• Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    –15

    Мальчик, ты за последние два дня черт знает сколько раз менял структуру своего сайта. Там уже были и пропадали данные кредитки и яндекс кассы, появлялись и исчезали адреса на протон мейл и чего только не было. Не ври уже, умоляю. А то я твои прошлогодние шалости на реддите опубликую прямым текстом здесь или на пикабу :-) Там и посмотрим, сколько фанатов у тебя останется на пикабу и как быстро ты найдешь работу В ЭТОЙ стране. Да, можешь это тоже в угрозы записывать, мне тащемта плевать, не я тебя заставлял такие фоточки выкладывать, проказник Алиска :-)


    З.Ы. За минуса спасибо, но если ты не заметил, мне уже плевать :-)

  • Что грозит Burger King
    0
    они делают исключения в фильтрации для более чем 1300 сервисов с финансовой и другой важной приватной информацией

    AppSee/e-Legion/BK тоже заявляют, но им это, как мы видим, не особо помогает — толпа лютует. Но та же толпа рекомендует друг другу добавлять appsee в AdGuard для защиты.


    Счастье в неведении. Как думаете, какой процент пользователей Adguard читал документацию? Я думаю, не больше 1%. Зачем ее читать, если друг Вася посоветовал. Друг Вася плохого советовать не станет. Люди не читают документацию, а верят другим людям, надеясь на то, что эти "другие люди" её прочли. В итоге никто её не читает. И уж тем более никто не пытается разбираться, что происходит внутри этой черной коробки с монитором — ВК/ОК загружаются и отлично. И вот это отсутствие желания разбираться и святая вера в "простого человека" приводят к тому, что население начинает верить любому чудаку, который с умным видом и картинками (а уж если с видео, так вообще 100% правда) объясняет им, что их пытаются обмануть злые корпорации/правительство/рептилоиды. Причем это относится не только к этому случаю и IT. Проблема глобальнее. Отказники от прививок, враги ГМО, свидетели химтрейлов или адепты плоской Земли, все они олицетворяют собой одну проблему — при недостатке знаний и отсутствии доверия к власти, население начинает больше верить "простому человеку", а не "коварному вождю/корпорации". И не важно, что "простым человеком" могут двигать не совсем благородные цели, а, в лучшем случае, психиатрические нарушения и/или невежество, толпа рада верить тому, что их сомнения в существовании заговора не беспочвенны. Ведь согласитесь, всегда приятнее знать, что все неудачи в твоей жизни результат воздействия третьих сил, а не твои личные просчеты. Особенно это заметно в странах вроде нашей, где паранойя существует не только сама по себе, но она еще и подпитывается той самой властью через СМИ — кругом враги, будь бдителен. Результат налицо — мы не поняли, что там произошло, но давайте сожжем БК и легион заодно, ибо нефиг.

  • Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    –7

    Поиск работы и донаты исчезли. Весь кипеш затевался из-за 300 долларов в биткоинах что ли (https://www.blockchain.com/ru/btc/address/18c5YugMhz6gsAxtLzdBfo9uDZcqdgywq8)? ЧуднО.

  • Что грозит Burger King
    +1

    Вы же понимаете, что после установки в систему "левого" CA аналитика AppSee это меньшая из ваших потенциальных проблем? Ну, т.е. вы же понимаете, что все данные из браузера окажутся в свободном доступе. Да и cert pinning используется в основном в финансовых приложениях (года 3 назад этим даже VK не заморачивался), что говорить об остальных.


    Про установку и использование AdGuard я вообще промолчу. Ставить прокси приложение без исходников и добавлять его CA в систему для борьбы со слежкой — ОЧЕНЬ странная затея. На основании чего пользователи верят им, но не верят AppSee, которая утверждает, что никакие данные никуда не передаются? Я предполагаю, потому что пользователям никто не объяснил, как это работает и к чему подобное приложение имеет доступ, а сами они никогда не задумывались над этим вопросом. Это, кстати, идея для нашего Фенька — можно разоблачить AdGuard.

  • Что грозит Burger King
    0

    Вы ошибаетесь. Сертификаты проверяются приложением и наш "исследователь" установил в систему свой CA сертификат, чтобы обойти эту проверку. Поэтому я и уточнил "без ножа к горлу".


    Да, у AppSee нет HSTS, но это немного про другое и простых методов использования этой уязвимости нет. Вернее, если у вас есть возможность ее использовать, выгоднее идти и сразу ломать Сбербанк Онлайн — там тоже нет HSTS, а процент тех у кого есть карточка сбера явно больше чем процент тех, кто будет в бургерной в первый раз подключать карточку.

  • Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    0

    А вы думаете, что каждое приложение с AppSee принимает банковские карты?


    Даже если открыть список тех фирм, которые они не постеснялись выложить на странице Customers, там из тех, в которых прием карт будет уместен, разве что Gett, да ebay. Но какова вероятность того, что пользователь будет вводить данные карточки что того, что другого в бургерной или другом общественном месте? ebay — даже представить сложно, зачем это может понадобиться — там карту обычно привязывают еще в веб интерфейсе; gett — ну, теоретически, возможный вариант, но если юзер собирается уехать из бургерной, я полагаю, он и приехал в нее на том же гетте, т.е. карточка уже в системе.


    А если это не кредитка, то какую прайваси информацию можно выудить из среднестатистического приложения в телефоне (напомню, AppSee может записывать исключительно то приложение, в котором установлено)? Тем более с тем качеством видео, которое AppSee записывает (10/10 шакалов) — там же даже непонятно, что на половине картинок, не говоря о тексте.

  • Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    +5

    По существу вам есть что ответить? Или продолжите свои регалии перечислять и объяснять, как к вам обращаться?

  • Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    +2

    https://www.ssllabs.com/ssltest/analyze.html?d=online.sberbank.ru


    Strict Transport Security (HSTS) No
    HSTS Preloading Not in: Chrome Edge Firefox IE


    Ваш выход, ломайте их полностью! Куш будет исчисляться триллионами рублей! Это вам не бургерную ломать.


    Я к тому, что хватит уже сыпать аббревиатурами о которых вы прочитали 10 минут назад в википедии, и без которых, как вам кажется, все вокруг — решето. Да, HSTS, DNS CAA и прочие заклинания повышают безопасность, но против таких специфических векторов атак, которые против посетителя бургерной никто в здравом уме применять не станет. Ну вот скажите, вы реально думаете, что кто-то придёт в "макдачечную", развернет там фейковую АП, сигнал которой будет перебивать стационарную, будет подменять DNS, фейкать API AppSee и надеяться, что клиенты будут вбивать номера карт прямо на месте, а не придут с уже настроенным приложением? Я молчу про то, что большая часть карт сейчас идет с 3-D Secure и вектор атаки на сами деньги становится совсем непонятным. Паранойя паранойей, но лично мне не 18 лет и я понимаю, что человек способный УСПЕШНО провернуть атаку подобного рода не будет размениваться на клиентуру БК.

  • Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    +1

    Ой, смотрите, что я нашел. Неужели это Fennikami упоминают? Да еще и в контексте необоснованных обвинений? Ну, настоящий "пентестер"


    https://www.reddit.com/r/sideloaded/comments/8t4gd1/meta_official_appvalley_statement/

  • Что грозит Burger King
    +4
    Обычный MITM в публичном WiFi организовать утечку ДДК

    Покажите, пожалуйста, пример HTTPS MITM. Я согласен даже на "необычный", который не включает в себя нож к горлу владельца мобильного, если "обычный" окажется слишком сложным.

  • Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
    +4
    Для автора это превратилось в некую священную войну.

    Самое время задать вопрос — cui prodest? Еще 11 числа в своем бложике автор писал:


    Моей личной целью в этой истории было донести тот простой факт, что шпионство просто недопустимо. Ни под каким предлогом, нарушению приватности нет оправдания.
    Я эту цель выполнил.
    К теме Burger King больше не возвращаюсь.

    Правда потом он вернулся с постом


    А нет, возвращаюсь
    Хотели видос с пруфом что ничего не замазывается? А вот пилю

    А вот сейчас пойдут "размышления" в стиле автора. Второй пост появился после ответа eLegion в котором они сослались на скриншот автора и пояснили, что замазывать/не замазывать поля определяется в JSONе (https://habr.com/company/e-Legion/blog/417043/ картинка https://habrastorage.org/webt/mh/p5/8q/mhp58qnhsmfxxmojfyrfzewtmce.jpeg). Из этого, опять же в стиле автора (!), я делаю вывод — изначально он хотел "слиться", но получив дополнительную информацию, решил продолжить свою "борьбу", изменив поведение приложения (путем подмены ответов сервера appsee в том же Fiddler) и записи видео, которое не имеет отношения к реальному поведению приложения. Может ли он доказать обратное? Нет. Стоит ли доверять подобному "пруфу"? Ну, ХЗ, у нас 67% населения верит в мировое правительство, так что, безусловно, можно.

  • Burger King и тайная запись экрана вашего телефона
    –41

    Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто (полагаю, CP мешает тебе "ковырять приложения" и вызывает чувства сходные с благоговением — это ведь магия, раз фиддлером не поснифать трафик!)? В браузерах его в принципе нет, но что-то никто на эту тему не парится, но при этом люди спокойно вводят данные своих кредиток.

  • PushAll Auth — аутентификация и обратная связь с пользователем
    0

    Забейте, мой вам совет. У Олега, если вы почитаете его остальные посты, пуши заменяют абсолютно всё. RSS — г-но, пуши лучше. Мобильные приложения — г-но, пуши лучше. Боты и каналы в телеграме — г-но, пуши лучше. Почта — г-но, пуши лучше. Думаю, на следующем этапе, он выскажет мысль, что и сайты уже не нужны, лучше пуши. Надо просто подождать.

  • Раскрутка нового агентства на upwork с нуля — личный опыт
    0

    Ну, как бы в опциях поиска есть возможность выбрать фрилансеров, прошедших тест на определенный процент. Да, понятно, что ответы ищутся в интернете, но Апворк пытается бороться с этим по мере сил — в особо популярных тестах часто меняют вопросы и увеличивают срок между пересдачами (вроде Вордпресс сейчас раз в 6 месяцев можно пересдавать).

  • Раскрутка нового агентства на upwork с нуля — личный опыт
    +1

    На платном точно так же — конкретные цифры с кол-вом подавших ставки упразднили. Все, что добавляется — возможность смотреть на вилку ставок, но это, честно говоря, малоинтересно.


    Ну и на платном у вас еще и коннекты копятся, но в свете последних событий (баны за низкую конверсию) это не очень интересно.

  • Раскрутка нового агентства на upwork с нуля — личный опыт
    +2

    Вопрос тут только в том, насколько долго вы сможете удерживать в агентстве программистов с раскрученными профилями, платя им значительно меньше, чем они реально зарабатывают… Хотя, судя по фамилиям, у вас там как минимум два, может на родственных связях и удержите.


    И да, я осознаю, что в "обычных" фирмах исполнителю тоже платят меньше, чем он реально зарабатывает для фирмы (иначе фирма разорилась бы, ага). Но в таких фирмах и цепочка от исполнителя до клиента длиннее и включает в себя других исполнителей. Работая инженером-конструктором сложно продать какую-то свою услугу клиенту, желающему приобрести автомобиль. В вашем же случае нет никаких объективных преград, мешающих программисту отказаться от ваших посреднических услуг и уйти на "вольные хлеба", оставив фирму (по сути, только вас) самостоятельно размышлять о сложностях налогообложения в РФ.

  • Раскрутка нового агентства на upwork с нуля — личный опыт
    0
    меньше ответственности,
    меньше зависимость от каждого клиента
    меньшей вовлеченности подрядчика в проект.

    И в итоге меньшее удовлетворение от успешно завершенного проекта, поскольку сами вы тут так, сбоку припёка, и его успешное завершение/провал от вас никак не зависят. Хотя, если жить по принципу "здесь вообще все просто так, кроме денег", наверное, получение комиссий тоже может приносить радость.

  • Раскрутка нового агентства на upwork с нуля — личный опыт
    +1
    Вы в России живете? 40 * 35 * 4 = 5600 * 0.9 = 5040 * 0.87 = 4380 * 65 = 285000 рублей. Много вакансий в России для фуллстеков за такие деньги? Да черт с ней с Россией, 52К в год после вычета налогов это и в США неплохие деньги (если не брать в расчет СФ).
  • В Беларуси начались блокировки Tor
    +3
    А че тут знать. По слухам, этим занималась вот эта фирма https://www.gammagroup.com/ (другая версия гласит, что не англичане, а австрийцы, но однозначно какие-то европейцы). Местные бараны (без оскорблений, просто констатация факта, что в условиях, когда все заблокировано сложно растить АйТи специалистов) там только в качестве позвонить в поддержку, если «загорелась красная лампочка». А англичанам, сами понимаете, строго пофиг на то, что творится с правами человека в очередной банановой республике.
  • Product API от Fetchee: автоматический парсинг товаров интернет-магазинов
    0

    ID не с потолка, а, судя по его виду, из MongoDB в которой хранятся результаты парсинга. Посмотрите на примеры в статье, там тоже нет "локальных" ID. Я вообще сомневаюсь в возможности "вытащить" "локальный" ID с помощью "универсального" парсера.


    Да и по поводу цены сложно товарищей винить — "89 900,-" это очень необычный формат обозначения валюты.

  • Пару слов о переезде на Кипр
    +5

    Простите, но зачем, если у меня есть 2 миллиона евро и "подтверждение законного источника происхождения капитала" мне нужно гражданство Кипра? За 250К покупается гражданство Сент-Китс и Невис (которое купил Паша Дуров) и всё. На оставшиеся 1.75 миллиона можно жить хоть на Кипре, хоть в Бразилии.

  • Что произошло, когда я освободила свой дом от лишних вещей
    +11

    Хабр про продажу копроративныхх блогов, в которых можно нести любую чушь.

  • [Обзор] Logitech G810 Orion Spectrum. Чудо эргономики
    0
    Человек говорит об эргономике, которой в G810 не видно — обычная доска, коих миллионы на любой кошелек. А вот альтернатив эргономичной серии MS на массовом рынке фактически нет. Да, есть Kinesis, есть Truly Ergonomic, но конкретно в России ни ту, ни другую не купишь, да и цены на них несколько отличаются от MSовских.
  • Теперь ваш HTTPS будет прослушиваться, а сертификат для MitM вы должны поставить сами
    0
    Вы действительно думаете, что хоть у одного из этих «банановых» режимов есть научные ресурсы для создания подобных систем? Ну да, вот у Китая есть, но их там полтора миллиарда, да и в итоге работает их «Золотой Щит» определенно хуже той фигни, которую тот же пятимилионный Туркменистан приобрел у немцев. У остальных же все бабло уходит примерно на то же, что и у наших олигархов — дворцы, брюлики, самолеты, кони, бентли. Не предлагаете же вы им вместо этого вложиться в образование собственных граждан? Где гарантия, что потом эти образованные напишут для вас систему для слежки за самими собой, а не лишат великого лидера всего награбленного заслуженно заработанного?
  • Всё плохо: Почему оценка фриланс-биржи Upwork скоро может стать нулевой
    +1
    С технической стороны все эти маректплейсы это очень просто, но там ведь не в сайте дело. С шишом в кармане на этом рынке делать нечего. Видите, у апворка на старте было 14 лямов инвестиций, не говоря о том, что пользовательскую базу они слили с одеска и еланса, т.е. стоимость привлечения первоначальных клиентов была нулевая. Итог мы видим в статье. А если открывать совсем новую биржу, нужно еще N миллионов на пиар и привлечение первоначальных клиентов и фрилансеров. При этом, учитывая историю с апворком, будет сложно объяснить инвестору, что деньги хотя бы отобьются.
  • Всё плохо: Почему оценка фриланс-биржи Upwork скоро может стать нулевой
    +1
    Не травите. Как вспомню, так плакать хочется.
  • В США обнаружен первый случай заражения бактерией, устойчивой к антибиотику «последнего резерва»
    +1
    Блумберг будет достаточно авторитетным источником, чтобы вы поверили, что ими кормят животных? http://www.bloomberg.com/news/features/2016-03-29/antibiotic-apocalypse-fear-stoked-by-india-s-drugged-chickens
  • В США обнаружен первый случай заражения бактерией, устойчивой к антибиотику «последнего резерва»
    +27
    Природа как бы намекает, что если кормить кур антибиотиками, чтобы прокормить стада китайцев, писец придет не только к этим китайцам. А ведь у нас есть еще Индия, в которой использование антибиотиков тоже никто не контролирует. Короче, не зря Маск так на Марс рвется.
  • Google Play появится в Chrome OS в этом году
    +1
    Вендекапец?

    Нет, ну в среднем же, обычному домашнему юзеру, не играющему в мощные игры, функционала ХромОС более чем достаточно. Тем более тут игры из гуглплея, некоторых из которых под винду вообще нет. Тяжеловато МС придется, особенно если дадут возможность ставить на любой ПК.
  • Зайцев Нет под Android — история создания
    0
    Вы наивно полагаете, что подобное приложение прошло бы аппрув в Appstore?
  • Вице-премьер РФ Дмитрий Рогозин: отмена запуска на «Восточном» — это мистика
    +35
    Это какое-то сильное колдунство, раз освящение перед стартом не помогло. Ну, или попа надо проверить на служебное соответствие.
  • Налог на тунеядство — российская альтернатива БОД
    0
    Наверное, чтобы налоговая не докапывалась. Слышал, что они с особым усердием проверяют те конторы, где ЗП минимальная.
  • 14-летний подросток из Молдовы создал игру, приносящую ему $4500 в месяц
    +2
    Chromium BSU я помню еще по Mandriva в 2003 году.
  • Upwork меняет сумму комиссии
    +1
    serkys Kirpa вот отзыв товарища по Upwork Pro web-dev за конец февраля https://smartprogress.do/goal/122922/?post=1194857
  • У Upwork проснулась монопольная жадность
    +1
    Я надеюсь, что вы точно все посчитали и поняли, как оно будет работать. Если в год с клиента вы делаете 4000 долларов, то в плюс по процентам вы выйдите лишь на четвертый год сотрудничества (11К+ заработанного с одним клиентом). До суммы в 11К (включительно), вы отдаете апворку больше нынешних 10%.
  • У Upwork проснулась монопольная жадность
    +1
    Если мне не изменят память, Freelancer.com начал резать количество бесплатных бидов и вводить премиум тарифы где-то за 6 месяцев до выхода на IPO, когда стало необходимо нарастить «жирка». Но там слухи о самом выходе на биржу ходили больше, чем за год. Опять же, к выходу на IPO обычно покупают конкурентов (я попал на Freelancer после покупки им vWorker (Rent-A-Coder)), чисто ради того, чтобы объявить, что «у нас 100500 миллионов пользователей». А тут видится просто попытка получить больше денег с массового сегмента, при этом не особо заботясь о лояльности этого самого сегмента.
  • У Upwork проснулась монопольная жадность
    +1
    Они же вроде не публичные, куда им выходить?
  • У Upwork проснулась монопольная жадность
    +2
    О да, это «особенность» Freelancer.com на которой он делает офигенные деньги. Как? Вы берете контракт на 100 баксов, с вас снимают 10 баксов, а потом оказывается, что заказчик — «мошенник» и его аккаунт блокируется. Но вот 10 баксов вам уже никто не вернет :-) Именно поэтому без предварительного чтения советов бывалых о том, как определить нае*щика, делать на Freelancer.com нечего.

    Печалит то, что на рынке фриланс-маркетплейсов мы имеем идеальный пример «аксиомы Эскобара» в реальной жизни. До повышения процентной ставки с оговорками (привет, JSS), но можно было считать отдушиной Upwork, теперь же уровень маразматичных особенностей на всех биржах примерно одинаков.
  • Upwork меняет сумму комиссии
    +8
    Не напомните, когда был референдум на Апворке по поводу повышения процентной ставки? Может я просто не слышал про него, а по факту 96% проголосовало за и я в меньшинстве.
  • Upwork меняет сумму комиссии
    +5
    Ну, не знаю. Средняя ЗП в моем городе (райцентр) по данным Росстата — 18000 рублей (276 долларов). При этом реальная находится в районе 12000 рублей. Про наличие работы для программиста отличной от «программист-1С» в городе с населением 30К человек, я думаю, говорить не надо. На проект за 135 баксов уходит обычно 1-2 дня, поэтому, лично для мне, это вполне себе альтернатива замене тонера в картридже в бухгалтерии.

    Конкретно в ситуации с апворк напрягает тот факт, что пацаны решили драть больше, чем дерет с граждан наше родное государство. При этом они не могут внятно объяснить, на что пойдут эти деньги. Государство хотя бы часть тратит на те же пенсии, а тут все пойдет на неведомую «компенсацию расходов на обслуживание».