Comments 134
Если запустить сниффер трафика с внедрением сертификата
А как это сделать, не подскажите?
P.S.
«Химичь» могу только на виртуалке BlueStack 2, т.к. на реальном смарте рута нет.
Максимум что делал на виртуалке – это проксировал трафик с помощью ProxyDroid на прогу Fiddle2 (установлен на том же компе, только в «реальной» ОС). Правда замучался искать как в виртуалке установить сертификат Fiddle2 в доверенные (установил, но насколько правильно – фиг его знает).
Яндекс.Погоду не обновлял полгода, сижу на той версии, которой контактные данные не нужны.
Хотя, был один трюк в 4.4 (может и раньше), который позволял кусок приложения оставить в оперативке, но я вам о нем не скажу ;) Не знаю, исправлял ли его Гуголь, или нет.
В UNIX-подобных системах можно. Можно хоть весь диск затереть и остаться при этом в терминальной сессии баша. В Windows система не даст удалить файл работающей программы.
П.С.: В Гуглоплее его нет, ибо Гуголь не позволяет таки программы, просто к названию добавьте .com и всё.
После того как этот самый адгард появился на планшете мамы, а затем и на стационарном компьютере — я стал считать его вирусом.
Он никогда не использовал техник распространения как в Мыло.ру и т.п.
Думаю что установился 1в1 как мыло.*ру/ucbrowser/остальной треш — по неосторожному клику на баннере.
Надеюсь, Firefox не продаст меня с потрохами.В автозапуск он тоже прописывается, по крайней мере.
И да, погоду я теперь смотрю в браузере.
А то сайтик с погодой работает бесплатно и не трекает Вас. И да! Не забудьте поставить Ghostery и Privacy Badger. И про tor не забывайте ;)
Вы, конечно, можете удалить хоть все сервисы Яндекса и Гугла, однако едва ли это что-то кардинально изменит. Ни эти сервисы, так какие-нить другие. Или, быть может, вообще не сервисы, а телеметрия от производителя Вашего смартфона.
Накатываем цианоген с F-Droid, ставим в основном опенсорсный софт и профит.
Если нужна какая-то проприетарная дрянь, накатываем её при помощи yalp store, обрезаем до минимума при помощи файрволла и privacy guard. Профит.
Короче, параноикам хоть какая-то жизнь, но есть.
Накатываем цианоген
Не факт что любой набор железа заработает полноценно под Cyanogen Mod. Это, согласитесь, всё-таки полено, которое надо допиливать.
Не соглашусь. Есть девайсы (oneplus one, wileyfox swift) со стоковой абсолютной поддержкой, есть девайсы с почти идеальной поддержкой сообществом. Не хотите допиливать — берите такой девайс.
Есть девайсы (oneplus one, wileyfox swift) со стоковой абсолютной поддержкой,
Не знал, что такие бывают. Спасибо за наводку. Хотя, конечно, жаль, что их делают очень мало производителей.
почти идеальной поддержкой сообществом
А это спорно… Поддержка сообществом — лотерея. ИМХО. Для Вас — она может быть идеальной, для кого-то ещё — никакой.
Вы, конечно, можете удалить хоть все сервисы Яндекса и Гугла, однако едва ли это что-то кардинально изменит. Ни эти сервисы, так какие-нить другие. Или, быть может, вообще не сервисы, а телеметрия от производителя Вашего смартфона
Ну, можно же законопатить процессам выход во внешний мир. Причём наглухо. Или избирательно. По вкусу, короче.
1) Apple может не пропустить приложение на ревью, если посчитает, что ему геосервисы (особенно в фоне) не нужны.
2) При первой попытке получить GPS координаты пользователю будет предложено разрешить подобные действия этому приложению, причём будет написано когда будут собираться данные (только когда приложение активно, или когда ещё и в фоне). Пользователь всегда может запретить это делать.
3) Если пользователь таки разрешил отдавать приложению координаты, но позже передумал, он всегда может зайти в системные настройки и запретить. Для абсолютного большинства пользователей такой сценарий маловероятен (причём в обе стороны), но всё же такая возможность есть.
В принципе это справедливо почти для всех разрешений для приложения.
Ну и в фоне приложение может работать не сильно долго, а для периодического просыпания и выполнение каких-то действий опять же нужно иметь обоснованную причину.
Но запретить доступ к интернету для приложения нельзя, только если совсем его(интернет) выключить.
Кто-то еще пользуется помегабайтным мобильным интернетом? Самый дешевый безлимит стоит порядка 100-150р, зачем вообще платить за трафик?
Какой, например? Те, что смотрел, имею ограничения порядка нескольких гигабайт...
Ну за 100-150 действительно будет ограничение по трафику (после которого, кстати, интернет работать не перестает, только скорость ограничивается). Но для примера у меня на Теле2 тариф "Беспредельно черный" за 300р в месяц без ограничений по трафику, только торренты отрезаны (до 64кбит)
Зависит от региона, конечно.
Вот выборка по Курской области:
У Мегафона тарифная опция XS. 5р в сутки 75 Мб в сутки.
У Пчел Хайвей 2Г 150р в месяц
У МТС Бит 150р в месяц, 75 Мб в сутки.
У всех после выработки лимита скорость ограничивается 64 кБит
Позвольте с Вами не согласиться. Прекрасно всё закрывается. Root конечно нужен, но если он есть — дырки законопачиваются стандртными правилами IPtables. https://habrahabr.ru/post/320612/
Сервисы запускаются один раз на все приложения Яндекса, как я понимаю. Если у вас, скажем, установлено Яндекс.Такси, Метро и Погода, то только одно из приложений запускает сервисы, а остальные их используют. Для этого, вероятно, и нужно отслеживание установки и удаления приложений, чтобы добавлять привилегии для доступа к сервисам.
Вас удивило, что программе нужно знать ваше местоположение? Генерация прогноза погоды с точностью до дома подразумевает, что погода будет показываться с учетом вашего текущего местоположения.
Поэтому в Android и не показывают эту «о ужас, автозагрузку» обычным пользователям, т.к. это нормальное поведение, нужное куче ап для обычной работы.
Считать сервисы по количеству это ещё хуже чем в попугаях. Можно написать 1 сервис, который будет вешать процессор, можно написать 1000 сервисов, которые в фоне будут абсолютно незаметны.
Если приложение сжирает слишком много ресурсов, надо профайлером посмотреть какие именно ресурсы оно сжирает и отправить багрепорт. Только, я полагаю, таких случаев не обнаружится в данном случае :)
Ну и надо помнить, что в Android вытесняющая многозадачность. Если не хватит оперативки на любимую игрушку, Android безжалостно грохнет лишние сервисы, незаметно для пользователя. Так что нет нужды обязательно держать себе полтора свободных гигабайта на чёрный день.
Яндекс уже писал про их метод определения местоположения — он работает как сервис, и раздает эту информацию другим программам от Яндекса, и таким образом экономится заряд, если одновременно используешь Яндекс. Такси, Карты, Метро, Транспорт, Погода итд…
Я ни коим образом не адвокат яндекса, или кого-либо, но статья полна желтизны и недоказанных фактов.
Касательно самой статьи — она похожа на какой-то вброс мусора. Автор сделал первую статью, написал «смотрите, яндекс погода автозапускается! Я не специалист, но считаю, что это плохо!!!», при этом автозапуск приложения — вполне нормальная реакция. Например, у меня яндекс погода в андроиде стоит как виджет на главном экране, и автозапуск — вполне нормально, чтобы он обновлял циферки на виджете.
Воспользуемся бесплатной программой со скромным, ничего не говорящим названием MyAndroidTools. Для этого нам понадобится root.Очень похоже на рекламу вредоносной(иначе, зачем ей рут?) ничего не говорящей программы. Но «я не специалист», я своё мнение высказал.
Вне зависимости от того, запускали ли вы погоду или нет, в фоне работают минимум пять сервисовЭто как минимум не возможно. Первая особенность андроидов — программа не может прописать себя в автозапуск и другие сервисы, если после установки вы её ни разу не запускали. Автору двойка.
Как видите, разработчики не стесняются называть вещи своими именами, ведь обычный пользователь этих имен никогда не узнает.Какие желтушные слова. «обычный пользователь» вполне может скачать вашу вредоносную программу и вполне себе увидеть названия этих сервисов. А если бы, как по вашему, разработчики были бы настолько корыстными и хитрыми, то они бы назвали эти сервисы по-загадочному. Как правило — самое простое объяснение является самым правильным.
затем что-то связанное с экраном блокировки. Предположу, что разработчики хотели ограничить активность приложения в фоне, чтобы вездесущий прогноз погоды не будил ваш телефон.
Честно говоря, меня уже ваша полная говна статья начинает бесить — на хабре принято копаться в коде, разбирать всё по деталям. Вы же делаете выводы (причем, довольно в обвинительном тоне), взглянув только на название переменной. Касательно «работа с экраном блокировки» — в программе есть опция — выводить постоянную полоску с информацией о погоде прямо на экран блокировки. Полезно при включнии телефона, пока ты его разблокировываешь и набираешь код — видеть погоду. Отключается в настройках. И НИЧЕГО криминального в этом нет, автор просто не стал даже пользоваться этой программой, и всячески поливает грязью разработчиков.
У меня размышления такие:
1) Кто-то решил сделать себе фейк-аккаунт, и уже накачал себе +5 кармы, чтобы числиться более-менее валидным хабраюзером. Это предположение косвенно подтверждает то, что автор зарегистрирован всего 2 дня назад, не делал до этого ни одного комментария, а первая статья такая гневная, как будто он очень опытный хабра-хейтер.
2) В качестве приглашения — сделал на коленке статью ни о чем (да, есть и другие статьи ни о чем), но эта прям точно желтизной отдаёт.
3) На то, что это фейковый аккаунт — косвенно указывает тон этой статьи: она полная желтизны и недоказанных обвинений.
С фейковостью определились, а теперь предположения, зачем это нужно:
1) Выпустить желтую статью, чтобы опустить яндекс в лице их юзеров
2) Зарегистрировать себе фейк-аккаунт и прокачать его до +5, чтобы дружно накачивать и дальше себе другие фейки, чтобы затем ими барыжить, или управлять «общественным мнением» на хабре/ГТ.
Да вы мастер обоснованных аргументов. Тысяча и одна причина зачем не вредоносному приложению может быть нужен рут. Вы ещё скажите, что получать рут на телефоне — это моветон и необходимо носить с собой шпионскую прошивку от производителя телефона.
> на хабре принято копаться в коде,
А яндекс его публикует? Дайте ссылочку.
> 1) Кто-то решил сделать себе фейк-аккаунт
Кто-то читал хабр, и решил что наконец-то настало время туда что-нибудь написать. Если вы всех новичков огульно будете записывать в ботоводы, то откуда на хабре новые пользователи возьмутся?
> Выпустить желтую статью, чтобы опустить яндекс в лице их юзеров
О как. И что теперь ничего не писать про яндекс, чтобы не обидеть их пользователей? И коррупцию не расследовать в России, чтобы не обидеть её избирателей?
> Выпустить желтую статью
В чём же желтизна? В том что кто-то не доверяет яндексу? А корпорациям вообще нельзя доверять, это ведь не живые люди, у которых есть совесть и честь. У корпорации есть только обезличенное извлечение прибыли. Замени одного CEO на другого — извлечение прибыли будет ровно таким же.
Если хочешь, чтобы тебе доверяли — публикуй исходники, народ будет в них смотреть и убеждаться, что ничего злого не замыслили. Иначе любое требование расширенных привилегий будет казаться необоснованным. Что поделать, в мире не осталось ни одной корпорации добра, репутация всех запятнана.
> Да вы мастер обоснованных аргументов
Это был сарказм на то, как автор настолько же необоснованно обвиняет яндекс, при этом не приведя ничего.
> А яндекс его(код) публикует? Дайте ссылочку.
Есть множество статей по распаковке .apk — файлов, деобфускации кода, сниффингом траффика. На ум первым делом приходит разбор TroikaDumper. Да, это не так просто, как если бы вам просто дали исходный код, но и копание в коде — это не лёгкая задача, никто вам на блюдечке кусочки самого «вредного» кода не выделит, нужно будет искать самому. Плюс наличие открытого кода еще не означает, что в нём нет закладок (пример — история с TrueCrypt, когда понять не могут, есть ли там закладки, или нет).
> Если вы всех новичков огульно будете записывать в ботоводы
Я предположил, и привёл аргументы. Нормальный человек комментит, что-то пишет, статьи в избранное добавляет. А этот:
> Зарегистрирован: 25 апреля 2017 в 09:02
> Активность: Последний раз был на сайте 25 апреля 2017 в 15:22
Т.е. он отправил статью, и отключился, забил на хабр. Если человек, то ему аккаунт и так не нужен, если бот, то… бот.
> И что теперь ничего не писать про яндекс, чтобы не обидеть их пользователей?
Почему-же, писать, но примерно вот так: Расследование одного взлома или как быстро и просто потратить миллиард — автор здесь конкретно раскопал и разобрал приложение Яндекс.Такси, нашел уязвимости и возможности абуза со стороны конкурентов. И там всё по полочкам разобрано, а не то говно, которое здесь запостили.
В таком случае и бинарники можно дизассемблировать.
>Да, это не так просто, как если бы вам просто дали исходный код, но и копание в коде — это не лёгкая задача,
Именно, копание в коде — задача сложная. Если усложнить её ещё в 10 раз, то можно добиться от пользователя, чтобы он вместо того, чтобы разобраться в программе, просто откажется давать ей права. И скажите ещё, что он не прав.
> Нормальный человек комментит
Я тут новичок, но вот по опыту заметил, что лучше не комментить. Что бы ты не писал, карма твоя в среднем опускается. Неравно и непредсказуемо, но статистика неумолима. У меня есть подозрения, что сами система выстроена владельцами хабра таким образом, чтобы карма утекала.
> что-то пишет
Ну вот, первая статья опубликована.
> статьи в избранное добавляет
Зачем, когда есть закладки в браузере?
> Почему-же, писать, но примерно вот так… там всё по полочкам разобрано
И что, от этого становится не так обидно? Вы же на обиду пользователей напирали, как косвенный эффект обиды яндекса.
Нет, распаковка .apk выдаёт вполне читаемый код в большинстве случаев. Автору в той теме доволго легко удалось переключить настройку проверки сертификата, если мне не изменяет память.
> Ну вот, первая статья опубликована
Обычно, сначала читаешь хабр, потом регистрируешься на хабре и продолжаешь его почитывать, потом потихоньку начинаешь комментить, затем со временем созреваешь, чтобы что-то своё написать, внести лепту. Регистрация в один день и целенаправленный выпуск статьи — это по-любому второй аккаунт хабражителя, вопрос только в цели: ботовод или нежелание светить основной ник. А учитывая тональность статьи, напрашивается вообще третий вывод — закинуть негатива.
Я повторюсь — я нисколько не оправдываю яндекс, я просто уже настолько привык к формату Хабра, что читая обвинительную статью, ждёшь её полного разбора по косточкам — что шлёт, куда ходит, что делает итд. А здесь нет ни того, ни другого, зато есть вбросы негатива, намёков и гадание на кофейной гуще. А заменив слово «Яндекс.погода» на любую другую популярную программу — то там будет тот же самый букет рассадника «сервисов». Автор не разобрался в вопросе от слова «совсем», и это больше раздражает.
Что я ожидал увидеть? А примено вот что:
1) Просниффать траффик и узнать, что шлёт прога
2) Распаковать .apk и поискать подозрительный код
3) Провести эксперименты с потреблением трафика этой программой — как часто она просыпается, как часто и какой объём информации шлёт, как долго работают процессы.
4) Провести эксперименты как дома, так и на улице.
тогда статья была бы более-менее осмысленной, и можно было бы делать хоть какие-то выводы.
В таком случае и бинарники можно дизассемблировать.
Только APK декомпилируются в читаемый код, при должном везении его можно даже попробовать собрать обратно, а уж smali сод подправить несложно, но он не такой читаемый.
Так что там про 3х сыновей?
Или всё-же оспариваете комент по его факту: самое простое объяснение есть самое верное и комментарий на который я отвечал проплачен Яндексом?
Яндекс не ставит свой браузер вирусными способами, это делают недобросовестные партнёры, которых за такое банят.
«На Западе факты бесплатны и предоставлены в большом количестве, а аналитика — за деньги. У нас
аналитика бесплатна, а факты на вес золота.» (с) tema
Удивлять будет до тех пор, пока Вы (и не только Вы) в своих ответах будете использовать «вероятно».
Потому как это ощущение неизвестности, слегка нервирует. Я допустим, использую погоду от яндекса. Но только сейчас узнал, что помимо тех функций, которые я хочу от метеосервиса, мне впечатали кучу вообще левых. Мало того, что я не знаю каких, да ещё и управлять ими не могу.
P.S. Я не против рекламы в приложении.
YouTube всегда под рукой — смотрите любимые видео, каналы и плейлисты… Все нужные функции YouTube прямо в приложении: загружайте и редактируйте видео, добавляйте комментарии, делитесь роликами и даже транслируйте контент на большой экранНу, Ok, микрофон стало понятно зачем, но поделиться через СМС с любым из Контактов и так можно было.
Понял ещё про местоположение — видео заблокировано в вашем регионе.
Используйте NewPipe. Или любое другое альтернативное приложение, благо их сейчас много появилось
Ключевое слово — «обычно», так как например f-droid имеет огромное число разрешений, и хоть можно посмотреть код, но у меня вопрос: вы каждый раз при обновлении всех программ смотрите изменения в коде? То есть сам факт наличия этих разрешений подрывает безопасность. К сожалению, у разрабов другая точка зрения.
А система разрешений в ведре как была дефектной, так и осталась, и по моему мнению сделано это умышленно. Чего я не понимаю, так это почему в lineage os не реализуют нормальную систему разрешений уровня подробности как у xprivacy. У xprivacy лицензия несовместимая (GPL), но никто не заставляет код копировать, можно посмотреть подход (какие api перехвачены и что выдаётся в качестве заглушки) и сделать подобным образом. Более того, до xprivacy были всякие патчи, включая патчи ядра, но в цианоген они не вошли.
К сожалению у xprivacy есть 2 фатальных ограничения.
1 все обходы через native часть фикситься не будут, так как xposedом не решаются
2 разраб её забросил, не развивает, хотя сайт для продажи лицензий на коммерческую сборку работает. Баги висят годами.
С некоторой теплотой вспоминаю старые телефоны, спрашивавшие по факту совершения действия:
"Камрад, тут эта штука намерена отправить SMS. Мы ей разрешим?
[Да] [Всегда] [Нафиг]"
Забава в том, что свежие андроиды тоже так делают. Однако, как написал ТС, они специально снизили targetSdkLevel, чтобы это не работало ("режим совместимости")
Проблема в том что если мы запрашиваем а приложение ожидает немедленного ответа а не SecurityExeception — приложение будет вылетать. На новом андроиде. И кто будет виноват с точки зрения пользователя? Даже если сделать как в XPosed где данные таки возвращаются но значения по умолчанию — то как потом передать реальные данные / сделать разрешенные уже действия если мы уже отдали фальшивку на запрос?
Для желающих совсем уж гибких и хитрых вещей — есть XPrivacy. Для не желающих — есть Android 6+ и возможность тупо отобрать права даже если приложение их не запросило а они ему «и так» полагаются потому что режим совместимости. Приложение может упасть, о чем собственно предупреждает — оно ж ожидает что права есть.
Пользователь правда может в PlayStore отзыв написать вида «если забрать права — приложение падает, разработчики — пофиксите срочно а пока кол вам».
А еще есть устройства от Samsung, на которых многие вещи для которых в норме нужен рут — работают без рута, например — https://habrahabr.ru/post/314116/ — один добрый человек сделал блокиратор рекламы, в том числе и в приложениях.
А что мешает всегда выдавать дефолтных адрес или пустую контактную книгу
Вообще же — как работают API — описано. И там НЕТ пункта — «возвращать фигню». Есть часто пункт про SecurityException если прав нет а позвали но разработчик же убедился что права есть и прописал в манифест и вправе не обрабатывать это исключение. API это в некотором роде — контракт (в андроиде — целиком все API конкретного API Level'а).
Видимо гугл не рискнул поломать совсем совместимость с существующими приложениями и потребовать обновления старых приложений, изменив четко описанный контракт, создав новой версии репутацию «ломает все старые приложения». (вот там где он не был описан четко а на уровне «а все думали» — там они меняют если надо — вся история с записью на карты памяти).
А вот что имело бы смысл в данном случае — просто запретить загрузку в Play Store новых версий существующих приложений/новых приложений, где не указан хотя бы API Level 23. Тогда выбор будет — или не обновлять вообще (валя на Google) или таки сделать как надо. Вот только — готов ли Google пойти даже на такое?
Над статьей надо еще поработать и понять, что и когда отправляется вовне этим приложением. Иначе это все голословные обвинения параноидального дилитантского толка.
Кроме того, название статьи очень-очень не гуд, к чему тут умничанье, если навыков нет.
– В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения. Мы обязательно обновим эту часть, как только доля последних версий андроида среди наших пользователей станет чуть больше. Однако, стоит отметить, что ни на одном устройстве приложение Погоды не запускается до тех пор, пока его не запустит пользователь. А как уменьшить количество работающих в фоне сервисов, мы обязательно придумаем.
– Про автозагрузку и обновление погоды уже писали. Чтобы не ждать каждый раз подгрузку. И чтобы виджет нормально работал. Также эта функция нужна, чтобы отправить нам пользовательские наблюдения за погодой, сделанные в отсутствии подключения к интернету.
– Про геолокацию вроде и так понятно. Она нужна особенно точная, потому что в Погоде есть данные с радаров с точностью до домов и 10 минут.
– Про то, что один и тот же сервис используется всеми приложениями, тоже в комментариях уже написали. Отсюда и про взаимосвязь приложений.
В общем, ничего нового или страшного. Разработчики мобильных приложений вряд ли тут чему-то удивятся.
В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения.
Не вижу связи — на старых девайсах новая система запроса разрешений вполне заводится. Я скорее поверю в то, что менеджеры не дают бюджета на переезд.
– Про геолокацию вроде и так понятно. Она нужна особенно точная, потому что в Погоде есть данные с радаров с точностью до домов и 10 минут.
А зачем маркет это делает в фоне?
По сервисам
- Сервис в андроиде — это не то же самое, что сервис во «взрослых» ОС. Это не отдельная постоянно висящая в памяти сущность, а лишь компонент приложения, не прибитый гвоздями к UI. В архитектурах Pattern A/Pattern B предлагалось в принципе всю работу с сетью выносить в сервисы — полагаю, от спроектированных таким образом приложений у автора тоже приключился бы приступ паранойи.
Сразу отвечу на вопрос «если сервис не всегда запущен — почему он отображается в утилите у ОПа?» — потому что система вообще никак не даст запустить сервис или активити, если они не прописан заранее в манифесте, а тулза со скринов скорее всего просто отображает содержимое манифеста.
- FirebaseInstanceIdService, GcmInstanceIdService и прочие с префисками Firebase/GCM — шаблонные сервисы для работы с push-уведомлениями. Встает вопрос, зачем используются оба — GCM вроде как устарел и Google усиленно продвигает вместо него Firebase. Предположу, что на старых девайсах они жонглируют имплементациями на случай, если у пользователя в системе старая версия Google Play Services и работа с Firebase не поддерживается. Нужны ли в приложении эти сервисы, и есть ли там вообще пользовательские уведомления — отдельный вопрос, Яндекс.Погодой не пользуюсь, сказать ничего не могу.
- Использование устаревшего GCM объясняет необходимость подписки своих обработчиков на перезагрузку девайса и обновление списка установленных пакетов — после обновления прошивки или приложения старый токен мог превратиться в тыкву, а пользователь, внезапно перестав получать уведомления,
обложит разработчиков гениталиямибудет недоволен.
С обновлением приложения отдельная клоунада — до 3.0 подписаться на обновления ЛИШЬ своего приложения было нельзя. Поддерживаешь 2.3? Подписывайся на все обновления и фильтруй. Плюс, если Яндекс действительно переиспользует сервисы между разными приложениями — им в целом пригодится эта информация, чтобы использовать самую свежую версию сервиса из доступных (хороший вопрос, кстати, как они это делают).
Что там с мобильными сетями? Поговаривают, от них магнитные бури бывают.
Поговаривают, что перед там, как зубоскалить, желательно в предмете хоть немного разобраться — а иначе недолго и в лужу сесть. CONNECTIVITY_ACTION используется для того, чтобы реагировать на исчезновение/появление сетевого подключения, что позволяет гасить соответствующие сетевые сервисы и тем самым экономить батарейку.
Заметьте, процесс не в кэше, где отлёживаются неактивные приложения до тех пор, пока система не решит задействовать больше памяти. Эти процессы работают всегда с момента установки погоды.
Расскажите, пожалуйста, что это за кэш такой для «неактивных» приложений. В документации вот прямо сказано, что запущенный процесс всегда висит в RAM, но может быть прихлопнут, если памяти станет мало.
В заключении хочу сказать, что я не специалист и ни на чем не настаиваю.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
Тут следует еще учесть, что аудитории гиктаймса и хабра хоть и пересекаются очень сильно, но идентичны. Вполне вероятно, что на хабре эта статья была бы оценена по другому.
Это не отменяет факта, что вся статья — убогий желтушный вброс. Оценка в +60 наводит на крайне печальные мысли о текущей аудитории гиктаймса.
Я не гик, просто интересующийся.
Если честно, для меня статьи такого рода как открытие. Потому и читаю. Вот если бы разработчики честно признались перед установкой приложения, что оно будет делать и куда лезть (вот зачем погодному сервису мои идентификационные данные?) то прошёл бы мимо статьи. Ставишь приложение и энтропия увеличивается…
Вот если бы разработчики честно признались перед установкой приложения, что оно будет делать и куда лезтьПравдоподобное объяснение всегда можно дать. Например, Яндекс-Карты имеют доступ к микрофону. Не будут же они писать, что мы вас подслушиваем. Напишут, что микрофон нужен для надиктовывания адреса при навигации.
То есть, технический список разрешений достаточен. А дальше вопрос доверия.
Пользователь должен иметь возможность заблокировать любое разрешение. И приложение должно работать, за исключением тех функций, для которых нужно это разрешение.
Лучшее решение — в момент выполнения действия программа проверяет наличие разрешения (в новом API она это должна делать) и выдаёт сообщения по ходу дела, типа «если хотите ввести номер документа, используя штрих-код, включите доступ к камере».
В описании приложения не надо вываливать стену текста с объяснениями.
Ну блин, тот, кто еще не отправил яндекс на все три буквы, — сам себе злобный буратино, может спокойно продолжать есть этот честно заслуженный кактус.
Хочу внести немного ясности в вопрос о том, зачем нам нужны те или иные разрешения.
Начнем с основного момента — пользовательской геолокации. Это может показаться невероятным, однако мы и правда сделали прогноз погоды, способный показать данные именно для ваших координат. Хорошо известно, что погода может быть очень разной в разных частях города — например, в Бутово идет дождь, а на ВДНХ уже вовсю светит солнце. Для того, чтобы пользователи получали точные гиперлокальные данные о погоде (например, наш прогноз осадков с точностью до минут — наукастинг), мы и спрашиваем их координаты.
Это помогает нам предупредить например о том, что дождь над сквером, где вы сейчас гуляете пойдет через 10 минут. Полезно, правда? Тот же, кто по каким-то причинам не хочет передавать свое местоположение, всегда может отключить функцию геолокации и получат прогноз для центра своего населенного пункта.
Кстати, примерно за этим же мы просим доступ к сотовым данным: у нас есть достаточно много пользователей, которые, отключив геолокацию, жалуются на неправильно определенную позицию. Локация по сотовым вышкам помогает определить положение пользователя чуть более аккуратно, чем с точностью до города.
В посте говорится о том, что мы специально умалчиваем о запрашиваемых разрешениях — это не так. Дело в том, что большинство наших пользователей все еще работают с версиями андроида старше шестой, где нет возможности явно запросить разрешения. Мы обязательно обновим эту часть, как только доля последних версий андроида среди наших пользователей станет чуть больше. Однако, стоит отметить, что ни на одном устройстве приложение Погоды не запускается до тех пор, пока его не запустит пользователь. А как уменьшить количество работающих в фоне сервисов, мы обязательно придумаем.
Про приметы. У нас тоже есть примета — “Медленная загрузка данных в приложении — к письмам в фидбечницу”. В отличии от погоды за окном, на это мы можем повлиять, например попросив наше приложение периодически загружать актуальные данные о погоде. Также эта функция нужна, чтобы отправить нам пользовательские наблюдения за погодой, сделанные в отсутствии подключения к интернету. Эти данные помогают нам улучшать алгоритмы прогнозирования.
Ну а если резюмировать, то мы в Погоде в основном хотим, чтобы у нашей аудитории была возможность в полной мере использовать те технологии, которые мы разрабатываем.
использовать те технологии, которые мы разрабатываем
Так используйте! Почему тогда мобильная погода менее информативна, чем сайт?
У некоторых приложений (правда мелких но хотелось бы что это стадартном было) прямо так и написано в описании нечто вида
…
— 'full network access' — communication with our server
— 'view network connections — used by error reporting
— 'read phone status and identity' — used for statistics
…
Или это наоборот пугает большинство пользователей?
Я понимаю:
— выручка упала ниже плинтуса
— разработчики выкатывают твой быдлософт один хуже другого
— конкуренции нет, потому что все просто работают, а ты вместо этого ябедничаешь по думам и фасам
Ну сколько можно? Самому не надоело?
Не скатывайся от нелюбви пользователей к их ненависти.
Я бы рад пользоваться всеми твоими сервисами, без сарказма, они мне нужны, НО ты «мажешь» всем свои сервисы… коричневой массой.
Ин Совьет Раша погода следит за тобой