Что я понял про российский IT-бизнес... начинайте фиксировать с первой минуты. Каждое письмо, каждый акт, каждый звонок (если законодательство вашего региона позволяет запись без согласия).
Это с каких пор законодательство региона стало в РФ выше федерального законодательства? В пункте 55 Постановление Пленума Верховного Суда РФ от 23.04.2019 N 10 "О применении части четвертой Гражданского кодекса Российской Федерации" какие требования к доказательствам в виде записей и скриншотов. Выдержка из этого пункта:
Для признания аудио- или видеозаписи допустимым доказательством согласия на проведение аудиозаписи или видеосъемки того лица, в отношении которого они производятся, не требуется.
как собираетесь предоставлять файлы в суд, если не знаете про ГАС "Правосудие"? Распечатаете его? Тогда это уже будет не электронный документ. И представлять это в суд смысла не вижу. Это следует из Постановления Пленума ВС РФ № 57 "О некоторых вопросах применения законодательства, регулирующего использование документов в электронном виде в деятельности судов общей юрисдикции и арбитражных судов" от 26.12.2017:
электронный документ – документ, созданный в электронной форме без предварительного документирования на бумажном носителе, подписанный электронной подписью в порядке, установленном законодательством Российской Федерации;
И в ГАС "Правосудие" можно приложить и файл, и электронную подпись, которой он подписан
Форма подачи документа в ГАС "Правосудие" предусматривает прикрепление электронной подписи для подтверждения
Слышали про "золотые парашюты" для всяких руководителей отделов и топ-менеджмента? Это и означает, что их выплачивали в соответствии с увольнением по соглашению сторон. И бывали случаи, когда кто-то из них возвращался обратно.
Кроме того, если хочется уйти по собственному желанию (вместо договора по соглашению сторон), не имея на руках офера и не зная когда сможете трудоустроиться сейчас - просто чтоб была возможность в будущем вернуться к бывшему работодателю - Ваше право.
Почитал все комментарии в той ветке и всё равно не понял. Речь о том, что заключённый в электронном виде трудовой договор будет невалидным на момент подачи иска т.к. срок действий подписи уже прошёл? Ну, во-первых, законодательство предусматривает, что отсутствие трудового договора - не повод считать, что трудовых отношений нет. И это работодатель должен доказывать, что трудовых отношений нет. Так из пункта 21 Постановления Пленума Верховного Суда РФ от 29.05.2018 N 15 :
При разрешении споров работников, с которыми не оформлен трудовой договор в письменной форме, судам исходя из положений статей 2, 67 ТК РФ необходимо иметь в виду, что, если такой работник приступил к работе и выполняет ее с ведома или по поручению работодателя или его представителя и в интересах работодателя, под его контролем и управлением, наличие трудового правоотношения презюмируется и трудовой договор считается заключенным. В связи с этим доказательства отсутствия трудовых отношений должен представить работодатель
И как будет работодатель доказывать, что трудовых отношений нет, если он раз\два в месяц систематически перечислял деньги работнику (если платили на карту - просто запросить выписку из своего банка и предоставить суду)? А запись в электронной трудовой (чем электронная и хороша) о приёме на работу как аннулировать будет?
Во-вторых, при подаче электронных документов через ГАС "Правосудие" есть проверка действия электронного сертификата. И там указана причина невалидности электронного документа. По ней видно, что электронный документ сейчас невалиден из-за окончания срока действия подписи. При этом в документе прекрасно видно когда он был подписан и видно, что подпись действовала на тот момент времени.
Я подавал в Верховный Суд РФ документы (раз 10). И обязательно предоставление постановлений предыдущих судов в электронном виде. И почти всегда выдавалась ошибка по решению суда первой инстанции. Потому что решение суда было года 2-3 назад. И ни разу мне не приходилось перезапрашивать новый вариант решения суда первой инстанции, переподписанный заново - чтоб пройти проверку из-за окончания срока действия электронной подписи.
А зачем идти обратно? Ещё и туда, откуда по сути выгоняли. Находишь новую работу - что не мешает судиться и взыскать с бывшего работодателя солидные средства
Специально для тех, кто ни разу не писал статей\постов для Хабра: там есть опция "запланировать публикацию". Пишешь когда хочешь и по таймеру будет опубликовано
Когда подан иск? Согласно статье 392 ТК РФ - есть месяц на подачу иска. Если даже суд примет иск - есть риск, что Ответчик заявит о нарушении срока давности. Стоит подумать о ходатайстве о восстановлении срока (и чем это ходатайство можно подкрепить). Юридические нюансы по вопросам оспаривания увольнения я раскрывал в статье Что нужно знать работнику про увольнение.
Параллельно поданы заявления в Государственную инспекцию труда и Прокуратуру.
Был от туда ответ: Сколько времени уже прошло? У них есть срок ответа - 1 месяц (+ 3 дня - на регистрацию обращения). И, как показывает моя практика - такие структуры очень любят нарушать сроки ответа (вплоть до отсутствия ответа).
Как людям удобнее усваивать информацию — с бумаги или с экрана? Зависит от экрана
А где анализ экранов? По большей части сказало лишь про содержимое экрана (веб страницы и т.д).
От себя добавлю, что есть разница между чтением с бумаги и экрана. Это влияет на усталость глаз. Первое и очевидное - качество картинки: усталость глаз падает с повышением частоты картинки (подробнее в статье Зачем рабочему монитору большая частота обновления, если вы не геймер). Второй фактор: глянцевый\матовый экран - тоже влияет: днём сложно сидеть за глянцевыми экранами (передаю привет всем этим рекламным фото и историям: "я удалёнщик, сижу в макбуке под пальмой")
От себя добавлю: долгое одинаковое фокусное расстояние (весь день за монитором) тоже сказывается на усталости глаз. Я использую утилиту SafeEyes для разминки глаз. Полностью проблему не решает. Но, хотя бы становится лучше
При рассмотрении дела о восстановлении на работе лица, трудовой договор с которым расторгнут по инициативе работодателя, обязанность доказать наличие законного основания увольнения и соблюдение установленного порядка увольнения возлагается на работодателя.
По сути истцу достаточно подать иск о незаконном увольнении, указав очень кратко, что считает его незаконным. И даже не факт, что есть смысл придти в суд (если это затруднительно). Пошлину по иску платить не нужно. Все судебные расходы (экспертиза, юридические услуги) работнику будут компенсированы вне зависимости от того выиграет он суд или нет (см Определение Верховного Суда от 31 мая 2021 г. N 41-КГ21-14-К4).Т.е. истец ничем не рискует. А вот работодатель если пропустит суд - не выполнит свою обязанность по доказыванию законности увольнения.
Даже если суд затянется - истец получит компенсацию от работодателя в виде з\п за каждый месяц, который он не работал (с момента увольнения и до последнего вступившего в силу решения суда). Т.е. даже работодателю не особо-то и выгодно оспаривать решение суда. При этом ничего не мешает работнику найти новую работу за время суда - это не снимает обязанности по выплате бывшему работодателю по вышеуказанной формуле (просто скорректирует требование в иске - уберёт требование о восстановлении на прежней работе).
человек после увольнения получает социальную поддержку
увольнение за излишнюю активность не является актом чрезвычайной жестокости.
Это вопрос уже сильного государства.
У Вас как-то размазалась ответственность государства и работодателя. Вы описываете какую-то конкретную страну или вымышленный фантастический мир?
Сейчас в РФ: при трудоустройстве по ТК РФ человека уволить за излишнюю активность чревато судебными тяжбами и восстановление уволенного в штат. И потом гадать: когда он сам уволится и уже тогда придётся экстренно искать кем его заменить (вряд ли возвращённый по суду сотрудник прям желает работать до пенсии - он это сделал просто потому, что не нашёл другое место работы). Можно уволить по соглашению сторон: стороны договариваются о компенсации. И это всё - мимо государства (разве что государство не берёт налог НДФЛ, с той части компенсации, которая составляет не более 3-х окладов, с превышающей части налог берётся).
Уволить человека по любой причине можно, если он не работал по ТК РФ. Но, тут уж государство не при чём - человек сам решил в это идти. Здесь привет всем, кто работал в стартапах за крипту, был "гражданином мира", уехав в 2022 из РФ. А в 2025-2026 столкнулся с криптозимой: увольнением одним днём и сложностями с поиском новой работы.
Вопрос - как это подать, что нужны изменения, в каком виде, это важно.
Давайте начнём с вопроса: а кому эти ваши изменения нужны? Если компанию (в лице руководства) всё устраивает - зачем пытаться им что-то объяснять?
Посмотрим на ситуацию по-другому: вы хотите работать в компании, где рабочие процессы более зрелые. Попытались подсветить болевые точки - лучше не стало. По сути это значит, что изменения нужны Вам, а не компании. Может, честно сказать себе, что в этой компании бесполезно ожидать изменений и стоит искать другую, где процессы будут лучше?
Даже открытые аудиты - такое себе. Например, есть корпоративный блокчейн Hyperldeger Fabric с открытым исходным кодом. И есть аудиты от нескольких компаний. В аудитах пишут про хорошую архитектуру. При этом архитектурно реализовано не брать пример с других блокчейнов (где есть общая метка времени на блок, и метка времени следующего блока не может быть ниже предыдущего), а сделать так, что у каждой транзакции в одном блоке - своё время (при этом берётся оно от клиента). Это всё вылилось в возможность манипуляции временем со стороны клиента (как целенаправленная атака, так и из-за банального сбоя времени у клиента). Подробнее писал в статье Как я зарегистрировал CVE и разозлил вендора. Этого анализа в аудитах не было. Я уж не говорю сколько различных уязвимостей с присвоением CVE было найдено в продукте после этих аудитов. В т.ч. не заметили уязвимость критического уровня, всплывшую только в 2026. Что поднимает вопрос компетентности аудиторских фирм в особенностях проекта, который они изучают: точно ли они знают особенности модели угроз?
Одно замечание (как человека с юридическим опытом, в т.ч. неоднократно обращался в Верховный Суд и Конституционный Суд). Видимо, юридической практики у Вас нет. Решения Верховного Суда по отдельным делам не имеют юридической силы по другим делам. По сути оно имеет такую же силу, как, например, решение любого апелляционного\кассационного суда. А вот что имеет силу - так это решения\определения Конституционного Суда и Постановления Пленума Верховного Суда.
Это следует из п 4 Постановления Пленума Верховного Суда РФ от 19.12.2003 N 23 "О судебном решении" (ссылка на пункт 4):
Текст из п 4 Постановления Пленума Верховного Суда РФ от 19.12.2003 N 23 "О судебном решении"
Суду также следует учитывать:
а) постановления Конституционного Суда Российской Федерации о толковании положений Конституции Российской Федерации, подлежащих применению в данном деле, и о признании соответствующими либо не соответствующими Конституции Российской Федерации нормативных правовых актов, перечисленных в пунктах "а","б","в" части 2 и в части 4 статьи 125 Конституции Российской Федерации, на которых стороны основывают свои требования или возражения;
б) постановления Пленума Верховного Суда Российской Федерации, принятые на основании статьи 126 Конституции Российской Федерации и содержащие разъяснения вопросов, возникших в судебной практике при применении норм материального или процессуального права, подлежащих применению в данном деле;
А также из Закона "О Конституционном суде".
Юридическая сила решений Конституционного суда
Согласно Закона «О Конституционном Суде Российской Федерации» решения Конституционного Суда обязательны на всей территории Российской Федерации для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений (статья 6). Решение Конституционного Суда Российской Федерации действует непосредственно и не требует подтверждения другими органами и должностными лицами (статья 79)
Да, многие юристы любят ссылаться на позицию Верховного Суда по отдельному делу. Но, это не значит, что эта позиция соответствует Законам. Как признался юрист одной компании: они в курсе, что ссылка на определение Верховного Суда не имеет юридической силы. Но, они это делают намеренно "исходя из личной юридической практики". По сути речь о том, что некие нижестоящие суды либо боятся перечить позиции Верховного Суда, либо прикрываются им, чтоб не разбираться самим в особенностях конкретного дела.
Было бы здорово если бы в статью добавили про отмену рейсов SSJ-100 (в 2025 году) из-за неподходящего давления. А также объяснить когда ждать ухода этой проблемы.
а о том, что у ВК ссылки на фотки тоже всегда были публичные, никто почему-то не вспоминает
Вы там ниже написали, что бремя доказательства лежит на утверждающем. Не соизволите последовать своим же словам и доказать? Ну, и чтоб не было скучно: в статье (Уязвимость «ВКонтакте» позволяла получить прямые ссылки на приватные фотографии) указано, что проблему исправили в 2015. А в комментарии к статье человек (который, согласно статье имел связи с разработчиками ВК) указал, что фикс сделан в виде проверки права доступа (в ответ на уточняющий вопрос: "начали проверять права при доступе или просто усложнили процедуру подбора URL?"). Т.е. Ваше утверждение про "всегда были публичными" вот уже 11 лет как потеряло актуальность.
Создатели ссылок не могут нести ответственность за какие-то левые расширения. Как я уже отметил, они с таким же успехом могут красть и пароли, и весь остальной access control из этого вашего OWASP
По этой логике - за утечки из-за SQL-инъекции должны нести ответственность хакеры, которые им воспользовались. А разработчики тут ни при чём: не могут же они нести ответственность за какие-то там кавычки в запросах! Как в том анекдоте:
"Полиция, помогите, у меня сумку украли! - Это не мы, Вам к ворам надо!"
Я так полагаю, помимо "этого вашего OWASP", разработчикам побоку и "этот ваш Secure by design"? Можете рассказать: к каким продуктам Вы руку приложили? Чтоб обходить их стороной.
Как я пояснил выше, с архитектурой ссылок никаких проблем нет, или по крайней мере вы до сих пор не доказали обратное
Я говорил про угрозы (обычная практика при построении безопасной архитектуры). А не про доказательство чего-то. Тем более человеку, который игнорирует общепринятые принципы безопасной разработки (OWASP, Secure by design и т.д.). Но, если Вам так нравятся доказательства - почему бы не начать с себя и не представить доказательства того, что в Wayback Machine ссылки на файлы (и access-токены в GET-запросах) попадают исключительно из-за пользователей? По крайней мере, Вы этого до сих пор не доказали.
Если пользователь сам добровольно сгружает свои персональные данные в Wayback Archive, то почему это уязвимость?
С чего взяли, что пользователь сам сгружает туда свои персональные данные? Я в статье привёл сомнения по этому моменту. А, может, это уволившийся сотрудник решил отомстить работодателю и сохранил в WayBack все ссылки, которые нашёл в логах, к которым имел доступ (но, по должности не должен был иметь)?
Вы, видимо, не в курсе: что вообще и в каком количестве есть в WayBack Machine. А там данных очень много. И они - от кучи разных пользователей. Как я уже указывал, если в массовое сохранение pdf пользователями ещё можно хоть как-то поверить. То в массовое сохранение json - вообще не верится.
Ссылка с json сохранена в WebArchive спустя 5 секунд
В статье есть эта картинка
Ну так предъявляйте претензии к Яндексу и к этим расширениям, а не к авторам ссылок.
Вы забыли ещё и про сами браузеры, которые собирают кучу данных. Ситуация: разработчик игнорирует рекомендации OWASP по безопасной разработке: "Additionally, use complex identifiers as a defense-in-depth measure, but remember that access control is crucial even with these identifiers." Что приводит к попаданию данных в Яндекс Метрику и краже URL браузерными расширениями. В конечном итоге ведёт к утечкам. Стоило только выполнить выше указанные рекомендации OWASP - проблема бы исчезла. Но, нет: вместо этого нужно найти на кого перевести стрелки.
А кому предъявлять утечку через URL из-за доступа к логам веб сервера (из-за плохой политики доступа, где любой сотрудник может получить доступы к логам)? Опять крайнего искать будем, вместо реализации безопасной разработки, которая бы исключила эту ситуацию на уровне архитектуры?
Это с каких пор законодательство региона стало в РФ выше федерального законодательства? В пункте 55 Постановление Пленума Верховного Суда РФ от 23.04.2019 N 10 "О применении части четвертой Гражданского кодекса Российской Федерации" какие требования к доказательствам в виде записей и скриншотов. Выдержка из этого пункта:
как собираетесь предоставлять файлы в суд, если не знаете про ГАС "Правосудие"? Распечатаете его? Тогда это уже будет не электронный документ. И представлять это в суд смысла не вижу. Это следует из Постановления Пленума ВС РФ № 57 "О некоторых вопросах применения законодательства, регулирующего использование документов в электронном виде в деятельности судов общей юрисдикции и арбитражных судов" от 26.12.2017:
И в ГАС "Правосудие" можно приложить и файл, и электронную подпись, которой он подписан
Форма подачи документа в ГАС "Правосудие" предусматривает прикрепление электронной подписи для подтверждения
Это утверждение подкреплено какими-то конкретными фактами? Или это - просто Ваше субъективное мнение?
Слышали про "золотые парашюты" для всяких руководителей отделов и топ-менеджмента? Это и означает, что их выплачивали в соответствии с увольнением по соглашению сторон. И бывали случаи, когда кто-то из них возвращался обратно.
Кроме того, если хочется уйти по собственному желанию (вместо договора по соглашению сторон), не имея на руках офера и не зная когда сможете трудоустроиться сейчас - просто чтоб была возможность в будущем вернуться к бывшему работодателю - Ваше право.
Почитал все комментарии в той ветке и всё равно не понял. Речь о том, что заключённый в электронном виде трудовой договор будет невалидным на момент подачи иска т.к. срок действий подписи уже прошёл?
Ну, во-первых, законодательство предусматривает, что отсутствие трудового договора - не повод считать, что трудовых отношений нет. И это работодатель должен доказывать, что трудовых отношений нет. Так из пункта 21 Постановления Пленума Верховного Суда РФ от 29.05.2018 N 15 :
И как будет работодатель доказывать, что трудовых отношений нет, если он раз\два в месяц систематически перечислял деньги работнику (если платили на карту - просто запросить выписку из своего банка и предоставить суду)? А запись в электронной трудовой (чем электронная и хороша) о приёме на работу как аннулировать будет?
Во-вторых, при подаче электронных документов через ГАС "Правосудие" есть проверка действия электронного сертификата. И там указана причина невалидности электронного документа. По ней видно, что электронный документ сейчас невалиден из-за окончания срока действия подписи. При этом в документе прекрасно видно когда он был подписан и видно, что подпись действовала на тот момент времени.
Я подавал в Верховный Суд РФ документы (раз 10). И обязательно предоставление постановлений предыдущих судов в электронном виде. И почти всегда выдавалась ошибка по решению суда первой инстанции. Потому что решение суда было года 2-3 назад. И ни разу мне не приходилось перезапрашивать новый вариант решения суда первой инстанции, переподписанный заново - чтоб пройти проверку из-за окончания срока действия электронной подписи.
А зачем идти обратно? Ещё и туда, откуда по сути выгоняли. Находишь новую работу - что не мешает судиться и взыскать с бывшего работодателя солидные средства
Специально для тех, кто ни разу не писал статей\постов для Хабра: там есть опция "запланировать публикацию". Пишешь когда хочешь и по таймеру будет опубликовано
Когда подан иск? Согласно статье 392 ТК РФ - есть месяц на подачу иска. Если даже суд примет иск - есть риск, что Ответчик заявит о нарушении срока давности. Стоит подумать о ходатайстве о восстановлении срока (и чем это ходатайство можно подкрепить). Юридические нюансы по вопросам оспаривания увольнения я раскрывал в статье Что нужно знать работнику про увольнение.
Был от туда ответ: Сколько времени уже прошло? У них есть срок ответа - 1 месяц (+ 3 дня - на регистрацию обращения). И, как показывает моя практика - такие структуры очень любят нарушать сроки ответа (вплоть до отсутствия ответа).
Ой, как знакомо. Нередко с этим сталкиваюсь будучи аппсеком и багхантером. То утечка содержимого коротких ссылок в WebArchive - проблема пользователей (а не разработчиков, нарушающих рекомендации OWASP и не знающих что такое "Secure by design"). То в корпоративном блокчейне Hyperledger Fabric манипуляция временем со стороны клиента - это фича, а не бага (интегратор блокчейна сам как-то должен догадаться о потенициальных угрозах). А некоторые разработчики - так вообще не желают исправлять уязвимости в своём коде: "есть же WAF — на нём и делайте фикс, зачем нам-то в код лезть? WAF — он же для того и нужен, чтоб уязвимости устранять."
А где анализ экранов? По большей части сказало лишь про содержимое экрана (веб страницы и т.д).
От себя добавлю, что есть разница между чтением с бумаги и экрана. Это влияет на усталость глаз. Первое и очевидное - качество картинки: усталость глаз падает с повышением частоты картинки (подробнее в статье Зачем рабочему монитору большая частота обновления, если вы не геймер). Второй фактор: глянцевый\матовый экран - тоже влияет: днём сложно сидеть за глянцевыми экранами (передаю привет всем этим рекламным фото и историям: "я удалёнщик, сижу в макбуке под пальмой")
От себя добавлю: долгое одинаковое фокусное расстояние (весь день за монитором) тоже сказывается на усталости глаз. Я использую утилиту SafeEyes для разминки глаз. Полностью проблему не решает. Но, хотя бы становится лучше
На основании чего такой вывод? Явно не на знаниях в области Законов и судебной практики в этой области.
Это - проблема именно компании. Т.к. именно ей придётся доказывать законность увольнения, а не истцу доказывать незаконность. Согласно п 23 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2 (ред. от 09.12.2025) "О применении судами Российской Федерации Трудового кодекса Российской Федерации":
По сути истцу достаточно подать иск о незаконном увольнении, указав очень кратко, что считает его незаконным. И даже не факт, что есть смысл придти в суд (если это затруднительно). Пошлину по иску платить не нужно. Все судебные расходы (экспертиза, юридические услуги) работнику будут компенсированы вне зависимости от того выиграет он суд или нет (см Определение Верховного Суда от 31 мая 2021 г. N 41-КГ21-14-К4). Т.е. истец ничем не рискует. А вот работодатель если пропустит суд - не выполнит свою обязанность по доказыванию законности увольнения.
Даже если суд затянется - истец получит компенсацию от работодателя в виде з\п за каждый месяц, который он не работал (с момента увольнения и до последнего вступившего в силу решения суда). Т.е. даже работодателю не особо-то и выгодно оспаривать решение суда. При этом ничего не мешает работнику найти новую работу за время суда - это не снимает обязанности по выплате бывшему работодателю по вышеуказанной формуле (просто скорректирует требование в иске - уберёт требование о восстановлении на прежней работе).
У Вас как-то размазалась ответственность государства и работодателя. Вы описываете какую-то конкретную страну или вымышленный фантастический мир?
Сейчас в РФ: при трудоустройстве по ТК РФ человека уволить за излишнюю активность чревато судебными тяжбами и восстановление уволенного в штат. И потом гадать: когда он сам уволится и уже тогда придётся экстренно искать кем его заменить (вряд ли возвращённый по суду сотрудник прям желает работать до пенсии - он это сделал просто потому, что не нашёл другое место работы). Можно уволить по соглашению сторон: стороны договариваются о компенсации. И это всё - мимо государства (разве что государство не берёт налог НДФЛ, с той части компенсации, которая составляет не более 3-х окладов, с превышающей части налог берётся).
Уволить человека по любой причине можно, если он не работал по ТК РФ. Но, тут уж государство не при чём - человек сам решил в это идти. Здесь привет всем, кто работал в стартапах за крипту, был "гражданином мира", уехав в 2022 из РФ. А в 2025-2026 столкнулся с криптозимой: увольнением одним днём и сложностями с поиском новой работы.
Давайте начнём с вопроса: а кому эти ваши изменения нужны? Если компанию (в лице руководства) всё устраивает - зачем пытаться им что-то объяснять?
Посмотрим на ситуацию по-другому: вы хотите работать в компании, где рабочие процессы более зрелые. Попытались подсветить болевые точки - лучше не стало. По сути это значит, что изменения нужны Вам, а не компании. Может, честно сказать себе, что в этой компании бесполезно ожидать изменений и стоит искать другую, где процессы будут лучше?
Можно добавить, что помимо самого интернета, существует ещё и архив интернета... сохранённый по сути тоже в интернете. Занимает более 99 ПТ.
Архив интернета помнит даже небезопасную архитектуру прошлых онлайн сервисов
Даже открытые аудиты - такое себе. Например, есть корпоративный блокчейн Hyperldeger Fabric с открытым исходным кодом. И есть аудиты от нескольких компаний. В аудитах пишут про хорошую архитектуру. При этом архитектурно реализовано не брать пример с других блокчейнов (где есть общая метка времени на блок, и метка времени следующего блока не может быть ниже предыдущего), а сделать так, что у каждой транзакции в одном блоке - своё время (при этом берётся оно от клиента). Это всё вылилось в возможность манипуляции временем со стороны клиента (как целенаправленная атака, так и из-за банального сбоя времени у клиента). Подробнее писал в статье Как я зарегистрировал CVE и разозлил вендора. Этого анализа в аудитах не было. Я уж не говорю сколько различных уязвимостей с присвоением CVE было найдено в продукте после этих аудитов. В т.ч. не заметили уязвимость критического уровня, всплывшую только в 2026. Что поднимает вопрос компетентности аудиторских фирм в особенностях проекта, который они изучают: точно ли они знают особенности модели угроз?
Обложка альбома - такое себе. Вот, ссылка на файл из закрытого альбома - это был бы показатель
Одно замечание (как человека с юридическим опытом, в т.ч. неоднократно обращался в Верховный Суд и Конституционный Суд). Видимо, юридической практики у Вас нет. Решения Верховного Суда по отдельным делам не имеют юридической силы по другим делам. По сути оно имеет такую же силу, как, например, решение любого апелляционного\кассационного суда. А вот что имеет силу - так это решения\определения Конституционного Суда и Постановления Пленума Верховного Суда.
Это следует из п 4 Постановления Пленума Верховного Суда РФ от 19.12.2003 N 23 "О судебном решении" (ссылка на пункт 4):
Текст из п 4 Постановления Пленума Верховного Суда РФ от 19.12.2003 N 23 "О судебном решении"
Суду также следует учитывать:
а) постановления Конституционного Суда Российской Федерации о толковании положений Конституции Российской Федерации, подлежащих применению в данном деле, и о признании соответствующими либо не соответствующими Конституции Российской Федерации нормативных правовых актов, перечисленных в пунктах "а", "б", "в" части 2 и в части 4 статьи 125 Конституции Российской Федерации, на которых стороны основывают свои требования или возражения;
б) постановления Пленума Верховного Суда Российской Федерации, принятые на основании статьи 126 Конституции Российской Федерации и содержащие разъяснения вопросов, возникших в судебной практике при применении норм материального или процессуального права, подлежащих применению в данном деле;
А также из Закона "О Конституционном суде".
Юридическая сила решений Конституционного суда
Согласно Закона «О Конституционном Суде Российской Федерации» решения Конституционного Суда обязательны на всей территории Российской Федерации для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений (статья 6). Решение Конституционного Суда Российской Федерации действует непосредственно и не требует подтверждения другими органами и должностными лицами (статья 79)
Да, многие юристы любят ссылаться на позицию Верховного Суда по отдельному делу. Но, это не значит, что эта позиция соответствует Законам. Как признался юрист одной компании: они в курсе, что ссылка на определение Верховного Суда не имеет юридической силы. Но, они это делают намеренно "исходя из личной юридической практики". По сути речь о том, что некие нижестоящие суды либо боятся перечить позиции Верховного Суда, либо прикрываются им, чтоб не разбираться самим в особенностях конкретного дела.
Определения\Постановления Конституционного Суда можно найти на сайте https://ksrf.ru/ Там есть в т.ч. раздел с позициями КС РФ по отдельным вопросам.
Постановления Пленума ВС РФ можно найти на сайте
Было бы здорово если бы в статью добавили про отмену рейсов SSJ-100 (в 2025 году) из-за неподходящего давления. А также объяснить когда ждать ухода этой проблемы.
Вы там ниже написали, что бремя доказательства лежит на утверждающем. Не соизволите последовать своим же словам и доказать? Ну, и чтоб не было скучно: в статье (Уязвимость «ВКонтакте» позволяла получить прямые ссылки на приватные фотографии) указано, что проблему исправили в 2015. А в комментарии к статье человек (который, согласно статье имел связи с разработчиками ВК) указал, что фикс сделан в виде проверки права доступа (в ответ на уточняющий вопрос: "начали проверять права при доступе или просто усложнили процедуру подбора URL?"). Т.е. Ваше утверждение про "всегда были публичными" вот уже 11 лет как потеряло актуальность.
По этой логике - за утечки из-за SQL-инъекции должны нести ответственность хакеры, которые им воспользовались. А разработчики тут ни при чём: не могут же они нести ответственность за какие-то там кавычки в запросах! Как в том анекдоте:
"Полиция, помогите, у меня сумку украли!
- Это не мы, Вам к ворам надо!"
Я так полагаю, помимо "этого вашего OWASP", разработчикам побоку и "этот ваш Secure by design"? Можете рассказать: к каким продуктам Вы руку приложили? Чтоб обходить их стороной.
Я говорил про угрозы (обычная практика при построении безопасной архитектуры). А не про доказательство чего-то. Тем более человеку, который игнорирует общепринятые принципы безопасной разработки (OWASP, Secure by design и т.д.). Но, если Вам так нравятся доказательства - почему бы не начать с себя и не представить доказательства того, что в Wayback Machine ссылки на файлы (и access-токены в GET-запросах) попадают исключительно из-за пользователей? По крайней мере, Вы этого до сих пор не доказали.
С чего взяли, что пользователь сам сгружает туда свои персональные данные? Я в статье привёл сомнения по этому моменту. А, может, это уволившийся сотрудник решил отомстить работодателю и сохранил в WayBack все ссылки, которые нашёл в логах, к которым имел доступ (но, по должности не должен был иметь)?
Вы, видимо, не в курсе: что вообще и в каком количестве есть в WayBack Machine. А там данных очень много. И они - от кучи разных пользователей. Как я уже указывал, если в массовое сохранение pdf пользователями ещё можно хоть как-то поверить. То в массовое сохранение json - вообще не верится.
Ссылка с json сохранена в WebArchive спустя 5 секунд
В статье есть эта картинка
Вы забыли ещё и про сами браузеры, которые собирают кучу данных. Ситуация: разработчик игнорирует рекомендации OWASP по безопасной разработке: "Additionally, use complex identifiers as a defense-in-depth measure, but remember that access control is crucial even with these identifiers." Что приводит к попаданию данных в Яндекс Метрику и краже URL браузерными расширениями. В конечном итоге ведёт к утечкам. Стоило только выполнить выше указанные рекомендации OWASP - проблема бы исчезла. Но, нет: вместо этого нужно найти на кого перевести стрелки.
А кому предъявлять утечку через URL из-за доступа к логам веб сервера (из-за плохой политики доступа, где любой сотрудник может получить доступы к логам)? Опять крайнего искать будем, вместо реализации безопасной разработки, которая бы исключила эту ситуацию на уровне архитектуры?