Как стать автором
Обновить

Комментарии 671

НЛО прилетело и опубликовало эту надпись здесь

тот же вопрос, но ко всем в этой цепочке, начиная с оператора связи

НЛО прилетело и опубликовало эту надпись здесь
Напишите здесь результаты, пожалуйста
Судя по публикациям ещё год назад для переноса домена к другому регистратору REG.RU просил прислать копию паспорта и скан заявления, написанного от руки.
Сейчас видимо упростили.

До сих пор не упростили. Могу подтвердить — требуются паспорт, прочие документы. Чуть ли не личная явка в офис.
Вероятно, люди путают техническую передачу домена (когда управление записями и делегирование меняются на другой аккаунт) и передачу владения (когда полностью домен перерегистрируются на другое лицо — физ или юр). Мы так влетели случайно, когда оказалось, что домен остался на предыдущем владельце и ничего не сделать — только подождать, пока истечет срок регистрации и зарегать его заново.

У них разные политики передачи в разных зонах.
Насколько я помню — для передачи домена .net и .com достаточно электронного письма с адреса администратора домена и использования токена передачи в другом лк
В рег.ру нельзя передать домен без явки в офис и написания заявления в бумаге. Можно только передать управление другому администратору.

Можно. Есть возможность сделать при помощи соглашения о поручении. А также при помощи заявления, подписанного ЭЦП (см. случаи по оформлении ЭЦП на любого человека)

Нет, нельзя. В REG.RU можно легко передать домен на другой аккаунт в пределах одного регистратора. Но вот для получение EPP кода необходимо заполнить заявку и приложить паспорт. Он будет сверен с WHOIS. ТС'у крайне рекомендую как можно быстрее написать в свободной форме заявление на передачу домена и приложить скан паспорта (лучше свежий, сделанный рядом с бумажкой и надписью) на свой аккаунт, отсканить и отправить в поддержку reg.ru. Скорее всего, его вернут на аккаунт. Сейчас на домене, как я вижу, стоит статус для блокировки передачу другому регистратору. Можно застраховаться от этого в будущем: через поддержку регистратора нужно установить clientUpdateProhibited, clientDeleteProhibited, clientTransferProhibited статусы. Тогда никакие данные изменить будет нельзя без снятия статусов. Но эти галки плохо совместимы с услугой WHOIS privacy

Там ниже уже представитель орифлейм рег.ру объявился и отписался со своего люто заминусованного аккаунта.
Судя по комментам(и состоянию кармы), дичь уже не в первый раз творится.
Судя по комментам(и состоянию кармы), дичь уже не в первый раз творится.

Это из-за вот этой истории, за которой последовало ещё несколько статей, в которых рег.ру выглядел очень бледно, а его представитель в комментариях отписывался штампованным канцеляритом. Увлекательнейшее чтиво, я вам доложу.
Увлекательнейшее чтиво, я вам доложу.
Типичный результат ситуации, когда человека для PR выделили, но «на всякий случай» прислали талмуд страниц на 500, краткое содержание которого «только ни в коем случае никому ничего не обещай».
Типа «украли телефон с симкой». Вот ксерокопия паспорта и глаза погрустнее. Или распечатываем «права» на цветном принтере и ламинируем. Некоторые дураки-манагеры не знают, что права паспорт не заменяют
Пока ещё регистратора не сменили. Как я понял после общения с ТП, он в рег ру, но в другом аккаунте. По телефону они ничего сделать не смогли. Создал тикет, который был адресован в юридическую службу и которая начинает работу с 9 утра =(
НЛО прилетело и опубликовало эту надпись здесь
Да, это уже всё делаю, почту верну, телефон тоже, а вот домен, под вопросом -(
Про банки не забудьте.
А после восстановления симки проверьте не установлены ли редиректы или смс-про и прочие услуги, тут тоже могут быть сюрпризы.
Однажды по после покупки нового телефона мне потребовалась замена SIM-карты. У меня была старая размера microSIM, а телефону требовалась nanoSIM. В ближайшем офисе своего оператора я поменял карту за 5 минут, но в тот же день столкнулся с тем, что не могу войти в Сбербанк Бизнес.Онлайн. Приходило какое-то невнятное SMS с их номера 900. Я позвонил на горячую линию, и там мне объяснили, что банк привязывается не к номеру телефона, а к уникальному номеру симки. Я симку сменил, номера телефона прежний, а уник. номер изменился. У меня там два счёта. Для ИПшного пришлось ножками топать в банк и писать там письменное заявление, а со счётом ООО чуть попроще было. У нас там две учётных записи и через вторую мы подали в личном кабинете электронное заявление. В течение дня всё заработало. Но защита меня порадовала!
А что за уникальный номер симки? Я если честно, не разбираюсь в этом. Это не тот ли PUK-код? Или там отдельный номер зашит наподобие IMEI в телефоне?
Последний вариант. IMSI называется в их терминах. Есть ещё зашитый секретный код KI, который из современных симок не достать. Но из старых можно было, что позволяло склонировать симку. Или записать коды в память телефона с особой программной модификацией, что позволяло переключаться между симками просто из меню.
KI и в старых симках не доставался, он подбирался при «включении» симки. Ограничений на количество включений практически не было — сейчас (ну как сейчас, уж лет 10 как точно) все нормальные симки имеют сильно ограниченный цикл включений, потому подбор KI на них неэффективен. А после окончания циклов симка окирпичивается.
Ограничение было, но старая технология защиты симки позволяла подобрать код за приемлемое количество «включений». В «новой» версии уже подбор бесполезен, но не изза ограничения кол-ва включений, повторюсь.
Забыл точную аббревиатуру, но это длинный такой номер. Уникальный для каждой SIM. Сбер как-то определяет его и если вдруг авторизуешься с новой SIM, но со старым номером, то тупо не шлёт тебе SMS-пароль. А вместо этого какие-то длинное сообщение, что мол, возможно, Ваш номер взломали и надо обратиться в колл-центр. Но это только для бизнес-аккаунтов вроде. Личный у меня по моему работал, хотя два года назад было, могу и путать.
MSIN — (Mobile Subscriber Identification Number) индивидуальный номер мобильного абонента. Является составной частью IMSI

Это внутренний 10-значный (9-значный для Северной Америки) номер карточки абонента (в GSM — SIM-карточки). Является составной частью 15-значного номера IMSI. Первые 5 (6 для Северной Америки) знаков IMSI одинаковы для одной сети и одной страны.

Номер SIM-карточки известен только ей и коммутатору сотовой сети. В коммутаторе каждой карточке присваивается от одного до 10 номеров абонента (зависит только от ПО коммутатора), который и выдаётся абоненту. При утере или замене SIM-карточки, теряется только MSIN, но не федеральный номер абонента, который хранится в коммутаторе (HLR), а не в SIM-карте.

Таким образом в мобильном телефоне хранятся IMEI и MSIN. В закодированном виде они передаются коммутатору, когда абонент (A) совершает вызов. Другому абоненту (B) коммутатор отображает один из федеральных номеров установленный как основной. При получении вызова от абонента (B), коммутатор принимает звонок для любого из 10 федеральных номеров, записанных для абонента A в коммутаторе. При этом поиск абонента А в сети осуществляется по MSIN, приписанному этим номерам.
А откуда Сбер этот номер узнаёт? Через приложение своё что ли? А если телефон-звонилка?
У сотовиков есть специальное типа API для банков, оттуда и узнаёт.
По телефонному номеру, который клиент банку сам сообщает. Звонилка, не звонилка, это не важно.
На смартфоне с доступом к телефонному функционалу наверное можно и прямо из приложения IMSI достать.
API не только для банков.
Похоже что как минимум формально — для любых сервисов рассылок. Проверка — идем на smsc.ru/testhlr и вводим свой номер (и капчу). Получите IMSI (если конечно оператор не маскирует его — некоторые точно маскируют — delo.ua/business/kievstar-rasskazal-kak-zaschischal-svoi-seti-ot-atak-240181 ).
Сейчас банки заключают с операторами договора на предоставление этих данных по тем тарифам, на которые договорятся. В будущем планируется создание некой единой информационной системы учета всех симок, в которую операторы обязаны будут сливать все данные и доступ к которой будет предоставлен «банкам, кредитным организациям и прочим организациям» по тарифам, утвержденным правительством.

Почитать можно тут: www.rbc.ru/technology_and_media/17/09/2019/5d78e4c79a7947b0d7c514ba

Это сервис для рассыльщиков смсок, перед (или после?.. хз, не помню) отправкой смс-ки рассыльщик может узнать текущую (+возможно хистори последних) симку в сети. Точнее хз, где-то на хабре вроде статья про это была… пару-тройку лет назад..

IMSI отдается через SS7, то есть потенциально доступен любому оператору с которым есть связность.
Даже данные VLR отдаются. Сервисы "узнай местоположение любого абонента" работали притворяясь каким-нибудь сотовым оператором из Центральной Америки. За это их конечно бьют и отключают.
Это все нужно для того чтобы роуминг, в частности, правильно работал.
Кто лучше знает, поправьте плиз, я в телекомах не работал.

Почти всегда это не сработает ибо TMSI, который будет отдан на запрос информации о местоположении абонента, ничего общего с реальным IMSI иметь не будет. Ну кроме кодов страны и оператора. Да и номер VLR скорее всего тоже будет фейковым и указывать будет на какой-нибудь SS7 файрволл.
НЛО прилетело и опубликовало эту надпись здесь
IMSI, цифровой код сим карты, начинается с кода оператора и подобной служебной информации. Я думаю сбер такое научился делать, когда стали сами MVNO и получили доступ до сетей сигнализации.
спасибо большое!
Российское отделение Ситибанка делало отслеживание смены IMSI довольно давно, более 10 лет назад, в те времена даже слова такого MVNO не знали.
Райф тоже так делает, причём давно.
Альфа тоже. Это уже пару лет как стандарт для всех вменяемых банков.

Ну не спорю. Возможно есть интеграции с каким нибудь оператором, тот денежки берет за это.

Именно так. И именно за денежки. Банк не сдает конкретный IMSI, но он знает факт, что он сменился.
У меня сбер заблокировался так еще в 2013 году, задолго до того, как они стали MVNO. Но для физика все решается звонком на горячую линию. Спросили секретное слово, данные паспорта, последние 4 цифры каждой карты и когда совершалась последняя операция по любой из карт.
На самом деле доступ к сетям сигнализации сбер имеет с тех времен, как создал свой СМС-банкинг. Просто начал использовать эту информацию с 2012-2013 года.
Вот чего вы человека минусите за то, что он вопрос задал? Прям бесить это стало, новая дебильная мода хабра. 100 комментариев о какой-то херне все с удовольствием плюсуют, а как коммент с вопросом – так всё, ливай дурака, неча ему среди местных интеллектуалов делать.
НЛО прилетело и опубликовало эту надпись здесь
новая дебильная мода хабра

2 минуса и 9 плюсов

Безусловно, именно эти два человека — лицо хабра.
На момент написания коммента было только 2 минуса.
Это не инет. У Хабра такая проблема с дублями уже годы существует.
Еще чаще многие комментарии, особенно новичковские, даже не пропускают через модерацию, хотя оный не является ни оскорбительным, ни агрессивным или подобным, а обычным сообщением, которым хотел поделиться юзер.
НЛО прилетело и опубликовало эту надпись здесь

То же самое было, но только с Альфа Банком. Хорошая защита.

Не всегда оно работает сразу.
Я симку менял перед самым новым годом, а альфа вопль по этому поводу издала аж в апреле.
Оно работает в онлайне, просто сравнение записей IMSI в БД банка с текущим реальным IMSI выполняется при совершении критичных операций с т.з. банка.
Это сделано потому, что один запрос актуального IMSI стоит банкам 50+ копеек. Конечно звучит смешно, но если эту цифру помножить на количество транзакций, то получится вполне внушительная сумма.
Альфа-банк мне прислал уведомление о замене SIM-карты и заблокировал личный кабинет спустя несколько месяцев (точно уже не помню) после фактического перевыпуска SIM. Вот такая вот хорошая защита…
У меня было прикольнее. Никаких предупреждений и уведомлений — просто блок в самый неподходящий момент, уже выезжал из города и надо было перевести денег за бронь жилья.
Год или два назад по той же причине(новый смартфон, нано-сим) менял билайновскую симку. В офисе оператора сразу предупредили что после замены на сутки блокируется приём СМС от банков(насчёт MFA на почтах не помню). Через сутки спокойно мог войти в ЛК своих банков(Сбер, ВТБ24), без походов в отделение.

Скажите, давно вы меняли симку? Возможно это какое-то нововвдение?

P.S. Правда симка у меня не личная, оформлена на работодателя.
Симки я менял в прошлом году. Одна была личная (Билайн), вторая корпоративная (Теле2). К обоим привязан был личный кабинет в Сбере. Как я писал выше, доступ в кабинет был заблокирован до подачи соответствующего заявления.
Но повторюсь, это касается наверное только Бизнес.Онлайна. Не припомню, чтобы для личной кабинета что-то поменялось. Но защита реально хорошая. Вот реально проще до офиса Сбера доехать, чем потом в полиции по кабинетам бегать :-)
Понятно. Буду иметь это ввиду, на случай замены симок бухгалтерии :).
У Сбера для частных клиентов такая же практика. Только, к сожалению, о блокировке в офисе Билайна не предупредили
Это очень хорошо! А то сейчас много чего к номеру телефона привязывается!
Я недавно менял симку на Билайне и на сутки мне на перевыпущенной симке тормознули все смс, от банков и даже Почты России. Аналогично работает и у Мегафона, странно если у МТС это не так.
У МТС так же. Пару месяцев назад менял симку…
Может это только при замене «живой» симки? Я в прошлом году утерянную менял, причём она была мне нужна, чтобы что-то срочно оплатить, так вся процедура «заменить-симку/убедиться-что-Райф-её-не-принимает/позвонить-в-Райф/сделать-перевод» заняла меньше часа…
Менял симку теле-2, меньше года назад, ничего не тормознулось почему-то
Аналогично. Но, что интересно, когда перенес номер к другом оператору, всем ИБ было пофиг.
У меня прямо с вами как-будто разные cбербанки. В том, который в моём варианте вселенной «SMS с их номера 900» чудесно приходили через 10 минут после «переезда» номера от зелёнофиолетового опсоса к чёрному. Вероятно, как вы догадываетесь, SIM карта при этом тоже некоторым образом менялась.
Уралсиб тоже послал после замены симки. В офис. СМП зато даже не дёрнулся
Если домен переведен на другой аккаунт внутри регистратора, а не на другого регистратора и регистратор не мудак, то он вернет вам его.

Я один раз сталкивался с подобной ситуацией, но у Network Solutions. Там правда уже шел исходящий трансфер другому регистратору, но они приостановили его. Правда захотели документы, а любые российские документы их не устроили. В итоге домен оказался в подвешенном состоянии: они его продлевают, висит он у них, но пользоваться им нельзя.
Если домен переведен на другой аккаунт внутри регистратора, а не на другого регистратора и регистратор не мудак

Вот как раз последнее обстоятельство вызывает сомнения…
Поэтому лучше пользоваться чем-то типа Evonames, там можно для критических действий типа трансфера задать второй пароль (пин), это спасает от таких ситуаций.

Спасибо за инфу, ценно

>>запретом на перевыпуск

Что это за услуга и как её потребовать в салоне?
>>запретом на перевыпуск
Что это за услуга и как её потребовать в салоне?

А самое главное что делать, если симка реально сломается и ее потребуется перевыпускать?
Запретом на перевыпуск без личного присутствия.
Если ломается — идете с паспортом в салон и меняете.
НЛО прилетело и опубликовало эту надпись здесь
И как это вас спасет-то от целенаправленной атаки на вас?

Ну как-то спасает вроде. Паспорт печатать — гораздо более сложное и дорогостоящее занятие, чем прийти с липовой доверенностью и ксерокопией липового же паспорта. Большая часть мошенников уже на этом этапе отвалится.
Паспорт печатать — гораздо более сложное и дорогостоящее занятие
Только вот паспорт-то не обязательно, есть куда менее защищенные варианты которые принимаются. Куда менее — воспроизводятся на обычном принтере, ну и печать надо изготовить обычную.
Буквально неделю назад менял регистратора в Ru-center. Домен давно-давно был зарегистрирован на меня как физ. лицо. Я сейчас переносил его на ООО. Так как в нашем городе представительства Ru-center нет, то пришлось распечатывать заявление, заверять его у НОТАРИУСА и отправлять заказным письмо в Москву! После этого в лично кабинете появилась возможность смены регистратора. Переносил домены из зон .ru, net.ru, ru.net и .cloud.
Строго говоря в статье про смену регистратора нет.
Речь о переносе домена на другой аккаунт у того же регистратора.
В Godaddy (один из крупнейших регистраторов) при наличии доступа к почте можно сделать исходящий трансфер за 20-25 минут. То есть через полчаса домен уже будет у другого регистратора и тогда все.
Подключил у них двухфакторку через Google Authenticator и даже при доступе к почте увести домен будет не так просто.
Они может и крупнейшие, но в моей епсилон-окрестности от них все кто мог — все сбежали…
Я, честно говоря, специально не интересовался, как-то было не до того…
Но вот вал именно сбеганий «от» — запомнился, потому что он прямо как-то волной шел…
Ахах, ну понятно, тоже слышал про эту волну, у самого с десяток активных продлеваемых каждый год доменов, но тоже «как-то было не до того») Наверное чтобы было «до того» — нужно иметь что терять…
вот тоже вопрос. EPP-коды то как получали и вообще как прошел трансфер ТАК быстро. У меня он несколько дней занимал всегда (правда — между регистраторами).
Можно обратиться в вышестоящую инстанцию и они сменят в обход рег.ру
В рег.ру еще и не такое можно :(

Имели печальный (но не настолько!) опыт взаимодействия.
Было похожее с РегРу, в поддержке сказали, что не вернем домен, так как он перенесен. Пришлось уговаривать похитителя вернуть его.
И как успехи?
Сайт был намного меньше по масштабам вашего, потому в результате «переговоров», удалось добиться переноса обратно.
Меня больше интересует сами переговоры. Вот злоумышленник угнал домен с определенной целью (наверное рекламы навешать и бабло грести), и вы ему пишите мол так и так, у REG.RU вернуть домен не удалось, перенесите нам его обратно, а он такой «нет!», а вы такие «ну пожалуйста», он подумал, и говорит «ладно, забирайте, не очень он мне и нужен был!»? Странный какой-то угонщик, я вам скажу)
Может это были агрессивные переговоры.
Это все в реале такие сильные сильные и накачанные, а в интернетах в основном нет никаких факторов для запугивания (кроме деанона и последующих угроз, но для этого нужны ресурсы, часто административные).
НЛО прилетело и опубликовало эту надпись здесь
Это имеет смысл, но заявлено, что переговоры были агрессивными, а деньги агрессивно не предлагают. Смутно себе представляю картину, мол, тысяча баксов, бери мразь или хуже будет! Ну че слился, давай карту, мразь! Карту давай, а-то взломаем кабинет и на счет насильно переведем! :D Кстати вспомнилось что-то, у Дурова примерно в таком ключе Мыло пыталось ВК выкупить, разумеется без агрессии, все чинно-благородно, но так и писали, мол, столько-то лямов, а он им «да не нужны мне деньги, я сам больше зарабатываю, я хочу контроль над сетью сохранить»… Реально по пятам ходили и бабло предлагали)))
Вот поэтому я не привязываю номер телефона к критичной почте, на которую многое завязано. Это ненадёжный резервный способ, которым может воспользоваться злоумышленник. По сути, ваш аккаунт при таком раскладе защищает лишь бдительность сотрудников сотового оператора — поведутся они на мошенника с липовой доверенностью и подвешенным языком или нет.

Передаю отдельный привет почтовому сервису mail.ru, сотрудники которого, если к ящику не привязан телефон (но привязан TOTP-аутентификатор), готовы отдать доступ любому, кто знает «пароль, использовавшийся при регистрации ящика».
> почтовому сервису mail.ru
Весело. Их пароли в интернетах встречались, как раз тех времен, когда пароли были «использовавшиеся при регистрации».
Ну вот я тоже офигел. У меня была ситуация:
— телефон не привязан
— привязана 2FA, я могу генерировать валидные коды
— я могу назвать содержимое своего майлрушного облака (потому что у меня эти файлы, лежат на десктопе)
— я могу назвать имена папок, которые созданы в почте (а там довольно специфичные имена)

Т.е., вроде бы, вполне нормальные такие доказательства, что я владелец аккаунта.

И в этой ситуации из-за моих частых входов через VPN из разных уголков мира мне заботливая система безопасности mail.ru сбрасывает пароль. И единственным вариантом (поскольку телефон для приёма SMS не привязан) было «вспомните пароль, с которым вы регистрировали почту».
Amazon тоже так любит делать. Но он умеет посылать одноразовый пароль на почту. А mail.ru так не умеет? Послать пароль на вторую, «запасную» почту?

Мою почту сегодня тоже взломали. Вспомнив ответ на контрольный вопрос которого и я то не помню потому что вводил там набор цифр и букв как раз для того чтобы таким образом не взломали. Похоже это был массовый взлом.


Почту взломали с IP: 146.120.110.13

yandexsupport что скажете? В один день двумя способами взломали.


И раскажите пожалуйста как действует кнопка "это не я" в логах действий на которой я азбуку морзе отбивал и не видел ответа как она должна повлиять на взломщика и вообще сработвла ли.

Очень странно что reg.ru так быстро домен передал другому регистратору. Раньше требовался договор и письмо на бумаге… Я правда давно с ними не общался, последний раз лет 7 назад. Может и поменялись условия.
У автора домен не ru, для них работает простая передача домена без бумажных документов.
НЛО прилетело и опубликовало эту надпись здесь
ясно, спасибо за пояснение!
Как писал выше, недавно в ru-center переносил домен в зоне .cloud. Без письменного заявления это сделать невозможно. Зря рег.ру такие вольности позволяют.
Сейчас на сколько я знаю без номера телефона почту не зарегестрировать. Или это не равно привязке?

Смотря где. rambler.ru, cock.li, meta.ua — номер не требуют. Плюс ничто не мешает свой почтовый сервер поднять.

Свой, это если много времени свободного. Я где то пол года держал свой, но стабильность страдала.
Зарегистрировать, но через несколько дней её блокируют «В связи с подозрением на взлом», даже если там был 40 значный надёжный пароль.
если к ящику не привязан телефон (но привязан TOTP-аутентификатор),

Как это у вас получилось? Сейчас ни мейлру, ни яндекс не дают привязать OTP без привязки телефона.
Уже не первый раз замечаю, что при угоне номера телефона фигурирует один и тот же оператор связи — МТС. Это совпадение? Или это какое-то когнитивное искажение? В любом случае брать номер у этого оператора на всякий случай не буду
Зря обольщаетесь. Недавно закрывал номер в одной полосатой компании, так там в компьютере левые данные были вбиты совпадала только фамилия (видимо кто то поленился, а потом что попало вбил), так мальчик в салоне просто все исправил на мои и закрыл номер. Т.е. тупо совпала фио, он даже проверять не стал звонком на эту сим что она моя.

Учитывая их (ребят из салонов связи) права и наивность, создается впечатление, что если я приду в салон связи в их фирменной юниформе и попрошу "перевыпустить, коллеги, карту для клиента", то они это сделают. Вспоминается история, как какую-то картину увели из Лувра прямо на глазах у всех посетителей.

см фильм «Старики-разбойники»
Он про реальное событие, а не про фильм.
Мне так две мои перевыпустили, сказал номера и фамилию, у меня уточнили имя и отчество, я кивнул и сделали.
Тут скорее всего целенаправленная атака и может быть просто сговор. Даже если в салоне есть камера, на ней будет — пришёл абонент, показал паспорт, получил симку. Даже доверенности не надо. Паспорт — любой паспорт, чтобы было видно на видео, что продавец проверил паспорт. А то что человек совсем не тот, это уже второй вопрос.
Доказать причастность продавца практически невозможно. Ну даже если его уволят, то найти аналогичную работу не составит труда.
НЛО прилетело и опубликовало эту надпись здесь
Отсканированный паспорт?

А их кто-то сканирует в сотовых ларьках?
Сам менял симку не так давно, продавец просто посмотрел и отдал.
Тут же дал карточку. Всё заняло меньше минуты.
Это ж не банк.
Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.
Есть вообще точки продаж типа стойки в супермаркете. Там и камер нет, какой уж сканер.

Любой смартфон сейчас — уже сканер. Есть и специальные приложения для этого. Сделать фото паспорта и видео человека, кто его предьявлет специальным смартфоном (без рута) со специальной программой — вопрос пары секунд. Зато подделать довольно сложно. А ведь можно еще и сравнить с фото с паспорта, сохраненным в базе, чтобы подельный паспорт с левой фоткой тоже не прокатывал.

Более того на другой стороны программы могут сидеть специальные люди (в одном офисе на всю страну), умеющие виртуозно определять подделки и двойников. Если сравнение видео, фото паспорта и фото сделанное при регистрации у них вызовет вопросы — они могут задержать процедуру переоформления или попросить дополнительные проверки.

А их кто-то сканирует в сотовых ларьках?

А это уже вопрос насколько поставленна безопасность в сотовой компании. По идее за такое должны сотовую компанию штрафовать или пользователи, потерявшие деньги, должны идти в суд/общество потребителей. После десятка судов — компания быстро изменит правила.
Лучше бы того фотографию сверяли. Разбрасываться сканами паспорта ещё и по ларькам как-то уже перебор. И так их сканируют все кому не лень.
Но фото откуда-то должно взяться. Много абонентов пользуются симками по 10 и больше лет. Тогда просто вопроса такого не стояло. Ручкой анкетку заполняли, и это в лучшем случае.
Ручкой анкетку заполняли, и это в лучшем случае.
У меня в первом паспорте (на который SIM'ка зарегистрирована изначально) буквенная серия. В результате заменить SIM'ку можно только лично посетив офис. Ибо все электронные системы тупо не принимают такую серию… а почему они не могут принять новый паспорт — науке неведомо. Я три раза просил переключить, три раза мне говорили «всё отлично, в следующий раз сработает»… и три раза нифига не срабатывало. Пока забил, так как конкретно сейчас от меня до ближайшего офиса МТС километров… много.
Отсканированный паспорт?

Когда менял паспорт по возрасту, на цветном принтере распечатал, вырезал и вложил в корочки от паспорта.
Конечно, снимать большую сумму в банк я не ходил, но во всех остальных ситуациях открывали корочки, смотрели цветное изображение паспорта, сличали с моей физиономией и возвращали. Этого было вполне достаточно.

Мне как-то понадобилось сменить сим-карту в зеленой сотовой компании. В салоне вообще без вопросов выдали новую симку. Все, говорят, старая не работает. Ваш номер на новой. Ни паспорт, ничего не спросили… Мск.

По-разному бывает. Мне было нужно поменять симкарту, которой пользовался 10 с лишним лет. Симкарту подарили в ларьке при покупке мобильника. Записана оказалась на какого-то случайного человека. Понадобилось поменять на микросим. Не получилось. Несколько раз, в разных ларьках, всегда требовали привести того, на кого записано с паспортом. Пришлось менять номер.

Я когда-то долго искал правильный ответ на этот вопрос и никто не мог толком сказать куда идти.
Потом внезапно симка сдохла и я пошёл в зелёный офис в ближайшем ТЦ. У меня был оригинальный пин-конверт и не было оригинального пластикового холдера — без лишних вопросов поменяли данные в профиле.
Кажется в 2003 году эта регистрация была добровольная и рандомное имя в личном кабинете появилось уже значительно позже

Меня вот в МТС завернули с заменой сим, симка на сестру оформлена с той же фамилией. Видимо еще какой человек за стойкой попадется зависит.
Зависит, но очень быстро они научаются больше «в глазах» читать, чем в документах. Ибо таких SIM'ок (оформленных на сестру, брата, свата, бомжа или вообще на тупой рандом) — миллионы. И выбор: либо терять миллионы абонентов, либо, иногда — единицы… когда номер целенаправленно угонят.

Внимательно проверять документы тупо невыгодно.
Вот очень печально, что у людей за стойкой так много прав. Мне, например, тот же оператор без проблем поменял симку, хотя она оформлена на мать. Я тогда порадовался, что всё получилось сделать одному, а после прочтения подобных статей, как-то не по себе.
Менял симку МТС, т.к. для нового смартфона понадобился новый формат, а старая была только в большом форм-факторе. Так в их офисе кроме собственно номера даже паспорта не спросили. Удивился. Это так любой может прийти, назвать номер, фамилию владельца и получить симку. Мда…

В Москве таким образом из Третьяковки один хрен родом из Крыма вынес в прошлом году картину Куинджи, тоже про Крым. Просто подошёл, снял и вынес. Чухнулись только через несколько часов.
Задержали, посадили, вроде на три года. Чувак сказал, что сделал это по приколу за хайп.

Как раз вчера похититель картины Куинджи из третьяковки уехал на три года. По результатам уволили недобдившую смотрительницу

Просто так там симки никто не перевыпускает, но учитывая оклад в 20к и в основном негативно настроенный контингент посетителей, проверка документов проводится посредственно. Обычно смотрят на совпадение имени-фамилии и серию-номер паспорта, если сменили фамилию, то имени-отчества. Иногда проверяют ранее выданые паспорта. Проверку паспорта на подлинность выполняют лишь когда выдают кредиты. Т.е. при замене симки паспорт даже редко в руки берут. Вполне достаточно более-менее качественной подделки. С другой стороны операторы берут заявление на замену сим, и там должна стоять подпись клиента. Заявление сканится и отправляется на сервер. Т. е. если левая замена, то можно поднять документы-камеры и попробовать доказать, что замена была произведена другим человеком.

А толку? к тому моменту, когда будет доказано, что это были не Вы, все Ваши аккаунты будут перерегистрированы и все деньги будут уже уведены… А потом идти в полицию… Ну, мы же все знаем какая это волокита будет.

Не, ну а что, приходят два человека в форме, отдаленно напоминающую форму сотрудников музея (да хоть в полицейской форме с Али, даже еще эффективнее будет, да хоть мальчик-работник на побегушках, какая разница, господи), снимают со стены картину и уносят ее, вы поднимите переполох? Вот и люди решили не мешать сотрудникам музея. Вот когда это стало бы носить массовый характер, тогда конечно бдительные граждане подняли бы тревогу, а так можно и к контролерам в транспорте придраться, мол документы у вас поддельные, а вы народ обворовываете, уже кажись Бентли себе купили!
Перевыпускают что угодно, можете убедиться на соответствующих форумах.

Правда для виртуальных операторов такие услуги встречаются реже и стоят дороже, так что если хотите снизить вероятность перевыпуска, то возьмите сим-карту какого-нибудь виртуального оператора без офисов.
Если злоумышленники перевыпускают симку по поддельной доверенности, то не важно, какой оператор. Всё зависит исключительно от сотрудников офисов, а они не всегда бывают умны. Особенно в регионах.

А спецслужбы чудесно справятся с задачей даже без перевыпуска, они устанавливают переадресацию и получают нужные смс, и вы даже об этом не узнаете.
В мегафоне в августе перевыпустили симку без паспорта и предоставления старой симки.
Только ФИО + номер.
Но первые сутки смс не работает. И на том спасибо.
Многие сервисы, к сожалению, предлагают опцию «sms не приходит, пусть позвонит робот», так что если звонки не заблокированы, то атакующий всё равно угонит аккаунт сразу.
У Яндекса же есть приложение для двухфакторной авторизации. Даже если иметь доступ к телефону привязанному к аккаунту то восстановить доступ получиться только зная пин код задаваемый при включении двухфакторной авторизации или через техподдержку.
Да, есть, как узнал — сразу сделал. Неудобство в полной зависимости от телефона, с другой стороны — уж лучше такая зависимость, чем пожертвовать безопасностью
Я лично использую Яндекс.Ключ для основного аккаунта в Яндекс.Коннект. Он очень важен, т.к. через настраивается вся почта организации. Но при этом каждый день в него не заходишь, поэтому лишняя морока с приложением на телефоне не страшна.

И плюс одно приложение на телефоне персонально для Яндекса. Все TOTP коды (MS, Google) в одном приложеньке, а Яндекс — в своём...

Достаточно установить только Яндекс.Ключ он TOTP для всех других сервисов поддерживает.
Только вот я бы не стал доверять Яндексу TOTP других сервисов.
Это оффлайн приложение.
Которое прекрасно может сконнектится с любым другим приложением яндекса и слить ключи через них.
Мамой клянусь оффлайн!
Заведи себе отдельный смартфон без доступа к интернету и установи туда приложения для аутентификации.
Такое себе решение. Уж лучше аппаратный токен.

Так в этом и смысл двухфакторности: человек должен пройти обе проверки.
А нынешняя ситуация — это, наоборот, полуфакторность: достаточно пройти любую из проверок, чтобы получить доступ.

Вы пробовали восстановить доступ когда забыли пин код? Я пробовал — восстанавливается через смску. Так что это не панацея.

Если для доступа к ящику достаточно номера телефона, это не двухфакторная, а старая добрая однофакторная аутентификация, причём единственный фактор не под вашим контролем.


ОПа жалко, но пусть его пример напомнит ещё раз:


  • Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)
  • Не привязывайте номер телефона никуда, где он опционален
  • Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»
Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)

Просто изначально это сервисы не для бизнеса. Для обычного пользователя это ОК, т.к. геммора с забытыми паролями/контрольными вопросами больше нет. Почему бизнес подумал, что они им подходят — абсолютно не понятно.
Почему бизнес подумал, что они им подходят — абсолютно не понятно.

Потому что бизнес хочет быть там же, где обычные люди, и говорить с ними на их языке.


Кто-то предоставляет специальные учётки для бизнеса (Facebook Messenger, iMessage), но, обычно, приходится регистрировать учётку на обычный телефон и всем его рекламировать

Для обычного пользователя это тоже не ОК, обычному пользователю не нравится, когда его держат за маразматика, который не в состоянии запомнить десяток символов пароля, обычному пользователю не нравится, когда он не может спокойно залогиниться с произвольного устройства и связаться с контактами, когда телефон не доступен (сел/утерян/роуминг не работает). Но почему-то такая схема вытеснила привычный логин по имени и паролю, даже телеграм, который рекламировался как «нормальный мессенджер, не чета вацапу и вайберу», последовал этому паттерну.
Более того, раньше Телеграм регался и работал по вводу пароля, без привязки номера.
Но потом они эту возможность убрали.

Вы что-то путаете. Всегда номер телефона требовался, даже в 2013

привет, Телеграм

Ну справедливости ради в нём всё-таки сделали второй фактор в виде старого доброго пароля (что, впрочем, факта привязки номера телефона не отменяет)

Этот пароль не сильно помогает — его можно сбросить по номеру телефона, с частичной потерей данных

Ну не знаю, ткнул что забыл пароль — отправили код на почту.


Правда, почта на mail.ru с привязанным номером телефона :D

Опционально

Помогает. В том и дело, что Вы должны решить — либо данные настолько ценны, что Вы готовы их потерять в случае утери ключей доступа, либо наоборот.
Меня лично кейс телеграма устраивает, т.к. я понимаю, что я могу купив новую симку получить ЧЕЙ-ТО номер и кто-то может получить один из моих бывших номеров. И я бы не хотел ни получать доступ к своей переписке, ни видеть чужую. Другой вопрос, что, да, люди, с которыми я контактировал могут удивиться, что под той же телеграм-учеткой другой человек, но это уже решаемый вопрос и в интернете никогда наверняка не знаешь, кто на другом конце.

Вот за этот идиотизм я и крайне нелюблю эти модные чатилки. Не, ну реально, понадобилось мне по какой-то причине (переехал в другой город/страну/планету, просто решил сменить оператора… раньше-то перенести было нельзя) сменить номер… И что? Где мой аккаунт?! Почему мне надо специально нотифицировать свои контакты о смене аккаунта?!

Телеграм позволяет привязаться к юзернейму, а потом можете номер менять. Это сложно? Нет. Требует доп. действий? Да. Но так же и с любым сервисом, который требует привзяки к номеру — не пользуетесь номером уже — возьмите и поменяйте.

Причем там действий на 5 минут, я когда сдал рабочую симку уезжая из России перепривязал номер к новой личной (рабочий номер не захотел сохранять)

А вы представляете, skype, icq и многие другие позволяли создать акк и везде им логиниться. И не надо ничего переносить. И на одном устройстве — хоть 10 аккаунтов имей (некоторые даже в один и тот же момент позволяли логиниться в несколько акков).


Frankenstine представим на секундочку — потеряли телефон будучи в дргой стране, выхода нет, взяли новый телефон с временной местной симкой — в свой акк вы не войдёте в вайбере никак. В аське/скайпе — легко.

Это такой троллинг или я чего-то не понял? :-)


И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
Замкнутый круг


А ещё — тот же телеграм научился с какого-то момента в мультиаккаунт ( в оф. клиенте можно синхронно несколько учёток использовать, а раньше решалось установкой нескольких клиент — например, телеграм + телеграм икс).

И, да, кстати, мелкософт легко может заблочить доступ, если решит, что Вы выходите с подозрительного места. Благо по почте можно подтвердить личность… Но почта тоже привязана к телефону
Замкнутый круг

К счастью, я был активным пользователем скайпа до того, как он поднял 4хцветный флаг. Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу. Ибо, собственно, аська и скайп тоже стали вровень по уровню неудобства с хипстотскими неудобными мессенджерами, насильно привязывающимися к номеру телефона.


Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!

Собственно на текущий момент ни одной адекватной замены тому явлению, которое собой являли аська и скайп 2005го года я не вижу

jabber?

Tox?

К сожалению все попытки перейти на него ещё до 10го года провалились. Снова пытаться желания не возникает.


ivan386 наверное стоит посмотреть… проблема в том, что аська и скайп — это реально "явления" — массовые, удобные. А кто токсом пользуется?

До 10 года многие сидели на винде, открытость исходников и вопросы информационной безопасности были не так популярны. На мой взгляд, сейчас уж точно более хорошее время для повторения попытки, чем до 10 года.
До 10 года многие сидели на винде

Я вас удивлю, но псле 10-го тоже.

Ну был у меня в параллель поставлен линукс. Но низкая популярность и глюки ломали возможность нормально им пользоваться… лучший опыт с протоколом был на каком-то ру-почтовом домене, до того как они перекрыли общение с другими серверами. В общем с моей стороны для новых проб по-сути ничего не поменялось, а надежды на протокол и клиенты маловато...

По сравнению с описанной ситуацией изменилось как минимум то, что (в последнее время?) с обменом между разными серверами особых проблем нет, по моим ощущениям.

Те кому не нужна привязка к почте или телефону. Ну и отсутствие центральной точки отказа.

В одну и ту же реку нельзя войти дважды…

Да, кстати, в те же времена можно было завести мессенджер вообще не имея телефона!
Тогда и в интеренет ходили не с мобильника (как сегодня в основном происходит) и людей, у которых был PC, но не было смартфона было достаточно.

Мир был другим — и мессенджеры были другими. Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал, что им можно пренебречь — отсюда и всё остальное…

А сегодня — мир поменялся. Разумеется вы не сможете найти замену явлению… потому что её и нет.
Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал

Думаю, вы ошибаетесь. Среди сторонников СПО многие используют только телефоны типа «звонилка».
Среди сторонников СПО многие используют только телефоны типа «звонилка».
Вы имеете в виду Столлмана? Вы абсолютно правы, среди фанатов free software таких действительно много.

Сегодня процент людей, имеющих PC, но не имеющих смартфона столь мал
Думаю, вы ошибаетесь
В каком месте? Все вместе взятые сторонники free software — это столь ничтожный процент населения, что он неспособен ощутимо подвинуть статистику ни в какую сторону.

Вот сторонники OSS (Open Source Software), которые разрабатывают GCC, GLibc и кучу других проектов… дело другое — их много и их интересы учитывают. Но они пользуются смартфонами и Макбуками,
а не ноутами на открытом MIPSе.

Если бы было иначе, то вещи типа Librem 5 продавались бы сколько-нибудь осмысленными тиражами. А на деле — даже поделки от Yandex'а продаются бо́льшими тиражами. Притом, что они могут в принципе кому-то интересны только на территории России, а подобные недотелефоны — вроде как должны распространяться по всему миру.

Только не нужны они никому. Ну, в сколько-нибудь ощутимых объёмах. Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.
Всё по порядку.

Во-первых, Столлман неоднократно заявлял, что вообще не пользуется телефоном, поскольку сотовая сеть позволяет отслеживать местоположение by design, какими бы свободными не были прошивки.

Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software? Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.

Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю. Да, пользователей Librem (который, кстати сильно ругали на хабре, что он не соответствует заявленным свойствам свободы) и MIPS действительно мало (но вероятно, среди разработчиков GCC и glibc их больше, чем в среднем). А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше. И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.

Время «фанатов СПО», увы, прошло. Как ни прискорбно это сознавать.

Это довольно странное утвреждение. По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).
Во-вторых, почему разделяете open source-проекты вроде конкретно GCC и Glibc и free software?
Это не я их разделяю. Из Столлман как раз и разделил. Даже диаграммку нарисовал. И пытался всех убедить, что OSS — это фигня.

Свободность GCC и Glibc признана и Столлманом, и дебианом, и всеми разумными компаниями, поддерживающими free software.
Ну ещё бы! Родились то они как free software. И авторские права на них до сих пор у FSF.

Вот только времена изменились и сегодня это рассматривается как «проблема, с которой можно пока мириться», а не как преимущество — но при этом альтернитивы, до которых не может дотянуться FSF активно разрабатываются (Clang, Musl и другие).

Чем пользуются разработчики GCC (кстати, сам Столлман тоже один из них), я не знаю.
Я вас умоляю. Когда вы видели последний раз patch от него в GCC? Сейчас разрабочики GCC — это либо работники AMD/ARM/Intel/etc, либо профессора и студенты. Фанатов free software среди них не мало, а очень мало.

А вот людей, использующих linux на x86 и телефон-звонилку, а не mac и смартфон, гораздо больше.
Все люди, использующие Linux — это меньше 3% пользователей. Вы всерьёз думаете, что на них кто-то будет оринетироваться?

Нет, выделить в компании из 100 человек одного-двух на из поддержку — могут. Но что-то менять кардинально ради 3%? Ну это же бред.

И телефонов-звонилок продаётся достаточно в любом телефонном магазине, и среди моих знакомых таких минимум 15-20%.
в мире статистика примерно та же. Вот только есть большие сомнения, что этим 15-20% нужен какой-либо мессенджер вообще. В подавляющем большинстве случаев люди, которые покупают «звонилку» либо не имеют компьютера вообще, либо не пользуются на этом компьютере мессенджером…

По моим ощущениям, как раз наоборот, популярность СПО увеличивается (в частности, после каждого скандала с нарушением информационной безопасности).
Вы опять путаете free software и open source software. Люди, разрабатывавшие free software по идеологическим причинам — в меньшинстве. То, что растёт — это open source software. И никакие скандалы к увеличиени Copyleft'а не приводят.

Да, люди оценили открытые исходники, возможность разрабатывать какое-то «базовое» обеспечение совместо с конкурентами и прочее… но это всё прагматики… а вот фанатики, готовые отказаться от смартфона ради какой-то там свободы… исчезают.
Столлман как раз и разделил.

Я не зря написал «вроде конкретно GCC и Glibc». Эти проекты с точки зрения rms свободные и развиваются. Мы не можем проверить, что в головах у их авторов, но достаточно логично предположить, что идею free software они скорее поддерживают, иначе им стоило бы развивать clang или что-то ещё менее свободное.

сегодня это рассматривается как «проблема, с которой можно пока мириться»

Кем рассматривается?

Фанатов free software среди них не мало, а очень мало.

А зачем они тогда туда коммитят (профессора и студенты — вероятно, не за зарплату)?

Вы всерьёз думаете, что на них кто-то будет оринетироваться?

Авторы программ ориентируются, почему бы авторам мессенджеров не ориентироваться тоже?

Вот только есть большие сомнения, что этим 15-20% нужен какой-либо мессенджер вообще.

С чего бы (среди тех, кто компьютером всё же пользуется)? Обо всём мире не знаю, а мои знакомые используют jabber, telegram с компьютера и да, немного tox.

И никакие скандалы к увеличиени Copyleft'а не приводят.

Во-первых, лицензии, перечисленные там (как минимум те, у которых большинство) являются free software, а не только open source.

Во-вторых, как они там считали статистику? Одно дело — считать количество программ под данной лицензией и другое дело — считать пользователей этих программ. Из-за скандалов растёт именно последнее, главным образом в виде роста числа пользователей linux, многие компоненты которого и free, и open source (есть закрытые драйверы, которые ни free, ни open source, а компонентов linux, которые open source, но не free, я как-то не очень много знаю).

фанатики, готовые отказаться от смартфона ради какой-то там свободы… исчезают.

Ещё раз, откуда взялся этот вывод? Мы вполне наблюдаем таких людей на практике, и статистика продаж звонилок ей соответствует (ещё раз — это намного меньший уровень фанатизма, чем mips и purism).
Мы не можем проверить, что в головах у их авторов, но достаточно логично предположить, что идею free software они скорее поддерживают, иначе им стоило бы развивать clang или что-то ещё менее свободное.
Нет, не логично. GCC появился гораздо раньше и долгое время был единственным приличным бесплатным компилятором. Тот факт, что внутри самого сообщества регулярно происходят срачи типа такого когда разработчики хотят отказаться от джихада, но Столлман накладывает вето — куда более наглядно показывает кто чего хочет.

Да, когда-то GCC и GLibc были рождены как Free Software — GCC создал Столлман лично, GLibc был создан для FSF Roland McGrath'ом, когда тот был подростком. Но Roland больше не участвует в разработке, как и Столлман (если не считать участием дикий срач, который он устроил, когда кто-то наступил на ему любимую мозоль удалил его шутку).

А разработкой сейчас занимаются сотрудники Google, IBM и других подобных компаний.

Кем рассматривается?
Разработчиками. Это не так часто вырывается наружу, но это давняя история. Или вы про вот это вот ничего не слышали (пролистайте вниз до места, где Drepper описывает историю с разработкой GLibc).

А зачем они тогда туда коммитят (профессора и студенты — вероятно, не за зарплату)?
Потому что они продают продукты, основанные на GCC и GlibC, очевидно. Профессора и студенты гранты отрабатывают, а комитят в GCC, а не в Clang — потому что это очень консервативная среда… но это временно.

Переход на другой компилятор и другую библиотеку требует много времени и сил, так что какое-то время всё так и будет продолждаться.

Авторы программ ориентируются, почему бы авторам мессенджеров не ориентироваться тоже?
Это какие-такие «авторы программ ориентируются»?

Какие известные программы вы можете назвать, которые бы ориентировались на Linux больше, чем на Windows, MacOS/iOS или Android?

Из-за скандалов растёт именно последнее, главным образом в виде роста числа пользователей linux
Хде они? Эти загадочные пользователи Linux? Прячутся в подвалах?

Пользователей Linux как было 20 лет назад 1.5%-2%, так и осталось.

Да, среди разработчиков их больше (что, кстати, объясняет почему программы для разработчиков достаточно часто поддерживают Linux) — но ситуация стабильна ужа не протяжении пары десятков лет. Никакого роста нигде не наблюдается… извините.

Мы вполне наблюдаем таких людей на практике
Сколько?

и статистика продаж звонилок ей соответствует (ещё раз — это намного меньший уровень фанатизма, чем mips и purism).
Вот только нет никакого фанатизма. Даже такого. Статистику я приводил: подавляющее большинство «звонилок» продаётся в Афорике и Индии.

И не потому что их покупают людители Tox'а. А потому что их покупают люди, у которых нет денег на покупку смартфона или PC…
Нет, не логично. GCC появился гораздо раньше и долгое время был единственным приличным бесплатным компилятором.

Это объясняет его использование, но не его разработку.

Тот факт, что внутри самого сообщества регулярно происходят срачи

По ссылкам — куча срачей о том, какая лицензия лучше, но никто вроде не утверждает, что лицензия должна быть open source, но не свободной (не fsf-свободной).

Или вы про вот это вот ничего не слышали

Тоже ругань про стиль руководства Столлмана и про конкретные лицензии, но никто не предлагает сделать glibc несвободным.

Профессора и студенты гранты отрабатывают

Вы хотите сказать, что профессорам и студентам (а не работникам компаний) платят зарплату/стипендию за разработку gcc?

Какие известные программы вы можете назвать, которые бы ориентировались на Linux больше

Тупой пример — kde и gnome (и все их составляющие). Не тупой пример — внезапно, qemu (что имеет прямое отношение к информационной безопасности). Прямо сейчас не проверял, но когда проверял, windows-версия работала намного хуже linux-версии.

Пользователей Linux как было 20 лет назад 1.5%-2%, так и осталось.

Я не знаю, как считают авторы статистики по вашей ссылке, но вполне возможно, что именно «прячутся», то есть отключают системы трекинга, из-за чего их не считают. Один из косвенных признаков увеличения числа linux-юзеров — всё больше игр выходит вместе с linux-версией (хотя и несвободной).

Сколько?

подавляющее большинство «звонилок» продаётся в Афорике и Индии

В вашей статистике 10-20% даже в странах вроде Голландии и Франции, вряд ли там у кого-то настолько мало денег. Не факт, что они используют именно tox, но статистика не противречит тому, что они используют хоть какой-то мессенджер на ПК, и я не вижу причин, по которым они не пользовались бы мессенджерами.
Нет, не логично. GCC появился гораздо раньше и долгое время был единственным приличным бесплатным компилятором.
Это объясняет его использование, но не его разработку.
Это объясняет и то и другое, извините. Компания Cygnus Solutions была создана для того, чтобы банально зарабатывать деньги на GCC — и она же вложила огромный вклад в его разработку (RedHat, понятно, приняла эстафету, когда Cygnus Solutions купила).

но никто вроде не утверждает, что лицензия должна быть open source, но не свободной (не fsf-свободной).
Зато сам Столлман утверждает, что тот факт, что Линусу наплевать на Тивоизацию — это прям катастрофа.

А ведь это именно то, что делает переход на свободное ПО бессмысленным с точки зрения защиты от Google и Microsoft!

Вы хотите сказать, что профессорам и студентам (а не работникам компаний) платят зарплату/стипендию за разработку gcc?
Зарплату и стипендию — нет. Гранты — да.

Прямо сейчас не проверял, но когда проверял, windows-версия работала намного хуже linux-версии.
QEMU — это Android Emulator. Он отлично работает на Windows и гораздо хуже — на Linux.

Один из косвенных признаков увеличения числа linux-юзеров — всё больше игр выходит вместе с linux-версией (хотя и несвободной).
Это не «увеличение числа linux-юзеров». Это попытки Valve продвинуть Steambox. Результат пока не очень, но деньги туда вливаются хорошие.

Не факт, что они используют именно tox, но статистика не противречит тому, что они используют хоть какой-то мессенджер на ПК, и я не вижу причин, по которым они не пользовались бы мессенджерами.
«Я не вижу причин» — это не статистика, извините. Найдёте статистику — давайте ссылку, иначе что-то обсуждать бессмысленно. Потому что моя мать (и отец, пока был жив) — входили в эту статистику (как туда входят миллионы пожилых людей), а вот мессенджерами они не пользуются. Даже слова такого не знают.
Зарплату и стипендию — нет. Гранты — да.

Из грантов как раз и платят зарплату и стипендию. И в университетах их, как правило, платят за научные исследования, а разработкой free software (минимум в известных мне университетах) люди занимаются вне официальных должностных обязанностей, соответственно, занимаются люди, поддерживающие идею free software.

А ведь это именно то, что делает переход на свободное ПО бессмысленным с точки зрения защиты от Google и Microsoft!

Тиовизация не делает переход на свободное ПО бессмысленным. Тиовизация делает бессмысленным использование тиовизованых устройств бессмысленным. На нетиовизованных устройствах переход остаётся всё так же осмысленным.

QEMU — это Android Emulator.

Это, мягко говоря, не совсем правда. То есть Androind Emulator — это сильно переделанная гуглом версия QEMU. Это примерно как говорить, что андроид — это линукс. Да, за основу был взят линукс, но большинство свойств десктопного линукса он потерял. Оригинальный QEMU, скачиваемый с qemu.org, (когда я проверял) работал под linux куда лучше, чем под windows.

Это попытки Valve продвинуть Steambox.

Последние новости — 2015 год. Зачем же разработчики игр выпускают linux-версии после этого?

это не статистика, извините.

Да, это не статистика. Это только объяснение, почему ваша статистика не подтверждает отсутствие или пренебрежимо малое количество пользователей мессенджеров и не-смартфонов.
Это примерно как говорить, что андроид — это линукс.
С точки зрения пользователей и производителей железа — это действительно так. Сейчас большиснтво SOC'ов разрабатываются пот Android.

А «голый» Linux там заводят (с переменным успехом) уже пост-фактум.

Последние новости — 2015 год.
Серьёзно? А вот это, это, и вот это — это какой год?

Это только объяснение, почему ваша статистика не подтверждает отсутствие или пренебрежимо малое количество пользователей мессенджеров и не-смартфонов.
Это натягивание совы на глобус. Про «скрытые мегатолпы сторонников free software» я слышал и 5 лет назад и 10… и даже когда в школе учился. Однако году идут — а ни во что наблюдаемое эти мегатолпы не материализуются.

Напомню, что разработка OpenMoko началась примерно тогда же, когда и разработка Android… но Android за это время стал «операционной системой #1», а OpenMoko… не будем о грустном. Именно потому что OpenMoko — делал ставку на «скрытые мегатолпы», а Android — их игнорировал. Всегда.

Так что ставка на игнорирование ваших «скрытых мегатолп» — выигрышная. Проверено многократно.
С точки зрения пользователей и производителей железа — это действительно так.

С точки зрения пользователей это совсем не так, потому что очень маленькое количество программ (если они есть вообще) запустится и на андроиде, и на «обычном» линуксе.

Да и с точки зрения производителей железа, драйвера для железа пишутся производителем либо под андроид (то, что внутри SOC), либо под обычный линукс (условно десктопное железо + то, что внутри purism и подобных проектов), но редко и под то, и под другое сразу.

Так же и «стандартное» qemu и android emulator — это разные программы пусть и с пересекающимся кодом, но разрабатываемые разными командами и с разными возможностями для пользователя (ни для одной из них эти возможности не являются подмножеством другой).

Серьёзно? А вот это, это, и вот это — это какой год?

Во-первых, я имел в виду новости по вашей первой ссылке (или, что то же самое, новости, достаточно популярные, чтобы попасть в википедию). Во-вторых, ваши новые ссылки уже не про steambox. Во-третьих, единственное число продаж steambox по всем этим ссылкам — в англ. вики, около миллиона. Даже если грубо предположить, что в мире миллиард компьютеров (подзореваю, что реальное количество намного больше, но примем за грубую оценку, что все жители «золотого миллиарда» могут позволить себе компьютер), и linux на 2% из них, то это все равно 20 млн. По вашей же логике, производителям игр логичнее учитывать интересы 20 млн. пользователей «обычного» linux, чем 1 млн. пользователей steambox.

Однако году идут — а ни во что наблюдаемое эти мегатолпы не материализуются.

Материализуются: в пользователей игр, в пользователей стандартного qemu, в пользователей классических телефонов.

Напомню, что разработка OpenMoko началась примерно тогда же, когда и разработка Android

Ещё раз, openmoko, purism и mips — это уже следующий уровень free-software-фанатизма, таких людей действительно немного (и это если не брать во внимание другие возможные объяснения, о которых я здесь говорить не буду). А вот ставка на такой уровень фанатизма, чтобы покупать пусть не openmoko, но всё же не android — выигрышная, и производители классических телефонов, сделавших её, в ЕС и северной америке свои 10-15% имеют.
С точки зрения пользователей это совсем не так, потому что очень маленькое количество программ (если они есть вообще) запустится и на андроиде, и на «обычном» линуксе.
А обычный Линукс, кроме горстки гиков, никому не интересен. Потому и market share оказывается в районе 1.5-2% уже не первое десятилетие.

Да и с точки зрения производителей железа, драйвера для железа пишутся производителем либо под андроид (то, что внутри SOC), либо под обычный линукс (условно десктопное железо + то, что внутри purism и подобных проектов), но редко и под то, и под другое сразу.
Вот собственно последние ваши десять слов и показывают что вы всё понимаете. Пока не появился Android — драйвера писали под какие-то загадочные дистрибутивы embedded Linux'а (под mainline Linux никогда не писали, не обольщайтесь), после появления Android'а Linux — это как раз Android.

По вашей же логике, производителям игр логичнее учитывать интересы 20 млн. пользователей «обычного» linux, чем 1 млн. пользователей steambox.
Нет. Производителям игр наплевать, по большому счёту, и на 1 миллион пользователей SteamBox и на 20 миллионов пользователей Linux. А вот на Steam — им не наплевать. Ибо для многих из них это — единственная возможность заработать. Потому если Valve скважет, что за версию для Linux вы получите каких-то плюшек — то эту версию будут делать. Не скажет — не будут.

Материализуются: в пользователей игр, в пользователей стандартного qemu, в пользователей классических телефонов.
Вот только их количество — недостаточно для того, чтобы на что-то влиять…

А вот ставка на такой уровень фанатизма, чтобы покупать пусть не openmoko, но всё же не android — выигрышная, и производители классических телефонов, сделавших её, в ЕС и северной америке свои 10-15% имеют.
Вот только это 10-15% продаже не транслируются в 10-15% прибыли. Даже и близко. Компании, сделавшие ставку на эти 10-15% — в основном аутсайдеры мобильного рынка типа Phillips.

Вряд ли это можно назвать «выигрышной ставкой».
market share оказывается в районе 1.5-2% уже не первое десятилетие.

Ещё раз, это очень спорная статистика, поскольку (а) для них хуже работает трекинг и телеметрия, (б) есть косвенные свидетельства, вроде программ, лучше работающих на linux.

после появления Android'а Linux — это как раз Android.

Ещё раз, существует немало PC-железа, в телефон на андроиде не вставляемого в принципе. Драйвера под linux от производителя для него, как правило, есть, их наличие указывается на коробке. Может что-то можно вставить и туда, и туда, но это далеко не всё железо.

Потому если Valve скважет, что за версию для Linux вы получите каких-то плюшек

А Valve это зачем тогда? Кому она эту версию продавать собирается? Минимум 20 миллионам пользователей linux или максимум 1 миллиону пользователей steambox?

Вот только их количество — недостаточно для того, чтобы на что-то влиять…

Они уже влияют на всё, что я перечислил в предыдущем комментарии.

Вряд ли это можно назвать «выигрышной ставкой».

Выигрышная ставка — та, которая в итоге приносит прибыль. Вообще неприбыльные направления компании, как правило, сворачивают. А классические телефоны, приносящие пусть последние проценты прибыли (кстати, непоянтно, как у классических телефонов и у самртфонов с соотношением цена/себестоимость) её всё же приносят и самсунгу, и нокии (уж они-то вряд ли аутсайдеры мобильного рынка).
Причём здесь вообще количество разработчиков под разными лицензиями? Допустим, я пользователь. Я узнал, условно, что microsoft или google в очередной раз слил чью-то переписку в скайпе, и этого человека расстреляли. Что я делаю?

Как вариант, я ставлю linux (и если бы он был open source, но не free, но код видело бы достаточное число людей, чтобы убедиться, что там нет бэкдоров, то вероятно тоже поставил бы), покупаю или достаю из шкафа телефон-звонилку вместо андроида, и начинаю использовать что-то вроде jabber вместо скайпа.

Это не делает меня free-software-фанатиком уровня MIPS и Purism, не приводит меня к определённой позиции в споре GPL vs BSD (я могу даже не узнать о нём) но добавляет в число людей, пользующихся мессенджерами, но не смартфонами.

Я лично знаю людей, для которых это так работает, и я не вижу статистики, противоречащей этому.
Я лично знаю людей, для которых это так работает, и я не вижу статистики, противоречащей этому.
Противоречащей чему? Наличию в природе людей, любящих «писать против ветра»? Есть такие люди. Чего нет — так это массового перехода.

Мессенджеров с количеством пользователей более миллиарда — ровно три: WhatsApp, Facebook, WeChat, Skype доминирует на Фольлендских островах… а ни Jabber'а, ни Tox'а в значимых количествах нигде нету.

Если где-то есть ваша любимая статистика, показывающая, что где-то, вдруг, случилась эпидемия и народ начал массово переходить на Tox… ну давайте ссылки, интересно будет почитать про такое чудо.

Я узнал, условно, что microsoft или google в очередной раз слил чью-то переписку в скайпе, и этого человека расстреляли. Что я делаю?
Начинаете думать, когда пишите что-то «в Вачапчике»?

Как вариант, я ставлю linux (и если бы он был open source, но не free, но код видело бы достаточное число людей, чтобы убедиться, что там нет бэкдоров, то вероятно тоже поставил бы), покупаю или достаю из шкафа телефон-звонилку вместо андроида, и начинаю использовать что-то вроде jabber вместо скайпа.
Кто-то и шапочку от фольги надевает, речь же не в этом. Массового перехода — точно нет, это бы было заметно…
Противоречащей чему?

Тому, с чего мы начали — людям, использующим мессенджеры на ПК, но не использующим смартфон.

Если где-то есть ваша любимая статистика, показывающая, что где-то, вдруг, случилась эпидемия и народ начал массово переходить на Tox

Tox, по ощущениям, используют действительно мало, а jabber, опять же по ощущениям, прилично. И собирать статистику по нему трудно, поскольку много разных серверов.

Массового перехода — точно нет, это бы было заметно…

Ссылок со статистикой я не видел, но вижу, что всё больше людей на страницах указывают linux-мессенджеры, так что да, заметно.
Не подскажете алгоритм действий?
А то может я чего-то не понимаю в этом телеграме…
Settings -> Edit profile -> Change number
Мой друг недавно потерял свой телеграм-аккаунт. Весь. Без возможности восстановления.

У него был юзернейм и был привязан телефон. Телефон со временем сменился. А потом однажды после BSOD-а телеграм разорвал соединение.

«Мы вам пришлем смс на номер». Которого не существует.
или
«Мы вам пришлем код авторизации на другое устройство».
Какое? Он больше нигде не логинился.

И всё. На гитхабе пишут «да, мы знаем об этой проблеме, но решать НЕ БУДЕМ».
Телефон со временем сменился
ССЗБ. Может и банк-клиент к этому номеру был привязан, и он теперь не может счетом управлять?
но решать НЕ БУДЕМ
И правильно. Это фича, а не баг. Представьте, некто обращается в телеграм и говорит: у меня был акк с таким-то номером. Доступа к номеру нет, но вы мне все равно верните доступ к телеге. Кроме этих слов у него никаких подтверждений. Им (телеграму) надо вернуть акк этому некто? А теперь представьте, что это Ваш акк. Вы хотите, чтобы его отдали этому некто?
А теперь представьте, что это Ваш акк. Вы хотите, чтобы его отдали этому некто?
Нет, не хочу. Но решение VK — меня устраивает. Идея-то проста: вводите новый номер телефона (любой, какой хотите) и на старый номер телефона неделю приходят SMSки. После чего аккаунт передаётся новому пользователю. Достаточно один раз зайти со своим именем и паролем — и процесс останавливается.

Разумеется про то, как ведёт себя VK Дуров знает — но для инструмента «борцунов с системой» это не подходит. Почему я Телеграммом и не пользуюсь. Пытаться что-то изменить — это одно, а влазить в какие-то заварушки, когда у меня не будет возможности неделю на связь выйти — другое.
и на старый номер телефона неделю приходят SMSки
Я не пользователь ВК (неиспользуемый акк есть, заведенный в то время, когда еще не было обязательной привязки к телефону), поэтому вопрос: какого рода смс приходят?
И я правильно понимаю, что если я знаю, что человек уехал на Алтай сплавляться на байдарках на месяц, то я вполне легитимно могу забрать его акк в ВК?
Содержимое аккаунта при передаче новому пользователю остается?
И я правильно понимаю, что если я знаю, что человек уехал на Алтай сплавляться на байдарках на месяц, то я вполне легитимно могу забрать его акк в ВК?
Если пароль знаете — да, сможете.

Содержимое аккаунта при передаче новому пользователю остается?
Почему новому?
Почему новому?
Ну Вы же пишете:
После чего аккаунт передаётся новому пользователю

Я совсем запутался.
Может дадите ссылку на ВК, где описана эта процедура?
Эта процедура описана на десятках страниц в интернете но треблования там немного меняются со временем.

Вот первый результат из Гугла: ktonanovenkogo.ru/voprosy-i-otvety/kak-vosstanovit-stranicu-v-kontakte-dostupa-udalenii-blokirovke.html

Главное: требования меняются — но понимание того, что телефон может быть утерян остаётся.
Баг в том, что после BSOD'а телеграм напрочь забыл, что пользователь к нему подключён.

Проблема в том, что пользователю предлагают авторизоваться только по телефону и по смс на телефон.

Никакого входа по логину и паролю, или по ключу, или по токен-файлу не предусмотрено. Потерял телефон — вали в туман. Отобрали телефон — вали в туман. Не пользовался аккаунтом нигде более — вали в туман.

Нет, это какая-то херня.
BSOD был вызван телегой?
На мой взгляд BSOD достаточно нештатный режим работы. Если уж ОС не выдержала и упала, то что требовать от телеги? Или телега должна быть рассчитана на повреждения HDD, пожары и наводнения? (Я намеренно довожу до абсурда).
Проблема в том, что пользователю предлагают авторизоваться только по телефону и по смс на телефон.
Проблема в том, что пользователей избаловали. Я помню времена (да и Вы должны помнить), когда у почты не было не то что привязанных телефонов, но и секретных вопросов и резервных ящиков. Только логин и пароль.
Потерял телефон — вали в туман. Отобрали телефон — вали в туман.
Не в туман, а в салон связи — восстанавливать симку. По задумке это должно быть безопаснее логина/пароля, но сабж показывает, что это не так. Поэтому я бы предпочел только логин/пароль без всего остального.

Тем не менее у телеги все-таки не только смс на телефон, но и другое(ие) устройства. Но симка в приоритете и это известно заранее. Поэтому беречь номер телефона при пользовании телегой равносильно беречь логин/пароль от почты в 90-х.
Сменился номер — ССЗБ. И дальше только вопрос времени, когда уйдет акк — от BSOD, пожара или кто-то получит этот номер и захочет к нему телегу привязать.
Я помню времена (да и Вы должны помнить), когда у почты не было не то что привязанных телефонов, но и секретных вопросов и резервных ящиков. Только логин и пароль.

И это было прекрасно, хочу возвращения этих времён.
Сменился номер — ССЗБ.

Проблема в привязке к номеру, который пользователю вообще-то не принадлежит.
Согласен. Разве что сказал бы так: «который пользователю дается временно при выполнении определенных условий».

И все-таки. Все условия заранее известны. Да, они далеко не идеальны, но нам приходится их принимать, ибо большинство вокруг их принимает (иначе сидели бы в условном жаббере и не парились про потерю номера). Поэтому не вижу причин жаловаться на потерю акка.
BSOD это вообще не режим работы.
Или телега должна быть рассчитана на повреждения HDD, пожары и наводнения?

Если уж она роскомнадзор пережила, то какой-то несчастный BSOD точно должна пережить!

Не в туман, а в салон связи — восстанавливать симку.

… на номер, который был отозван оператором год назад. Ну-ну.

Viber так же при смене симки говорит об обнаружении нового номера и предлагает прозрачно на него «съехать». Ваши контакты получат уведомление, что у вас сменился номер. Вам даже не нужно будет им звонить и объясняться или рассылать массово СМС «привет, это мой новый номер, запиши типа».
В контексте разделения работа/личное меня очень парит, что в телеге нельзя просто(!!) создать второй аккаунт. Это прям пляски с бубном.
Если смена номера плановая, а не «аварийная», то любой из современных мессенджеров позволяет указать новый номер и выполнить миграцию на него.

При этом как минимум тележка и вайбер еще и пропишут этот новый номер у всех ваших собеседников в этом мессенджере в контакты уже в самом телефоне (в телефонной книжке контактов т.е.).

В некоторых случаях это, кстати, может быть минусом.
А зачем сейчас покупать новый номер для личных нужд? Переход к другому оператору с сохранением номера работает вполне себе ок.

Есть нюансы. Начиная от того, что просто так переехать с номером из одного региона е оператору в другом регионе может не получиться (коллеги напоролись на это). Ну, и вообще смена номера стремная вещь, на самом деле.

Потому номер от критической почты должен быть неизвестным. В идеале контрактным :)
Поэтому у критической почты не должно быть номера

Fixed.


Если серьёзно — Google, Yandex, и, конечно, провайдеры посерьёзнее вроде Protonmail разрешают не иметь телефона у почтового ящика. Yandex вам не даст настроить 2fa без этого (иронично), у остальных, кого я знаю, всё хорошо

Яндекс?! Попробуйте завести почту на яндексе без телефона. Подождите недельку, и попробуйте зайти в неё ещё раз.

Видимо индивидуально. Яндекс завели без проблем без телефона и все работает. А вот гугл без телефона завести не удалось, пришлось вбивать, правда потом удалось отвязать.
Скоро перестанет работать. При попытке входа пришлют сообщение, что вас пытаются взломать, поэтому, чтобы защитить ваш аккаунт, привяжите-ка ваш телефон.
У меня несколько таких есть и пока всё нормально. Видимо, выборочно проверяют или по мере активации каких-то сервисов.

В формате «завёл почту, один раз на неё что-то активировал, записал пароль и закрыл» ящики держатся последние вот уж год как.
Вот не факт. У меня есть куча старых аккаунтов, на которые я захожу раз в полгода и номера не требует.
Проблемы возникают, если ты заходишь из другого места, либо аккаунт делал что-то подозрительное.
НЛО прилетело и опубликовало эту надпись здесь
Прилетали такие мейлы и от Гугл и Майкрософт и т.д. Я просто игнорировал их и пользуюсь далее. Пока не принуждали.

На яндекс без проблем учетки без телефона заводил.
А вот с гуглом, да, жопа. Блокируют учетку через пару дней без телефона. Если указать номер, а потом отвязать, то также блокируют учетку пока новый не введешь.
Микрософт тоже учетку блокировали без номера. Но после двух недельных ругательств со службой поддержки, таки смог воссьановить учетку без номера.


А что касается гугла, то есть небольшой лайфхак, если создать и использовать аккаунт на андроидфоне как основной, то его не блокируют.
Через некоторое время использования, наверное, можно от девайса отвязать.

В своё время имел привязанные к Гуглу, Яндексу и Фейсбуку мобильные номера. Давно отвязал их все и всё работает.


Они знают, что у меня был телефон (и я не бот), но не используют их для аутентификации или восстановления пароля

С другой стороны, если ваш акк как-то взломают, у вас не будет даже возможности попытаться вернуть контроль (конечно, если «всё серьёзно», вам и номер ваш отвяжут быстренько).
если ваш акк как-то взломают

При условии надёжного пароля (уж для гугла можно непоскупиться и сгенерить и выучить уникальный и надёжный) и если гугл действительно вообще ни при каких обстоятельствах не пускает никак, кроме как по паролю, поверхность атаки значительно снижается по сравнению с sms, примерно так же, как с шифрованием диска по паролю. Если уж пароль выведали, то даже физический телефон украсть по сравнению с этим — не проблема.
При условии надёжного пароля (уж для гугла можно непоскупиться и сгенерить и выучить уникальный и надёжный) и если гугл действительно вообще ни при каких обстоятельствах не пускает никак, кроме как по паролю

Относительно слабое определение, так как я уже наблюдал два раза вход в аккаунт без знания пароля. Один раз это было в 2014 году, очевидно с помощью HeartBleed, второй раз недавно, 16 числа, похоже по подобной уязвимости. К счастью оба раза не мой личный аккаунт, но «недалеко». В 2014-м слили всю переписку, вставили пароль приложения в качестве «бэкдора», прописали свой, левый телефон для двухфакторной авторизации на время слива почты, дефейснули пару учёток на сайтах со входом с того гугл аккаунта. В этот раз — получили доступ к разделу адвордс, вставили левых рекламных компаний. Так что я вообще ничего важного не доверял бы гуглу…
Подозреваю, что взлом ssl, даже пока heartbleed имело место, всё равно намного сложнее, чем взлом мобильной сети по ss7.
У гугла важно наличие на аккаунтах TOTP 2FA. Если есть — учетки без телефонов живут спокойно и счастливо (тьфу-тьфу-тьфу).
Я правильно понимаю, что этот метод требует исполнения кучи закрытого гугловского и андроидовского кода при каждом входе?
Это TOTP. Его спеки открыты, реализации доступны в исходниках.
А как его использовать при входе в гугл? Я не нашёл, как это сделать в веб-версии гугла (может плохо искал, тогда прошу прощения) и как это сделать в thunderbird, поэтому мне показалось, что для этого нужно запускать приложение от гугла на андроидовском телефоне.
Заходите в Google Account, потом слева выбираете Security, будет примерно так, как на скриншоте по ссылке:
https://drive.google.com/open?id=1UVsWfNV3mlOt68zdZy6lnZ1OELwKc02K

А дальше уже выбираете конкретный способ 2FA.
Возможно, среди предложенных вариантов не будет нужного, а только через телефон и USB-key — тогда, говорят, помогает привязать телефон, снова попробовать включить 2FA, уже через TOTP, а телефон можно отвязать.

В Thunderbird это зависит от того, как вы настраивали аккаунт — выбрали Google Mail из предложенных или вручную как сторонний сервис. Если первое, то там, по-идее, должен быть 2FA, но я не уверен, потому что не пробовал, а не пробовал, потому что мне не нравится отдавать на сторону полный доступ к аккаунту.

Правильней будет
а) Сгенерировать app password в аккаунте гугла.
б) Настроить Thunderbird на использование стороннего почтового сервиса, указав вручную хосты IMAP и SMTP, порты и т.д.
в) При этом в качестве пароля к аккаунту указать app password из п. а).

App Password не дает полного доступа к аккаунту, не действует в веб-версии, это только доступ к почте через POP3/IMAP/SMTP, а для почтовой программы больше ничего и не нужно.
Ясно, спасибо:
говорят, помогает привязать телефон

а телефон можно отвязать

Это я точно добровольно делать не буду и никому не советую, потому что не могу быть уверен, что при каких-то якобы «чрезвычайных» обстоятельствах гугл не примет sms-код с этого номера в качестве пароля. Здесь в коментах уже писали, что иногда гугл присылает sms на якобы «отвязанный» номер:
habr.com/ru/post/468909/#comment_20673717
Хотя в том случае автор и не написал, что sms на этот номер достаточно для входа, но с учётом того, что он пишет, такой вход кажется куда более вероятным, чем ситуация, когда гугл не знает вообще никакого номера, атакующий не знает пароля, но гугл его пустит по коду из sms на произвольный телефонный номер.

как вы настраивали аккаунт

Лично я выбрал из предложенных, но это было очень давно, может быть TOTP ещё вообще не было, и кажется, Thunderbird тогда никакой 2FA не предлагал.

отдавать на сторону полный доступ к аккаунту

Вы имеете в виду «на сторону» — это «сообщить приложению thunderbird»?

Сгенерировать app password в аккаунте гугла

Для этого, я так понимаю, нужно сделать 2FA, а для этого всё равно «временно» сказать гуглу свой телефон.
Попробуйте, может быть, можно добиться желаемого без указания телефона. У меня лет 10 были указаны телефоны в аккаунтах, лет 7 настроена 2FA, года 2 назад я убрал все телефоны, 2FA/TOTP осталось. Т.е. я уже банально не помню всех подробностей и последовательностей действий, но текущее состояние таково, что 2FA/TOTP есть, телефонов нет, и гугл не возмущается по этому поводу, хотя периодически и напоминает при входе, что, мол, телефона нет, чувак, ты уверен, что так и надо? Я отвечаю уверен и он какое-то время не беспокоит. Но я и веб-интерфейсом редко пользуюсь.
но не используют их для аутентификации или восстановления пароля

Уверены?

Да, легко проверить:


Откройте страницу входа в приватном окне браузера, напишите свой email и ткните «забыл пароль». Посмотрите, какую информацию будут спрашивать. Отвечайте на всё «я не знаю», чтобы вам продолжали предлагать варианты.

Это гарантирует безопасность, только если ответы на эти вопросы имеют такую же энтропию и секретность, как пароль. Иначе может оказаться, что при ответах на все вопросы «не знаю» вас пошлют, а если правильно ввести, скажем, настоящий год рождения, то попросят код из sms на «отвязанный» номер, а потом пустят.
А что если по imap попробовать получать почту без телефона, даст ли?
По imap гугл пускает ещё хуже, чем через веб-интерфейс. У меня бывали ситуации, когда в веб-интерфейс пускали без телефона (это до сих пор так, к счастью), а в imap нет, говорили «войдите через браузер».

У меня не было случаев когда на телефоне учетка использовалась, а через imap была заблокированна.


Кстати, у гугла по умолчанию в настройках конфиденциальности вход по smtp, pop3 (и, может быть, imap, точно не помню) отключен.

C google'ом есть лайфхак:
Берете сброшенный на дефолт android-смвртфон (скорее всего проканает и с эмулятором) и при запросе google-аккаунта выбираете «создать новый», придумываете пароль и радуетесь гугл-почте без номера телефона.
А из веб-версии да, обязыввает ввести номер телефона
Можно и из веб версии, но нужен резидентский айпи с которого до этого не регали аккаунты. Тогда он не будет спрашивать номер.

А вот «отвязка» на самом деле ничего не дает, даже если потом другой номер привязать, то при срабатывании антифрода потребует смску на номер который был указан при реге. Так легко аккаунт потерять.
Что такое «резидентский айпи»?
IP провайдера который предоставляет доступ в интернет конечным частным пользователям (например Ростелеком или Comcast). Бывают еще business (типа Энфорта), hosting (тут из названия понятно).
Имеется в виду именно персональный выделенный адрес, чтоб вот прямо во whois были вписаны данные физлица?

У меня, например, айпи выделенный, но по whois там данные провайдера и всё.
Нет, просто чтобы во whois было написано что это Ростелеком, а не ВДС.ру
НЛО прилетело и опубликовало эту надпись здесь

Учитывая, что у Вас провайдерский адрес, а не Вы сами себе купили IP-адрес, то ничего не меняется — какой-то клиент до Вас мог этот адрес заблочить (еще до того, как Вы получили статик)…
Ну, и давайте будем честными — статик — это означает, что у Вас адрес всегда при выходе в интернет один и тот же (против динамически изменяемого). Совершенно необязательно, что он не делится с кем-то еще (конечно, если в договоре с провайдером не указано иное)

НЛО прилетело и опубликовало эту надпись здесь
Пытался зарегистрировать брату планшетик свежо купленный, с дуру вбил его реальный возраст, из-за которого гуголь решил создать обрубочный аккаунт (детский) с просьбой ввести почту мамы-папы. Откат и изменение возраста и прочее такое не помогало, ну никак, гугл писал «введите реальный возраст», или что-то около того.
Интернет был через вайфай, с белым ИПом. В итоге я даже через ПК несмог зарегистрировать, пока через впнку не попробовал.

Чего они этим добиваются?
Чего они этим добиваются?
Возможности не смотреть на небо в клеточку? За нарушения COPPA можно получить весьма немало.

Причём сам закон диктует вот это вот всё: он требует «защиты детей» — но при этом такой, чтобы ребёнок не смог догадаться, что его «защищают» и обойти её, просто обманув и сказав, что ему 90 лет.

Учитывая что вам эту защиту потребовалось обходить аж с помощью VPN (будем считать, что ребёнок, умеющий в VPN уже достаточно взрослый, чтобы порно смотреть)… цель вроде достигнута…
Не понял? То есть если с ip заергистрировался ребенок, то взрослый себе другой аккаунт завести уже не сможет?
С того же устройства — нет. Хотя, может, если вайпнуть…
Вот мне тоже кажется, что если устройство свежекупленное и при первоначальной настройке что-то пошло не так, то возврат к заводским установкам — первая очевидная мысль. Особенно если (я правильно понимаю, что это так?) в гугле в итоге не «детский» аккаунт проапгрейдили, а завели абсолютно новый. То есть вы не пробовали вайпать?
Я не понял, к чему относилась ирония, ко всему предложению?
Ни гугл ни яндекс не разрешают завести почту без номера телефона. Может быть это можно обойти какими-то хитростями, но как обычный пользователь я просто вижу перед собой окошко с требованием ввода номера телефона и не могу с ним ничего сделать — ни закрыть, ни отложить на бесконечность.
А вы всегда с одного и того же IP заходите?
И так и так. Когда надо было 50 учёток в один день делал их через прокси.
Когда нужна одна делаю со своего статического. В среднем раз в месяц завожу новую со своего ip.
Я помню я попытался удалить телефон с номера, и всё сработало, но когда я зашёл через VPN мне просто не дали зайти пока я опять не ввёл номер телефона и смс, тупо не мог открыть почту и всё.

Может быть что-то изменилось? Попробую при случае.
используйте 10minutemail, это проще
Отнюдь.
10minutemail, cock.li и т.д. не принимают многие сервисы, например github.
Плюс одна регистрация в yandex даёт сразу 6 алисов — ru|ua|by|kz|uz|com (возможно ещё narod.ru), которые воспринимаются сторонними сервисами как отдельные e-mail.

гугловый email тоже можно произвольно разбавить точками до собачки. Получается не один, а целое "облако" адресов, все сводятся к адресу без точек.

Такое github принимает, но банит в течении первых 5000 запросов.
Как и варианты с "+".

Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.


У меня 3 яндекс-учётки и 1 google, телефон не доступен как способ восстановления ни в одной из них.


  • К Google был привязан номер телефона (потому что Андроид). Успешно отвязался. 2FA через TOTP или резервные пароли, для восстановления номер телефона не предлагают
  • Яндексовые, вероятно, тоже с номерами были. К одной привязан прямо сейчас (потому что Яндекс-такси), но для восстановления недоступен — доступен только резервный email или «заполните анкету с персональными данными и мы поговорим». 2FA через TOTP не дают включить, требуют разрешить аутентификацию по номеру телефона
Если данные действительно серьёзные надёжнее озаботится и купить ключик.

Поскольку он, в отличие от телефона, клонируется пользователем, а не ОпСоСом, то шансы на то, что его «угонят» крайне малы.

P.S. Строго говоря U2F в принципе не клонируется, но имея один — можно привязать и другой к тому же аккаунту, достаточно дома (ну или в другом «надёжном месте») заныкать бумажку с кодами.
Всё серьёзно, только Яндекс требует ослабить защиту вместо усиления с TOTP.

Не только, ещё mailru.

В WhatApp можно дополнительно установить ПИН.

Не используйте сервисы, работающие через номер телефона (привет, Телеграм, Ватсап)

Благодаря нашим «законотворцам» это все сложнее делать.
Не верьте байкам про «повышение уровня безопасности» при привязке номера. Вам обычно предлагают заменить фактор «знаю пароль» на фактор «могу получить SMS на общеизвестный номер»

Проблема начнётся тогда, когда сервис сойдёт с ума и решит, что ваш фактор «знаю пароль» недостаточен, чтобы войти.

Например, яндекс однажды просто взял и заблочил мою учётку за «подозрительную активность». Ничего, кроме пароля, там не стояло. Потребовался не один месяц, чтобы доказать, что я не верблюд, и восстановить аккаунт.

А эпл недавно молча включил обязательную проверку второго фактора при входе в некоторые их сервисы. Если же второго фактора нет, то попросят ответы на два контрольных вопроса, которые вы задавали лет так 10 назад. Ошиблись несколько раз подряд (хотя бы на один из двух) — добро пожаловать в блокировку. Восстановить контрольные вопросы, не имея привязанного второго фактора, нельзя, можно только выкинуть аккаунт и завести новый.

Поэтому лично я считаю, что номер по возможности должен быть привязан, но он не должен совпадать с общеизвестным вашим номером.
НЛО прилетело и опубликовало эту надпись здесь
Если вы за этот номер готовы платить и в принципе не против показать свои документы — не обязательно.
Пример — берем Zadarma.ru и регистрируем и себе номера. Сотовые — обычно 120 рублей в месяц, за номер (если России/США),. И хоть обпринимайтесь SMS (будут валится в их приложение/на почту/FB Messenger/Telegram).
Из недостатков:
— скан паспорта и остальное — придется им загрузить (вообще это сервис IP-телефонии а не).
— с Российских номеров отправлять (если оно вам надо) СМС — нельзя вообще в принципе.
— с MNP насколько я понимаю — оно не совместимо никак.
Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.

Другой вопрос в том, насколько это безопасно, как в случае zadarma, так и в случае обычных операторов (насколько сложно узнать такой номер, особенно если он используется при регистрации во многих местах, и потом провести стандартную атаку), и можно ли найти сервисы, НЕ ставящие клиентов перед выбором «или создавай уязвимость (говори телефон) или ожидай рандомного отказа в обслуживании и потери данных».
отправкой одной sms-ки себе раз в месяц

Раз в 3 месяца достаточно. В большинстве случаев номер не отберут гораздо дольше. У меня чёрный оператор забрал специально оставленный протухать номер только спустя полтора года. Даже оставленные копейки начали списывать гораздо позже 3 месяцев. Где-то через полгода, если правильно помню.
Это очень дорого по сравнению с отправкой одной sms-ки себе раз в месяц с обычного номера, тогда не протухнет.

Отправка периодической смски — это дёшево, но очень неудобно и сравнительно опасно. На каждую такую симку надо иметь отдельную звонилку, периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей, и т. д.

Почти у каждого оператора можно подключить какую-нибудь дешёвую ежемесячную услугу/абонплату, которая засчитается за активность номера. Цена вопроса обычно в районе 20 рублей в месяц. После этого симку можно положить в ящик и не беспокоиться вообще ни о чём.

Тут скорее вопрос в том, кому и как сильно надо взломать именно вас. Если речь об обычных жуликах с липовыми доверенностями, то достаточно просто нигде не палить номер и регистрировать его не на себя. Даже простым перемешиванием номеров в пределах одной семьи уже можно отсечь массу горе-злоумышленников.
периодически вывозить звонилку «проветриться» (и отправить СМС) в место скопления людей

Это нужно, только если стоит задача обеспечения полной анонимности. Но тогда zadarma, где требуется скан паспорта (да и платить потом, вероятно, не биткойнами, и не через терминалы оплаты сотовой связи, а даже если и через терминалы — это такое же неудобство, как проветривание симки) — явно бесполезная опция.

Я скорее комментировал предыдущие комментарии в этой ветке, где полная анонимность вроде не предполагалась, а фактически предлагалось использовать номер телефона как пароль (ещё один или единственный, в зависимости от сервиса), со всеми недостатками такого «пароля».
Будем отталкиваться от того, что всё, что знает ваш сотовый оператор о вас, посмотрит любая Маринка в любом салоне связи под Новокузнецком. Максимум, что этой Маринке в итоге светит за массовый перевыпуск карт — увольнение с офигенской зарплаты в 7 тысяч рублей.

Т.е. чтобы хоть как-то усложнить Маринке жизнь, сим-карта для восстановления пароля должна быть по самому минимуму оформлена не на вас, и никогда не светиться с вашего IMEI. Остальное опционально и зависит от уровня параноидальности, да.
Казалось бы, если Маринка работает в компании zadarma, она может сделать то же самое.
Конечно. Я и не призываю ей пользоваться, даже наоборот, обеими руками за левые симки с подключением какой-нибудь дешёвой опции, делающей их несгораемыми.
С этим согласен. Хотя на мой взгляд, лучше искать и использовать безтелефонные сервисы, их пока ещё можно найти.

А ещё вместо опции есть вариант мегафон-мльтифона, с которого можно звонить через voip каждый месяц (и пропускать эти звонки через vpn, tor и всё, что пожелает фантазия). Примерно тот же уровень безопасности.
«Стандартную атаку» = «прийти в центр обслуживания и мальчика который работает за 20 тысяч в месяц попросить перевыпустить карту»? С Zadarma и аналогами — не пройдет фокус.
Если речь про дыру с «роумингом» в SS7 — тут все же немного повыше уровень атаки.
Если про дыру что товарищи в штатском вежливо попросят копию СМС… отправка СМС на e-mail у Zadarma — штатный функционал вообще то и документы они — просят. От такой атаки — не защитят. И да, оплаты биткоинами нету.

Если же товарищи в штатском — угроза и выбран вариант использовать дешевую левую симку тогда надо эту симку не ставить в телефоны где была «родная» и не включать этот телефон вне мест скопления людей (куда идти с выключенным/в авиарежиме своим телефоном) — соответствие данных симки и IMEI спалите.

Вопрос именно в том, от кого именно мы защищаемся? И сколько готовы потратить.
С Zadarma и аналогами — не пройдет фокус.

Вы знаете что-нибудь о (не)корумпированности сотрудников zadarma? Да, я имею в виду именно атаку с получением через них ваших sms.
Чего то сакрального — не знаю. А вот то что там техподдержка значительно более компетентная (и видимо получающая больше) чем рядовой василий в салоне на окраине бобруйска у операторов на буквы М / Т / Б — имею основания считать.
Также — имею основания считать что по 'их' номеру вы так просто не поймете что задарма (будет оператор на букву М из трех букв но последняя не С).

Опять ж — аналоги, есть. И имеют все преимущества описанные.

Тогда действительно вероятность такой атаки меньше (хотя все другие уязвимости сохраняются). А оператор из 3 букв не является ли ещё одним вектором атаки?