Приложение провального они удалить не могут, а приложение Сбербанка могут
Потому что первое приложение не нарушает никаких законов, а второе - принадлежит компании, находящейся в санкционном списке. Гугл находится под юрисдикцией США, а США - правовое государство, оно обязано выполнять свои собственные законы, в отличие от паханата, живущего целиком по понятиям главного гопника.
По отзывам на даундетекторе - такое чувство, что нагнали ботов для фейковых отчётов об ошибках, но не могу пока понять, кто нагнал и с какой целью. Но слишком уж неправдоподобные отзывы какие-то и неправдоподобные симптомы. UPD: Также очень подозрительно, почему сообщения о проблемах начались несколько дней назад, а график резко вверх взметнулся сегодня в 15:45 - выглядит, как будто ботам не объяснили в методичке, что нужно не только комментарий оставлять, но и нажать сообщить о проблеме, а потом обновили инструкцию или добросили отчётов уже программно.
либо используя как основной алгоритм скомпрометированный SHA-1
А можно с этого момента подробнее: в чём именно этот алгоритм скомпрометирован? Пока что знаю только одну уязвимость - это теоретическую возможность генерации двух различных документов с одинаковым хэшем - но не понимаю, как это может быть применимо в случае TOTP? Неужели злоумышленник, зная несколько сгенерированных одноразовых кодов и время их генерации, может восстановить общий секрет или сгенерировать коды для другого времени? Или сгенерировать другой секрет, который будет давать те же самые коды?
Если дело действительно в деградации серверов, то можно со стороны Гугла не отдавать для российских IP-адресов видео в качестве > 1080p, к примеру. Можно не жёстко, а просто не отображать его в окне выбора качества. В таком случае тем, кто смотрел в 4К, придётся понизить качество и потреблять чуть меньше трафика или идти на другие площадки (а для полезного контента высокое качество видеоряда не так сильно критично, как для развлекательного).
Строго говоря, не обязательно ключ должен храниться на этой же железке. Железка может отдельно по защищённому каналу на каждый хэндшейк просить сервера гугла подписать определённые данные своим сертификатом, не храня при этом сам приватный ключ. В этом случае компрометация железки не сильно поможет осуществить MITM, ей быстро отрубят доступ со стороны гугла при обнаружении факта компрометации. Может быть, до факта обнаружения немножко погадить ещё успеет, но недолго.
Вот нарочно сейчас пробежался по комментариям к этой статье и поглядел на счётчики минусов. Самыми заминусованными оказались вот эти (под спойлером ниже). Если вы находите их самыми полезными и самыми лучшими - ну тогда даже не знаю, что и возразить.
Можно средствами наподобие GoodbyeDPI обойти эти палки в колёса, которые Роскомнадзор пихает. Но VPN пригодится там, где блокируют на стороне сайтов по геолокации.
За обратный прокси засунуть вроде Cloudflare или Qrator. Но это не решение проблемы, а её перекладывание на чужие более опытные (в плане борьбы с DDoS) плечи.
А что мешает с юридической точки зрения добавить в личный кабинет функцию "Очистить недогруженные фрагменты файлов", и подтверждение с описанием возможного риска и галочкой "я понимаю риск, продолжить". Если клиент (юзер) поставил галочку и удалил хвосты, то дальше на его совести, как поведёт себя клиент (ПО).
Меня в гуглодиске это дико бесило, что загруженные через API, но удалённые в дальнейшем через веб-интерфейс файлы могут стать orphaned и занимать при этом место, но никакого внятного интерфейса для их очистки не было (т.к. в папке они не отображались, но продолжали существовать), приходилось скрипт писать, который через API вынимал список всех файлов и удалял те, на которых нет ни одной ссылки в папках. Как сейчас там с этим делом, не в курсе.
Потому что первое приложение не нарушает никаких законов, а второе - принадлежит компании, находящейся в санкционном списке. Гугл находится под юрисдикцией США, а США - правовое государство, оно обязано выполнять свои собственные законы, в отличие от паханата, живущего целиком по понятиям главного гопника.
По отзывам на даундетекторе - такое чувство, что нагнали ботов для фейковых отчётов об ошибках, но не могу пока понять, кто нагнал и с какой целью. Но слишком уж неправдоподобные отзывы какие-то и неправдоподобные симптомы. UPD: Также очень подозрительно, почему сообщения о проблемах начались несколько дней назад, а график резко вверх взметнулся сегодня в 15:45 - выглядит, как будто ботам не объяснили в методичке, что нужно не только комментарий оставлять, но и нажать сообщить о проблеме, а потом обновили инструкцию или добросили отчётов уже программно.
А можно с этого момента подробнее: в чём именно этот алгоритм скомпрометирован? Пока что знаю только одну уязвимость - это теоретическую возможность генерации двух различных документов с одинаковым хэшем - но не понимаю, как это может быть применимо в случае TOTP? Неужели злоумышленник, зная несколько сгенерированных одноразовых кодов и время их генерации, может восстановить общий секрет или сгенерировать коды для другого времени? Или сгенерировать другой секрет, который будет давать те же самые коды?
В него "бесы вселились", по мнению давно застрявшей в средневековье власти, и теперь они хотят провести "экзорцизм"
Если дело действительно в деградации серверов, то можно со стороны Гугла не отдавать для российских IP-адресов видео в качестве > 1080p, к примеру. Можно не жёстко, а просто не отображать его в окне выбора качества. В таком случае тем, кто смотрел в 4К, придётся понизить качество и потреблять чуть меньше трафика или идти на другие площадки (а для полезного контента высокое качество видеоряда не так сильно критично, как для развлекательного).
Тогда непонятно, зачем незадолго до этого нужно было активно блокировать сервера Invidious
Строго говоря, не обязательно ключ должен храниться на этой же железке. Железка может отдельно по защищённому каналу на каждый хэндшейк просить сервера гугла подписать определённые данные своим сертификатом, не храня при этом сам приватный ключ. В этом случае компрометация железки не сильно поможет осуществить MITM, ей быстро отрубят доступ со стороны гугла при обнаружении факта компрометации. Может быть, до факта обнаружения немножко погадить ещё успеет, но недолго.
Вот нарочно сейчас пробежался по комментариям к этой статье и поглядел на счётчики минусов. Самыми заминусованными оказались вот эти (под спойлером ниже). Если вы находите их самыми полезными и самыми лучшими - ну тогда даже не знаю, что и возразить.
Hidden text
Можно средствами наподобие GoodbyeDPI обойти эти палки в колёса, которые Роскомнадзор пихает. Но VPN пригодится там, где блокируют на стороне сайтов по геолокации.
Но тем не менее, замедляют искусственно по SNI, вот тут результаты тестов от @ValdikSS: https://ntc.party/t/замедление-youtube-в-россии/8055/2
Теперь осталось открыть:
- Фабрику, где роботы за секунду собирают других роботов
- Фабрику, где роботы за секунду собирают другие фабрики
Можно ещё спичку в клавишу вставить, тоже некоторые делают
Можно по VEN/DEV устройства определять же поидее, или заглушки позволяют перепрошивать эту инфу?
За обратный прокси засунуть вроде Cloudflare или Qrator. Но это не решение проблемы, а её перекладывание на чужие более опытные (в плане борьбы с DDoS) плечи.
DOOM уже запустили везде, где только можно, теперь новое соревнование - запустить халву
Каким образом Ohook защищён он возможных будущих детектов антивирусами?
А что мешает с юридической точки зрения добавить в личный кабинет функцию "Очистить недогруженные фрагменты файлов", и подтверждение с описанием возможного риска и галочкой "я понимаю риск, продолжить". Если клиент (юзер) поставил галочку и удалил хвосты, то дальше на его совести, как поведёт себя клиент (ПО).
Меня в гуглодиске это дико бесило, что загруженные через API, но удалённые в дальнейшем через веб-интерфейс файлы могут стать orphaned и занимать при этом место, но никакого внятного интерфейса для их очистки не было (т.к. в папке они не отображались, но продолжали существовать), приходилось скрипт писать, который через API вынимал список всех файлов и удалял те, на которых нет ни одной ссылки в папках. Как сейчас там с этим делом, не в курсе.
Нейросети разрабатывают закон о маркировке контента, сгенерированного депутатами
Мой коммент неактуален, уже добавили TOTP
Hidden text