Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение

    UPD: Пользователь Sabubu рассказал о том, что IT-директор компании Burger King начал публично угрожать автору расследования.

    Вступление


    Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.


    Как выяснилось — людям небезразличен шпионаж за ними.


    Расследование понравилось и хакерам. С момента публикации, на мой блог совершили десятки хакерских атак.




    Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.


    Для архивирования ссылок используется проверенный сервис archive.is.


    Все оригинальные ссылки — в конце данной статьи.




    Часть I. Ответы.


    Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.


    Какой ответ мы получили?


    I.I. Официальный ответ Burger King ВКонтакте.



    Ну что же, давайте разбирать по пунктам.


    Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR. Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.


    Российский Burger King ему не подчиняется.


    Burger King обязан следовать Федеральному закону "О персональных данных", но он ему не следует.




    Во-вторых — «мы не делаем запись».


    В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.


    В том числе — во время ввода реквизитов банковских карт.




    В-третьих — «получаем обезличенную аналитику по работе приложения».


    О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?


    Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.



    Сергей Очеретин. Директор по digital-проектам Burger King. 


    Фотография из открытых источников.


    Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.


    Скриншот с форума 4PDA.




    В-четвёртых: «или об этом уже нельзя говорить?»


    Burger King ни разу не отвечал на вопросы о слежке до этого комментария.


    Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).


    Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.


    Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».




    Запись экрана — доказана.


    Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.




    I.II. «Опровержение»


    Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.


    Они говорят, что (далее цитата):


    • Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
    • Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
    • Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
    • Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
    • Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
    • Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

    Давайте пройдемся по каждому из пунктов.


    Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».


    Скрытие личных данных не прописано в коде приложения.


    Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».


    Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.


    Комментарий пользователя на Habr.com


    Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.




    Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».


    Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.


    Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.


    Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.




    Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».


    Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.


    Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.


    Также, в Пользовательском Соглашении


    Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.




    Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».


    Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.


    Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?


    Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.


    Никакого «улучшения работы приложения» нет.




    Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».


    AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону "О персональных данных" он не подчиняется.


    Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.




    Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».


    Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.


    Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.



    Скриншот из видео выше, «Cellular» — сотовые данные.


    Из этого делаем вывод — очередная наглая ложь.




    Часть II. Доказательство записи и передачи банковских данных.


    Вступление


    Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.


    Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.


    Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.




    Почему же я не показал сначала видео? 


    Ответ здесь

    Все просто — я тоже человек :)


    Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.


    Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.


    Просидел я так очень долго, и сидел бы дальше.


    Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.


    Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.


    Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.


    Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.


    А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.


    В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.


    Когда проснулся — вспомнил что нужно сделать видео. Сделал. :)




    Часть II.I. Видеозапись, сделанная приложением


    Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).


    Видео никоим образом не модифицировалось, трафик и код приложения не менялись.



    Как Вы можете видеть, детали банковской карты — не скрываются.


    Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.


    Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.


    Часть II.II. Техническая информация


    По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».


    Видео, на которое ссылается команда-разработчик приложения Burger King



    Часть II.III. Почему моё видео — настоящее.


    Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.


    Сравните сами:


    Слева — моя запись, справа — официальный скриншот приложения


    Такое видео может записать только само приложение.


    Почему?


    На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).


    На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.


    Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.


    Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.


    Часть III. Заключение.


    Часть III.I. Итоги


    Что имеем в итоге?


    Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.


    Здесь же — доказательства прямой лжи Burger King.




    Часть III.II. Проверка РосКомНадзором


    Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.


    И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.




    Часть III.III. А зачем мои карты Бургер Кингу?


    Предвещая вопрос:


    — «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)


    — отвечу:


    Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.


    Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.


    Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.


    А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.


    Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».


    И репутацию там портить ниже некуда.




    Часть III.IV. Сотрудники, которых нельзя пускать к людям.


    Наглая ложь, угрозы, хамство, оскорбления. Это только начало.


    Хотя чего ожидать от компании с такой рекламой:






    И такими сотрудниками:


    Осторожно, мат (замазан - прим.мод.)!




    Оригинальные ссылки

    Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.


    Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.


    Обращение РосКомНадзора ВКонтакте


    Пост компании-разработчика приложения e-Legion


    IT-директор Burger King сам говорит о собирании информации о пользователях


    Информация о Сергее Очеретине — IT-директоре Burger King


    Пользовательское соглашение приложения Burger King


    Политика приватности AppSee (на английском)

    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 326
      +28
      Ну ребята же сами открытым текстом признаются, что да, окурели в край.
        +5
        Я смотрю, коментарии на пикабу теперь у нас официальный способ общения с бургеркингом?
          +13
          Если аккаунт верифицирован, то вай нот? Достаточно много медийных и немедийных личностей, представителей различных организаций есть на пикабу
            0
            ну, он не верифицирован, но бургер кинг и не отрицали пока
          +4
          Ну, кто-то мог бы предложить радикальный вариант — заDDoS'ть их сайт и сервисы, но я предложил бы более цивилизованный вариант — не ходить к ним и ничего не покупать. Я вот если и ем фастфуд, то стараюсь брать в местных (но проверенных) ларьках, которые или вообще одиночные, или сетевые, но сеть в пределах одного города. У них нет следящих приложений, у них и цены обычно ниже, и не менее вкусно. И заплаченные за эту еду деньги остаются в стране, а не идут за океан.
            0
            БК это франшиза. Головной офис обычно очень критично относится к репутационным потерям (см недавнюю историю с Papa John's)…
              0
              Где смотреть?
                0

                Погуглите "основатель Папа Джонс".

                  +1
                  Спасибо за ссылку. Тут похоже дело не столько в репутации, сколько в предлоге, чтобы сместить неугодного человека.
              +7
              удалил приложуху, поставил кол в плей маркет с претензией о записи, и да, ходить больше к ним не буду.
              приложение они переписывали с нуля за год полтора раза 3 точно, есть три разных приложения бургер кинг, они менялись как обувь в сезон, возможно разные разработчики и наконец нашлись те которые окурели так как нужно
                +1
                Осталось написать им требование об удалении ФЗ и следить, не придет ли их реклама на почту или смс.
                Если придет — можно подавать в суд.
                  +1
                  требование об удалении ФЗ
                  Требование об удалении Федерального Закона?
                +3
                Нужно настучать на них в головной офис Burger King. Если репутация им важна, то они вероятно расторгнут контракт с AppSee, а все эти наглые менеджеры российского офиса пойдут искать новую работу.
                  0
                  Да, это должно сработать. В случае с провокационной рекламой потребители пожаловались в центральный офис, и российский БК рекламу убрал.
                  0
                  Я, например, там обычно беру типа капучино. В несетевых можно вместо капучино разве что растворимый нескафе 3-в-1 получить, а в сетевых — ну точно не дешевле, даже в макдаке.

                  PS. Из ларьков, вероятно, деньги на Кавказ идут, а не в стране остаются.
                    –1
                    Ну, кто-то мог бы предложить радикальный вариант — заDDoS'ть их сайт и сервисы

                    по мне так было бы логичнее если бы РосКомНадзор вспомнил о том, зачем он вообще существует, и отправил в блокировку сервера AppSee…

                      +1
                      я и так давно к ним не хожу. Где-то года три назад испортились, и теперь там есть невозможно.
                      –36
                      Вступлюсь уже немного за бургер ). Все таки чувствуется возраст автора статьи, в конце совсем в демагогию полез. Вот ему там хамят, матом отвечают, не нравится ему) Тебе отвечает такое же пацанье. У нас нет культуры открытой обратной связи по техническим вопросам. Неужели это новость?

                      Тот, который главный, мог просто тебе лапши навешать что по ip тебя вычислил, а потом удалил, понял что хрень написал. Почему? Потому что это работает. У них там работа кипит, отпуска, а тут какой то хрен про галочки с карточками пишет, да все плевали на это. Делают как удобнее пока вот случай типа твоего не попадется)

                      Их теперь главная задача не рисовать скриншоты, а начать топить конкурентов, ковыряя их приложения и поднимая шухер громче своего. По мне самая верная маркетинговая стратегия))
                        +13
                        Вступлюсь уже немного за бургер ). Все таки чувствуется возраст автора статьи, в конце совсем в демагогию полез. Вот ему там хамят, матом отвечают, не нравится ему) Тебе отвечает такое же пацанье. У нас нет культуры открытой обратной связи по техническим вопросам. Неужели это новость?

                        Отличное оправдание! На самом деле нет, если отвечают действительно представители бургер кинга, то это неприемлимо вне зависимости от их возраста.
                        Тот, который главный, мог просто тебе лапши навешать что по ip тебя вычислил, а потом удалил, понял что хрень написал

                        С чего бы это вдруг мне не верить, если они сами говорят, что следят за пользователями? А если не следят, то не надо было делать подобных заявлений, в любом случае уже никто не поверит, что они такие святые.
                          –1
                          На самом деле нет, если отвечают действительно представители бургер кинга, то это неприемлимо вне зависимости от их возраста

                          Неприемлемость, это свойство общества, если вы пишите в стиле «я вас воров всех тут раскусил» на неофициальной площадке, нечему удивляться, что кто то из разрабов покрутит пальцем у виска.
                          То что они не соблюдают требования законодательства с этим уже разобрались.
                            +2
                            Пост в котором автора якобы кроют матом — вброс. Можете проверить, ящика zhenya@burgerking.ru не существует и никогда не существовало. Я это проверил через пару минут после того, как этот пост только появился.

                            И даже сообщил об этом автору. Но он этот факт почему-то проигнорировал.

                            Более того, личные ящики сотрудников, судя по всему, так не именуются. Немного погуглил, нашел парочку вот таких ящиков: alexey.kozminskiy@burgerking.ru

                            Скорее всего, это был просто тролль. Или даже фейк самого автора, который решил подкинуть дровишек, чтобы полыхало сильнее.
                            +1
                            Alexufo если бы твою карточку похитили, ты бы и в этом случае посчитал бы нормой, что тебя кроют матом в качестве отрицания?
                              –2
                              Во-первых, о факте кражи речи не идет нигде. Речь о банальной разработке, где кладут на
                              безопасность. Во-вторых, официальный ответ написан в куда более приятном виде.
                                +2
                                Во-первых, о факте кражи речи не идет нигде

                                А как вы собрались о нем узнать? Когда банковские данные через месяц/полгода/год будут продаваться в даркнете?

                                Не говоря о том что определить был ли слив именно из этой конторы невозможно.
                                  –1
                                  Не говоря о том что определить был ли слив именно из этой конторы невозможно.

                                  Об этом и речь. Поэтому доверенные терминалы по снятию бабла в супермаркетах от 1000р у меня просят ввести пинкод, а оплата через интернет — подтверждения смс кода. Кто-то там говорил о дубликате симки — каждый раз при дубликате мне нужно звонить в техподдержку и активировать ее.

                                  Если бы кто-то мог снять деньги с моей карты по тем циферкам, что там нацарапаны — я бы не вводил ее вообще никуда.
                                    +2
                                    Если бы кто-то мог снять деньги с моей карты по тем циферкам, что там нацарапаны
                                    Зря Вы так.
                                    Выкладывайте сюда в топик карту и дайте явное разрешение использовать ее данные для оплаты чего угодно.
                                    А через 50 дней напишите какой минус на карте образовался.
                                      –3
                                      Мне не нужны покупки без уведомлений до 1000р, не нужны кучи смс которых я не запрашивал — спасибо.
                                        0
                                        А куда делось «Если бы кто-то мог снять деньги с моей карты по тем циферкам, что там нацарапаны»?
                                        Могут, и больше 1000р, и даже без уведомления в момент самой операции.
                                          –1
                                          Никуда. 1000р это не деньги а риски, на которые идет банк, чтобы облегчить процедуру покупки. Снять их может очень доверительный запрос в банк, (точнее факт транзации происходит через день или пару) но я не верю в страшных тупых хакеров, у которых есть доступ к такому верифицированному терминалу ради 1000 рублей, а вот в школоту верю и потерю своего времени верю.
                                            +2
                                            Не надо никаких «доверительных отношений с банком», равно как и «сумм меньше 1000р», что бы загнать Вам карту в минус (даже не в ноль) зная лишь «цифирки с нее».
                                              –1
                                              Вы хотите сказать, что служба безопасности банка замечает мой запрос вывода 5тр на яндекс деньги, но прозевает более подозрительную транзакцию, загибающую карту аж в минус?
                                              Я это допускаю, конечно, но тут уже вопрос веры.
                                                +3
                                                Вы хотите сказать, что служба безопасности банка замечает мой запрос вывода 5тр на яндекс деньги, но прозевает более подозрительную транзакцию, загибающую карту аж в минус?
                                                Это достаточно частая ситуация, но не об этом речь.

                                                Проводимость операции списания зависит от мерчанта.
                                                Все меры безопасности банка (смс, пин-коды, 3д-секьюре, внутренний контроль) работают только при желании мерчанта их запрашивать и наличии у мерчанта возможности их запросить.
                                                Если мерчант забил на меры безопасности и провел платеж без них, то банк всё равно захолдит этот платеж, а если мерчант не пришлет его отмену, то даже спишет.
                                                Да, по Вашей своевременной претензии, в большинстве случаев, платеж можно будет отменить, но не более того.
                                                  –1
                                                  Если мерчант забил на меры безопасности и провел платеж без них

                                                  То он лишится вскоре возможности работать с любым банком, если будет допускать такие вольности. Вы так пишите, как будто они не несут вообще никакой ответственности и просто за красивые глаза имеют доступ к списанию средств.
                                                    +3
                                                    То он лишится вскоре возможности работать с любым банком, если будет допускать такие вольности.
                                                    amazon уже стоит и боится Вашей угрозы:) И куча других магазинов (не будем называть, что бы не плодить мамкиных хакеров).
                                                    А есть еще оффлайн операции, где онлайн проверка в принципе невозможна, как бы мерчант не хотел выпендриться.
                                                    А еще «белую эмбоссированную карту с полосой и пейпассом» с нынешними технологиями стоит сделать рублей 500р в обычной лавке, тут не надо быть «крутым хакером», что дает поистинне широкие возможности по снятию.

                                                    Вы так пишите, как будто они не несут вообще никакой ответственности и просто за красивые глаза имеют доступ к списанию средств.
                                                    Уголовной не несут. А штрафы и возвраты по претензиям — это просто риск и доп. расходы заложенные в бизнес-модель.
                                                    Бизнес это не церковь с их заповедями, у каждого решения (требовать подтверждения оплаты или нет) есть своя цена, если она приемлимая — бизнес ее платит.

                                                    В общем выкладывать цифирки своих карт — беспредельная глупость, если не ставить целю потом закопаться в куче исков и оспариванию кучи платежей, часть из которых оспорить и вернуть не получится.
                                                      +1
                                                      Aliexpress, например, sms-коды при оплате не спрашивает. Чего-то до сих пор возможностей работать с банками не лишился.

                                                      Тут всё дело в анализе рисков. Если не спрашиваешь sms-коды, увеличиваются шансы оплаты с краденной карты и отзыва платежа. Если стоимость внедрения проверки кодов выше чем потери на возвратах, то коды спрашивать не имеет смысла. И речь не только про цену написания и внедрения кода — люди, похоже, намного охотнее покупают онлайн, если их не заставляют каждый раз вводить какие-то данные.
                                                        0
                                                        Коды часто не спрашивают там, где физическая доставка по адресу (DeliveryClub тот же), понятно с кого спрашивать. Или там, где товар виртуальный и возврат не принесёт убытков (билеты в кино).
                                                          0
                                                          Позанудствуем.
                                                          Нельзя спрашивать с получателя, его единственная обязанность это получить товар. Он не всегда может и не должен нести ответственность за плательщика.
                                                            0
                                                            Как минимум, он должен плательщика знать, а товар сохранить.

                                                            А вот получать обязанности нет. Брать себе чужие товары, случайно присланные на твой адрес — это такое себе. В лучшем случае, надо будет вернуть в товарном виде. В худшем — окажешься крайним.
                                                              0
                                                              Как минимум, он должен плательщика знать, а товар сохранить.
                                                              Нет, не должен.

                                                              А вот получать обязанности нет.
                                                              Ок. Право. Вы правы.

                                                              Брать себе чужие товары, случайно присланные на твой адрес — это такое себе. В лучшем случае, надо будет вернуть в товарном виде. В худшем — окажешься крайним.
                                                              О_о? Где тут вообще был разговор о чужом товаре присланном случайно на твой адрес?
                                                              Получатель сам по себе никак не может быть крайним с точки зрения закона, получение товара ни в какой уголовной статье Вы не найдете.
                                                                0
                                                                > Нет, не должен.

                                                                Нет, должен.

                                                                > получение товара ни в какой уголовной статье Вы не найдете.

                                                                Вам, видимо, кажется, что подходящая уголовная статья должна называться именно «получение товара» — нет.
                                                                Да и в гражданском я пару статей найду.

                                                                > Где тут вообще был разговор о чужом товаре присланном случайно на твой адрес?

                                                                «По неосторожности»?
                                                                Или вы таки на свой адрес ворованной картой заказываете?
                                                            0
                                                            Amazon это не только доставка товаров — но еще и облачный сервис — и там тоже не спрашивают ни CVC, ни СМС не присылают.
                                                              0
                                                              > но еще и облачный сервис

                                                              Ну да, товар виртуальный
                                                            0
                                                            Алиэкспресс кстати периодически просит ввести разные части данных с карты для проверки при попытке оплатить заказ.
                                    0
                                    Alexufo не зависимо от ситуации, профессионал должен оставаться профессионалом, а не быдлом из подворотни. Автор, конечно, сам немного сглупил, указав свой возраст, а не укажи — воспринимался бы совсем по другому…
                                      –1
                                      Вы не совсем правы, возраст был указан для подчеркивания уникальности, это нормально, ( я как-то патча ждал на прошивку вообще от 15 летнего). возраст часто виден по обидам, сильному отстаиванию и признанию своей персоны в мире с 7млрд человек.
                                        0
                                        Автор, конечно, сам немного сглупил, указав свой возраст, а не укажи — воспринимался бы совсем по другому…
                                        Как раз не сглупил, а очень правильно сделал. Статья хотя написана и по делу, но подача информации такова, что читателю необходимо понимать причины такой подачи, иначе тяжело воспринимать статью и ее автора серьезно.
                                      +13
                                      ЦРУ, Ми-6, Моссад, Бургер Кинг — чья разведка круче?
                                        +1
                                        — Баскин Робинс всегда всё узнают!
                                        — С Баскин Робинс шутки плохи…
                                        +37
                                        Вёрстка «статьи» в «лучших традициях». Понимаю, что вы наверняка под большими эмоциями писали всё это, но стиль изложения откровенно ужасен. Во-первых, не следует перебарщивать с жирным текстом. Вы выделили так много всего, что смысл от этого выделения пропадает напрочь. Во-вторых:
                                        они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?»

                                        Я уверен, что у вас в мыслях должен был получиться сарказм, но, увы, он не вышел. Сарказм вышел здесь.
                                        очередная наглая ложь

                                        наглая ложь

                                        нагло игнорировала

                                        наглейшим образом игнорировали

                                        нагло Вам наврёт

                                        Зачем вы так часто используете прилагательное «нагло/наглая»? Вы можете себе представить более-менее серьёзную статью, где автор будет так разъясняться? Что будет, если «доказательства прямой лжи Burger King» окажутся вовсе не доказательствами, а домыслами или неверным интерпретированием? Пусть даже часть, пусть даже малая, но всё же.
                                        Я понимаю вашу обиду по причине хамских ответов, угроз и неадекватной реакции (не важно чьих), но разве это повод зажигать факел, поднимать вилы и худшим образом отвечать на всё это?
                                        Сейчас ваша запись больше похожа на истеричный крик ребёнка, истерику, очень самоуверенную:
                                        Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.

                                        Это вам кажется, что вы разбили что-либо в пух и прах. Насколько убедительны и правдивы ваши доказательства и прочее — это уже читателям решать (и прочим).

                                        Что же до самой темы статьи (хотя это и не совсем статья, скорее запись в личном блоге на Хабре) — полностью поддерживаю основной призыв к проверке всех причастных. Аргументы вида «это аналитика, ничего страшного, расходимся» лично мне не кажутся убедительными, как и отписка компании-разработчика о том, что всё шито-крыто. Даже если согласие на запись экрана было бы прописано где-то в дебрях Политики или Правил (насколько я понял, там об этом не написано — могу ошибаться), такая практика явно не согласуется с прозрачностью, которую пропагандирует GDPR и прочее. От согласия на использования куков стократно меньше толку, чем от явного и информированного согласия на запись экрана (хотя бы потому что обыватель с большей долей вероятности поймёт, что такое запись экрана, чем какие-то куки). Нет никаких гарантий, что видео, даже если там все поля по сто раз закрашены/заблюрены, не сопоставляются с пользователями, да и толку от видео без сопоставления? (не просматривать же все подряд в поисках бага, скорее багрепорт или лог об ошибке должен сопровождаться записью экрана). Если система не прозрачна, тогда исходить следует из самого худшего и «полезная функция» по-умолчанию не только не полезна, но и вредна.

                                        Особенный пламенный привет хотелось бы выразить от лица тех, у кого wi-fi такой же лимитированный, как и мобильная сеть. Считаю крайне порочной практикой тратить трафик пользователя, пусть даже через wi-fi на то, что не имеет прямого отношения к заявленным функциям приложения. Кто-то удивится, но wi-fi может раздаваться с такой же обычной сим-карты, с другого смартфона, а в некоторых странах есть как лимитированный трафик для wi-fi, так и система «добросовестного использования» (это когда у вас есть условные 50 ГБ «быстрого» интернета, после чего скорость режется до начала следующего месяца). Так что гонять видео, пусть и в плохом качестве в нон-стоп режиме для 10% пользователей (как заявляет разработчик приложения) это ой как расточительно. И без этого видео всякие метрики наверняка жрут не меньше, а то и больше самого функционала, так ещё и видео не хватало. Так что да, wi-fi нисколько не гарантирует, что неудобства не причиняются. Избежать этого легко — спрашивать разрешение на такое необязательное логирование.
                                          +2
                                          в некоторых странах

                                          Но ведь это приложение работает только в России по сути. Зачем ты будешь заказывать в Россию бургеры, находясь в другой стране? Это же и касается утверждения, что баланс уйдет в минус в роуминге.


                                          гонять видео, пусть и в плохом качестве в нон-стоп режиме

                                          Mp4 очень хорошо сжимается, и минутное видео может весить даже меньше чем картинка(сам делал обучающий ролик на 90секунд в хорошем качестве, весил меньше 1мбайта). Ведь завалить трафиком пользователя можно и всего одной кривой картинкой сочного бургера на 10мбайт, почему такой аргумент тогда не берется в счёт? А если таких картинок будет 20? Но ведь нет, жирные картинки — это нормально, а запись видео — тяжело для трафика.

                                            0
                                            Картинка бургера имеет прямое отношение к функциональности приложения. Лучше бы её, конечно, сжать, но она хотя бы полезна для пользователя напрямую. А аналитика просто ест трафик. Насчёт локальной природы приложения – в России точно так же можно раздавать мобильный интернет по wi-fi. Ну и я лично не проверял, но некоторые пользователи скидывали скриншоты статистики использования сети приложением Burger King, и порой за месяц набегал гигабайт трафика в фоновом режиме, при чём именно по сотовой сети. Это очень-очень-очень много в фоне для приложения для заказа бургеров.

                                            По теме статьи нечего добавить к словам chesterset, он прекрасно всё сформулировал. Нужно всё проверять. Лично мне «видеодоказательства» автора кажутся крайне сомнительными, как и статьи. Полезный в целом позыв, который может быть разрушен маленькой «ложью во спасение», которая может оказаться не такой уж и маленькой. А может и не ложью. Нужно разбираться.
                                              +1
                                              Это же и касается утверждения, что баланс уйдет в минус в роуминге.

                                              Разве в России уже все операторы отменили роуминг между городами (серьезно не в курсе, давно в России не был)?
                                              И разве в Россию не приезжают иностранцы (особенно из ближнего зарубежья), которые как раз будут в роуменге?

                                              жирные картинки — это нормально, а запись видео — тяжело для трафика.

                                              Жирная картинка грузится один раз, а видео если оставить включеным приложение может писаться всю ночь, заодно убив батарею в ноль (и кстати тому кто грузит на мелкий экран мобильного HD картинку для гиганского десктопного дисплея тоже руки нужно оторвать и переставить в правильое место).
                                              Плюс я готов заплатить за основой функционал приложения, но почему за мой счет производится его отладка (причем без предупреждения), а жирные картинки при этом тоже никуда не деваются? С таким же успехом они могли в фоне майнить криптовалюту (это тоже полезно для улучшения приложения, ведь надо же платить программистам).
                                              0
                                              Вёрстка «статьи» в «лучших традициях».

                                              Вы выделили так много всего, что смысл от этого выделения пропадает напрочь

                                              Зачем вы так часто используете прилагательное «нагло/наглая»? Вы можете себе

                                              представить более-менее серьёзную статью, где автор будет так разъясняться?

                                              Сейчас ваша запись больше похожа на истеричный крик ребёнка, истерику, очень самоуверенную


                                              Знаете, вы мне сейчас напоминаете некоторых разработчиков с работы. диалог в слаке:
                                              -Мы теряем бабло, вот бага фиксите, проблема там и там.
                                              — Нуу, пишите таску.
                                              — Какая таска фиксите багу, мы теряем деньги, клиентов.
                                              — Нуу, нужна таска.
                                              — Исправляйте проблему, а потом хотите пишите себе таску.
                                              Та история закончилась хорошо, самодовольному программиста дал по шапке его тимлид, они быстро пофиксили проблему и все продолжили жить счастливо.

                                              К чему это всё я, ваш менторский тон и снобизм, что не так в оформлении, в выделениях жирным, небольшие факапы в используемых оборотах это всё настолько мелочь, как та таска из истории выше, где скорость освещения и решения проблемы важнее.

                                              Я не знаю чем закончится эта история в итоге, даже гадать не буду, но давайте будем терпимы в молодым специалистам, ибо сейчас именно они (в частности он) 18 летний парень, нашёл и пытался разобраться, а не великовзрослые дяденьки, что считают многие вещи в порядке вещей, как например запись видео с экрана телефона.
                                                +19
                                                Та история закончилась хорошо, самодовольному программиста дал по шапке его тимлид

                                                Хорошо — это когда тимлид предпочел дать по шапке, вместо того, чтобы написать разрабу таску?
                                                  –1
                                                  Всё познаётся в сравнении, где-то описание таски будет несомненно важнее, хорошо — это когда есть понимание, что сейчас приоритетно. Но в данном примере, решить проблему с потерей денег для всей кампании — это важно, внутренний учёт времени они смогут решить и позже.
                                                    +16
                                                    Кроме субъективного понимания в компании могут быть объективные регламенты. А на личной практике было когда генеральный директор запрещал мне лично брать в работу задачи, поставленные не через тасктреккер и обещал штрафовать депремировать. В описанной вами ситуации максимум бы на что я пошёл — это прямое указание от него начинать заниматься задачей, пока тимлид её оформляет в треккере.

                                                    Понимаете, для разработчика внутренний учёт времени может быть единственным явным фактором, влияющим на его удовлетворенность работой. И это обычно компания его ставит в такие условия, что без таски ему начинать работать над задачей себе дороже. Даже если флоу работы над заадчей разработал сам разработчик, то утверждал его кто-то другой. Получив несколько раз по шапке за отклонения от флоу от тимлида, даже устное распоряжение генерального директора может быть не указ.
                                                      –3
                                                      Бесспорно, вы правы, ситуации и внутренняя кухня у каждой кампании своя, они сложились за долгие годы ошибок и опыта.

                                                      Понимаете, для разработчика внутренний учёт времени может быть единственным явным фактором, влияющим на его удовлетворенность работой.

                                                      А вот над этой ситуаций в вакууме я поразмышляю на досуге, уж как-то безрадужно.
                                                        +16
                                                        Поразмышляйте над другой ситуацией — срочное решение тимлида было ошибочным. И когда это вскрылось умный тимлид смекнул, что кроме слов программиста никаких доказательств его вины нет и он начинает врать, что никакого указания не давал, а это все программист сам сломал. Лично я именно поэтому ничего без тикета не делаю. Так же еще бывает, что задача огромная, с кучей нюансов, все запомнить невозможно, а потом эти забытые моменты делают твоим косяком, потому что ты не сделал, что приказано. А возможно и сам тимлид забыл тебе об этом нюансе сказать, но теперь не хочет признавать свой косяк.
                                                          +2

                                                          Сразу вспомнился скандал с Volkswagen
                                                          https://m.habr.com/post/268899/
                                                          Тикет должен быть. Хотя бы для того, чтобы программисту быть уверенным, что именно не так, как оно должно быть и с описанным результатом сверять свой труд.

                                                            +2
                                                            Согласен с вами, что без таска делать что-то себе дороже. Особенно это актуально для аутсорсинговых компаний, когда у заказчика все срочно-немедленно. Хотя в большинстве случаев задачи имеют срочный статус только по вине самого заказчика, который заранее не озаботился поставить задачу на требуемый функционал.
                                                              0
                                                              Доводите тогда уж свою линию «Лид чудак и на все пойдет чтобы отмазаться», до конца))
                                                              А именно, когда доходит дело до разборок, а ведь лид бескомпромиссный, он договаривается с админом трекера или сам имея доступ, подчищает в БД все концы, так что он становится совершенно чистым. Ведь все забытое при создании такси там есть или же наоборот, нет вообще никаких упоминаний задачи и «никакого указания не давал, а это все программист сам сломал»…
                                                              такие дела)))
                                                                +3
                                                                Это вряд ли. Хотя бы потому, что любой уважающий себя трекер шлет уведомления о любых изменениях статуса задачи на почту. И если потом найти эту несуществующую задачу, будет очень «ой». Особенно учитывая, что номера у задач обычно идут по порядку, и если после 10204 задачи идет сразу 10206, то это вызывает подозрения. Лид за такое быстро вылетит.

                                                                А у меня лично была похожая ситуация, где даже наличие таски мне не помогло, ведь я «не догадался» и не расписал всё на 200% в этой самой таске. Там было типа «да, мы решили, что Selenium единственный вариант реализации, но мы не решили, что мы его внедряем. Зачем ты потратил 2 дня на это внедрение? ататата». Собственно, я в той конторе меньше года проработал из-за таких приколов.
                                                            0

                                                            И почему мне вспоминается анекдот про "шашечки таски или ехать?"

                                                            +1
                                                            Но в данном примере, решить проблему с потерей денег для всей кампании — это важно,
                                                            Это важно для компании, в чьё положение рекомендуется (бесплатно?) входить разработчику.

                                                            внутренний учёт времени они смогут решить и позже.
                                                            А могут и не решить, как, вероятно и сделали в предыдущий раз.
                                                              0
                                                              Простите, а вы на работе обычно чем занимаетесь, если решать проблемы заказчика вам из раза в раз не оплачивают?
                                                                0
                                                                В данном кейсе предполагается, что указание об немедленном начале работы над новой задачи даёт лицо не имеющее таких полномочий и(или) надлежащим образом не оформившего его. Впоследствии может оказаться, что человек ничего не делал, так как текущую задачу делать прекратил, а ни к одной из имеющихся не приступил.

                                                                Плюс личное наблюдение — в бизнесе каждый отдел, каждое направление считает себя самым важным. Например, отправка смс для входа в ЛК перестала работать: «мы теряем миллионы, срочно разбирайся!!». И никто кроме, например, юристов и бухгалтерии не знает, что если текущую задачу хоть на день задержать, то фирма вообще потеряет право работать.
                                                                  0
                                                                  По треду выше «Исправляйте проблему, а потом хотите пишите себе таску.», то есть проблема не в наличии другой срочной задачи, а в наличии таски вообще.

                                                                  С другой стороны, если речь не про абстрактный фичареквест, а отправка СМС не работает — чинить это программисту надо, может быть завтра, но надо. Что пришло «лицо не имеющее таких полномочий» этого не меняет. Так что проблема только в «надлежащим образом не оформившего его», что сделать задним числом проблемы не составит (ну, технически).

                                                                  Так что нет, в комменте, на который я отвечаю проблема в том, что разработчик не хочет «бесплатно» оценить важность, а начальство не хочет «бесплатно» визировать задним числом сделанную работу.

                                                                  > И никто кроме, например, юристов и бухгалтерии не знает, что если текущую задачу хоть на день задержать, то фирма вообще потеряет право работать.

                                                                  Если они не донесли важность задачи и соблюдения её дедлайна — у меня для них плохие новости…
                                                                    0
                                                                    Разработчик обычно и не может оценить важность с одной стороны, а с другой, если «войдёт в положение», то крайним он останется, а не инициатор.

                                                                    Я про ситуацию когда маркетинг прибегает с смсками, а разработчик пилит интеграцию с налоговой. Разработчик знает, что интеграция сейчас самая важная задача, так ему сказали или его начальник и кто-то типа директора. А маркетинг «мы деньги теряем» кричит.
                                                                      0
                                                                      > Я про ситуацию когда

                                                                      Вас это беспокоит? Вы хотите поговорить об этом? Я то отвечаю на
                                                                      этот камент, там другая ситуация.
                                                                        0
                                                                        Там ситуация неизвестная в этом плане. Судя по всему бизнес «кричит» «почините багу» и бизнес же дал распоряжение не брать задачи без формальной таски.
                                                                          0
                                                                          > бизнес же дал распоряжение не брать задачи без формальной таски.

                                                                          Судя по всему, вы тред не читали

                                                                          > самодовольному программиста дал по шапке его тимлид
                                                                            0
                                                                            Из этого ничего не следует. Лиды и прочее руководство бывают противоречивы. Сначала сами говорят, а то расписываться под приказом или регламентом заставляют, «без таски даже думать над задачей не начинай», а потом «ну это же форс-мажор был, должен же понимать». И кстати, не факт, что дал. Мог сказать начальству, что дал, а по факту сказал «в следующий раз сразу меня набирай — я скажу что делать».
                                                                              0
                                                                              Эк вы от «Судя по всему» перешли к «бывают». Могли бы просто сказать типа «да, не читал» вместо «во рту могли расти грибы»
                                                                                0
                                                                                Я читал, информации от участников ноль.
                                                                                  0
                                                                                  То есть вы пришли мне рассказать что «В данном кейсе предполагается» и «судя по всему» получив перед этим ноль информации?

                                                                                  В следующий раз начинайте с «я тут нафантазировал, что ...»
                                                                                    0
                                                                                    Из фактов у нас только то, что программист не присутпил к задаче, которую ставил не его руководитель без оформления таски, и приступил когда его руководитель её поставил. Логично предположить, что первый постановщик не имел полномочий давать указания программисту. Иначе это очень странный программист — одного начальника слушается, а другого нет.
                                                                                      0
                                                                                      Факт сформулирован так:
                                                                                      > самодовольному программиста дал по шапке его тимлид

                                                                                      Вы нафантазировали так:
                                                                                      > И кстати, не факт, что дал.

                                                                                      Вы что конкретно напередергивать хотите? Что странен тот программист, что не получает по шапке?
                                                          +2
                                                          К чему это всё я, ваш менторский тон и снобизм, что не так в оформлении, в выделениях жирным, небольшие факапы в используемых оборотах это всё настолько мелочь, как та таска из истории выше, где скорость освещения и решения проблемы важнее.

                                                          Для вас — мелочь. Я не утверждаю, что просчёты в оформлении статьи нивелируют её посыл, но даже голый plaintext лучше, чем халтурное и бездумное оформление. Если нет времени что-либо оформлять достаточно не использовать никакой вёрстки, просто абзацы разделить и заголовки использовать.
                                                          Ваша аналогия вовсе не аналогия, там речь идёт о бюрократизме. Правильной аналогией было бы оформление таска в худших традициях, чтобы читать аж больно было, вместо того, чтобы хотя бы просто в чате расписать сплошным текстом.
                                                          Я не знаю чем закончится эта история в итоге, даже гадать не буду, но давайте будем терпимы в молодым специалистам, ибо сейчас именно они (в частности он) 18 летний парень, нашёл и пытался разобраться, а не великовзрослые дяденьки, что считают многие вещи в порядке вещей, как например запись видео с экрана телефона.

                                                          Терпимость != не подвергать критике, иначе он и в 20, и в 30 и т.д. будет делать такие же ошибки. Я не зря сначала высказал своё мнение относительно оформления статьи, а после — вполне себе поддержал и выводы, и призывы автора. Коль вы любите аналогии: если я вижу правильно работающее приложение, но плохой код, я похвалю за работающее приложение и отмечу ошибки в коде, но никак не промолчу по принципу «ну раз работает приложение, то грех на код жаловаться».
                                                          И я надеюсь, что не решили скопом меня к великовозрастным дядькам причислить, для которых запись экрана — норма жизни?)
                                                            +7
                                                            Вы вероятно не инженер, раз не поняли диалога. Программисты просят тикет не потому (или не всегда потому), что они хотят отморзиться от работы, а потому, что начальство утверждает, что он ничего не делал без него. Я примером работал в компаниях, где просто так самому создать тикет нельзя и когда я делал задачи ребятам потому, что они просто просили в меседжере — это не было достаточным аргументом моей занятости.
                                                            +2
                                                            Вы не очень разбираетесь в технологиях?
                                                            Автор статьи после просьбы доказательства, словил и сохранил видео с открытыми данными своей банковской карты — ЗА ПРЕДЕЛАМИ СВОЕГО ТЕЛЕФОНА. Данные ушли в сеть, где он их перехватил на своем маршрутизаторе/десктопе (и т.д. нужное подчеркнуть).

                                                            Что помешает мне повесить снифера на ваш домашний маршрутизатор (или вообще провайдеру на маршрутизатор) и собирать все эти видео всех пользователей? (Эксплойты захвата маршрутизаторов почти на все модели действуют, и пока не устраняются разработчиками программного обеспечения этих маршрутизаторов — взломать ваш роутер, дело времени, равного обнаружению ваших портов сканером).
                                                              0
                                                              Автор для перехвата HTTPS установил на телефон сертификат, а вы, получив контроль над роутером, все равно не сможете читать HTTPS трафик.

                                                              Но проблема действительно есть: хотя в видеозаписях и закрыт номер карты, но там не закрыт номер телефона (перс данные), и без уведомления и согласия пользователя его номер телефона передается в израильскую компанию AppSee. AppSee никак не связана российским законодательством и может делать с ПД россиян что хочет (позиция AppSee: согласно договору разработчик обязан пометить все области экрана, где есть перс. или другие чувствительные данные, если он забыл это сделать то это он и виноват, а AppSee не при чем, это лишь инструмент).

                                                              Странно, что некоторые люди беспокоятся об утечке номера карты, которая легко перевыпускается, и не беспокоятся о персональных данных, которые достаточно один раз слить в сеть или в базы дата-брокеров и потом никак оттуда не удалить.
                                                                –1
                                                                Карта пере-выпускается, когда с неё уже снял деньги кто-то, и правда, чего беспокоится то?
                                                                Какие поля скрыты? Автор предоставил видео — все поля открыты, все данные карты есть — бери и покупай что хочешь.

                                                                Сниф на маршрутизаторе — на его работу между устройствами пользователя и интернетом — не кому даже и «матюкнутся» (ибо его софт никто не контролирует из сторонних АВ и прочих защитников).

                                                                Общается то с внешним миром именно снифер со своим сертификатом, он свой запрос подписанный своим сертификатом шлет на сервак, получая ответы, а затем дублирует сквозной исходный запрос, отвечая на свой запрос дропом соединения с ошибкой.
                                                                Усё Уася, два запроса, два идентичных ответа, один мне в сниф, второй юзеру на устройство. При чем дубль запроса и сбор данных идет только на интересующие домены (чтобы критично не тормозить трафик пользователю).
                                                                  +4
                                                                  Нет. У вас не получится перехватить HTTPS трафик на роутере без установки своего сертификата на устройство (или без похищения приватного ключа сертификата компании AppSee).

                                                                  Если вы смотрите HTTPS трафик, то он зашифрован временными ключами, которых у вас нет (они хранятся в памяти устройства и сервера). Если вы пытаетесь прикинуться сервером, то вы не сможете без сертификата доказать, что вы это настоящий сервер.

                                                                  Деньги на карту наверняка вернут при незаконном снятии. А вот если ваше имя или телефон утекли в сеть или иностранным компаниям, которые вам ничего не должны, то вы их не удалите. А если они попали в базы NSA — то вообще ничего не сделаете.
                                                                    0
                                                                    У моей мамы со сберской карты увели 3000 руб. Полгода обращений вбанк ни к чему не привели, деньги никто не вернул.
                                                                      0
                                                                      Я не знаю деталей, и не могу что-то прокомментировать, но ведь это всего лишь небольшие деньги. По идее, банк должен возвращать деньги, если они были сняты без разрешения владельца карты так как только он может ими распоряжаться. Но персональные данные будут всю жизнь у кого-то храниться, передаваться и распространяться. Это гораздо хуже.
                                                                        0
                                                                        И то и другое плохо. А факты таковы — есть пострадавшие от утечки ПД, причем в ряде случаев ПД сливались спецслужбами (и не только российскими), которые клали с прибором что на GDPR, что на 152-ФЗ. Есть пострадавшие от кардеров, которым банки не стремятся возвращать деньги. Я не знаю, как у нее угнали карту, я не знаю как бы развивалась ситуация, если бы там было 300тыр. Так что что хуже — не ясно.
                                                                          0
                                                                          которые клали с прибором что на GDPR

                                                                          В GDPR есть оговорка, что на гос.службы она не распостраняется, поэтому спецслужбы могут класть на нее совершенно легально.
                                                                0
                                                                Вы промахнулись веткой?)
                                                              +6
                                                              хакер_и_солонки.txt, ИМХО
                                                              Не самая приятная функция, и по-хорошему разработчики должны бы спрашивать подтверждения — но тут из неё сделали какую-то детективно-шпионскую историю, местами переходящую в драму.
                                                              В общем «Ну да, ну ужас. Но не ужас-ужас-ужас!!!».
                                                              Но вектор атаки интересный, да.
                                                                +11
                                                                Ну спросят они подтверждения. Ну откажешь ты. А они не послушают и все равно будут писать видео. Как будто ваша галочка под EULA что-то значит…

                                                                … когда вас надо засудить — «вы же сами все подписывали»
                                                                … когда им надо отмазаться — «мы не знаем, что там написано»
                                                                  +1
                                                                  > Как будто ваша галочка под EULA что-то значит

                                                                  Да, значит. Открывайте ГК РФ и читайте что такое акцепт публичной оферты. Ставя галочку или нажимая кнопку «Согласен» вы совершаете юридически значимое действие. А то что вы об этом не задумываетесь — ваши проблемы.
                                                                    0
                                                                    Закон может добавлять более строгие требования. Например, для рассылки спама нужно получить письменное согласие пользователя, а не галочку под соглашением из 10000 слов. А в банке обязаны назвать точную стоимость кредита, а не прятать ее в куче длинных условий и предложений.

                                                                    И это правильно, так как компаниям, понятно, выгоднее спрятать важную информацию. Банку выгоднее не говорить сумму кредита, а составить такой план, чтобы казалось, что он дешевле, чем есть. Приложениям выгоднее не рассказывать пользователю, какую информацию они извлекают из телефона.

                                                                    И конечно, если где-то есть недоработки, то значит нужны новые законы, которые запретят тайную слежку за пользователем. Если программа хочет следить — то пусть скажет об этом явно и открыто, не пряча ничего в EULA. И даст возможность покупать бургеры, отказавшись от слежки.

                                                                    Для работы с персональными данными во многих случаях галочки недостаточно. Тем более что тут и галочки не было, как я понял. Юридически ли значимо нажатие кнопки в общем случае — вопрос спорный. Так ведь можно сделать условие, что «нажав на галочку, вы обязуетесь пожизненно платить 10 000 рублей в месяц за аренду программы и оплатить неустойку в размере 1 000 000 р за досрочный разрыв соглашения». Но я что-то сомневаюсь, что вы сможете этот миллион отсудить у пользователя.

                                                                    Здесь приложение, никак не предупредив пользователя, ведет скрытую видеозапись экрана и тайно собирает информацию об устройстве, вроде номера IMEI. Больше напоминает шпионский функционал, не находите? Зачем им номер IMEI? Вычислять тех, кто ввез телефон из Китая нелегально?

                                                                    > А то что вы об этом не задумываетесь — ваши проблемы.

                                                                    А вы когда приходите в кафе, магазин, гостиницу или клинику, читаете все договоры, соглашения, дополнительные условия? Вы ведь сами можете оказаться в ситуации, когда у вас появятся проблемы. Скажите спасибо, что по нашим законам такие соглашения сильно ограничены Гражданским Кодексом. Если бы законодатели рассуждали как вы, то тогда вообще на улицу нельзя было бы выйти, не нарушив какое-нибудь соглашение и не попав на деньги.
                                                                      0
                                                                      Я не защищал БК, я полностью поддерживаю автора поймавшего их на воровстве и вранье. Я лишь отвечал на глупость, что якобы акцепт публичной оферты ничего не значит.
                                                                        +1
                                                                        Ладно, побуду диванным юристом. Давайте разделять понятия EULA и оферта. В США есть юридический трюк, там копирование программы в память при запуске регулируется авторским правом и если вы не принимаете EULA (которая это разрешение), то нарушаете авторское право. У нас в России, к счастью, такого маразма нет: если кто-то предлагает программу бесплатно, то ей можно бесплатно пользоваться без всяких EULA.

                                                                        Теперь вернемся к оферте. ГК, ст. 435:

                                                                        > 1. Офертой признается адресованное одному или нескольким конкретным лицам предложение, которое достаточно определенно и выражает намерение лица, сделавшего предложение, считать себя заключившим договор с адресатом, которым будет принято предложение.
                                                                        > Оферта должна содержать существенные условия договора.
                                                                        > 2. Оферта связывает направившее ее лицо с момента ее получения адресатом.

                                                                        ГК, ст. 437:

                                                                        > 2. Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).

                                                                        ГК, ст. 438:

                                                                        > 3. Совершение лицом, получившим оферту, в срок, установленный для ее акцепта, действий по выполнению указанных в ней условий договора (отгрузка товаров, предоставление услуг, выполнение работ, уплата соответствующей суммы и т.п.) считается акцептом, если иное не предусмотрено законом, иными правовыми актами или не указано в оферте.

                                                                        Обратите внимание на то, что я выделил. Оферта должна содержать существенные условия договора. Короткая фраза, «нажимая кнопку, вы соглашаетесь с условиями» не содержит существенных условий и потому на мой взгляд не может быть офертой.

                                                                        Также, обратите внимание на ст 438. Пока вы не выполнили условия договора (к которым нажатие кнопки вряд ли можно принтянуть), например, пока не заплатили за услугу, можно смело считать, что оферту вы не принимали.

                                                                        Наконец, как мне кажется, закон подразумевает свободный выбор — соглашаться или не соглашаться с офертой. Более того, ст. 443 даже предлагает третий вариант ответа:

                                                                        > Ответ о согласии заключить договор на иных условиях, чем предложено в оферте, не является акцептом.
                                                                        > Такой ответ признается отказом от акцепта и в то же время новой офертой.

                                                                        Если приложение не дает возможности выбора, или предложения другого варианта ответа, то, как мне кажется, нельзя говорить о свободе выбора и о согласии.

                                                                        Иначе бы любой магазин мог написать: «входя в наш магазин вы соглашаетесь пожизненно оплачивать наши услуги».

                                                                        Я например не вижу разницы между «входя в наш магазин вы соглашаетесь..» и «нажимая кнопку регистрации, вы соглашаетесь ...». Вы видите?
                                                                          +1
                                                                          То есть в моем понимании, публичная оферта выглядит как-то так:

                                                                          — Продам 10 кг сахара за 500 руб.
                                                                          — Любой пришедший в БК с котом на голове может купить большой бургер со скидкой 50%.

                                                                          Тут все есть: и существенные условия, и видно, какое действие надо сделать, чтобы принять оферту (заплатить за сахар или за бургер), и видны обязательства продавца (продать указанный товар по оговоренной цене).

                                                                          Теперь посмотрим на соглашение, которое придумали в БК: burgerking.ru/legal_for_app

                                                                          Оно явно сделано на американский манер и напоминает американскую EULA, а не оферту. Попробуйте найти там предмет договора. О чем этот договор? О том, что пользователь обязывается пользоваться приложением? Попробуйте найти обязанности компании. Что она должна сделать в рамках договора?

                                                                          > 2.1. Настоящее Соглашение регламентирует отношения между Компанией и Пользователем, надлежащим образом, присоединившееся к настоящему Соглашению для использования мобильного Приложения.

                                                                          Но никто не запрещает пользоваться приложением, не присоединяясь к соглашению. Нажатие кнопки или ввод номера телефона очевидно таким не является.

                                                                          > 2.3. Условия настоящего Соглашения являются публичной офертой в соответствии с частью 2 ст. 437 Гражданского кодекса Российской Федерации, и использование Приложения возможно исключительно на условиях настоящего Соглашения.

                                                                          Нет, так как пользователю не показываются существенные условия договора и не дается возможности выбора. Приложение распространяется бесплатно, следовательно пользоваться им можно без заключения договоров. Иначе оно бы выдавалось только под роспись.

                                                                          > 2.4. Использование Приложения является акцептом публичной оферты и подтверждением согласия Пользователя с условиями настоящего Соглашения.

                                                                          Такого в законе не предусмотрено.

                                                                          > 2.5… Компания вправе вносить изменения и/или дополнения в Соглашение. При внесении изменений в Соглашение Компания публикует новую действующую редакцию Соглашения, и дата публикации является датой вступления в силу новой редакции Соглашения.

                                                                          Насколько я помню, закон такого не допускает. По крайней мере, если новое соглашение ставит пользователя в менее выгодные условия.

                                                                          > 5.1.… Компания вправе от своего имени направлять Пользователю… рекламные или иные сообщения на адрес электронной почты, номер телефона, указанные Пользователем,…

                                                                          Это противоречит закону, который требует письменное согласие, если я не путаю.

                                                                          Поищем теперь обязанности, выполнение которых Пользователем могло бы подразумевать принятие оферты в соотв-и со ст. 438 ГК, если бы она была предложена ему должным образом.

                                                                          > 4.2. Пользователь обязуется не распространять ложную или конфиденциальную информацию о Приложении или о Компании.

                                                                          То есть если пользователь распространяет ложную информацию, то он не выполнил условия и не принял оферту? Да и я не уверен, что это не противоречит свободе слова.

                                                                          > 4.3. Пользователь обязуется не использовать стороннее ПО и другие технические средства, влияющие на работу Приложения.

                                                                          Опять же, если использует — значит не принял оферту?

                                                                          Если вы прочитаете соглашение, то вы не найдете там предмета договора. Там нет слов вроде «компания обязуется продать пользователю выбранный им бургер, а пользователь — оплатить и забрать его в установленный срок». Там только общие слова вроде пользователь разрешает обрабатывать свои данные, обязуется не декомпилировать приложение. А обязанностей компании там вообще нет. То есть это даже договором нельзя считать, так как он не обязывает одну из сторон ни к чему.

                                                                          Также, как я понимаю, пользователю при запуске приложение существенные условия договора не показываются и он может пользоваться приложением без принятия каких-либо оферт.

                                                                          В общем, у меня ощущение, что юристы там просто скопировали соглашение с какого-то американского сайта, либо у российской компании, которая скопировала его с американской EULA.
                                                                            +1
                                                                            Кстати, в ГК можно найти много интересного, если покопаться. Как вам такое:

                                                                            ГК, ст. 169:

                                                                            > Статья 169. Недействительность сделки, совершенной с целью, противной основам правопорядка или нравственности

                                                                            > Сделка, совершенная с целью, заведомо противной основам правопорядка или нравственности, ничтожна и влечет последствия, установленные статьей 167 настоящего Кодекса. В случаях, предусмотренных законом, суд может взыскать в доход Российской Федерации все полученное по такой сделке сторонами, действовавшими умышленно, или применить иные последствия, установленные законом.

                                                                            На мой взгляд, тайная видеозапись экрана, а также тайное получение IMEI противно основам нравственности; это очевидно аморально. Да и реклама от БК, скажем прямо, балансирует рядом с границей нравственности.

                                                                            > Статья 170. Недействительность мнимой и притворной сделок
                                                                            > 1. Мнимая сделка, то есть сделка, совершенная лишь для вида, без намерения создать соответствующие ей правовые последствия, ничтожна.

                                                                            Размытое пользовательское соглашение, которое не накладывает никаких обязательств на БК, очень напоминает «мнимую сделку», совершенную лишь для вида.

                                                                            > Статья 178. Недействительность сделки, совершенной под влиянием существенного заблуждения
                                                                            > 1. Сделка, совершенная под влиянием заблуждения, может быть признана судом недействительной по иску стороны, действовавшей под влиянием заблуждения, если заблуждение было настолько существенным, что эта сторона, разумно и объективно оценивая ситуацию, не совершила бы сделку, если бы знала о действительном положении дел.

                                                                            Очевидно, что тут есть заблуждение: реклама обещала, что приложение просто раздает бесплатные купоны, а на самом деле приложение собирает персональные данные, номер IMEI и тайком проводит тесты на устройстве пользователя, жрет трафик как не в себя. И конечно многие бы не стали его ставить, если бы знали об этом.

                                                                            > Статья 179. Недействительность сделки, совершенной под влиянием обмана, насилия, угрозы или неблагоприятных обстоятельств
                                                                            > 2. Сделка, совершенная под влиянием обмана, может быть признана судом недействительной по иску потерпевшего.
                                                                            > Обманом считается также намеренное умолчание об обстоятельствах, о которых лицо должно было сообщить при той добросовестности, какая от него требовалась по условиям оборота.

                                                                            Я сначала думал, что «обмана» тут нет, но потом перечитал и вижу, что умолчание БК о тайных функциях приложения вполне можно посчитать таковым при желании.

                                                                            Замечу, что я не юрист. Также, российские суды могут иногда очень причудливо трактовать законы, не обязательно так же, как я.
                                                                              0
                                                                              Замечу, что я по одному из образований юрист, потому, если будет не лень завтра(сегодня никак, извините, у любимой женщины сегодня операция под общим наркозом, мне немного не до ответа на ваши простыни, прошу понять) отвечу.
                                                                          +1
                                                                          [сарказм]
                                                                          Строгость законов компенсируется необязательностью их исполнения — раз.

                                                                          Два — в EULA могут написать абсолютно что угодно. Законов, регулирующих возможные или невозможные последствия по EULA, насколько мне известно, у нас нет.

                                                                          Иными словами, это что-то значит для вас — если вы вчитаетесь. Но 99% компаний знают, что никто это не читает. Можно написать туда любую вредоносную хрень и знать — и её акцепнут.

                                                                          Юридически, формально согласятся! А значит она станет «законной» и «правомерной».

                                                                          Поэтому вам скажут: «А вы сами подписали, мы то тут причем?» — когда надо будет вас обвинить.

                                                                          И скажут «У нас длинная еула, но её никто не читает», когда надо будет обелить себя.

                                                                          Исходный посыл был именно таким. Читайте пожалуйста не через слово.
                                                                            0
                                                                            Отвечаю. Читайте внимательно каждое слово.
                                                                            Я ВСЕГДА читаю ВЕСЬ текст ВСЕХ договоров которые я подписываю или акцепчу. Всегда весь текст. И, да, я даже при установке программ о которых мне известно, что они распространяются под GNU GPL известной мне версии ОБЯЗАТЕЛЬНО читаю текст который показывает программа, прежде чем его акцептить.
                                                                              0
                                                                              Отлично! Рад за вас.

                                                                              Сколько % пользователей этого не делают? Вот то-то и оно.

                                                                              Нет механизмов, регулирующих добросовестность таких предложений…
                                                                                0
                                                                                Есть. Например, в ГК РФ второй параграф 9-й главы описывает такие механизмы для разных случаев.
                                                                                  +1
                                                                                  Разве что
                                                                                  Статья 178. Недействительность сделки, совершенной под влиянием существенного заблуждения

                                                                                  нам тут поможет в случае чего.
                                                                                    0
                                                                                    168 тоже может
                                                                                0
                                                                                Тут важно не забывать, что у EULA-подобных соглашений может быть разный статус в разных странах. Я, как диванный юрист, пока не нашел законов, которые бы обязывали вас соглашаться с ними или интерпретировали нажатие кнопки на сайте/установку бесплатного приложения как принятие оферты.
                                                                                  0
                                                                                  Договор присоединения — не оно?
                                                                                    0
                                                                                    Не оно, так как тут речь про присоединение путем подписи или электронной подписи. Нажатие кнопки на экране таковым не является.
                                                                                      0
                                                                                      Совершение лицом, получившим оферту, в срок, установленный для ее акцепта, действий по выполнению указанных в ней условий договора (отгрузка товаров, предоставление услуг, выполнение работ, уплата соответствующей суммы и т.п.) считается акцептом, если иное не предусмотрено законом, иными правовыми актами или не указано в оферте.

                                                                                      Даже обычное пользование приложением или сайтом (конклюдентные действия) вполне может обозначать акцепт соглашения, не говоря о нажатии кнопки "я согласен".

                                                                                        0
                                                                                        Во-первых, я уже разбирал в другом комментарии недочет:

                                                                                        habr.com/post/417161/#comment_18883373

                                                                                        > Содержащее все существенные условия договора предложение, из которого усматривается воля лица, делающего предложение, заключить договор на указанных в предложении условиях с любым, кто отзовется, признается офертой (публичная оферта).

                                                                                        В приложении БК явно нет предложения, которое бы содержало существенные условия договора и с которым пользователь ознакамливается перед использованием.

                                                                                        По поводу «действий по выполнению указанных в ней условий договора» — тут вопрос, насколько процентов надо выполнить указанные действия в оферте, чтобы ее принять? Ведь предмет договора — не нажатие кнопки, а обычно это оказание каких-то услуг (в нормальных договорах, а не в том что у БК, сделанном по американской модели с опорой на копирайт). И нажатие кнопки это лишь маленький шаг на пути к выполнению. Не может ли пользователь сказать, «я и не собирался принимать оферту, я просто хотел посмотреть бургеры в приложении».

                                                                                        Если бы так можно было делать, что мешало бы ресторану писать «войдя в ресторан, вы соглашаетесь...»?

                                                                                        И еще важный момент, из ст. 435,

                                                                                        > 2. Оферта связывает направившее ее лицо с момента ее получения адресатом.

                                                                                        Тут в договоре для БК не определено никаких обязательств и он никак не связывает их.
                                                                                          0
                                                                                          Я так понимаю, что есть. Те самые «условия» с которыми надо согласиться — это и есть предложение, оферта с существенным условием договора — возможностью сделать в приложении заказ и оплатить его, а потом получить в ресторане. В это суть этой сделки.

                                                                                          Обычно не считают в процентах, обычно или указываются конкретные действия, которые считаются акцептом, или, если дело доходит до суда, например, действия, которые явно свидетельствуют о намерении совершить сделку типа оплаты заказа.

                                                                                          Определены обязательства обеспечивать выдачу оплаченных заказов в ресторанах.

                                                                          +5
                                                                          Ну да, ну ужас. Но не ужас-ужас-ужас!!!

                                                                          С одной стороны, вы правы, скорее всего сильной проблемы не будет (некоторые компании сами принимают и хранят данные карт и никто особо не возмущается).

                                                                          С другой стороны, бить по рукам нужно каждый раз когда начинают творить фигню без спроса пользователя. И такой хайп ПОЛЕЗЕН в любом случае, следующая компания несколько раз подумает прежде чем включать подобную аналитику без явного разрешения. То есть лучше пусть хайп будет несильно обоснованым, чем это станет нормой и все будут пожимать плечами «гостиница пишет на скрытую камеру, приложение заливает вирус и получает рут аксес к телефону, все твои приватные фотки утекли непонятно кому и непонятно зачем» — но ВСЕ ЖЕ ТАК ДЕЛАЮТ.
                                                                            +2
                                                                            да дело даже не в том, что сделали драму, а в реакции бк.
                                                                            +9
                                                                            Не видел их рекламу до Вашего поста. Теперь мнение о компании вообще испорчено.
                                                                              +4
                                                                              А у меня во время глюка бонусной системы пропало 300 балов БК с карты, которые я накопил, не щадя живота своего. Я уже месяц жду ответа. Написал три жалобы, ответов нет. Бургер Кинг, доколе?
                                                                                0
                                                                                Судя по всему, оно и к лучшему. И без БК полно фастфудов вокруг.
                                                                                +5
                                                                                fennikami
                                                                                Может добавить пару абзацев о посте от РосКомСвободы?
                                                                                  +3
                                                                                  Я все больше убеждаюсь, что никакие GDPR не помогут. Нужно не просто наказывать контору за такие утечки и дыры, а наказывать в пользу каждого пострадавшего (чтобы компании не договаривались за кулисами с чиновниками о штрафах в пользу государства), а так же запретить эту порочную строчку в любой EULA — «мы ни за что не несем ответственности — ни за баги, ни за глюки, ни за дыры». Вот когда ответственность за все это будет, причем перед всеми пострадавшими — тогда можно о чем-то говорить. А то сейчас очень многие хорошо устроились — можно наворотить чего угодно, заплатить штраф государству, а всем пострадавшим накатать отмазку «приносим извинения за неудобство» и этим ограничиться. А то, что пострадавшие могут получить кучу проблем из-за отсутствия ответственности компании — это уже никого не волнует. (Как пример — банк по ошибке блокирует карту, два месяца разбирательств и две недели походов, в итоге «извинения за неудобства» и все. А Можно, например, кредит так гасить — два месяца не платить, а потом извиниться? Если б банк платил всем пострадавшим хотя б по ставке пени по кредитам, то разбирательство б занимало часы, а не месяцы. Очень удобно рассчитываться за любые косяки извинениями)
                                                                                    +5
                                                                                    Если запретить строчку об отказе от ответственности — не будет работать GNU GPL. А это уже совсем нехорошо.
                                                                                      +2

                                                                                      Не будет работать любая публикация открытого исходного кода. "У меня из-за вашего leftpad самолёт упал, оплатите пожалуйста".


                                                                                      Но всё же где-то надо провести грань между "я тут сделал код, пользуйтесь, но аккуратно" и "я банк, взял ваши деньги на счёт и могу их морозить, удерживать полгода и мне на всё наплевать". Последнее кстати и так активно пытаются регулировать в разных странах, но индивидуально для каждой области.

                                                                                        +1
                                                                                        Это, имхо. решаемо очень просто — если софт открытый, то ответственность несет тот, кто его бездумно использует («я скачал код с гитхаба, ничего не проверил, и самолет упал» — значит виноват ты, потому что должен был проверить). Если софт закрытый — то ответственность несет и разработчик и использующий — а кто больше, или кто не виноват — пусть выясняют потом в суде, а не сваливают с больной головы на юзеров. Потому что с софтом получается удивительная история, когда можно продать (именно продать, за деньги) глючный или того хуже продукт, и ничего за это продавцу не будет. На том же хабре были статьи о том. как адейты того или иного софта оказывались дырявыми, сливали пароли и тп. Почему-то копирасты очень любят сравнивать нематериальные продукты с материальными (кража и тп), но нести ответственность на том же уровне, как ее несут производители материальных продуктов, совершенно не хотят.
                                                                                          0
                                                                                          Как минимум это должно касаться любого софта, работающего с банковскими и прочими финансовыми данными, и софта, критичного для безопасности окружающих (управление коммуналкой, транспортом и тп). Если глючит игрушка или видеопроигрыватель — то это пережить можно.
                                                                                            0
                                                                                            Так уже пропихнули или хотят пропихнуть какой-то такой закон, вплоть до уголовной ответственности для разработчика (т.е. программиста) даже за простой инфраструктуры банков и других стратегически важных сфер.

                                                                                            Если где-то ошибся, прошу сильно не пинать, давно читал.
                                                                                            +7
                                                                                            Тема не такая простая, как может показаться. Закрытый софт тоже бывает бесплатным. Или может стоить очень дёшево. Я продам простенькую утилиту за $1, а у меня потом попытаются отсудить в сто тысяч раз больше. Проще тогда вообще не заниматься таким мелким бизнесом. Можно конечно сказать, мол давайте открывать вообще весь код. Но это тоже не выход. Заработать на открытом коде не всегда получается. Одно дело, когда человек открывает код осознанно. И совсем другое — когда он вынужден это делать. К тому же, если у приложения есть серверная часть, то вообще не важно открытый там код, или закрытый — нельзя проверить, из каких исходников собрано то, что крутится на сервере. То есть весь web пролетает. Да и не только он.
                                                                                            Вообще, я с вами согласен, что отказ от ответственности порой ведёт к беспределу. Проблема существует. Но, на мой взгляд, попытка её решить приведёт к ещё большим проблемам. Излишнее закручивание гаек, слишком сильно ударит по мелкому бизнесу — небольшим софтверным компаниям, и независимым разработчикам. Моментально появится куча троллей, которые будут профессионально выискивать баги, и подавать в суд. Крупные игроки потянут издержки. У них есть деньги. У них есть юристы, даже целые юридические отделы. У программиста одиночки юристов нет. Даже если в итоге он окажется прав, суд отнимет у него много времени и сил. А если окажется неправ — одна ошибка, возможно, будет стоить ему всего, что он заработал за несколько лет. И как-то это не выглядит справедливым. Мелкие игроки будут просто вытеснены с рынка. Конкуренции станет меньше. Издержек больше. Цены на софт взлетят до небес.
                                                                                              0
                                                                                              Знаете, ошибка врача может привести даже к уголовке. К большим штрафам. А получают они, зачастую, меньше даже средних программистов (если не брать топовых врачей, но и на них найдутся топовые программисты).
                                                                                              Проблема только в том, что при этом программисты и компании разработчики толком ничем не отвечают за то, что клепают откровенное говнище для работы этих же врачей.
                                                                                              По опыту работы в медлаборатории при медицинском центре говорю…
                                                                                                0
                                                                                                А тут дело не всегда в программисте. Начинающий программист может просто не осознавать что он сделал что-то не так и его вины в этом нет. Тут больше вопрос к компании, которая не может нормально организовать свои процессы разработки, чтобы новички учились быстрее и не пропускать откровенную лажу в продакш.
                                                                                                  +1
                                                                                                  Начинающий врач, знаете ли… Но отвечает за неверный результат именно он, а лаборатория — по другим вопросам.
                                                                                                  Ну и в пример, один из программистов уже с начал нулевых пишет вариацию одной лис для гослабораторий (исходную компанию купила другая, потом их вместе — ещё одна, сейчас очередной переход). Но он хотя бы при общении напрямую стал адекватно исправлять ошибки, а вот когда между нами стояло еще парочку инженеров внедрения, вот тогда был полный финиш.
                                                                                                  А вот с программистами разработчиков ПО для приборов мне иногда бы ооочень хотелось пообщаться напрямую. Очень, блин, хотелось бы. Потому как надоело составлять списки на кучу строк с недочетами, которые вылезают при простой работе (например, не полный перевод с русского на английский их отчетов).
                                                                                                  Большая часть ошибок уровня «Ну как так-то?»
                                                                                                  А компаниям — плевать, откровенно. Что софтверным, что «хардварным».
                                                                                                  Ладно, я что-то совсем офтоп ушел, извиняюсь…
                                                                                                  0
                                                                                                  Программисты и компании-разработчики (вернее их руководители) могут тоже понести уголовную ответственность за неосторожность при совпадении тех же, по которым её могут понести врачи, да и вообще любые люди. Никаких отдельных «врачебных» статей в УК РФ нет.
                                                                                                    0
                                                                                                    Еще раз: врачи несут ответственность за свои ошибки по исполнению своих прямых обязанностей.
                                                                                                    Программисты? Скажите, сколько программистов получило сроки за, например, вот это?
                                                                                                      0
                                                                                                      В должностные обязанности какого программиста входит писать безошибочный код? Врачи несут ответственность не за любую ошибку, а за нарушение установленных процедур, приведшее к вреду.
                                                                                                        +1
                                                                                                        Ну я даже не знаю, что на это сказать. Может так?
                                                                                                        Но вообще проблема не в том, что программисты пишут ошибочный код, а в том, что они за него по сути не отвечают. И в случае проблем, первым делом валят на пользователей своих программ.
                                                                                                        И да, подскажите стандарты, которым обязаны подчиняться все программисты, за нарушение которых им грозят какие-либо реальные наказания?
                                                                                                        Может, где-то прописано, что рабочее место оператора ИС не должно коннектится к базе через SYSDBA, причем строчка подключения лежит рядом с приложением в ini-файле? Вот вы нашли это и что? Разработчикам пофиг. Подавать в суд за то, что они это мееееедленно годами фиксят?
                                                                                                        Может где-то прописано, что программа должна иметь настройки по ограничению объема хранимых логов, чтоб логи постоянно сыплющихся ошибок не забили системный диск, после чего база, которая хранится только локально и не имеет внятных инструментов бекапа, не умерла при попытке записать новые данные?
                                                                                                        Может где-то прописано, что при обновлении программы хорошо бы не сбрасывать настройки пользователя, убивая обмен между программой и внешней информационной системы? После чего неделями приходится вылавливать сервисных инженеров и заставлять вертать настройки взад?
                                                                                                        А как потребовать от разработчиков внятной документации (по документации кабель com для передачи данных должен быть распаян определенным образом, по факту через месяц боданий с сервисными инженерами все работает по стандартному)? Это какими-то стандартами прописано: разработчики должны давать корректную и полную документацию по ПО?
                                                                                                        Все на всё кладут. Вот я искренне желаю, что б вас лечили исключительно с таким подходом, каким программисты у нас подходят к медицинской отрасли… Это будет даже не доктор Хаус. Это будет момент из идиократии…
                                                                                                          0
                                                                                                          Так в том-то и дело, что не написано, потому и не за что привлекать. А вот попытка написать подобные стандарты обязательные для всех программистов, приведёт только к удорожанию разработки за счёт качественного увеличения трудоемкости с одной стороны, и уменьшения количества программистов, с другой. Отрасль пошла по другому пути, который кратко можно описать так: «заказчик определяет требования к качеству кода и проверяет их исполнение». Кому качество важно тратит кучу времени и денег на составление требований, а так же на аудит результата. Кому важен хоть какой-то результат — платит только за это. Ответственность за несоблюдение требований к коду созданному по общегражданскому договору — как ни странно, гражданская. По трудовому — дисциплинарная. За сознательные попытки выдать некачественный код за качественный с целью получения вознаграждения как за качественный — уголовная. Мало?
                                                                                                            0
                                                                                                            Так в том-то и дело, что не написано, потому и не за что привлекать.
                                                                                                            Спасибо, я ровно то и написал — программисты никак не отвечают за то, что делают.
                                                                                                            В отличие от инженеров, врачей и прочих, имеющих стандарты.
                                                                                                            И более того, за то, что они не реагируют на сообщения про ошибки — тоже никакой ответственности нет.
                                                                                                            Кому качество важно тратит кучу времени и денег на составление требований, а так же на аудит результата. Кому важен хоть какой-то результат — платит только за это.
                                                                                                            То есть заказчик всегда ДОЛЖЕН понимать в разработке софта лучше программистов? Супер.
                                                                                                            Я привел конкретные примеры. Как наказать разработчиков? Закидать гнилыми помидорами если только.
                                                                                                              0
                                                                                                              Программисты отвечают. Уголовная отвественность за преступления по неосторожности общая, без профессий. Дисциплинарная. Гражданская.

                                                                                                              Заказчик не должен понимать в разработке, но заказчик должен понимать в требованиях к разработке и контроле их выполнения, если заказывает разработку. Если нет таких компетенций, то можно нанять третьих лиц. Или принимать покликав мышкой «вроде работает».
                                                                                                                0
                                                                                                                Заказчик не должен понимать в разработке, но заказчик должен понимать в требованиях к разработке и контроле их выполнения, если заказывает разработку. Если нет таких компетенций, то можно нанять третьих лиц. Или принимать покликав мышкой «вроде работает».
                                                                                                                Я забыл, это же не удорожает разработку ни капельки. Это же не ведет к доп.тратам, увеличению трудозатрат и прочему, ага.

                                                                                                                И да, вы так и не ответили на мои примеры? Потому что по факту — никак. А у вас есть только общие слова про то, что программисты отвечают. Нет никакой конкретики, лишь вода.
                                                                                                                Я привел пример с реальными серьезными последствиями. Так за что ж отвечает программисты, если из-за их халтуры/ неумения писать/ хреновых процессов разработки легко могут пострадать люди, но никто за это не ответит?
                                                                                                                  0
                                                                                                                  Так заказчик выбирает сам платить ему за качество или нет. Может прописать в договоре огромные штрафы за баги, например. Но тогда вероятно ему и цену пропишут, учитывающие эти штрафы.

                                                                                                                  Что значит «никак»? Как минимум увольняют людей за грубые ошибки часто. Дисциплинарная отвественность. Нет прецедентов? Никому они не нужны значит. Кстати, насчёт «неумения» — основаня отвественность тогда лежит на том, кто допустил до работы неумеху или выдал ему диплом или сертификат, который подразумевает умение.
                                                                                                                    0
                                                                                                                    Люблю я вот такие споры: приводишь конкретные проблемы, а оппонент упорно делает вид, что их не замечает.
                                                                                                                      0
                                                                                                                      Какие конкретные проблемы? Описание проблем Therac-25 на русской вики? Там нечего обсуждать кроме факта наличия багов. Можно сделать косвенный вывод, что вины программиста установлено не было, но даже непонятно была ли такая попытка.
                                                                                                                        0
                                                                                                                        то есть вы совсем не читаете, что вам пишут? прекрасно, просто прекрасно
                                                                                                                          0
                                                                                                                          По-моему вы не читаете.
                                                                                                            +1
                                                                                                            > После чего неделями приходится вылавливать сервисных инженеров и заставлять вертать настройки взад?

                                                                                                            Понимаете какая фигня, в лечении нельзя вертать настройки взад, поэтому там непозволительно не иметь государственные стандарты лечения.
                                                                                                            Наличие же стандартов кодирования определяется экономической целесообразностью в каждом конкретном случае, обычно такой целесообразности нет. Вы не хотите платить за каждый сайтик как за разработку лекарства, впрочем можете — тогда и соответствующего подхода требовать сможете.

                                                                                                            Экономическую целесообразность можно менять через добавление ответственности компании-разработчика в договор. Как, впрочем, и через возмещение вреда [здоровью] по суду.
                                                                                                            Разработчика, откровенно не соблюдающего стандарты увольняют задолго до того, как его код попадёт в продакшен. Контроль за соблюдением этого предиката находится вне компетенции конкретного разработчика.

                                                                                                            Т.е. если вам нужен софт хорошего качества — это надо не разработчиков наказывать, а нанимателей.

                                                                                                            Разработчиков же надо наказывать за их личную недобросовестность (пример — Мурат Уртембаев), стандарты для этого не нужны.
                                                                                                              0
                                                                                                              Понимаете какая фигня, в лечении нельзя вертать настройки взад, поэтому там непозволительно не иметь государственные стандарты лечения.
                                                                                                              Наличие же стандартов кодирования определяется экономической целесообразностью в каждом конкретном случае, обычно такой целесообразности нет.
                                                                                                              А вас ничего, не смущает? Например, что примеры были приведены как раз про мед.лабораторию?
                                                                                                              Разработчика, откровенно не соблюдающего стандарты увольняют задолго до того, как его код попадёт в продакшен. Контроль за соблюдением этого предиката находится вне компетенции конкретного разработчика.
                                                                                                              Вы мне сейчас про утопию рассказываете? Ведь про реальность — я там выше примеры написал. Кстати, за нарушение каких стандартов увольняют, если все утверждают, что их нет и наказывать не за что? Виртуально выдуманных вида отбивать не пробелами, а табами и писать комментарии подробные?
                                                                                                              Т.е. если вам нужен софт хорошего качества — это надо не разработчиков наказывать, а нанимателей.
                                                                                                              Каким образом? На основе чего? Что такого в описании они нарушили, за что их можно наказать? Ведь стандартов — нет.
                                                                                                              Разработчиков же надо наказывать за их личную недобросовестность
                                                                                                              То есть, если они пишут точно зная, что так писать нельзя — они не виноваты? Или если пишет подключение через сисдба и в открытом виде хранит адрес и пароль от базы? Или выпускает программу в мед.продакшен без нормального тестирования?
                                                                                                              Но вообще имелось ввиду совокупность всех, кто разрабатывает программу, то есть от менеджеров, до разработчиков, которые «просто выполняли приказы».
                                                                                                                0
                                                                                                                > Например, что примеры были приведены как раз про мед.лабораторию?

                                                                                                                Вы таки хотите из-за частностей ввести стандарты медлабораторий для сайтиков? А ходить по домам, проверять кухни на соответствие стандартам пищевых производств не хотите?

                                                                                                                > Ведь про реальность — я там выше примеры написал.

                                                                                                                Вы таки как-то более конкретно озвучивайте, а не «я где-то что-то написал». Какой-то был пример где стандарт был нарушен, а прогер не наказан? Или просто похвастались, что пример из реальности, но к контексту не относится?

                                                                                                                > Виртуально выдуманных вида отбивать не пробелами, а табами и писать комментарии подробные?

                                                                                                                Ну, какие вы напишите — такие и будут. Да, проблему с Therac-25 решает CR при подробных комментариях.

                                                                                                                > Каким образом? На основе чего? Что такого в описании они нарушили, за что их можно наказать?

                                                                                                                На основании договора.
                                                                                                                На основании причиненного вреда.
                                                                                                                Вы как-будто не читаете что я пишу, в третий раз писать не буду.

                                                                                                                > То есть, если они пишут точно зная, что так писать нельзя — они не виноваты?

                                                                                                                Ну, что вы их мысли читать можете — это хорошо. Теперь мне объясните. Почему так нельзя и откуда именно они должны об этом точно знать? Что такое «нормальное тестирование» в 1985 году? С чего вы взяли, что программист выпускает в продакшн оборудование?

                                                                                                                > Но вообще имелось ввиду совокупность всех, кто разрабатывает программу, то есть от менеджеров, до разработчиков, которые «просто выполняли приказы».

                                                                                                                Где именно имелось в виду? И почему вы уборщиц исключили из списка («те вообще звери, им даже оружие в руки не дают» ©)?
                                                                                                                  0
                                                                                                                  Вы таки хотите из-за частностей ввести стандарты медлабораторий для сайтиков?
                                                                                                                  Например, такие, как GDDR, да? Ой черт, это даже не я предложил.
                                                                                                                  Кстати, где я написал, что стандарты должны охватывать ВСЮ отрасль и каждый чих разработчиков?
                                                                                                                  Вы таки как-то более конкретно озвучивайте, а не «я где-то что-то написал». Какой-то был пример где стандарт был нарушен, а прогер не наказан? Или просто похвастались, что пример из реальности, но к контексту не относится?
                                                                                                                  Начнем с начала: какой стандарт может нарушить сферический прогер за что его должны однозначно уволить?
                                                                                                                  Потом вы идете в исходное сообщение, на которое отвечали и перечитываете его.
                                                                                                                  Ну, какие вы напишите — такие и будут.
                                                                                                                  То есть покупатель продукта или заказчик системы должен иметь знания и умения выше, чем у разработчиков решения?
                                                                                                                  Или покупая дом, квартиру или проект дома вы подразумеваете, что его разработчики обладают должными навыками и соблюдают стандарты?
                                                                                                                  Ну, что вы их мысли читать можете — это хорошо. Почему так нельзя и откуда именно они должны об этом точно знать? Что такое «нормальное тестирование» в 1985 году? С чего вы взяли, что программист выпускает в продакшн оборудование?
                                                                                                                  А вот вы, к сожалению, не умеете читать, как и оппонент выше. Идите в тот пост, на который ответили в первый раз и перечитайте текст ниже ссылки на википедию. Потому что вы в двух местах своего поста просто проигнорировали большую часть моего текста.
                                                                                                                  Где именно имелось в виду? И почему вы уборщиц исключили из списка («те вообще звери, им даже оружие в руки не дают» ©)?
                                                                                                                  В моих сообщениях. Если вы читаете в них исключительно своё, то я к этому отношения не имею. А переход в демагогию с уборщицами — не красиво.
                                                                                                                    0
                                                                                                                    > Кстати, где я написал, что стандарты должны охватывать ВСЮ отрасль и каждый чих разработчиков?

                                                                                                                    Кстати, а чего вы хотите то, конкретно?

                                                                                                                    > Или покупая дом, квартиру или проект дома вы подразумеваете, что его разработчики обладают должными навыками и соблюдают стандарты?

                                                                                                                    гг

                                                                                                                    > А вот вы, к сожалению, не умеете читать, как и оппонент выше

                                                                                                                    «Одна я умная, в белом пальто стою красивая!».
                                                                                                                      0
                                                                                                                      гг
                                                                                                                      «Одна я умная, в белом пальто стою красивая!».
                                                                                                                      Я ж говорю, переход к демагогии. Плюс на конкретные вопросы, что делать в таких-то случаях у оппонентов возникает странная слепота.
                                                                                                                        0

                                                                                                                        Что надо делать я в первом комментарии написал. Вы в ответ начали вилять, по сути ничего не ответив.

                                                                                                                          0
                                                                                                                          Ага, сферические решения в вакууме. Это так прекрасно. Переложить всю ответственность на клиенты это называется.
                                                                                                                          Не может клиент, далекие от IT предусмотреть в ТЗ все нюансы построения ИС. Не может. Компетенций нет требуемых. А стандартов нет — так что пихай любой велосипед. Работает же.
                                                                                                                            +1

                                                                                                                            То есть вас не устраивает, что у вас нет ни компетенций, ни денег нанять компетентного человека, это вас не устраивает?


                                                                                                                            Так вы с колбасой в магазине траванетесь, вас ничто не спасет.

                                                                                              +5
                                                                                              а так же запретить эту порочную строчку в любой EULA — «мы ни за что не несем ответственности — ни за баги, ни за глюки, ни за дыры». Вот когда ответственность за все это будет, причем перед всеми пострадавшими — тогда можно о чем-то говорить.

                                                                                              Разработка ПО будет стоить на порядок-другой дороже, т.к. будет больше тестирования. А кроме того, невозможно полностью протестировать более-менее сложное ПО, так что баги всё равно будут.
                                                                                              А сейчас в подавляющем большинстве случаев баги приемлемы, и ответственность никому не нужна.


                                                                                              Вот прямо сейчас у меня в Firefox тексты "отрицательных" комментариев рендерятся некорректно — половина коммента чёрным, половина — серым. В данном случае мне безразлично, но гипотетически кто-то мог бы понести убытки из-за такого бага. Если бы разработчики несли ответственность, можно было бы засудить либо Mozilla, либо ТМ. Они бы перестали существовать.

                                                                                                0
                                                                                                С чего вы решили, что засудить можно по любой, даже самой банальной баге, которая вообще ни на что не влияет? Тогда бы любой косяк приводил к закрытию конторы. Ведь таких ситуаций было много в других секторах, не только ИТ. Но этого не происходит.
                                                                                                Вообще, вот эти самые «гипотетически понесённые убытки» еще доказать надо. А если это реальный кейс, то почему контора не должна отвечать за свои действия?
                                                                                                А так глядишь и не было бы у нас понятия «кросбраузерности»))
                                                                                                Все браузеры показывали бы одинаковый контент движками сделанными по стандартам, а не кто как хочет.
                                                                                                  +4
                                                                                                  Я даже больше скажу — сбербанк, например. продает страховку от собственных багов! В частности, точно есть страховка от двойного списания средств с карты. Это гениальный рэкет бизнес — создать баги, и потом брать деньги за страховку от них.
                                                                                                  У меня как раз в единственный раз, когда я решил оплатить картой ощутимую для меня сумму, списали ее два раза, и почти три месяца я бегал и выбивал возврат, добился только после скандала в банке.
                                                                                                  Или вот месяца 4 назад было массовое обновление софта у Почты России — в итоге отделения ПР не работали несколько дней почти везде. И если бы ПР нагнула разработчиков этого глюкодрома на всю утраченную прибыль (которая в данном случае очевидна — простой всей системы) — было бы превосходно.
                                                                                                  Или с той же ПР несколько лет назад — тоже после очередного обновления заказное письмо с критичными документами уехало по совсем другому адресу (система почему-то автозаменила один индекс на другой), а так как адрес там был условно Ленина 10, кв 4, то попасть эти документы могли к кому угодно. Хорошо, директор отделения ПР меня хорошо знает, и удалось с его помощью письмо завернуть назад, но побегать пришлось. В других конторах тоже бывали проблемы из-за глюков софта. Вот за них и надо дрючить, чтоб на будущее такое делать было неповадно.
                                                                                                    +1
                                                                                                    Так это и сейчас можно сделать без проблем. Главное — грамотно договор составить.
                                                                                                    Правда, согласится на такие условия либо фирма-однодневка, которой пофигу на ваши санкции (денег на компенсацию убытков у неё всё равно нет), либо нормальная фирма за олимпиард денег.
                                                                                                    Вот Вы бы за сколько взялись разрабатывать программу, если Вам скажут, что сделать нужно за полгода, а за каждый найденный баг у Вас могут отсудить, скажем, сто тысяч рублей?
                                                                                                      –1
                                                                                                      Вы как-то в одну сторону все передергиваете.
                                                                                                      История с ответственностью за свои действия есть во многих отраслях, но почему-то в ИТ, которое сейчас играет очень важную роль в жизни большого количества людей, его нет. Нельзя просто так взять и выпустить например лекарство. Никому даже в голову не придет заказать разработку лекарства левой конторе за 10000$ и потом выпустить его с формулировкой «Сделали как смогли, все проблемы ваши».
                                                                                                      Но в ИТ это почему-то норма. Хотя цена бага может быть очень высока. В том числе и человеческие жизни.
                                                                                                        +1

                                                                                                        Да нет, не передёргиваю.
                                                                                                        Есть рынок, и он говорит, что разработка софта сейчас дорогая.
                                                                                                        Хотите большее качество? Всё, что угодно — за ваши деньги. Но никто почему-то не готов эти деньги платить, вот же незадача.
                                                                                                        Я очень сильно подозреваю, что в тех областях, где от софта действительно зависят жизни людей либо большие деньги (скажем, в авиастроении), разработка как раз-таки обложена кучей тестов и стоит как чугунный мост.
                                                                                                        Ну и писать про "человеческие жизни" в теме про запись видео с экрана телефона тоже на передёргивание смахивает, не находите?)

                                                                                                          0
                                                                                                          Насчет двойного списания у меня в свое время была зарплатная карта в госучреждении, где я трудился (Балтийского банка) и я был один на миллион, по их мнению, кто пользовался картой VISA Classic для покупок в инете, поэтому на удобство людей можно забить и каждую мою покупку в продуктовом магазине (причем только в них!) банк всегда списывал 2 раза, и раз — два в месяц я приходил и просил вернуть 30-50 тысяч рублей обратно, там даже операционистки меня узнавали и не задавали лишних вопросов… Было правда это году в 2012, а сейчас и банка того не существует… Но было весело когда ощутимый кусок зарплаты на то время утекает просто на повторные платежи…
                                                                                                          0
                                                                                                          Человеческие жизни, здоровье, повреждение и уничтожение имущества в особо крупных размерах по неосторожности — разработчики программ несут уголовную ответственность, так же как врачи и вообще любые люди.
                                                                                                            0
                                                                                                            Теоретически да.
                                                                                                            Но фактически тут 2 момента
                                                                                                            а) Кто именно считается разработчиком программы. Архитектор не настоявший на защите от sql иньекций в проекте или «негр» ее не реализовавший ввиду не указания этого в спущенном ему ТЗ или клиент не посчитавший нужным за нее заплатить?
                                                                                                            б) Что именно считать неосторожностью. Достаточно тонкая грань между случайностью и неосторожностью. По неосторожности не сделали защиту или по случайности?
                                                                                                              0
                                                                                                              Не сделать защиту можно только по неосторожности, в УК нет опции «случайности». По случайности это не «стрельнуло» раньше.

                                                                                                              www.consultant.ru/document/cons_doc_LAW_10699/f6d815944e2b47ca6241b467279838b180b09bd5
                                                                                                                0
                                                                                                                Если тебя сломали — значит не была сделана какая-то защита, таким образом при любом взломе можно смело сажать весь отдел програмимистов:)

                                                                                                                В УК действительно нет опции случайности — о том и речь, что если это случайность, то это не УК.
                                                                                                                  0
                                                                                                                  Вы не прочитали ссылку, да? «Случайно» небось?

                                                                                                                  Отмазываться «случайностью» — это детсад, который слушать никто не будет. Посадят по УК за неосторожность и будут правы.

                                                                                                                  Впрочем, вы можете привести оправдательный приговор, где написано, что «не по неосторожности, а случайно — свободен»
                                                                                                                    0
                                                                                                                    Отмазываться «случайностью» — это детсад, который слушать никто не будет.
                                                                                                                    Нет никакой нужды отмазываться случайностью.

                                                                                                                    Посадят по УК за неосторожность
                                                                                                                    Если докажут неосторожность. Презумпция невиновности знаете ли, все дела.

                                                                                                                    Впрочем, вы можете привести оправдательный приговор, где написано, что «не по неосторожности, а случайно — свободен»
                                                                                                                    Все программисты чьи продукты когда-либо взламывали уже сидят или еще не все?
                                                                                                                      –1
                                                                                                                      Таки ни одного оправданного за случайность нету? Ну да, в реальности такого не бывает.

                                                                                                                      > Если докажут неосторожность. Презумпция невиновности знаете ли, все дела.

                                                                                                                      Прелесть. А в вашем чудесном мире с розовыми единорогами как именно неосторожность доказывают? И кто? )

                                                                                                                      PS. Так и представляю как уронили вы человека с крыши дома (он оплаченный вами товар получил и протерял), за вами приходят, а вы такой «а вот не докажете, что по неосторожности», и следак с прокурором такие «ну да, не докажем» и отпускают.
                                                                                                                        0
                                                                                                                        Таки ни одного оправданного за случайность нету? Ну да, в реальности такого не бывает.
                                                                                                                        Давайте в студию дело, где посадили за случайность.

                                                                                                                        Прелесть. А в вашем чудесном мире с розовыми единорогами как именно неосторожность доказывают? И кто? )
                                                                                                                        Если Вы хотите говорить на уровне «захочут — посодют» то диалог смысла не имеет. В противном случае Вы и так знаете кто и как должен доказывать.
                                                                                                                          –1
                                                                                                                          Вы и так знаете

                                                                                                                          А вы — нет. Зато совсем съехали в демагогию, досвидания.

                                                                                                                            0
                                                                                                                            Мы попросили от Вас конкретное дело где посадили за случайность.
                                                                                                                            Вы в ответ что-то сказали про демагогию и подосвиданькались.
                                                                                                                            Л — логика.
                                                                                                                              0
                                                                                                                              Если вы хотите настаивать про необходимость приводить примеры дел — мой запрос тута. Потом можно будет ваш запрос обсудить.
                                                                                                                0
                                                                                                                Грань между случайностью (неопределенностью) и неосторожностью простая: знал или должен был знать опасные последствия своих действий или бездействия, или должен был и мог их предвидеть.

                                                                                                                Но вот случаи с защитой от инъекций и прочих взломов не попадают, по -моему, под эти статьи, даже если кто-то погибнет. Виноват будет взломщик во взломе и будут выяснять допускал он или должен был допускать, что в результате взлома кто-то погибнет. Если вполне должен был понимать, что, например, удаление записи в базе приведёт к отключению реанимационного оборудования, то взлом и причинение смерти по неосторожности. Если не должен был, то только взлом с тяжкими последствиями, а смерть, увы, роковая случайность.
                                                                                                                  0
                                                                                                                  За взлом или баги в критическом оборудовании — никакой случайности быть не может.
                                                                                                                    0
                                                                                                                    Может. Взломщик обычно не знает и не должен знать, к каким последствиям приводят его действия, кроме его собственных целей. Если из-за бага в коде при взломе произошло что-то чего взломщик не хотел, то это случайность.
                                                                                                          0
                                                                                                          Не знаю на сколько глючный софт у ПР, но то что там играет большую роль человеческий фактор, знаю точно. Когда пришел получать на почту конверт, то операторы оправдывали длинную очередь и долго обслуживание, что новая программа и они в ней путаются. И я слышал, как одна другой ещё добавила «надо будет все-таки почитать документацию, как пользоваться новой программой». То есть, у них есть документация и они должны были с ней ознакомиться заранее, хотя бы бегло, но понадеялись на авось.
                                                                                                            0
                                                                                                            Там «новая» программа отличается от «старой» примерно как 95 винда от 10 винды, а в некоторых местах — как ДОС от 10 винды. Зачем это было сделано — я хз. При этом некоторые действия там полностью антиинтуитивны (я как раз эту документацию читал — она на стойке лежала, и я взял почитать — там интерфейсный ад на уровне фэйсбука и больше).
                                                                                                            Это еще одна проблема — интерфейс тех же банкоматов с каждым обновлением перепиливают во все более упоротую сторону. По нескольку раз вводить одни и те же данные при оплате коммуналки или мобильника — это уже норма, хотя года 4 назад все было просто и понятно.
                                                                                                            0
                                                                                                            Мне кажется, вы не вполне осознаёте ситуацию и разбрасываетесь словами типа «дрючить» и «неповадно». Система государственных тендеров как работает? Выбирает наиболее дешевый вариант среди предложенных.
                                                                                                            Ну или того, кто «занёс».
                                                                                                            +1
                                                                                                            … и будете покупать Internet Explorer как отдельную опцию за $5000))
                                                                                                            0
                                                                                                            >Разработка ПО будет стоить на порядок-другой дороже, т.к. будет больше тестирования.

                                                                                                            Ну, не всё так плохо. Есть вещи вроде Ada Spark, или Frama-C для статической верификации. Правда, придётся засунуть аджайл туда, где ему самое место. Зарплату разработчикам поднять. Темпы разработки унять. Перестать заниматься фигнёй с undefined и выравниванием div'ов, а вместо этого заниматься таки программированием, унять нынешнее ликующее фронтендерство.

                                                                                                            Софта станет поменьше, это да. Кое-кто пойдёт таксовать и сажать картошку, вместо того, чтобы выпекать сайтики и мобильные приложения, как шаурму из собачатины (я здоровый как кабан\я работал по канбан). В общем, make programming great again.
                                                                                                            0
                                                                                                            Штрафовать на процент от оборота.
                                                                                                            –2
                                                                                                            Если уж так любите российские законы, то на рассмотрение обращений граждан организациям даётся 30 (тридцать) дней. И исключительно на прямые. Что компания публично отвечает на неофициальное обращение на каких-то сторонних ресурсах, да ещё всего за день — жест доброй воли де-юре. И де юре, а не де факто GDPR не действует на территории России в отношениях между резидентами России. Де-факто же многие российские компании предпочтут удовлетворить требования гражданина Европы со ссылкой на GDPR.
                                                                                                              +4
                                                                                                              жест доброй воли де-юре

                                                                                                              Это конкуренция в маркетинге. Сейчас БК и eLegion вдвоем проталкивают идеи вида "а что такого?", "мы ничего не собираем", "всё собранное анонимно" и "будешь еще болтать — получишь проблемы"


                                                                                                              Получается, что фокус аккуратно размывается, плюс добавляются аргументы с невиновностью БК.


                                                                                                              Если БК будет молчать, то читатели просто поймут, что компания нарушает законы. А сейчас получается, что "не всё так просто", так что большинство людей просто не будет дальше вдаваться в тему.


                                                                                                              В итоге, получаем:


                                                                                                              • Компания БК еще раз попиарилась
                                                                                                              • Градус накала страстей в итоге упал
                                                                                                              • Все поняли, что БК может еще и вычислить по IP (так как исследователю публично угрожают)
                                                                                                                0
                                                                                                                жест доброй воли де-юре


                                                                                                                Медаль размером с тарелку ответившему на неофициальное обращение на стороннем ресурсе!

                                                                                                                Если бы БК потребовалось 30 дней до ответа — боюсь, отвечать было бы некому.
                                                                                                                0
                                                                                                                Далек от Бургер Кинга, потому не пинайте если что — спросил в одном из предшествующих постов, является ли разработчик приложения для российского БК только, или глобально? Поскольку ответа на коммент от них нет, может кто еще знает? Я тут своим коллегам в Германии рассказал, которые довольно регулярно питаются в расположенном около работы БК, и активно пользуются app Burger King Deutschland, ну реакцию пока можно описать как недоумение. Поскольку, если запись идет глобально, то, как минимум, БК может стать первой реальной жертвой по gdpr, и я думаю, это будет ноакаут. А как максимум — тут можно только гадать.)))
                                                                                                                А если только в России, то может отделаться подмоченной репутацией, если сами сдадут выгодопреобретателя всего этого дела.
                                                                                                                  0
                                                                                                                  Судя по тому, что компания-разработчик приложения есть на хабре, приложение локальное.
                                                                                                                    +1
                                                                                                                    … но, может оказать аутсорсом, который делали не индусы, а в России.