• Проблема с сертификатами Sectigo после 30 мая 2020 года и метод решения
    +4

    LE не всем подходит, особенно когда инсталляция распределённая и чтобы отработал ACME через well-known, надо свистнуть очень хорошо и уже с помощью полусамодельного клиента. Иногда именно LE превращается в ежей и кактусы. И упаси бог использовать дефолтный certbot, который не умеет ничего, кроде как выпускать сертификат для админов локалхоста.

  • Проблема с сертификатами Sectigo после 30 мая 2020 года и метод решения
    0

    Интересный сервис. Интересно, работает ли он с дуальными цепочками RSA+ECDSA?

  • Хабру — 14 лет
    0

    Позвольте, но магазин обслуживатеся партнёром Хабра на стандартном магазинном движке Тильды, не уверен, что в этом движке такой механизм вообще имеет место быть. Собственно в Политике указано российское лицо, которое является оператором ПД. Даже в подвале указано. Хабр тут, в принципе, заказчик и владелец знака обслуживания/торговой марки. Кстати, российский закон 152-ФЗ "О ПД" не требует ограничивать срок обработки "сверху" конкретным количеством времени. Не хотите пользоваться магазином — не пользуйтесь. Хотите запретить обработку ПД после — пожалуйста. Только не забывайте, что "запрет обработки" != удаление, даже по директиве GDPR (который, кстати, никакой не закон, а "база" для национального закона о приватности конкретной из стран ЕС).

  • Хабру — 14 лет
    +2

    А что вас смущает в сроке обработки ПД? Данные сложили базу магазина, там они и пылятся в таблице. При просьбе удалить аккаунт в магазине, данные будут изъяты из обработки. Всё честно, насколько можно судить.

  • «Утечка» базы специалистов Хабр Карьеры
    +4

    Бессмысленно и излишне раздражающе. Согласен, что HR должен страдать )) Но парсер это не остановит: оптическое распознавание творит чудеса.

  • DMCA — соблюдать нельзя игнорировать
    +1

    Ага, делать больше нечего поставщику IPT реагировать на письма от контор с сомнительным правовым статусом. Тем более, что клиент IPT не домохозайство, такими не разбрасываются просто так. Ну и апстрим автономной системы не в ответе за трафик этой автономной системы, если она не занимается хайджеком чужих адресных ресурсов.

  • Как у российских полярников появилась сотовая связь в Антарктиде
    +1

    Кстати, да: 112, получается, будет приземляться в Питерском ситуационном центре. А учитывая, что зарегистрироваться для совершения звонка можно и без симки, в Питерском ситуационном центре может добавиться забавных звонков от тех же туристов.

  • Казахстан не осилил дистанционное обучение
    0

    Вы может удивитесь, но нормальный интернет кончается куда ближе к Москве. Например, взять практически любой коттеджный посёлок или деревню в самом ближайшем Подмосковье. Например, в Нахабино, Красногооском районе (напомню, туда даже доезжают поезда МЦД, так что это очень близко от Москвы). Интернет только ADSL, если жутко повезёт, будет PON, но он далеко не везде есть. Цены, например, 2655 рублей за 20/1 Mbit/s (D/U) — это вообще технологический топчик для ADSL2+. Мобильный интернет во вечерам просаживается почти в ноль, особенно летом, да и нет фактически "безлимитных" мобильных пакетов на тарифах "для компьютера".

  • Воздушки, релейки, кабель в окно: как не напороться на провайдера-монополиста в бизнес-центре
    0

    Как-то LTE не выглядит больно надёжным способом подключения офиса (особенно с интенсивным трафиком или с соблюдением SLA доступа к внешней инфраструктуре). Либо отдельно у оператора VLAN заказывать с SLA, либо мириться с постоянным изменением джиттера и ёмкости сети.

  • Воздушки, релейки, кабель в окно: как не напороться на провайдера-монополиста в бизнес-центре
    +1

    АХОшников тоже можно как-то понять, так как зачастую монтажники группы включения операторов связи не утруждают себя элементарной аккуратностью. Можно полюбоваться в канале Шараж-монтаж на смекалку особо одарённых.

  • Воздушки, релейки, кабель в окно: как не напороться на провайдера-монополиста в бизнес-центре
    0

    Оптические мосты вообще классная штука и скоростная, лишь бы осадков не было ))

  • DNS-over-HTTPS и риски для персональных данных — обсуждаем мнения экспертов
    0

    Таки RIPE или всё же RIPE NCC? В RIPE нет сотрудников, они есть в RIPE NCC.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Мы будем делать механизм публикации оснований на административное скрытие публикации (различные abuse). Но не стоит списывать со счетов возможность автора самостоятельно снять материал с публикации по любой причине.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +4

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    По моим ощущениям, в целом, GDPR больше похож на большую инструкцию, как надо делать, чтобы стало приватно. И эта директива весьма проработана. Ответственость с весьма нашумевшими штрафами существует, но нет жёсткого правила "расстрелять всех". Дух директивы — научить правильно обращаться с ПД. Но совсем отморозков и наказать можно. Может я идеализирую, конечно, но мне документ показался именно таким.


    Наш закон крайне не продуман и в основном сосредоточен вокруг ответсвенности за то или иное нарушение. Причём, в основном не за реальные нарушения, а за ошибки бюрократического характера. Вообще, такое ощущение, что по закону о ПД нужно только изготовить тонну документации и заполнить гору журналов, при этом реально применимых инструкций как делать правильно там мало.


    Но вообще, законы достаточно схожи в общих чертах.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Оценивается совокупность факторов: владение запрашивающего доступом к аккаунту и адресу email и его идентификация электронным способом. Наверное, не открою тайну, что единственный способ юридически надёжно удостоверить личность удалённо — это использование УКЭП или иных способов электронной подписи. Скан паспорта весьма слабое подтверждение, но УКЭП владеют и умеют пользоваться куда меньше людей. Нам тоже не нравится раздувать обазательство по хранению ПД обработкой сканов паспортов, но на данный момент это вынужденная мера.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Российский закон о ПД квалифицирует достаточно широкий спектр информации как ПД. Например, адрес электронной почты.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Позволю себе ответить за коллегу.


    Существует проблема, что до сих пор нет определённого толкования установленных законодательством процедур, а также правоприменительной практики. В совокупности с достаточно серьёзной ответственностью, предусмотренной законодательством РФ и стран-участников ЕС, приходится буквально выдумывать решения, которые с одной стороны удовлетворят пользователя и дадут возможность исполнить закон, а с другой стороны защитят пользователя и не позволят нарушить тот же самый закон. Вот такой каламбур. Поэтому организация, обрабатывающая ПД в нашем случае, для уменьшения риска возможных правовых последствий, обязана выполнить такую процедуру, как "проявление должной осмотрительности".


    После долгих консультаций, на первом этапе мы решили перестраховаться и проявить такую осмотрительность, добавив к факту доступа к аккаунту пользователя данные конкретного физического лица, запрашивающего такие данные. Это не панацея, но пока так. Формально, доступ к ПД субъекта может осуществить те, кому дал на это право субъект ПД, лица, уполномоченные законом и сам субъект ПД. С большей долей вероятности, мы вскоре вообще переработаем принципы хранения и обработки ПД, в том числе исключим часть сведений, деклассифировав их в качестве ПД (насколько это возможно), дав упрощённый способ доступа к ним владельцу данных доступа к аккаунту.


    Не забывайте, что мы находимся на переходном этапе между законодательствами двух юрисдикций и в нашем случае полезнее перебдить, чем недобдить, пока не выроботана окончательная процедура.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Не нужно доводить до абсурда. У компании много переписки с госорганами, просто из-за того, что у любой компании таковой много. Например: письма из ФНС и ПФР, переписка с ФИПС о товарных знаках, из служб охраны труда, с арбитражными судами, да банально письма счастья от ГИБДД о штрафах с камер для корпоративных автоомобилей. Как-то странно всё это совать в репорт, который имеет вполне конкретное назначение. Мы и так долго взвешивали риски и консультировались с юристами о внедрении репорта, а также об его детализованности. Возможно, далее он будет перерабатываться и дорабатываться, пока это исключительно ручная инициатива и по большей части эксперимент.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    В силу того, что в РФ нет необходимости в судебном решении о выемке информации в рамках ОРД, остаётся крайне мало законных способов выяснить, что запрос не является чей-то личной "хотелкой". Даже в рамках МВД в разных регионах подходы к документообороту кардинально отличаются. Кто-то расписывает в запросе канву дела, по которой делается запрос (таким даже хочется помочь, чисто по-человечески, решить вопрос мошенничества), кто-то просто указывает номер КУСП, а кто-то не пишет вообще оснований (нет основания для запроса — нет ответа). Где-то подписывается начальник с регалиями, где-то замом, а где-то даже условным "старшим следователем" (в основном из каких-то глубоко "деревенских" ОВД, что вероятно не очень законно с их стороны). Всё равно остаётся риск, что подписал не начальник, а "подписались начальником". Поэтому изучается совокупность факторов, в том числе оценивается обоснованность. Ещё раз замечу, что в подавляющем большинстве случаев обращения из МВД связаны с реальными уголовными кейсами, типа мошенничества. Тут нет резона ставить следствию палки в колёса, так как мы резко против фрода и насилия.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Такого рода запросы, как правило, не подходят под определение "запрос данных о пользователе с таким-то ником". Например, если вы вчитаетесь тот гуляющий по сети скан, то обратите внимание что он не содержит такой информации, да и тему другую имеет. В репорт включена статистическая информация о запросах данных пользователей, о предписаниям на скрытие информации и о запросах копирайтеров (но тут попали далеко не все, так как некоторые были не формализованы в своё время). Что касается того обращения о кооперировании за 2012 год, то он более носит курьёзный характер и был включён в отчёт по большей части случайно.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +1

    Да.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Да, оценивается совокупность факторов. Ключевой — прозвон исполнителя через телефон дежурной части, найденном в интернете.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Я как-то интересовался публикацией сервиса в i2p, но на тот момент инструментарий был такой сырой и почти нерабочий, что пришлось отложить. Не знаю, насколько сейчас можно переложить условный "Хабр" на i2p фронт, учитывая всякие JS, куки, CDN и прочее.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Это дилемма. Вероятно, если пользователь долгое время отсутствовал как на сайте, так и потерял доступ к почте, то ему и не очень-то всё это нужно. Либо у него проблемы пофундаментальнее, чем потеря доступа к аккаунтам. Мы не требуем пользователя сопоставлять личность для использования аккаунта (за исключением предоставления "выгрузки" хранимой информации), в том числе косвенными методами "через SMS". В наше время утеря почтового ящика грозит куда более существенными проблемами, чем потеря аккаунта на Хабре.


    У нас нет абсолютного запрета на такого рода "воосстановления", но надо понимать, что это штучные ситуации и разбираются нашей поддержкой индивидуально.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +1

    Выбирайте провайдера PKI с Transparency Log.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +1

    Специально для закрытия этого вопроса придуманы сессионные ключи и алгоритм Диффи-Хеллмана

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +1

    В принципе, исходя из того, что документ может вообще быть без печати и при этом вполне легитимным, этот пункт не настолько важен. Чтобы точно узнать, какие "права" есть у специализированной печати, надо запросить локальный нормативный акт отправителя под названием типа "Положение о печати" или что-то в этом роде.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Это очень идеальный мир. Мне не приходило ещё ни одного письма из МВД на номерном бланке ни из одного региона, хотя все они напечатаны офсетом (нет блика тонера на шапке). То есть, бланк типографский. Номерные бланки встречаются у Прокуратуры, например.


    Что касается печати: бывает такая простая "для пакетов", бывает гербовая со всеми атрибутами ГОСТ (растровая сетка, микрошрифт 0.8 и т.д.). Бывает печати нет вовсе, действительно, она не обязательна должна быть. Но большинство ставит "для порядка".


    И да, печати необязательны только тем, у кого в уставе не указано наличие печати. Не уверен, что госорганы освобождены от печатей.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +7

    Ещё надо добавить срок на cold down, на случай фрод активности и запроса на удаление с похаченного ящика. Насколько я помню, он есть. В целом, примерно всё так, но хочу ещё раз отметить, что у нас не окончена экспертиза механизмов и, вероятно, они будут местами перерабатываться, возможно даже существенно. Скорее всего, когда мы приведём все вопросы с ПД более-менее в порядок, мы отдельно опишем как всё у нас работает, это должна быть публичная информация. Мы уже назначили 2020 год годом активной работы с механизмами обработки ПД, часть из которых юридически неочевидны.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Пока нет активной разработки присутствия в оверлейных сетях. Возможно будет позже в ± бета режиме. У этого feature request очень низкая активность. Будет больше запросов — будем думать.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Согласно последним изменениям закона из пакета "Яровой", у нас хранится не только метадата, но и, грубо говоря, содержимое POST-запросов. Каждая транзакция имеет дату и "срок годности". Скорее всего, подобную механику мы и оставим, только скорректируем сроки согласно GDPR. Возможно, переработаем. Это как с СУБД: табличные данные будут удалены, а в бинлоге осталось на какое-то время.
    Обращения в техподдержку будут хранится какое-то время, там время хранения на данный момент не регламентировано. Возможно, механизм будет перерабатываться, но не факт. Всё зависит от юридической экспертизы существующих технических решений, которая пока не окончена.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +2

    Про информацию написал выше. По поводу процедуры запросы на удаление, на сколько я помню, там всё проще. Вам подробнее сообщат в техподдержке, у них инструкции под рукой.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +2

    Всё, что может быть удалелено, будет удалено. Остальное деперсонализировано. Логи доступа и действия пользователей будут доступны для выгрузки во запросу уполномоченных лиц в течении срока, максимально возможного по закону и будут соразмерно отротированы. Это предписывает как и российский закон об ОРД, так и GDPR. Но по GDPR срок существенно ниже, на сколько я помню, чем по последней редакции "Яровой". Такого рода информация хранится в отдельной от сайтов ИС.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +2

    Пишите в техподдержку. У нас есть такой механизм. Ваш аккаунт будет заблокирован и деперсонализирован. Все материалы станут удалёными. Повторно зарегистрировать аккаунт с таким логином не получится.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    0

    Нет возможности безболезненно отказать органу исполнительной власти в исполнении предписании. Его можно оспорить, но это не отменяет факта необходимости исполнения. За неисполнение ответственность.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +5

    Где крамольные, а где нет. Вроде честно.

  • Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года
    +5

    Вторую итерацию не проходит 95% запросов, из чего складывается впечатление, что для запрашивающего зачастую не столь требуется ответ, как демонстрация деятельности.

  • Источник «Медузы»: в 2019 году ФСБ потребовало «круглосуточный доступ» к десятку интернет-сервисов, включая «Хабр»
    +1

    Согласен, допустил неточность.

  • Источник «Медузы»: в 2019 году ФСБ потребовало «круглосуточный доступ» к десятку интернет-сервисов, включая «Хабр»
    +4

    Бинго! Хоть кто-то понимает, что за ключи требуют с ОРИ и что это значит для пользователя.