Комментарии 175
Забавно, что теперь всякую мерзость нам втюхивают не под предлогом защиты детей, а для защиты ОТ детей.
Первая мысль была — да это ж рай, не надо думать что там очередной ребенок выдумает из-за чего тебя посадят. Чуть позже подотпустило, но эффект запомнился.
Так это хорошо или плохо? По сути - обычная заимка для вольноссыльных или даже колония-поселение максимально свободного режима. В принципе, обоюдовыгодно (и общество не пострадает от потенциально опасных лиц, и они не пострадают от недобросовестных членов общества).
Это плохо, очень плохо. По крайней мере если думать о этой деревне более 5-ти минут. Как пример тот же вопрос, если у двух поселенцев появился ребенок, то что делать?
... в обычную тюрьму?
Если добровольная — то просто уехать.
Если принудительная — то одним из условий логично будет являться неразмножение.
Деревня для осужденных как бы не может считаться совсем свободной...
Но и размножаться там запретить навряд-ли смогут.... разве что именно тем методом про который я сказал - размножились - перемещаемся в обычную тюрьму где есть возможность содержать детей.
Ещё можно отдельно создавать такие деревни "для мальчиков" и "для девочек". И вроде бы такие поселения для условно досрочно освобождённых. А в этом случае могут в комплекте с освобождением идти дополнительные ограничения, вроде необходимости жить в определённом месте (да, получается не полное освобождение). Но тут уже по желанию - не хочешь - сиди свои полные 40 лет, потом на свободу с чистой совестью...
Судя по статье про это miracle village — добровольно и не факт что пустят еще
Also according to the organization's website, they do not accept violent offenders or serial offenders, nor minister to pedophiles, which they define as "someone who can only become sexually aroused by a child".[9] It receives 10–20 applications a week, but only accepts 1 in 20;[10][4] residents participate in the selection process.[11]
Таким образом все останутся довольны: пользователи не лишаются возможности смотреть код, а школьнику расширение не установить, если грамотно настроены политики.
Всё-ещё можно сохранить страницу и открыть в редакторе
Часто достаю из кода картинки/видео, и в последнее время всё чаще натыкаюсь на такую фигню. Не для всей странички, а для медиа. Благо плагины-ленивки эти штуки раскусывают.
Решение проблемы поиска ссылки в коде страницы очень простое:
инструкция с картинками
Заходите в режим живого редактирования разметки (пкм-исследовать элемент в хроме или пкм-исследовать в лисе, или F12). Нажимаете вот эту кнопочку.
Наводите курсор на нужный кусок страницы, щёлкаете.
В html коде курсор переходит на тот элемент, на который вы жмякнули. Как правило, ссылка на нужную штуку будет лежать прямо там, или недалеко.
А для спрятанного видео у меня несколько наудачу скачанных расширений. В основном я пользуюсь Offmp4 (у которого в описании сказано "Просто самый быстрый и простой способ скачать видео и аудио с YouTube, VK, Twitter, Facebook и многое другое").
Для картинок есть Image saver, который обещает "Save any images in page directly from context menu, this includes svg elements, css background images and direct child images. Now supports creating dataurls for any image or svg as well."
Я пользуюсь лисой, поэтому ссылки на лисовый магазн расширений. Мне кажется эти аддоны с таким же названием есть и для хрома. Ну или похожие)
Теперь придётся иметь в виду, что если нужна исходная версия загруженных данных, то надо лезть через wget.
Не обязательно, нужно просто в сетевых запросах сохранить первоначальный ответ запроса который загружает HTML.
Ctrl+U вам в помощь (в хроме). Показывает исходный HTML страницы, а не текущее состояние DOM. Или можно вручную в адресной строке писать view-source:https://...
Только что попробовал сайт на React сохранить в html. Там как раз только этот <div> и есть.
Попробовал в последнем Хроме. Я что-то не так сделал или не понял?
В истории про Джоша Рено и сайте департамента начального и среднего образования штата Миссури интересно а не попали ли эти поисковые выдачи с номерами социального страхований в кеш гугла?
Так-то с гуглом было бы сильно сложнее судиться.
С одной стороны, действительно, если мы считаем HTML языком программирования, а верстку - программным кодом, то тогда с одной стороны запрет его просмотра вполне имеет резон, ведь сейчас де-факто любая верстка open-sourse, бери, копируй. Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте). Зато меньше фишинговых сайтов, которые тупо копируют верстку станет и электронный дневник уже так легко не подделать :)
С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно. Ведь это клиентская часть сервиса, которую через сниффер трафика можно будет получить. Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести.
У Вас в профиле написано "Fronetend Developer" (орфография сохранена :)), уж Вы-то должны знать, что HTML - это не язык программирования, а язык разметки.
Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте).
Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов. Не часто, но случается. Иногда - для ручного составления правил блокировки рекламы. Временами - в процессе написания собственных UserJS или UserCSS для улучшения юзабилити или дизайна сайта. Всё это - вполне стандартное использование сайтов для продвинутого юзера/разработчика.
P.S. Кстати, я даже не фронтендер и никогда им не был (лет 20 назад недолго считал себя условным фулстеком на уровне "могу сделать админку на jQuery" если очень-очень попросят).
Ну так я и написал, если мы считаем.
От багов я тоже часто лезу в код, но скажем прямо, это не стандартный кейс, а проблема сайта - ведь если у нас не работает программа, мы же не лезем ее чинить. Опять же, сейчас прошло время сайтов, пререндеренных в php, а сам код фронтенда - сейчас уже полноценный проект со своей, часто обширной, логикой, а не 5 файлов, как раньше. И желание эту логику спрятать - вполне естественно (ведь все остальные non-open sourсе прячут свой код поглубже). Поэтому рассуждения в эту сторону имеют право быть.
А в чём смысл рассуждений, которые начинаются фразой "если мы считаем козу баяном, то …"?
У нас же свободное общество и рассуждения могут быть любыми, в рамках закона естественно.
А смысл от рассуждений это перебор вариантов, в том числе и глупых на первый взгляд.
если у нас не работает программа, мы же не лезем ее чинитьПриехали. Free and Open Source software так и работает. Если есть компетенции, то почему бы патч не отправить.
если у нас не работает программа, мы же не лезем ее чинитьOver 9000 патчей, чинящих баги, можно найти на множетсво неподдерживаемых игр, а иногда и ПО.
Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов.Также я использую иногда, чтобы просто посмотреть вёрстку и стили для обучения. Да, часто там могут быть не самые лучшие решения, но часто это всё же лучше, чем городить что-то своё. Т.к. я больше бэкендер, и с html-версткой знаком не очень сильно, то часто есть необходимость что-то подглядеть у других
уж Вы-то должны знать, что HTML — это не язык программирования, а язык разметки.
А где граница между языком разметки и языком программирования? В декларативности/императивности? Так нет, куча декларативных языков.
Для абсолютного большинства языков - это полнота по Тьюрингу. Есть пара известных исключений (напр. SQL), которые принято называть языком программирования, хотя, на мой взгляд, это скорее исторически сложившаяся практика нежели корректное название. Подробнее можно почитать в https://en.wikipedia.org/wiki/Programming_language#Definitions
когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде
Постоянно пользуюсь чтобы убрать какой-нибудь очередной надоедливый баннер на полэкрана.
Там помимо кода есть теги script, которые довольно часто содержат один статический entry point для всей рекламы, который можно заблокировать, скормив его урл или его часть ublock'у. Всё-таки полностью динамическую верстку создавать для обхода ублока довольно нерентабельно.
можно блокировать по xpath или по css selector
если мы считаем HTML языком программирования
А мы умные, потому так делать не будем.
то тогда с одной стороны запрет его просмотра вполне имеет резон
Нет, не имеет. Если запретить смотреть на коррупцию, она не пропадёт.
сейчас де-факто любая верстка open-sourse
Вы и понятия не имеете, что термин open source определяется OSI, а смысл не только в открытости кода, не так ли?
бери, копируй
Вообще нет.
С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно.
Да, но прецедент всё равно плохой.
Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести
И получить неработающий сайт?
Для тех, у кого, о боже, могут украсть их заветный html и css, который никто не должен даже пальцем тронуть, теперь существует flutter, т.к. это буквально бинарник в браузере, который рисует в canvas (возрождаем flash?)
Ха! Это будущее уже давно наступило: https://habr.com/ru/company/flant/blog/543736/
Точнее, "используя вредоносную программу для ЭВМ "вгет". Это чтобы ст.273 УК РФ получилось...
Не так. Лучше: «...используя программу „вгет“ в качестве вредоносной». Т. е. тщательно подошел к планированию и совершению преступления, использовал предметы, широко распространенные в гражданском обороте. :-(
Не, так не подходит под диспозицию ст.273 УК РФ - там требуется, чтобы программа была вредоносной. Но формулировка вредоносности достаточно "резиновая".
Ст.273 УК РФ относится к т.н.з. статьям с формальным составом преступления - т.е. цель использования, мотивы и последствия/ущерб не требуются, но доктрина предполагает, что применение статей УК с формальным составом допускается только в случая прямого умысла правонарушителя. Собственно, именно поэтому если бы ст.273 УК РФ применялась "как написана", а не избирательно - половина Лаборатории Касперского уже давно должна сидеть.
По определению программа это совокупность самого бинаря с введёнными пользователем параметров к ней. То есть wget лишь компонент программы, а параметры введённые уже определяют ее «вредоносность». В менталитете «юристов» все что вы вводите в консоле уже является актом программирования ЭВМ. Так же можно натянуть и программы с GUI. Трактование такое, что даёт полную свободу фантазии, которую сложно будет опровергнуть, ведь в отличии от IT инженера, прокуратура разговаривает на одном языке с судьей (тем кто принимает решение о виновности).
Ви так волнуетесь, как будто форкруть лису афигеть как сложно.
Да, форкнуть лису офигеть как сложно.
Если не согласны - форкните и поподдерживайте её хотя бы полгодика.
Ахренительное умнение читать комментарии: сам за автора додумал, сам себя опроверг.
Пальцем покажите, где я что-то писал про "поддержку"?
- Товарищ прапорщик, а можно телевизор посмотреть? - Можно! Только не включайте!
Форк без поддержки и развития никому не нужен. "Форкнуть лису" так, чтобы это кому-то было нужно - офигеть как сложно.
Кончайте уже двигать ворота.
Сначало было "ой, гипс снимают, клиент уезжает браузер запретит нам просматривать HTML-код". Потом стало "ой, если форкнуть лису, то не будет поддержки" (кстати, товарищ Торвальдс чтой-то этим вопросом не задавался). Потом стало "ой, если форкнуть лису, то она никому не будет нужна" (LibreWolf, WaterFox, Tor Browser и ещё с десяток форков смотрят на Вас с недоумением). Астанавитесь уже!
Большинство этих форков существует только за счет того, что постоянно мерджат себе изменения из апстрима. Не будет развития апстрима - не будет и их развития со всеми вытекающими.
Простите за оффтоп, не удержался.
А лису вы перед форком спросили?
где школьники таким способом обходят блокировку и фильтры
А разве не должны за это гнать в шею админов, если они через html блокировки и фильтры делают ?
Кажется настоящие злоумышленики в этот момент покатываются со смеху и потирают руки в предвкушении нового поколения приложений со "скрытыми" данными в HTML...
Вот и выросло поколение, которое считает изменение HTML взломом )))
Это поколение не выросло, а состарилось
Эм, назовите мне исследователя по безопасности, который эту дичь как vulnerability примет ?
Его запинают "старички".
У гугла политика и прочее, оно не всегда со здравым смыслом контачит...
Могу назвать троих, которые буквально заявляли подобное - но это будет разглашением личной информации. Правда это не столько исследователи, сколько управленцы и "специалисты".
Вообще поражает тотальное незнание матчасти (и нежелание её знать) у "специалистов" и "аналитиков" по информационной безопасности. Как, блин, плохой автомеханик, который разучил ритуалы кручения гаек, но несёт полную дичь по физике процессов в моторе. Так и эти говорят про "окна и поверхности опасности", но просишь дать оценку риска в потерях $$$ в месяц - смотрят на меня гигантскими непонимающими глазами как на марсианина. А начинаешь спрашивать об уровнях OSI, TCP/IP (в контексте: где какие фильтры/защиты нужны), так вообще теряют дар членораздельной речи.
Я скорее про тех, кто за счет своей выслуги лет уже принимает не vulnerabilities, а решения о том, что ими является, а что нет.
А чем плоха ситуация, когда пользователя ограничивают в использовании компьютера, который ему не принадлежит? Чем блокировка view-source: принципиально отличается от любых других блокировок (например через групповые политики в Windows)?
1. Дети читерят, а давайте дадим возможность закрыть просмотр исходного кода.
2. Ой, эта фича такая популярная, давайте сделаем просмотр закрытым по умолчанию и вынесем его включение в настройки.
3. Ой, обычные пользователи его не включают, давайте вообще в about:config
4. Ой, оказывается об этой фиче знают только разработчики. Давайте же накатим DRM.
…
66. На этом шаге сайты отдаются в виде подписанных бинарников, пользователи рады скорости, бизнес рад тому что больше не палит код написанный разработчиками, гугл счастлив что его зонды/рекламу больше не вырезать.
«Платить не хочу, рекламу не хочу, зонды не хочу, ублажайте меня просто так.»
о, не думал что встречу тут хотящего зондов!
PS: то что вы заплатите денег - не значит, что у вам их не постараются всунутью Только исходники еще как-то могут обеспечить вам знание - есть они там или нет...
Платить хочу, платную возможность отключить рекламу хочу, зонды не хочу, ублажите меня за мои деньги а не кормите дерьмом
Пока что наоборот, халявщики стоят в сторонке и посмеиваются над добросовестными пользователями. А те бьются в истерике–"я заплатил приличные деньги, а мне подсовывают поделье, которое ещё и тормозит безбожно из за DRM". А если конкретно про гейм дев, то они еще всхлипывают про лутбоксы и pay2win. Халявщиков эти проблемы не трогают, они скачали с торрента, у них ничё не тормозит, модеры им причесали баги и разблокировали бонусы.
Купил лицензионную третью соньку, все игры покупаю в сторе. Если вы не в курсе, на PS3 в меню игр висит неудаляемая предустановленная игра SingStar. На этом диалог про "халявщики не хотят рекламу" думаю можно завершить.
2. Из-за сраного starforce я не могу поиграть в часть честно купленных игр, т.к. либо диск не читается из-за царапины, либо привод не воспринимается
…
А что «халявщики»… они в этой ситуации спокойно играют, не задумываясь о проблемах.
Это в общем-то всегда так. Из-за того, что у вас есть какие-то там проблемы, всем остальным нужно ограничить свободу. Очень милая позиция.
Не только видеоигры. Стандарт для iOS, например - более того, там ещё и контроль над поведением бинарников со стороны владельца платформы есть. И все без иронии довольны.
59
Повсеместное HTTPS (та же цифровая подпись, вид сбоку), приколоченные сертификаты, прослушать траффик низзя, изменить низзя.
Вы находитесь здесь, если что.
Я несколько раз искал людей, которые хотели бы принудить меня к этому. Однако не нашёл. Более того — людям вообще неприятен вопрос о том, какой программой получать сертификат под windows XP и какой командой подключить сертификат к веб-серверу IIS 5.1.
почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?
Если я правильно понимаю общую тенденцию, стандартный броузер в Windows 14 ваш сайт не откроет. А firefox, собранный старинным компилятором из старинных исходников, не откроет современных сайтов на html6.
С одной стороны, отказываться от наследия всё-таки дорого, потому что оно большое и полезное.
С другой стороны, создавать инструменты, которые позволят делать «let's encrypt автоматизацию» под windows xp, никто не спешит.
Тут возникает вопрос, зачем же поддерживать старые решения. А вот зачем. Старые решения давно уже построены, они не требуют заботы. Чтобы их переделать, нужен расход. Чтобы покрыть расход, нужен доход. А дохода от старых решений нету, они не ради дохода были сделаны.
Проще говоря, старые решения работают сами, а для их обновления нужен расход!
они не требуют заботы
А дыры в этих решениях, надо полагать, сами себя божьей милостью чинят.
у такого сайта нет денег для перехода на HTTPS
Но letsencrypt оно же бесплатное…
Кушать вкусный стейк так же бесплатно, но за его приготовление - я предпочитаю заплатить профессионалам )
На моём шаред вебхостинге сертификаты, что встроены в cPanel платные, а бесплатные не очень просто настроить (точно не пара кликов).
За домен кто-то платит.
За подключение к интернету.
Да, возможно, его перетащили в виртуальную машину. Так это ведь тоже не бесплатно.
А так, дополнительные расходы чтобы что? Чтобы хакеры не подменили страничку моего блога конечным пользователям через MITM атаку?
Но если хочется, чтобы блог был доступен разным пользователям с разными терминалами, и чтобы в поисковой выдаче не проваливался — приходится соответствовать трендам.
Об этом писали в том числе и на Хабре.
Знаете, в чём проблема ваших суждений? Вы думаете, что статический сайт — безопасен.
Пример уязвимости RCE, которой хватает IIS 5.1 и не нужна динамика: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4360. И она не одна такая. Ваш сайт может быть уже не совсем ваш. Как и ваш сервер.
IIS 5.1
Там нет дыр.
Спасибо, посмеялся в голос. Вам там одну уже накинули, держите еще две
CVE-2002-0150 — remote code execution
CVE-2003-0223 — XSS
И это мы только об IIS говорим. Что-то мне подсказывает, что если хорошенько постучаться по портам вашего сервера — найдется что-нибудь такое же несвежее.
HTTPS в первую очередь предназначен для защиты от прослушки и модификации данных третьей стороной (не клиентом и не сервером), точнее, этим занимается TLS. А инструменты для внедрения TLS перед всякими там IIS5 есть, и довольно распространенные, под общим названием nginx-proxy proxy server.
К счастью, у меня не Windows XP и не IIS 5.1, так что апгрейд сайта был очень простым.
- Давайте уберем HTML из браузеров. Все равно все на WebAssembly.
Итак, получается, что школьники гораздо больше понимают школьных админов и это плохо? Может, этим специалистам пройти курсы повышения квалификации? Или, на крайний случай, попросить этих самих школьников подтянуть их...
Когда-то я занимался сайтом для тестирования. Озадачил момент, что правильный ответ можно найти на самой странице. Это как? Один запрос, который возвращает вопросы и ответы для тестирования и сохраняет в коде страницы, что ли?
А что касается сайта штата Миссури, то это уже норма - государственные сайты не отличаются наличием защиты. И, если человек, прямо указал на некоторые проблемы, то за что его наказывать? Ведь, он мог просто тихо слить данные заинтересованным лицам и пополнить свой кошелёк.
Одно дело, если используются сложные схемы обхода защиты, но другое, когда данные лежат в открытом доступе и их обнаружение - только дело времени. Правильнее наказывать тех, кто допустил такую ошибку, нет? Или сайт делали "по-знакомству", либо, решив сэкономить, передали студентам?
Ну так "за-shit-а чести мундира" - явление интернациональное. Для чиновника важно, чтобы его проблемы оставались только его проблемами и открыто не обсуждались. А там аштээмэль-маштээмель ему не важно: заткнуть рот, причём максимально показательно, чтобы другим не повадно было.
1) Он недобросовестный и желает искать чужие проблемы.
2) Он недобросовестный и сможет найти чужие проблемы.
То и другое — небезопасное поведение для тех, у кого есть проблемы. Поэтому надо запретить и не пущать!!!!!!
Запретить человеков?
Бывает так, что ошибки можно найти случайно. Ну, например, какой-то элемент неправильно отображается, из-за чего не видно содержимого. Открываем панель разработчика и... о-па!
Если человек указал на проблемы, то возможно, что этот самый человек использует эту систему и не хочет, чтобы какие-либо его (или вообще) данные был в открытом доступе.
А, вот, если человек не указал на ошибку, то тут две опасности:
Ему плевать на систему.
Он собирается использовать эту информацию в своих корыстных целях.
Закрыв просмотр кода они лишь усугубят проблему создав Иллюзию безопасности. Теперь те, кто считал допустимым хранить в коде "лёгкие" метаданные решат,что можно хранить и "тяжёлые" типа паролей. Ну а чё, доступ же закрыт, не?(нет)
Переходим на WASM с рендером на канвасе - и все, исходный код сайта защищен от 99% любопытствующих. Трансляторов WAST в какие-либо вменяемые языки, вроде как, еще нет, а смотреть чистый WAST - ну такое.
Пока этому мешает необходимость индексации в поисковых сервисах. Но условному Фейсбуку, у которого есть своя собственная экосистема, ничего не мешает что-нибудь подобное сделать, и я думаю, что рано или поздно сделают.
- Знаете, почему его зовут Неуловимый Джо?
- Нет, почему?
-Потому что он на фик никому не нужен.
Как только WASM станет достаточно популярным появятся системы обхода защиты, вплоть до полностью автоматических. Пока клиент будет получать данные(код) для самостоятельнего рендера, вместо готового рендера, код невозможно защитить от изучения. Никак
Удивительно, насколько в "большой" юрисдикции кладут на принцип "не умножай сущности без надобности".
Если владелец данных (страницы) хочет их шифровать, то для этого есть двести способов, вплоть до
флешапередачи итоговой векторной картинки страницы. Для скриптов на эту тему webassembly придумали, и как-то никто особо не обломался.Если данные доступны в свободном виде неограниченному кругу лиц, а тут именно так и было, то ответственен тот, кто допустил утечку. Как я понимаю, на этот счёт никаких движений никем не делается. Почему-то.
Это - всё.
По сути, человеку предъявляют за то, что он вообще умеет читать.
Видимо все придет к тому: нашел мину, неси в полицию оформлять, а потом труби в газеты..
Ему предъявляют за то, что он разгласил "уязвимость". Хоть и не говорят об этом в открытую (а говорят, что он хакер, взломал и слил данные учителей). Кроме того, с какого буя он потащился в ГАЗЕТУ, Карл, в ГАЗЕТУ. Это как если Ваш клиент вместо того, чтобы пожаловаться на баг и дыры в коде, побежит трепаться об этом на местное телевидение, соцсети, и в СМИ, дискредитируя Вашу компанию, и подстрекая других хакеров и народ посмотреть на Вашу уязвимость и поиграться с этим.
Не хотите чтобы кто-то в СМИ дискредитировал вашу компанию за ваши же косяки - не косячьте. А то ввели моду - виновным считать не того кто косяк допустил, а того кто "сор из избы вынес".
Ну Вы же не говорите клиентам, что у Вас глючное ПО, не надо покупать его (и иметь дело с нашей фирмой). Кроме того, (пункт 1) работа с "косяками" обговаривается сразу с клиентом, ибо ошибки неизбежны (составляются договора о ТП и Сопровождении). Во-вторых клиент не захочет Вам платить за косяки. А почему? Потому что, см. пункт 1.
Вы считаете нормальным скрывать свой баг от своего же заказчика/начальника? (Извините, вопрос риторический, подразумевает ответ "нет".)
В случае гос.учреждений вроде обсуждаемого, работающих на налоги, заказчиком являются налогоплательщики. ГАЗЕТА, Карл, это один из самых обычных способов донести до налогоплательщиков важную для них информацию. :)
Простите, но я не упоминал про заказчиков и исполнителей. Я хотел сказать, что он, наверное, нарушил какую-то норму, соглашение, установленное и прописанное в каком-то договоре с данной организацией. В статье сказано, что газета дала время, но действительно ли они сообщили об обнаруженном баге, и было ли это от лица героя, либо же от лица редакции газеты? Короче говоря, он должен был сообщить организации, сохранить дату и текст обращения, убедиться, что у него есть доказательство, что он к ним обращался и предупреждал по поводу бага до публикации. Потому что, в договоре, в соглашении могут быть указаны обязанности и для потребителей.
Так он журналист в этой газете. При этом:
Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию.
Из того, что прочитал я, там не было уязвимости, информация находилась в открытом виде. Карл, если угодно.
Аналогии с "моим клиентом" вообще некорректны, взаимодействие с клиентами строится на взаимной выгоде, всегда. Не говоря о том, что приватная информация как правило защищена лицензионным соглашениям. Фразы типа "запрещается реверс-инжинерить код и данные" вам знакома?
Т.е. снова умножение сущностей без этого самого.
Это "как должно быть". А как "в реальном мире" может быть по-другому. Есть честные, есть жадные, есть мошенники. Кто-то опирается на "взаимовыгоду", кто-то на "свою выгоду". А про лицензионные соглашения, да, возможно, тут он что-то нарушил.
Очень интересно вернуться к этой теме в такой интересный момент.
По существу - хоть переход на тему "реальности" это такой вцелом перевод стрелок в сторону "всякое бывает", но вцелом понимаю, что вы говорите.
Давайте тогда уж, говоря о реальности, примем, что у каждого своя реальность, что уж останавливаться. Кому-то живодерство в радость, и это он так видит. А у других может иметься странная позиция, будто если деловой партнер оказался кидалой, то он больше не партнер, и распространить эту информацию. И внезапно оказывается, что в массовом применении такая стратегия выгодна обществу и каждому лично (кроме кидал). См. нормальная форма теории игр.
Ваше сравнение героя топика с работником, раскрывающим внутренние проблемы конторы - некорректны, кстати, т.к. герой не связан с конторой никакими моральными связями, и увидел только то, что показывали публично. Это даже какой-то из методов демагогии, найду если интересно.
Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры.
Если блокировку и фильтры можно обойти просмотром кода страницы, то может быть проблема в системах фильтрации, а не в функциях брайзера?
ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.
То есть, как в случае с книгой, нарушением должно быть лишь либо плагиат, либо незаконное завладение.
Иначе имеем сужение прав пользователя да и просто глупости, как в данном случае а-ля в HTML не смотри, сообщения об ошибках и эксепшены не смотри, корки не смотри. И, не дай Бог, ни с кем не обсуждай
ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.
Формально "программы для ЭВМ" защищаются как литературные произведения, что исходный код, что исполняемый.
Иначе имеем сужение прав пользователя
А у пользователей и так прав нет, к сожалению. Что сужать-то?.. Даже на книгу-то права есть только на ту пачку бумаги, на которой она напечатана....
Адвокаты-то порезвятся на фоне всеобщей интеллектуальной импотенции... То, что журналист имел возможность (как и все остальные :)))) просмотреть персональные данные, не означает, что он имел право их разглашать.
Так а он не разглашал данные. Он сообщил, что данные там есть.
А это можно посчитать разглашением?
В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.
... Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.
Еще интересная тема с API. Потому что это тоже вроде-как общедоступная информация, но как тогда быть, если запросы отправляются не из приложения, а напрямую. В том числе и такие, которые на уровне приложения отправляться не могли, и поэтому на стороне сервера правильно не обрабатывались.
1. Прецедентное право, хотя и обеспечивает часть этой независимости (ценой адекватности, к сожалению), очень сложно как система;
2. Граждане, из которых, в принципе, и состоит государственная система (см., например, habr.com/ru/post/290210), должно обладать мало того, что серьёзным уровнем политической и юридической (как минимум) грамотности, так ещё и большими материальными ресурсами (налоги) для поддержки этой системы в рабочем состоянии.
«Государство – это мы». Однако общество, а именно крайнее его проявление – толпа, не вызывают оптимизма. Средний уровень любого общества всё ещё низок для стоящих перед обществом задач. А значит, в вопросе решения о распределении ресурсов толпа-"буриданов осёл" выберет, скорее всего, корпорации, дающие дешёвый, простой и яркий фастфуд без необходимости нести ответственность.
Школьники, конечно, молодцы, что используют смекалку и пробуют способы для обхода системы
просто смотрим код:
<script>
el2359.onclick = function() {
toggleModal('modal-video');
$('#modal-submit-event').val('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств');
$('#name-video').html('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств');
$('#video').attr('href', 'https://www.youtube.com/watch?v=hZ_dFFrIzYA&t=1406s');;
};
</script>
оп!
Заголовок: в огороде бузина, а в Киеве дядька.
Пост, аргументы в посте: в огороде бузина, а в Киеве дядька.
Комментаторы: в огороде бузина, а в Киеве дядька.
Фича в Chromium: а мне норм.
Вот почему нельзя использовать продуктов корпорации! Даже когда они вроде бы свободные и с открытом кодом. Всегда норовят какую-то корпоративную бяку подсунуть. Используйте только продукты разрабатываемые обществом.
Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.
Абсолютно ничего нового. Я всегда говорил, говорил и буду говорить не работать на: правительство США, компании из США.
Их УК это какая-то злая шутка.
То есть посетитель государственного сайта хотел посмотреть общедоступную информацию по учителям, а злостные нарушители правопорядка разработавшие этот сайт, вместо запрошенных пользователем данных - намеренно присылали ему приватные данные учителей, включая номера страхования? - Причем разработчики обязаны были отлично знать, что в этом случае приватные данные будут автоматически сохранены в кэш на компьютере пользователя, если он использует стандартный софт в обычном режиме не совершая каких-то специальных действий для сохранения, пользователь мог даже не знать, что ему что-то подкинули. Эти люди намеренно подбросили журналисту приватные данные и подали на него в суд, всё верно?
Кажется у иска есть все шансы прилететь в обратную сторону, по крайней мере хотелось бы верить.
Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.
Именно так мы и делали в универе. Была у нас внутренняя система тестов, правильный ответ в тесте всегда был в радиоинпуте со значением value=1, а у инпутов просто был рандомный порядок вывода. Года через 2 после внедрения пофиксили когда кто-то обнаглел до такой степени, что написал js проходивший тест за секунды
Функция, описанная в статье, может быть полезна, например, для создания киосков. Ни к чему, чтобы любой мимо крокодил мог "открыть страшные хакерские буковки" волшебной комбинацией ctrl-u, даже если в самих буковках ничего секретного нет. Хотя бы потому, что (в случае аппарата а ля банкомат/платёжный терминал) он заставит людей за ним в очереди гадать, как эту гадость закрыть.
Возможно я отстал от веб-технологий, но что мешает американским школоло в томже редакторе хтмл написать?
<a href="https://surviv.io/">pwned</a>
Зачем вообще копировать исходный код результатов поиска гугла когда нужно просто по ссылке перейти по известному адресу? Какие-то непостижимые для меня извивы американской логики...
Я думаю, что Google рано или поздно уже придётся определиться, для кого они пишут продукт под названием Chrome: прежде всего для обычных пользователей сети Интернет или для специалистов Веб-разработки.
Сейчас же Chrome, как и большинство других браузеров на основе Chromium, - это некий комбайн. Однако в последних версиях он обрастает всё больше функциями именно для обычных пользователей Глобальной сети, такими как: список для чтения, управление медиа-источниками, запрет небезопасных протоколов и т.п. Так что вполне логично последующее разделение этого продукта на 2 отдельных:
"пользовательский" браузер (безопасный, с ограниченным доступом к техническим данным);
инструмент Веб-разработчика.
В таком контексте вполне понятны данные ограничения возможностей "пользовательского" браузера.
По сути дела, сегодняшний комбайн Chrome - это исторический результат попытки понравиться всем и сделать браузер самым популярным. Но я больше чем уверен, что подавляющее большинство пользователей Chrome ни разу не прибегало к функции просмотра кода, да и не имеет представления, что такое HTML. Для них вполне достаточно взаимодействия с "надприкладным" уровнем TCP/IP, именуемым в простонародии UI. Поэтому здесь можно долго рассуждать об очередной попытке ограничить в правах рядового пользователя. Но так ли эти права ему необходимы?
В мобильном приложении Chrome, к примеру, давно уже все как-то смирились с отсутствием возможности просмотра исходного кода. Я уже молчу про другие фичи, такие как расширения и инструменты разработчика. Кому они необходимы, пользуются другими браузерами на мобильных гаджетах.
UPD: в процессе написания комментария понял, что всё-таки такая возможность в мобильном Хроме есть: нужно просто дописать в начало адресной строки "view-source:". Но отсутствие соответствующей кнопки в UI лишний раз подчеркивает тот тезис, что Chrome - это в первую очередь браузер для рядового пользователя, а не для технического специалиста.
Не пора ли уже Гуглу фрагментировать целевую аудиторию посредством разделения продукта на 2 отдельных, и пусть уже там админы сами решают на уровне политик безопасности ОС, кому какое ПО предоставлять?..
Другое дело, действительно ли Google готова к расщеплению своего продукта?.. И зачем ей это разделение, пока можно плодить кучу костылей, дабы угодить всем?.. Ну реально, ведь это же ещё тот костыль: запретить внутри приложения снифать трафик, когда существует множество других уровней для его перехвата и модификации, и HTTPS при прямых руках тут не помеха. Другое дело, что на остальных уровнях есть и инструменты для ограничения доступа к таким данным со стороны админа. По сути, мы наблюдаем, как Chrome постепенно превращается в операционку внутри хостовой ОС, которой необходимы аналогичные средства администрирования.
Так что я считаю, что добавление таких костылей в Chrome - это скорее некий компромисс между очередным запросом от Enterprise-сегмента и попыткой не растерять часть своих пользователей. Ну и это тупо дешевле, чем плодить новую сущность без особой необходимости.
А что касается юридической стороны вопроса, тут я полностью согласен с автором статьи, что угрожать уголовным преследованием за просмотр информации, полученной из открытых источников, уж точно странно. Ну а некорректно настроенные системы просто должны быть настроены корректно. Первопричина, всё-таки, как я понял из данной статьи, в Веб-системах, а не в браузере. Вот и всё.
Просмотр HTML-кода — не преступление