Как стать автором
Обновить

«Яндекс» раскрыл первые результаты расследования публикации исходного кода и нашёл много нарушений ИБ-политик в компании

Время на прочтение7 мин
Количество просмотров32K
Всего голосов 31: ↑28 и ↓3+36
Комментарии155

Комментарии 155

НЛО прилетело и опубликовало эту надпись здесь

Они еще блокируют часть изображений по запросу «мария овсянникова». Попробуйте, правило работает до сих пор.

история успеха.

А почему в гугле пишет что она родилась в 1904 в Kinel и умерла в 1985 в Moscow?

Об этом и о многих других невероятных проишествиях читайте в утечке данных из Гугл!

К стати, "Медуза" теперь не только «иноагент», но еще и «нежелательная» организация.

Если вы находитесь в России, то за ссылку на "Медузу":

первый раз вас оштрафуют за «участие в деятельности» на сумму от пяти до 15 тысяч рублей — для этого в КоАП существует отдельная статья.

Следующие нарушения уже грозят уголовным делом. Наказание по статье 284.1 УК — лишение свободы вплоть до четырех лет, но приговорить могут также к обязательным работам, ограничению свободы или штрафу до 500 тысяч рублей.

Будьте аккуратны.

Это я по поводу вышеприведённой ссылки (как раз на "Медузу") написал.

А потом ваще расстреляет дежурный чекист.

НЛО прилетело и опубликовало эту надпись здесь
Настоящая нежелательная организация в моей стране — это та, которая штрафует и приговаривает.

Интересно, программист, который это писал, другой, который это ревьюил - они все «вне политики»?

Так уж работает человеческая психология. Когда человек делает то что ему приказало делать начальство, это сильно притупляет чувство личной ответственности – "ничего не поделать, работа такая".

Ну-ну. Представьте (вспомните?) джуна, работающего в Яндексе, который год назад закончил универ, у которого маленький ребёнок, беременная жена, нет каких-либо существенных накоплений, престарелые родители с тёщей, квартира в ипотеку и знание английского только на уровне чтения документации и немного понимания на слух. Реально думаете, что такой встанет в позу и уволится на фоне резко сжавшегося рынка IT?

И это все через год после универа в среднем 22-23? Вероятно, таким и впрямь не до морали.

Остальные запросто себя найдут.

Есть разница между «встанет и уволится» и «не станет выполнять указание руками подкручивать поиск».

разницы нет, это всёравно что продавец в магазине не будет продавать водку никому со словами 'я не буду спаивать нацию' и надеяться что его не заставят уволится по собственному

а тут это яндекс, одна из немногих контор где даже если ты не джун то 'за забором куча народа на твое место' (хотя судя по последней активности hr с этим у них уже проблемы)

А я лично знаю программиста, который отказался за большие деньги (х1.5-х2 от его заработка) идти работать на компанию, которая пишет нехороший софт для диктатуры. Просто хотелось сказать, что есть и другие примеры.

На фоне тех, кто не погнушался согласиться - ни о чем. Вот если бы этот программист активно истреблял тех, кто согласился - другое дело. Но это же совсем другая история.

А какая отсюда мораль?

Мораль отсюда такая: весь софт для диктатур написан джунами, за еду!

Вы забываете о тех, кто на стороне власти (либо просто не против). Либо могут легко и непринужденно договориться со своей совестью, типа "если я откажусь - всё равно кто-нибудь согласится".

что интересно, софт почти почти для всех государств написан непойми кем непойми за какие деньги, это не только РФ касается
это вытекает из того что софт пишут подрядчики по результатам тендера, где до программеров доходят копейки относительно рынка

this feature is also used to sneakily promote yandex‑owned kinopoisk when you look for something to watch. it adds “host:kinopoisk.ru”

Как хорошо, что когда ищешь что-нибудь посмотреть в гугле, он не добавляет google-owned youtu... Oh shi...

>> Один из принципов «Яндекса» гласит: наша работа строится на принципах честности и прозрачности.

Совсем не так обстояли этим летом дела с сервисом Яндекс.Самокаты, когда программа не позволяла запустить первый забронированный самокат после того как был выбран последующий - к предыдущему самокату просто нельзя вернуться в интерфейсе, пока не отменишь последующий... но это платно. Техподдержка так и не признала какую-либо вину, деньги списали и не вернули. О какой честности идет речь?

Если что, то есть все скрины и переписка. ;)

Добрый день. Нам очень похрен, что произошла такая неприятная ситуация. После того, как перестали ржать, забили на вашу проблему всем отделом качества. Держите промокод "barebukh" на скидку в 10₽, годный до августа 2014 года. Водитель вместе с курьером отправлены под шконку.

в бета-версии для сотрудников применяется настройка, которая включает микрофон устройства на несколько секунд в случайный момент без упоминания «Алисы»

- Как же хорошо что это код из беты никак не может попасть в про-д!
- ...
- Ведь не может, правда?

Вам же раньше писали, что это старая версия ПО. В новой данная функция перенесена в полном объеме и включена всегда, а не какие-то жалкие несколько секунд :)

● Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но сами по себе оскорбительны для людей разных рас и национальностей.

Кто-то обижал индусов?

Я видел мем с кодом из Яндекса, где в качестве названий для лог-файлов использовалось N-слово.

Там вербальный расизм: упоминаются «хозяин» и «негры» в одном контексте

Многие в России, и в частности многие в IT, не видят в этом вообще ничего плохого, а тех кто видит презрительно кличут "леваками", так что ИМХО – вообще ничего удивительного.

Я вот тоже не понимаю, что плохого, если хозяин и негр в одном контексте?

Чтобы вам не грепать сотню гигабайт исходников

ads.tar.bz2/targeting/python-objstore/t/test_objstore.py

В том же архиве:

  • libs/py_ml_common/pt/dumps/F11_def/20140513/task.yml

  • libs/py_ml_common/pt/dumps/marina5_unstable/20140520/task.yml

А также:

antiribot.tar.bz2/scripts/learn/sky_matrixnet.sh

Приятного изучения первоисточника :р

Unfortunately we all know the N code is lazy and doesn’t work most times.

для улучшения качества активации ассистента и уменьшения количества ложных срабатываний применяется настройка, которая включает микрофон устройства на несколько секунд в случайный момент без упоминания «Алисы».

Вот разработчик «Алисы» в рандомный момент включает микрофон. Как это поможет ему уменьшить количество ложных срабатываний и увеличить количество срабатываний истинных?

Предполагаю — прослушивать все активации от пользователей чтобы понять, что там ложное, а что не ложное срабатывание — слишком накладно и, может даже, неэтично. Поэтому в качестве примеров звуков, которые алиса может услышать, но на которые активизироваться не надо можно брать вот эти случайные записи от разработчиков. Потом на этом наборе данных можно проверять новые алгоритмы.

Еще как может. У меня дважды было, что ни с того, ни с сего, в разговор в машине вдруг встревала Алиса, комментируя только что произнесенную кем-то фразу. При этом Алисы на телефоне отдельно у меня не установлено, только как голос в Яндекс.Навигаторе, причем в эти моменты был активирован другой голос (кота Гурме).

Запретите браузеру микрофон и камеру.

Это было в приложении под андроид, браузер запущен не был.

Это только колонок касается?

В двух словах: мы провели аудит и нашли, что мы — совсем не тот Яндекс, который описан в «Принципах Яндекса». Особенно мы не тот Яндекс в аспекте техноэтическом. Собно, это уже нашли другие пользователи в наших исходных кодах — расизм, ручную цензуру запросов, подслушивание — куда уж теперь отпираться.
Мы верим, что «мы создадим новую службу», и этика так и попрет! Главная причина найдена — у нас просто не было службы по этике!
— Ну да, ну да!

это уже нашли другие пользователи в наших исходных кодах — расизм

Мне вот интересно, о каком расизме идёт речь? Я что-то пропустил, и в России каким-то образом стали бок о бок жить две (или более) различных рас людей, в приблизительно равных количествах, и при этом одна из них не так давно (в историческом масштабе) гнобила другую? Ну, как у нас в США?

Определение "расизма" уже давно расширили и он включает в себя не только проблемы в контексте различных рас, но и там всяких "этнических сообществ" и прочего.

То есть это и раньше так кое где использовалось, но окончательно это этаблировалось после того как "нацизм" за собой намертво застолбили ребята из Третьего Рейха.

Потому что то, когда гнобят "чёрных" (в смысле не негров, а кавказцев) — это не "нацизм" (и уж тем более не "расизм"), а таки "национализм".

Вообще-то нет. Национализм совсем не обязательно предполагает что кого-то надо гнобить. И совсем не обязательно заявляет о том что одна национальность лучше других.

Это в первую очередь о создании мононациональных государств, которые соответственно защищают интересы одной нации. При этом само понятие "нации" очень растяжимо. И совершенно не обязательно означает национальность или этническую принадлежность.

То есть если совсем грубо, то националисты в США могут считать всех граждан США одной нацией и стремится защищать их интересы. Даже несмотря на то что граждане США имеют разные национальности или даже расы.

И тем не менее, "русские националисты" — это таки "Россия для русских", "бей бобров — спасай Россию", вот это вот всё.

националисты в США могут считать всех граждан США одной нацией и стремится защищать их интересы.

Гитлеровцы тоже далеко не всех евреев считали "неправильными". Как правило, это сильно зависело от толщины кошелька. Взаимоисключающие параграфы, ничего необычного.

И тем не менее, "русские националисты" — это таки "Россия для русских", "бей бобров — спасай Россию", вот это вот всё.

Ну смотрите, вы даже здесь написали "русские националисты", а не просто "националисты". То есть получается проблема не национализме как таковом, а в отдельных его проявлениях.

И да, национализм бывает и "плохой". Но при этом "хороших" расизма и нацизма не бывает.

Гитлеровцы тоже далеко не всех евреев считали "неправильными".

Вообще-то всех.

Как правило, это сильно зависело от толщины кошелька.

Конкретное обращение зависело от толщины кошелька. Но людьми второго сорта считались все.

И тем не менее, "русские националисты" — это таки "Россия для русских", "бей бобров — спасай Россию", вот это вот всё.

Радикалы и их высказывания просто более заметные. Если в РФ было много партий националистов, то люди запомнили и ассоциировали с национализмом в первую очередь радикальные течения, а не умеренные.

Это как история с феминизмом. Само по себе явление благостное - равные права для всех, вне зависимости от пола. Но в медиа выплывают в первую очередь радикальные представители, которые наносят существенный вред движению.
Думаю что для тех, кто не особо вникает слово "феминизм" тоже уже несёт негативный оттенок. И чёрт его знает, как эти маятники во всех этих движениях останавливать. Рано или поздно любую идею испоганят и сольют фанатики.

Радикалы и их высказывания просто более заметные.

Ну так была та старая хохма:

Чукотские националисты: Чукотка — самое лучшее место в мире, у нас олени, северное сияние, полезные ископаемые, у нас хорошо, чукчи добрые и гостеприимные, приезжайте все к нам!

Русские националисты: Россия для русских, бей бобров — спасай Россию, уезжайте все от нас!

России каким-то образом стали бок о бок жить две (или более) различных рас людей

Эм.. Вы точно учили историю?

Или славяне и татаромонголы принадлежат одной расе?

Вы точно учили историю?

Я точно учил географию. Выделяются четыре расы: европеоидная, монголоидная, негроидная и австралоидная.

славяне и татаромонголы принадлежат одной расе?

Специально для Вас я пометочку добавил — "в приблизительно равных количествах". В этой вашей России 50 млн условных белых и 50 млн условных монголоидов?

Выделяются четыре расы: европеоидная, монголоидная, негроидная и австралоидная.

С расами не всё так просто. См. этот топик, начиная с ветки «У нас вот много лет висит статья Негроидная раса, в которой дикая маргинальная чушь написана прямо с первого предложения».

В том числе и благодаря тому обсуждению, на проблему обратили внимание и теперь статьи про расы опираются, в том числе, на современные источники, а не только лишь на БРЭ и Дробышевского.

Процитирую статью Раса:
Первоначально биологи классифицировали расы как подвиды человека, но современные антропологи отвергают концепцию расы как полезного инструмента для изучения человечества и рассматривают человечество как сложный, взаимосвязанный генетический континуум. В результате генетических исследований конца XX — начала XXI веков многие генетики пришли к выводу о невозможности точного выделения рас, так как различия и сходство рас по внешним признакам не всегда совпадают с генетическими различиями и сходством. В связи с этим и другими соображениями многие учёные считают термин «раса» в отношении человека не имеющим генетической основы. Раса часто не рассматривается как биологическая категория.

Будучи частично основанными на физическом сходстве людей внутри групп, расы тем не менее не несут физического или биологического смысла.

Как отмечал советский антрополог В. П. Алексеев, типологическая концепция расы «всё больше приобретает характер анахронизма и отходит в историю антропологической науки»

И это не «повесточка», которой модно объяснять всё непонравившееся, а современный научный мейнстрим. В общем, то, чему нас с вами учили в школе, несколько устарело (и это нормально, наука развивается, старые концепции уступают место новым, даже планет в Солнечной системе и тех поубавилось).

начиная с ветки

"Начиная с ветки" там в обсуждении участвует один господин, который мне мне уже давно известен вопиющей неспособностью к абстрагированию, и как результат, имеющий явное склонение к одной из сторон, так что, особенно с учётом длины того обсуждения, для меня оно ни о чём.

а не только лишь на БРЭ и Дробышевского.

Даже Дробышевский не говорит о четырех расах.

И это не «повесточка», которой модно объяснять всё непонравившееся, а современный научный мейнстрим.

Вы так говорите, как будто "современный научный мейнстрим" не может быть "повесточкой". Одно с другим тесно и неизбежно связано в любых науках, связанных с устройством человеческого общества.

Причём здесь количество? Если меньше, чем титульных, то можно спокойно гнобить? Нужна пояснительная бригада.

Кстати да. Вон в ЮАР белых всего процентов десять где-то. Но устроить апартеид им это не особо помешало.

Чёрт, вот этот момент с ЮАР я упустил, да. Там должно было быть не =, а <=

Я вообще имел в виду, что когда те, кого много, гнобят тех, кого мало, это ещё более-менее можно понять

*

для особо озабоченных повторюсь: не "правильно", а "можно понять", чьорт побьери!

но вот наоборот — это уже ни в какие ворота.

При прочих равных да. Но с другой стороны с кулаками на пулемёты тоже особо не полезешь. Даже если людей с кулаками в десять раз больше чем людей с пулемётами.

Но с другой стороны с кулаками на пулемёты тоже особо не полезешь.

Говорят, новозеландцы эту проблему вроде как более или менее решали (правда, тогда были не пулемёты, а ружья).

НЛО прилетело и опубликовало эту надпись здесь

которые они активно покупали у заезжих моряков

Маори активно ползовались старым анекдотом. Чаго хотите, морячки? Набрать воды? С вас десять ружей и бочка пороха. Дорого? Ну, походи по базару, поищи подешевле.

На Большей части ЮАР коренным населением были бушмены и готтентоты. Обычные негры и белые являются друг другу более близкими родственниками, чем негры с готтентотами. А всё то негритянское большинство, про которое вы говорите это эмигранты из соседних стран. Об этом стоит призадуматься рассуждая об аппартеиде.

Количество здесь при том, что меняется причина, по которой гнобят.

Если в условной Нагонии гнобят условных гарибасцев (которых к Нагонии мало), а в условном Гарибасе нагонцев (которых мало в Гарибасе) — то это ещё можно понять (не оправдать, а понять): хоть какая-то, пусть и извращённая, логика прослеживается. (Это, кстати, подходит не только и к парам "нагонцы/гарибасцы", но и "сербы/албанцы", "армяне/азербайджанцы" и т.п.)

А когда светло-зелёные гнобят примерно такое же количество тёмно-зелёных — здесь уже типичный карго-культ (или проблема пяти обезьян) без малейших следов логики.

Специально для Вас я пометочку добавил — "в приблизительно равных количествах".

Белые американцы, 72,4%, около 235 миллионов человек ; Черные (афроамериканцы), 12,6%, около 41 миллиона человек

А остальные 15% кто?

Азиаты и коренные народы.

НЛО прилетело и опубликовало эту надпись здесь
и латиносов

а вот забавно, латиносы это предки испанцев-итальянцев, но их приписали к коренным народам которые жили там вечно, а «белые» в штатах — так прям злые понаехалы

хотя латиноамериканцы точно такоеже понаехавшие в Америку как и белые, и процент смешения с местными индейцами там не сильно выше чем в штатах
НЛО прилетело и опубликовало эту надпись здесь

Посмотрите на внешность типичного мексиканца, у него явно 85-90% предков - это местные индейцы.

Ну нет, в среднем - 60 европейцев к 30 индейцам. Варьируется от региона к региону. Прям индейцы-индейцы - это скорее про какой-нибудь Сальвадор и южнее, в Колумбию и Перу.
Но да, индейской крови таки много.

В этой Вашей России смотря где. Есть места, и их много, где условных монголоидов больше, чем европеоидов.

НЛО прилетело и опубликовало эту надпись здесь

Отец — Рафаил Абдразаков, мать — Ольга Пшеничникова. Всё же метиска.

Как по мне, проблема "рассово неверного" кода и табуированной лексики - это меньшая из перечисленных в статье.

Говорят, частично это связано с тем, что современные татары в очень большом проценте это булгары, гуглить "волжская булгария", и ближайший родственный народ к ним - болгары, ушедшие жить в "дунайскую болгарию" и первоначально мигрировали из индии во время великого переселения народов, а к монголо-татарам начавшим свой путь севернее монголии они никакого отношения не имели пока те на Русь не пришли. Они к ариям ближе по происхождению чем к монголоидам так то.

Ну да, только надо понимать еще, что к современным болгарам те болгары имеют отношение только номинальное (в буквальном смысле - передали название и десяток слов и бесследно ассимилировались).

История волго-камского региона богата на переселения, и генетическое резнообразие населения велико:

В генофонде татар отсутствует собственная предковая компонента – он является комбинацией всех выявленных предковых компонент популяций региона

http://генофонд.рф/?page_id=35343

НЛО прилетело и опубликовало эту надпись здесь

Master/slave, черный список и т.п.?

о да вот так расизм...

причём эти слова blacklist и master/slave, английские термины, и использовались просто как технические термины и не несли какого-то расистского подтекста.

--

и мне вот интересно "белая" тема стоит по умолчанию, а "чёрная" иногда появляется как доп фича, то есть белая получается главная а чёрная нет... это уже расим или ещё до этого просто ещё не дошли? просто иногда поиск везде расизма и там где его нет догодит до какого-то маразма

Да нет же - просто чёрная тема - это элитная, дополнительная опция для продвинутых. Так что всё нормально, ложная тревога. \s

слова blacklist и master/slave, английские термины, и использовались просто как технические термины и не несли какого-то расистского подтекста.

Вы не рефлексируйте, отменяйте!

Так этого явно недостаточно. Есть же ещё например структура данных «очередь», которая явно отсылает к тоталитарному СССР. В демократическом государстве никаких очередей быть не должно! /s

Речь про переменную niggers.

НЛО прилетело и опубликовало эту надпись здесь

Данные о сотрудниках!

Ну, например, так можно обозвать рабочие потоки)

НЛО прилетело и опубликовало эту надпись здесь

Откуда я знаю, я ещё не заглядывал.

"Политкорректная" адаптация технических терминов master/slave. Весь мир master в main/leader переводит, а вот в яндексе в другую сторону кто-то пошутил.

что она делает?

Раз заканчивается на -S, значит, это глагол настоящего времени, отвечающий на вопрос "что делает?". Соответственно, она ниггерит!

Рядом ещё есть файл master.txt, то есть код это метафора на рабовладение.

Все по классике: "наказание невиновных, награждение непричастных"

Из текста я понял, что:

  • Мы нашли множество нарушений Информационной Безопасности, но они не несут никакой угрозы, так что они безопасны, именно поэтому мы в срочном порядке создаем надзорный орган который будет выполнять функции предыдущего надзорного органа который не справился со своими функциями

  • Нам очень стыдно что вы нашли наши скрытые функции слежения и ваши персональные данные, поэтому написавший (и недостаточно скрывший) их программист был уволен еще месяц назад, а все функции будут теперь перенесены в отдельное место и тщательно спрятаны

  • В говнокоде и костылях виноват программист Вася, а не его менеджер который в погоне за бонусами и KPI назначает нереальные дедлайны. Программист Вася будет отправлен в окопы, а его мендежер будет наказан повышением в штате, должности и зарплате.

  • Переприоритезация выдачи и переколдовывание запросов появились потому что программисту Пете так захотелось, никто из вышестоящих менеджеров не ставил таких требований, никто не обращался из Администрации Президента, а вся дополнительная прибыль была получена совершенно случайно (поэтому и возмещать мы ничего не будем). Программисту Пете будет выдан строгий выговор за заслуги на плотной бумаге с тиснением и гербом РФ и перевод с повышением в звании.

Все нами сказанное - это чистая кристальная правда

Мне понравились костыли в их коде. Это говорит о том, что их секция с алгоритмами не работает, ведь люди написавшие этот код ее прошли)))

Пройти что то и активно пользоваться этим — не одно и то же. Иногда просто нет времени на переписывание под полностью правильный вариант. И как я понимаю, Zero Bug Policy этому очень способствует)
не знаю как в яндексе, но я видел как в конторе где всякое такое есть продлетает в прод такое костыльное

Вот у нас был департамент архитектуры, тестировщики, ревьюверы, безопасники все по феншую… мердж из кучи шагов каждый придерется… и к качеству кода и к реализации… чтобы было идеально
и был департамент развития, которые пилили фичи для АБ тестов маркетинговых, типа 'сделаем на коленке фичу, выкатим на месяц посмотрим реакцию'… и эти ребята шпарили в прод вообще без всего этого, типа 'всёравно выпиливать, а тратить два двухнедельных спринта на тестовую фичу очень много'
и что? фича заходит пользователям'… в split ставят 100% покрытие пользователей и… и забывают! задача закрыта, фича в проде, написанная левой пяткой за неделю без нормального ревью и архитекторов… в лучшем случае выпилят if split бла бла… а вообще и так бросали…
НЛО прилетело и опубликовало эту надпись здесь

т.е. когда выяснилось что яндекс

в 40 гигабайтах и цензура, и манипулация историей, и расизм, и нарушение антимонопольного...

и они такие "ой, это костыли какие-то, и вообще все только для тестов и непонятно как туда попало, да и вообще это все старое" - это НОРМАЛЬНАЯ реакция?

чет у меня другое мнение на этот счет...

НЛО прилетело и опубликовало эту надпись здесь

Для начала пусть кое-кого другого по закону покарают, из-за кого всё это началось...

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Хреновый или нехреновый человек, это субъективный момент, который зависит от контекста в котором вы сейчас находитесь и занимаемой в данный момент позиции. При расследовании инцидентов всегда велик соблазн пойти таким путем. Насколько он простой, настолько же и не конструктивный - определив крайнего и наклеев на на него ярлык вы не снизите риск возникновения того же самого в будущем.

Одно из основных правил расследования инцидентов гласит, что причин всегда больше одной и ни одна не является ключевой: инцидент это всегда результат цепочки множества обстоятельств. В прес релизе я отметил как раз тот момент, что они не заостряют внимание на личностях, а обращают проблему внутрь себя, рассматривая её с разных точек зрения. Это выглядит профессионально.

Есть мнение, что конкретный хреновый человек опубликовал исходники Яндекса не от глубокой любви к делу Столлмана, а потому, что не сошлись в цене.

"Так не доставайся ты никому!"

Теперь код Яндекса стоит ближе к уплаченной сумме.

Кудрин?

А может и Волож :)

В плане этики к происходящему можно относиться по-разному. Возможно инженерная культура и безопасность у них так себе, но PR и юристы, на мой взгляд, отрабатывают инцидент четко.

Я очень надеюсь что этот ужасный человек заплатит ужасающий штраф в 60к рублей.

"Богатство человека определяется не тем, сколько у него денег, а его ощущением нужды в них. Когда я вижу Рокфеллера — у меня так и тянется рука отдать ему последнюю копейку" (c)

Простите, так это вот это вот все Яндекс нашел, исследуя тот кусок кода, что оказался в публичном доступе? У них нет доступа к свему коду более легальным способом? Или обо$$авшись, им стало интересно определить до какой степени это случилось?

Ничего им не интересно. Просто пошла волна разоблачений по результатам анализа исходников, и надо было её купировать. Причём, что характерно - купировать прежде всего в глазах западных СМИ, это видно по выбранным формулировкам. Например, в России всем пофиг, что какая-то там переменная как-то не так называется, а в пресс-релизе за это отдельно извинились. То есть, на российскую аудиторию Яндексу в принципе насрать.

думаю там не сам Яндекс нашел... нашли другие, а Яндекс это все собрал и отразил в своем пресс релизе. Но молодцы, следят за исследованиями своего кода...

п.с. а может они спецом его слили? :)

Странно, что не сказали, что эти правки намеренно внесены в слив, с целью копроментации

В тексте ничего подобного не сказано. "В то же время мы решили, что сложившаяся ситуация — повод провести масштабный аудит всего содержимого репозитория" по сравнению с опубликованными "фрагментами".

Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но сами по себе оскорбительны для людей разных рас и национальностей.

Ахахахаахаха

Например, для улучшения качества активации ассистента и уменьшения количества ложных срабатываний в бета-версии для сотрудников применяется настройка, которая включает микрофон устройства на несколько секунд в случайный момент без упоминания «Алисы».

— Товарищ майор Алиса, какая погода в Костанае?
— Здравствуйте, товарищ пользователь, зачем вам погода в Костанае? Возьмите лучше льготную ипотеку для  IT-специалистов!

Там же написано, что нет необходимости произносить Алиса, поэтому просто: "Товарищ майор, ... далее по тексту"

Я жду, когда уже к этим умным колонкам приделают камеры.

Чтобы в следующий раз ещё и куча хоум-порно утекла в обмен на штраф в 60 тысяч рублей?

Тут не совсем понятно из контекста о каких камерах точно идёт речь. "Камеры" в смысле "видеокамеры' или в смысле "тюремные камеры"? :)

● Некоторые части кода содержали слова, которые никак не влияли на работу сервисов, но сами по себе оскорбительны для людей разных рас и национальностей.

Интересно, это что-то существенное или банальное master/slave, white-list/black-list и т.д.?

Niggers_on_galeras.

В ближайшее время мы создадим новую службу, которая будет отвечать за соответствие кода нашим принципам и политикам.

Вот удивительно. Сколько работаю - мне не требовалась служба, чтобы не писать неуместное в код. Обычного ревью хватало. Если ваше ревью пропускало дичь, то получается, что дичь была нормой, а не эксцессом исполнителя.

Кроме того, мы уже переносим из репозитория все данные, которые не имеют отношения к алгоритмам и настройкам сервисов. Эти данные получат дополнительную защиту.

Читай, заметём слова "странное создание машет рукой" под другой специальный половичок. Тем смешнее будет, когда и эту новую репу сольют.

Читай, заметём слова "странное создание машет рукой" под другой специальный половичок. Тем смешнее будет, когда и эту новую репу сольют.

А какое на ваш взгляд должно быть техническое решение для этого?

Нет стыдного кода — нет проблем с утечками стыдного кода.

Вопрос не про стыдные слова, а про данные - мне наверное надо было скопировать и первую цитату.

Нет стыдных данных — нет проблем с утечками стыдных данных.

Это я к тому, что цензура рано или поздно всплывёт, потому что это серая зона морали, и с её реализацией имеют дело человеки. Поэтому лучшее техническое решение для хранения таких данных — не хранить эти данные вовсе.

Кроме того, мы уже переносим из репозитория все данные, которые не имеют отношения к алгоритмам и настройкам сервисов. Эти данные получат дополнительную защиту.

Насколько я могу понимать, вот этот текст не про стыдные данные, а про чувствительные - пароли, секреты и прочее.

Но если вам интересно обсуждать вопрос стыдных слов и данных (на техническом таки ресурсе) - вы можете продолжать. Мой вопрос был про техническую плоскость - как можно перенести чувствительные данные и куда, чтобы потом "этот репозиторий" не слили.

Топикстартер пишет именно про «неуместный» код, я пишу про то же

содержимое архива соответствует устаревшей версии репозитория — она отличается от актуальной версии, которая используется нашими сервисами.

Что-то поменялось бы, если бы в архиве был свежий срез кода?

Нет, этот срез был бы хотя бы на несколько минут, но устаревший. Коммиты в монорепу идут постоянно.

Это уже другой момент. Интересна реакция яндекса. Что выбрать? Признаться, что срез свежий или быстренько сделать +1 коммит?

рефлексия относительно отдельных элементов содержимого слитого кода. Ни капли рефлексии или каких-то мероприятий относительно факта утечки кода, что еще раз согласуется с политикой компании относительно "ценности" исходников как таковых.

Так что ущерб по сути минимальный, полагаю будет краткосрочный косвенный ущерб от деятельности SEOшников, которые разобрали алгоритм ранжирования и будут под него писать хаки, но это временно, до внесения изменения в алгоритм. Я бы на месте яндекса как раз бы именно этим и занялся в первую очередь, т.к. это реклама, влияющая на доходность.

А "грязное" бельишко в некторых комментах - мелочи.

рефлексия относительно отдельных элементов содержимого слитого кода. Ни капли рефлексии или каких-то мероприятий относительно факта утечки кода

А что, кого-то когда-то отменили за утечки кода?

НЛО прилетело и опубликовало эту надпись здесь

При этом содержимое архива соответствует устаревшей версии репозитория

Ну да, ну да, аж на два дня устаревшая!

В сервисе «Яндекс Лавка» существовала возможность ручной настройки рекомендаций любых товаров без пометки об их рекламном характере.

Надо же неприятность какая, баг случайно просочился, неожиданность, а как же это он интересно

В сервисе "Яндекс Лавка" для улучшения качества и уменьшения количества ложных срабатываний в бета-версии для сотрудников применяется настройка, которая включает рекомендации любых товаров без пометки об их рекламном характере на несколько секунд в случайный момент.

Сейчас нам очень стыдно

Как разработчику, мне это не очень понятно. Если исходный код достойный, то почему должно быть стыдно? :) Гордиться можно и может быть даже заопенсорсить официально какие-нибудь либы.

Понятно, что раз взяли код из репозитория без спроса, это дыра в безопасности, но это не данные пользователей, не сертификаты или пароли доступа к инфраструктуре. Вот если исходный код такой, что за него стыдно, тогда действительно это проблема.

Я сильно удивлён, что никто здесь не вспомнил ту самую серию South Park, про "We're Sorry!".
Наверное, слишком приелась.

Ка только включаю навигатор - у меня постоянно возникает мыслЯ: во станет посвободнее, возьму и сделаю проект "Яндекс трындит". Про пробки, про пути объезда, про рекламу, про "правильный" поиск.

С таким отношением не удивлюсь, если какой-нибудь шайтан-программист с помощью яндекса организует пробки на ровном месте...

Я разочереван кодом местники по аналитике устройств, детектор основан на похожей схеме WURFL, теже правила в xml, да хорошо что на плюсах .

Из минусов скорость храмает и за рекурсивного спуска по дереву, это 28ms+ и 30℅ cpu гарантировано на 1 запрос.

Если сделать бенчмарк это около 700 запросов в сек. Это ещё не всё, использование гугл списка устройств нет всегда точный результат.

Мой конкурент 51degrees.com делает 20к запросов в сек благодаря rtree.

Я со своим велосепедом могу только 10-11k благодаря индексации на хэшах.

Большой плюс разбора метрики, это посмотреть как люди используют кликхаус правельно.

Посмотрел сурсы папки frontend и особо ничего интересного для себя не открыл, к сожалению(

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории