy были всякие патчи, включая патчи ядра, но в цианоген они не вошли.
К сожалению у xprivacy есть 2 фатальных ограничения.
1 все обходы через native часть фикситься не будут, так как xposedом не решаются
2 разраб её забросил, не развивает, хотя сайт для продажи лицензий на коммерческую сборку работает. Баги висят годами.
Ключевое слово — «обычно», так как например f-droid имеет огромное число разрешений, и хоть можно посмотреть код, но у меня вопрос: вы каждый раз при обновлении всех программ смотрите изменения в коде? То есть сам факт наличия этих разрешений подрывает безопасность. К сожалению, у разрабов другая точка зрения.
А система разрешений в ведре как была дефектной, так и осталась, и по моему мнению сделано это умышленно. Чего я не понимаю, так это почему в lineage os не реализуют нормальную систему разрешений уровня подробности как у xprivacy. У xprivacy лицензия несовместимая (GPL), но никто не заставляет код копировать, можно посмотреть подход (какие api перехвачены и что выдаётся в качестве заглушки) и сделать подобным образом. Более того, до xprivacy были всякие патчи, включая патчи ядра, но в цианоген они не вошли.
К сожалению у xprivacy есть 2 фатальных ограничения.
1 все обходы через native часть фикситься не будут, так как xposedом не решаются
2 разраб её забросил, не развивает, хотя сайт для продажи лицензий на коммерческую сборку работает. Баги висят годами.
Автор, не путай процессы и сервисы андроида. Все эти сервисы запущены в одном процессе. Сервис — это всего лишь компонент приложения.
Честно говоря, надоели уже параноидальные статьи в духе «Яндекс/Гугл/Эпл за мной следят, как жить дальше?». Всегда очень хочется спросить: а чего вы так боитесь? Крупные корпорации следят за вами с одной простой и понятной целью — заработать на вас больше денег. А как их можно заработать больше? Либо сделать более эффективную рекламу и получать деньги от рекламодателей, либо сделать более удобные сервисы и получать деньги с процентов/продаж. В любом случае необходимо получить больше информации о вас. Но вся эта слежка в любом случае идёт только на пользу вам, потому что даже если вы убиваете людей, им будет выгоднее продать вам мешки, лопату и фургон вместо того, что бы сдавать вас полиции.
UFO just landed and posted this here
С некоторой теплотой вспоминаю старые телефоны, спрашивавшие по факту совершения действия:
"Камрад, тут эта штука намерена отправить SMS. Мы ей разрешим?
[Да] [Всегда] [Нафиг]"
Забава в том, что свежие андроиды тоже так делают. Однако, как написал ТС, они специально снизили targetSdkLevel, чтобы это не работало ("режим совместимости")
Ну так стоило бы игнорить этот параметр и всё равно запрашивать.
Было уже — «якобы-забытый» AppOps в 4.4.
Проблема в том что если мы запрашиваем а приложение ожидает немедленного ответа а не SecurityExeception — приложение будет вылетать. На новом андроиде. И кто будет виноват с точки зрения пользователя? Даже если сделать как в XPosed где данные таки возвращаются но значения по умолчанию — то как потом передать реальные данные / сделать разрешенные уже действия если мы уже отдали фальшивку на запрос?
Для желающих совсем уж гибких и хитрых вещей — есть XPrivacy. Для не желающих — есть Android 6+ и возможность тупо отобрать права даже если приложение их не запросило а они ему «и так» полагаются потому что режим совместимости. Приложение может упасть, о чем собственно предупреждает — оно ж ожидает что права есть.
Пользователь правда может в PlayStore отзыв написать вида «если забрать права — приложение падает, разработчики — пофиксите срочно а пока кол вам».
А еще есть устройства от Samsung, на которых многие вещи для которых в норме нужен рут — работают без рута, например — https://habrahabr.ru/post/314116/ — один добрый человек сделал блокиратор рекламы, в том числе и в приложениях.
Проблема в том что если мы запрашиваем а приложение ожидает немедленного ответа а не SecurityExeception — приложение будет вылетать. На новом андроиде. И кто будет виноват с точки зрения пользователя? Даже если сделать как в XPosed где данные таки возвращаются но значения по умолчанию — то как потом передать реальные данные / сделать разрешенные уже действия если мы уже отдали фальшивку на запрос?
Для желающих совсем уж гибких и хитрых вещей — есть XPrivacy. Для не желающих — есть Android 6+ и возможность тупо отобрать права даже если приложение их не запросило а они ему «и так» полагаются потому что режим совместимости. Приложение может упасть, о чем собственно предупреждает — оно ж ожидает что права есть.
Пользователь правда может в PlayStore отзыв написать вида «если забрать права — приложение падает, разработчики — пофиксите срочно а пока кол вам».
А еще есть устройства от Samsung, на которых многие вещи для которых в норме нужен рут — работают без рута, например — https://habrahabr.ru/post/314116/ — один добрый человек сделал блокиратор рекламы, в том числе и в приложениях.
А что мешает всегда выдавать дефолтных адрес или пустую контактную книгу
XPrivacy примерно так и делает (хотя что выдавать например для доступа на включение-выключение WiFi что все успешно? Так приложение и проверить может. Или для доступа к телефонным данным? левые идентификаторы + не давать смену состояния? А ничего что вероятная реакция на левый и не-уникальный идентификатор — «нету у вас аккаунта, заводите новый, и кстати к нему будете еще 100500 людей иметь доступ»).
Вообще же — как работают API — описано. И там НЕТ пункта — «возвращать фигню». Есть часто пункт про SecurityException если прав нет а позвали но разработчик же убедился что права есть и прописал в манифест и вправе не обрабатывать это исключение. API это в некотором роде — контракт (в андроиде — целиком все API конкретного API Level'а).
Видимо гугл не рискнул поломать совсем совместимость с существующими приложениями и потребовать обновления старых приложений, изменив четко описанный контракт, создав новой версии репутацию «ломает все старые приложения». (вот там где он не был описан четко а на уровне «а все думали» — там они меняют если надо — вся история с записью на карты памяти).
А вот что имело бы смысл в данном случае — просто запретить загрузку в Play Store новых версий существующих приложений/новых приложений, где не указан хотя бы API Level 23. Тогда выбор будет — или не обновлять вообще (валя на Google) или таки сделать как надо. Вот только — готов ли Google пойти даже на такое?
Вообще же — как работают API — описано. И там НЕТ пункта — «возвращать фигню». Есть часто пункт про SecurityException если прав нет а позвали но разработчик же убедился что права есть и прописал в манифест и вправе не обрабатывать это исключение. API это в некотором роде — контракт (в андроиде — целиком все API конкретного API Level'а).
Видимо гугл не рискнул поломать совсем совместимость с существующими приложениями и потребовать обновления старых приложений, изменив четко описанный контракт, создав новой версии репутацию «ломает все старые приложения». (вот там где он не был описан четко а на уровне «а все думали» — там они меняют если надо — вся история с записью на карты памяти).
А вот что имело бы смысл в данном случае — просто запретить загрузку в Play Store новых версий существующих приложений/новых приложений, где не указан хотя бы API Level 23. Тогда выбор будет — или не обновлять вообще (валя на Google) или таки сделать как надо. Вот только — готов ли Google пойти даже на такое?
Над статьей надо еще поработать и понять, что и когда отправляется вовне этим приложением. Иначе это все голословные обвинения параноидального дилитантского толка.
Кроме того, название статьи очень-очень не гуд, к чему тут умничанье, если навыков нет.
Чисто теоретически, не вижу никаких причин не отреверсить протоколы общения с серверами «сбора статистики» и слать туда как можно больше мусора синтетических данных.
UFO just landed and posted this here
Весьма «странно», что автор поста уже второй день не пропускает сюда (комментарий на модерации) ответ моего коллеги из Погоды. К счастью, мои комментарии уже прошли модерацию, поэтому продублирую сюда суть:
– В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения. Мы обязательно обновим эту часть, как только доля последних версий андроида среди наших пользователей станет чуть больше. Однако, стоит отметить, что ни на одном устройстве приложение Погоды не запускается до тех пор, пока его не запустит пользователь. А как уменьшить количество работающих в фоне сервисов, мы обязательно придумаем.
– Про автозагрузку и обновление погоды уже писали. Чтобы не ждать каждый раз подгрузку. И чтобы виджет нормально работал. Также эта функция нужна, чтобы отправить нам пользовательские наблюдения за погодой, сделанные в отсутствии подключения к интернету.
– Про геолокацию вроде и так понятно. Она нужна особенно точная, потому что в Погоде есть данные с радаров с точностью до домов и 10 минут.
– Про то, что один и тот же сервис используется всеми приложениями, тоже в комментариях уже написали. Отсюда и про взаимосвязь приложений.
В общем, ничего нового или страшного. Разработчики мобильных приложений вряд ли тут чему-то удивятся.
– В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения. Мы обязательно обновим эту часть, как только доля последних версий андроида среди наших пользователей станет чуть больше. Однако, стоит отметить, что ни на одном устройстве приложение Погоды не запускается до тех пор, пока его не запустит пользователь. А как уменьшить количество работающих в фоне сервисов, мы обязательно придумаем.
– Про автозагрузку и обновление погоды уже писали. Чтобы не ждать каждый раз подгрузку. И чтобы виджет нормально работал. Также эта функция нужна, чтобы отправить нам пользовательские наблюдения за погодой, сделанные в отсутствии подключения к интернету.
– Про геолокацию вроде и так понятно. Она нужна особенно точная, потому что в Погоде есть данные с радаров с точностью до домов и 10 минут.
– Про то, что один и тот же сервис используется всеми приложениями, тоже в комментариях уже написали. Отсюда и про взаимосвязь приложений.
В общем, ничего нового или страшного. Разработчики мобильных приложений вряд ли тут чему-то удивятся.
В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения.
Не вижу связи — на старых девайсах новая система запроса разрешений вполне заводится. Я скорее поверю в то, что менеджеры не дают бюджета на переезд.
– Про геолокацию вроде и так понятно. Она нужна особенно точная, потому что в Погоде есть данные с радаров с точностью до домов и 10 минут.
А зачем маркет это делает в фоне?
А что яндекс-карты, могут заниматься подобным? Кто-то прочитавший эту статью, пробовал поковырять их?
Сразу замечу — к Яндексу отношения не имею.
По сервисам
Поговаривают, что перед там, как зубоскалить, желательно в предмете хоть немного разобраться — а иначе недолго и в лужу сесть. CONNECTIVITY_ACTION используется для того, чтобы реагировать на исчезновение/появление сетевого подключения, что позволяет гасить соответствующие сетевые сервисы и тем самым экономить батарейку.
Расскажите, пожалуйста, что это за кэш такой для «неактивных» приложений. В документации вот прямо сказано, что запущенный процесс всегда висит в RAM, но может быть прихлопнут, если памяти станет мало.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
По сервисам
- Сервис в андроиде — это не то же самое, что сервис во «взрослых» ОС. Это не отдельная постоянно висящая в памяти сущность, а лишь компонент приложения, не прибитый гвоздями к UI. В архитектурах Pattern A/Pattern B предлагалось в принципе всю работу с сетью выносить в сервисы — полагаю, от спроектированных таким образом приложений у автора тоже приключился бы приступ паранойи.
Сразу отвечу на вопрос «если сервис не всегда запущен — почему он отображается в утилите у ОПа?» — потому что система вообще никак не даст запустить сервис или активити, если они не прописан заранее в манифесте, а тулза со скринов скорее всего просто отображает содержимое манифеста.
- FirebaseInstanceIdService, GcmInstanceIdService и прочие с префисками Firebase/GCM — шаблонные сервисы для работы с push-уведомлениями. Встает вопрос, зачем используются оба — GCM вроде как устарел и Google усиленно продвигает вместо него Firebase. Предположу, что на старых девайсах они жонглируют имплементациями на случай, если у пользователя в системе старая версия Google Play Services и работа с Firebase не поддерживается. Нужны ли в приложении эти сервисы, и есть ли там вообще пользовательские уведомления — отдельный вопрос, Яндекс.Погодой не пользуюсь, сказать ничего не могу.
- Использование устаревшего GCM объясняет необходимость подписки своих обработчиков на перезагрузку девайса и обновление списка установленных пакетов — после обновления прошивки или приложения старый токен мог превратиться в тыкву, а пользователь, внезапно перестав получать уведомления,
обложит разработчиков гениталиямибудет недоволен.
С обновлением приложения отдельная клоунада — до 3.0 подписаться на обновления ЛИШЬ своего приложения было нельзя. Поддерживаешь 2.3? Подписывайся на все обновления и фильтруй. Плюс, если Яндекс действительно переиспользует сервисы между разными приложениями — им в целом пригодится эта информация, чтобы использовать самую свежую версию сервиса из доступных (хороший вопрос, кстати, как они это делают).
Что там с мобильными сетями? Поговаривают, от них магнитные бури бывают.
Поговаривают, что перед там, как зубоскалить, желательно в предмете хоть немного разобраться — а иначе недолго и в лужу сесть. CONNECTIVITY_ACTION используется для того, чтобы реагировать на исчезновение/появление сетевого подключения, что позволяет гасить соответствующие сетевые сервисы и тем самым экономить батарейку.
Заметьте, процесс не в кэше, где отлёживаются неактивные приложения до тех пор, пока система не решит задействовать больше памяти. Эти процессы работают всегда с момента установки погоды.
Расскажите, пожалуйста, что это за кэш такой для «неактивных» приложений. В документации вот прямо сказано, что запущенный процесс всегда висит в RAM, но может быть прихлопнут, если памяти станет мало.
В заключении хочу сказать, что я не специалист и ни на чем не настаиваю.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
Тут следует еще учесть, что аудитории гиктаймса и хабра хоть и пересекаются очень сильно, но идентичны. Вполне вероятно, что на хабре эта статья была бы оценена по другому.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
Я не гик, просто интересующийся.
Если честно, для меня статьи такого рода как открытие. Потому и читаю. Вот если бы разработчики честно признались перед установкой приложения, что оно будет делать и куда лезть (вот зачем погодному сервису мои идентификационные данные?) то прошёл бы мимо статьи. Ставишь приложение и энтропия увеличивается…
Вот если бы разработчики честно признались перед установкой приложения, что оно будет делать и куда лезтьПравдоподобное объяснение всегда можно дать. Например, Яндекс-Карты имеют доступ к микрофону. Не будут же они писать, что мы вас подслушиваем. Напишут, что микрофон нужен для надиктовывания адреса при навигации.
То есть, технический список разрешений достаточен. А дальше вопрос доверия.
Пользователь должен иметь возможность заблокировать любое разрешение. И приложение должно работать, за исключением тех функций, для которых нужно это разрешение.
Если говорить о динамическом списке, как в Android 6+, то нет необходимости расписывать объяснение к разрешениям в самом маркете.
Лучшее решение — в момент выполнения действия программа проверяет наличие разрешения (в новом API она это должна делать) и выдаёт сообщения по ходу дела, типа «если хотите ввести номер документа, используя штрих-код, включите доступ к камере».
В описании приложения не надо вываливать стену текста с объяснениями.
Лучшее решение — в момент выполнения действия программа проверяет наличие разрешения (в новом API она это должна делать) и выдаёт сообщения по ходу дела, типа «если хотите ввести номер документа, используя штрих-код, включите доступ к камере».
В описании приложения не надо вываливать стену текста с объяснениями.
Ну блин, тот, кто еще не отправил яндекс на все три буквы, — сам себе злобный буратино, может спокойно продолжать есть этот честно заслуженный кактус.
Привет!
Хочу внести немного ясности в вопрос о том, зачем нам нужны те или иные разрешения.
Начнем с основного момента — пользовательской геолокации. Это может показаться невероятным, однако мы и правда сделали прогноз погоды, способный показать данные именно для ваших координат. Хорошо известно, что погода может быть очень разной в разных частях города — например, в Бутово идет дождь, а на ВДНХ уже вовсю светит солнце. Для того, чтобы пользователи получали точные гиперлокальные данные о погоде (например, наш прогноз осадков с точностью до минут — наукастинг), мы и спрашиваем их координаты.
Это помогает нам предупредить например о том, что дождь над сквером, где вы сейчас гуляете пойдет через 10 минут. Полезно, правда? Тот же, кто по каким-то причинам не хочет передавать свое местоположение, всегда может отключить функцию геолокации и получат прогноз для центра своего населенного пункта.
Кстати, примерно за этим же мы просим доступ к сотовым данным: у нас есть достаточно много пользователей, которые, отключив геолокацию, жалуются на неправильно определенную позицию. Локация по сотовым вышкам помогает определить положение пользователя чуть более аккуратно, чем с точностью до города.
В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения. Мы обязательно обновим эту часть, как только доля последних версий андроида среди наших пользователей станет чуть больше. Однако, стоит отметить, что ни на одном устройстве приложение Погоды не запускается до тех пор, пока его не запустит пользователь. А как уменьшить количество работающих в фоне сервисов, мы обязательно придумаем.
Про приметы. У нас тоже есть примета — “Медленная загрузка данных в приложении — к письмам в фидбечницу”. В отличии от погоды за окном, на это мы можем повлиять, например попросив наше приложение периодически загружать актуальные данные о погоде. Также эта функция нужна, чтобы отправить нам пользовательские наблюдения за погодой, сделанные в отсутствии подключения к интернету. Эти данные помогают нам улучшать алгоритмы прогнозирования.
Ну а если резюмировать, то мы в Погоде в основном хотим, чтобы у нашей аудитории была возможность в полной мере использовать те технологии, которые мы разрабатываем.
Хочу внести немного ясности в вопрос о том, зачем нам нужны те или иные разрешения.
Начнем с основного момента — пользовательской геолокации. Это может показаться невероятным, однако мы и правда сделали прогноз погоды, способный показать данные именно для ваших координат. Хорошо известно, что погода может быть очень разной в разных частях города — например, в Бутово идет дождь, а на ВДНХ уже вовсю светит солнце. Для того, чтобы пользователи получали точные гиперлокальные данные о погоде (например, наш прогноз осадков с точностью до минут — наукастинг), мы и спрашиваем их координаты.
Это помогает нам предупредить например о том, что дождь над сквером, где вы сейчас гуляете пойдет через 10 минут. Полезно, правда? Тот же, кто по каким-то причинам не хочет передавать свое местоположение, всегда может отключить функцию геолокации и получат прогноз для центра своего населенного пункта.
Кстати, примерно за этим же мы просим доступ к сотовым данным: у нас есть достаточно много пользователей, которые, отключив геолокацию, жалуются на неправильно определенную позицию. Локация по сотовым вышкам помогает определить положение пользователя чуть более аккуратно, чем с точностью до города.
В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения. Мы обязательно обновим эту часть, как только доля последних версий андроида среди наших пользователей станет чуть больше. Однако, стоит отметить, что ни на одном устройстве приложение Погоды не запускается до тех пор, пока его не запустит пользователь. А как уменьшить количество работающих в фоне сервисов, мы обязательно придумаем.
Про приметы. У нас тоже есть примета — “Медленная загрузка данных в приложении — к письмам в фидбечницу”. В отличии от погоды за окном, на это мы можем повлиять, например попросив наше приложение периодически загружать актуальные данные о погоде. Также эта функция нужна, чтобы отправить нам пользовательские наблюдения за погодой, сделанные в отсутствии подключения к интернету. Эти данные помогают нам улучшать алгоритмы прогнозирования.
Ну а если резюмировать, то мы в Погоде в основном хотим, чтобы у нашей аудитории была возможность в полной мере использовать те технологии, которые мы разрабатываем.
использовать те технологии, которые мы разрабатываем
Так используйте! Почему тогда мобильная погода менее информативна, чем сайт?
Но наверно может было бы дописать прилизанную версию данного текста — прямо в описание в PlayStore? (тоже самое собственно касается вообще всех ваших приложений)
У некоторых приложений (правда мелких но хотелось бы что это стадартном было) прямо так и написано в описании нечто вида
…
— 'full network access' — communication with our server
— 'view network connections — used by error reporting
— 'read phone status and identity' — used for statistics
…
Или это наоборот пугает большинство пользователей?
У некоторых приложений (правда мелких но хотелось бы что это стадартном было) прямо так и написано в описании нечто вида
…
— 'full network access' — communication with our server
— 'view network connections — used by error reporting
— 'read phone status and identity' — used for statistics
…
Или это наоборот пугает большинство пользователей?
Ахаха, яндекс, прекрати уже.
Я понимаю:
— выручка упала ниже плинтуса
— разработчики выкатывают твой быдлософт один хуже другого
— конкуренции нет, потому что все просто работают, а ты вместо этого ябедничаешь по думам и фасам
Ну сколько можно? Самому не надоело?
Не скатывайся от нелюбви пользователей к их ненависти.
Я бы рад пользоваться всеми твоими сервисами, без сарказма, они мне нужны, НО ты «мажешь» всем свои сервисы… коричневой массой.
Я понимаю:
— выручка упала ниже плинтуса
— разработчики выкатывают твой быдлософт один хуже другого
— конкуренции нет, потому что все просто работают, а ты вместо этого ябедничаешь по думам и фасам
Ну сколько можно? Самому не надоело?
Не скатывайся от нелюбви пользователей к их ненависти.
Я бы рад пользоваться всеми твоими сервисами, без сарказма, они мне нужны, НО ты «мажешь» всем свои сервисы… коричневой массой.
А они в принципе через все свои приложения шпионят https://link.https.pro/52j очень разозлили постоянной долбежкой к местоположению, пока не прибьешь приложение, пользоваться телефоном практически невозможно.
Sign up to leave a comment.
Ин Совьет Раша погода следит за тобой