Чтобы не пришлось писать одно и то же много раз, достаточно было сразу предоставить достаточно подробную инструкцию для повторения проблемы. Пока что три независимых человека (включая меня) утверждают, что видео блюрится с параметрами HideInput, HideSensitiveViews как у тебя на скриншотах и мы предоставляем все необходимые сведения, чтобы любой человек мог повторить наши результаты.
Я лично склоняюсь к тому, что ты просто-напросто лжешь и продолжаешь лгать, учитывая какой ажиотаж в СМИ вызвали твои обвинения.
Я, конечно, не iOS специалист, но во время проверки мне без проблем удалось записать клавиатуру (с определенными параметрами конфига AppSee), вот скриншот из моего видео.
Так даже с включением HideInput не замазывается номер телефона (персональные данные) в заголовке окна, что видно на видео одного из пользователей. Или у вас он тоже замазан?
Верно, не замазывается телефон, поэтому мне пришлось монтажить видео, чтобы не светить всем мой номер телефона. Плюс, на странице профиля в приложении светится Имя + Телефон + Email + Фото (если оно загружено).
Проблема в другом:
В принципе, соглашусь со всеми пунктами, но вся эта ситуация меня, если честно, раздражает из-за ажиотажа по поводу использования системы аналитики.
Вся эта забюрократизованность лезет из реальности в интернет. Вместо того, чтобы пилить приложение, надо будет сидеть и разбираться со специалистами, чтобы твоё мини-приложение соответствовало 152-ФЗ (а то случайно зайдет на твой сайт какой-нибудь Васян да накатает маляву в Роскомнадзор), потом ещё делать соответствие GDPR, а потом ещё случайно окажется что твое приложение не соответствует каким-то законам Зимбабве и в итоге окажется, что проще всего отрезать от приложения все неподдерживаемые страны, а обычные люди которым нафиг не уперлась такая защита их данных, будут грустно наблюдать надпись «Sorry the service is currently not available in your country.», ну зато ПД в сохранности.
Хотя, вне сомнения, регулировать как-то работу сервисов надо, чтобы они совсем не охреневали от безнаказанности и безответственности. Истина, как обычно это бывает, где-то посередине.
В этом случае, как и логично было бы предположить, поля форм + клавиатура закрашены черным. Невозможно получить нефильтрованные поля формы, как в видео автора, с параметрами HideInput=true и HideSensitiveViews=true.
Но, да, конфиг приходит с сервака appsee и если разработчикам так захочется, они смогут получать запись видео со всеми sensitive-данными, включая номер карты. Достаточно не указать HideInput&HideSensitiveViews в конфиге, выдаваемым с RecordVideo=true.
Мне кажется разработчикам бы следовало перезаписывать на стороне клиента параметры HideInput&HideSensitiveViews и принудительно им ставить true.
Откуда дровишки? Региональный Роскомнадзор дает прямой ответ, что просто номер телефона не является ПД.
Номер телефона служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.
Сброс пароля, регулирование подписок и т.п, да, много подобного.
robots.txt + ограничение токена по времени. Где проблема?
git вон тоже по ссылке часто используется: user:password@git_repo.git. Утечёт такое — слиты, считайте, все сорсы.
Какая необходимость вписывать пароль и пользователя в URL? Есть множество других разнообразных способов защитить git от постороннего доступа. Например, использовать SSH+keys.
Тем не менее огромное кол-во сервисов присылает ссылки на почту при сбросе пароля, по уникальной ссылке часто можно попасть в личный кабинет, сессия может идти через GET запрос, картинки в мессенджерах доступны по уникальным ссылкам и т.п.
Я же уже писал про robots.txt, вы просто игнорируете что вам пишут?
Многие сервисы (не только по протоколу http, например ftp/ssh, аудио- видеостримы и т.д.) авторизируются с помощью ссылки протокол://имя: пароль@адрес: порт
Многие также оставляют листочек с паролем на мониторе. Что мешает сначала зайти на ресурс и потом в окошке ввести логин/пароль? Если вы нарушаете цифровую гигиену, то странно ожидать другого результата.
Даже то, что ссылки часто короткоживущие, все равно распостранение приватных ссылок не сильно лучше распостранения POST запросов.
Распространение POST запросов? Что?
При этом, если уж подходить формально к лицензионному соглашению Яндекса браузере, никто не мешал ему выложить и ваши POST запросы в паблик (например, решив, что это запросы к поисковой системе)
Яндекс не работает с POST запросами, зачем ему они? Выкладывание POST-запросов в паблик? Что? Я, честно говоря, не понимаю что вы пишите.
Плюс, при установке яндекс браузера показывается окно с галочкой: «Принять участие в улучшении сервисов Яндекса: отправлять анонимную статистику использования браузера», которую можно отжать.
> Authors of services which use the HTTP protocol SHOULD NOT use GET based forms for the submission of sensitive data, because this will cause this data to be encoded in the Request-URI. Many existing servers, proxies, and user agents will log the request URI in some place where it might be visible to third parties. Servers can use POST-based form submission instead.
Какие конкретно пароли вы имеете в виду? Всё, что в строке браузера (т. н. GET-запросы) — потенциально небезопасно и регулируется разве что всякими robots.txt. А пароли или любая другая sensitive-информация обычно пересылается через POST и не индексируется. Вся вина лежит на гугле, который не озаботился каким-то образом обозначить URL как неиндексируемые, либо не предупредил пользователей о том, что доступ по URL не является надежным средством ограничения доступа к информации.
Непохоже, чтобы redmine-plugin-recurring-tasks активно развивался. Задачи висят годами, некоторые из которых у нас решены, такие как возможность настройки корректной работы с чужими плагинами, к примеру, с redmine_checklists. Плюс, не знаю как скоро, но грядет релиз Redmine 4 (некоторые критичные обновления уже в redmine-master) на котором старые плагины не будут работать и мы уже работаем над тем, чтобы наш плагин корректно работал как в Redmine 3, так и в Redmine 4.
1. Telegram иностранная компания.
2. На каком основании Российское гос-во требует хранения всех данных на территории именно РФ?
Если услуги доступны на территории определённой страны, то государство может счесть, что вы ведёте бизнес в их стране, а значит подчиняетесь их законам.
Вспомните как американские сервисы дружно банили пользователей из Крыма при подозрении принадлежности к оной территории. Полагаю, что именно такое явление называется «не ведет бизнес на территории Крыма».
Ну и тут будет уместно упомянуть про «правомочность» требований. По сути, государство это в том числе репрессивный аппарат для того, чтобы уметь делать больно, если вы не делаете как оно хочет. Это касается и иностранных фирм. Если иностранным фирмам не интересен рынок страны и они не опасаются того, что если они случайно залетят на территорию страны и их могут сразу посадить в тюрьму и проделать какие-нибудь интересные штуки, то они могут забить на любые требования — они не обязаны выполнять их.
> про проценты при переводе на карту открытую в другом регионе слышали?
> Нет, не слышал. Можете предъявить пруф?
Моя карточка сбербанка открыта в Новосибирске. В данное время проживаю в Абакане. При перечислении на другую карточку сбербанка 25000 рублей, комиссия составила 250 рублей. Эта регионность сбербанка сильно раздражает.
У вас деплой происходит сразу на рабочие серваки? Нет никакого промежуточного staging, который уже тестируется тестерами/автоматизированными системами?
Хорошая альтернатива рельсе. Я как-то себе делал блог на hanami, но она тогда была ещё сыроватой + были проблемы с кешированием (на проде всё настолько сурово кешировалось, что в итоге когда открываешь записи, то всегда открывается содержимое первой записи, которую ты увидел) — я не стал разбираться и перешёл на middleman. Но тем не менее hanami мне понравился.
Стоит ли посещать такие мероприятия и тусовки, как HolyJS Moscow?
Ещё бы знать откуда можно узнавать о таких мероприятиях. Я вот знаю об events.yandex.ru и периодически заглядываю на него в поисках интересных мероприятий, но эта страница ограничивается, как ни странно, только мероприятиями яндекса, а хотелось бы чего-то более глобального агрегатора it-событий.
Я думаю, что успех Apple заключается в том, что они концентрируются на впечатлениях от использования, чтобы обычное взаимодействие с чем-либо вызывало приятные чувства, а то и восторг. Этот немаловажный момент часто упускается из виду в подобных спорах, но тем не менее каждый пользователь продукции Apple замечает этот эффект, неважно сознательно или нет. Так как этот эффект воздействует на эзотерически-сенситивную область организма, на его эмоциональную часть, то он часто заставляет часть фанатов Apple бессознательно выступить в защиту любых решений любимой компании и вызывая эффект «религиозности». Сделай так, чтобы твоим продуктом было приятно пользоваться и чтобы он умел делать что-нибудь полезное — тогда у тебя найдутся преданные клиенты, пусть даже у твоих конкурентов решения дешевле и функциональнее.
По поводу критики об ограничениях и отсутствия многофункциональности хочется отметить — ребят, вы же должны были слышать о таком принципе, что идеал это не когда нечего добавить, а когда нечего убрать. Обилие выбора не радует людей — чем меньше у них вариантов, тем проще делать выбор, тем они счастливее. И не надо парить мозги про «отупление» людей. В нашем огромном мире всегда есть место, куда можно применить любознательность. Упрощая интерфейсы и продукты, мы экономим людям время, которое они уже могут потратить на своё усмотрение, на тот же DIY. Например, я счастлив пользоваться iOS и OS X, так как с ними мне не хочется ничего настраивать и я занимаюсь непосредственно своими делами.
Ещё добавлю по поводу маркетинга. У Apple самый лучший маркетинг — пользователи сами рекламируют их. Собственно, таким образом я и познакомился со своим MacBook Pro. Ко мне в дом не вваливался гениальный маркетолог с шаманской тростью и не внушал мне через магию вуду приобрести его продукт. Просто я изучал Rails и часто в видеоуроках или на скриншотах я видел примечательный интерфейс OS X, мне стало любопытно и при первой возможности я его приобрел. Ну и в дальнейшем, когда меня спрашивали знакомые-программисты, стоит ли брать макбуки, я им твёрдо советовал: стоит. Таким образом я подсадил на маки человека 4 и даже одного человека-антибренда, который был впечатлён, что я в 2016 всё ещё пользуюсь MacBook Pro 2010 и вполне доволен им.
> Она обязана соблюдать законы страны в которой находится ее юридическое лицо
А чем гарантируется это обязательство? Репрессивными средствами государства. Вы думаете чужое государство не сможет наказать ваш бизнес, если у вас там есть рынок? Иначе говоря, вы можете спокойно игнорировать законы в определённой стране, если у вас там нет бизнеса, если вы там не планируете открывать бизнес и если вы не планируете её посещать вовсе.
Я лично склоняюсь к тому, что ты просто-напросто лжешь и продолжаешь лгать, учитывая какой ажиотаж в СМИ вызвали твои обвинения.
Верно, не замазывается телефон, поэтому мне пришлось монтажить видео, чтобы не светить всем мой номер телефона. Плюс, на странице профиля в приложении светится Имя + Телефон + Email + Фото (если оно загружено).
В принципе, соглашусь со всеми пунктами, но вся эта ситуация меня, если честно, раздражает из-за ажиотажа по поводу использования системы аналитики.
Вся эта забюрократизованность лезет из реальности в интернет. Вместо того, чтобы пилить приложение, надо будет сидеть и разбираться со специалистами, чтобы твоё мини-приложение соответствовало 152-ФЗ (а то случайно зайдет на твой сайт какой-нибудь Васян да накатает маляву в Роскомнадзор), потом ещё делать соответствие GDPR, а потом ещё случайно окажется что твое приложение не соответствует каким-то законам Зимбабве и в итоге окажется, что проще всего отрезать от приложения все неподдерживаемые страны, а обычные люди которым нафиг не уперлась такая защита их данных, будут грустно наблюдать надпись «Sorry the service is currently not available in your country.», ну зато ПД в сохранности.
Хотя, вне сомнения, регулировать как-то работу сервисов надо, чтобы они совсем не охреневали от безнаказанности и безответственности. Истина, как обычно это бывает, где-то посередине.
Мне пришел изначально такой конфиг.
Чтобы приложение писало видео, мне пришлось добавить следующие строчки:
В этом случае поля не фильтруются и показываются в видео сырыми, как есть.
Однако! В оригинальных скриншотах автора фигурируют значения «HideInput»: true и «HideSensitiveViews»: true.
В этом случае, как и логично было бы предположить, поля форм + клавиатура закрашены черным. Невозможно получить нефильтрованные поля формы, как в видео автора, с параметрами HideInput=true и HideSensitiveViews=true.
Но, да, конфиг приходит с сервака appsee и если разработчикам так захочется, они смогут получать запись видео со всеми sensitive-данными, включая номер карты. Достаточно не указать HideInput&HideSensitiveViews в конфиге, выдаваемым с RecordVideo=true.
Мне кажется разработчикам бы следовало перезаписывать на стороне клиента параметры HideInput&HideSensitiveViews и принудительно им ставить true.
26.rkn.gov.ru/p8926/p10713
github.com/docker/for-mac/issues/371
robots.txt + ограничение токена по времени. Где проблема?
Какая необходимость вписывать пароль и пользователя в URL? Есть множество других разнообразных способов защитить git от постороннего доступа. Например, использовать SSH+keys.
Я же уже писал про robots.txt, вы просто игнорируете что вам пишут?
Многие также оставляют листочек с паролем на мониторе. Что мешает сначала зайти на ресурс и потом в окошке ввести логин/пароль? Если вы нарушаете цифровую гигиену, то странно ожидать другого результата.
Распространение POST запросов? Что?
Яндекс не работает с POST запросами, зачем ему они? Выкладывание POST-запросов в паблик? Что? Я, честно говоря, не понимаю что вы пишите.
Плюс, при установке яндекс браузера показывается окно с галочкой: «Принять участие в улучшении сервисов Яндекса: отправлять анонимную статистику использования браузера», которую можно отжать.
www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3
Если услуги доступны на территории определённой страны, то государство может счесть, что вы ведёте бизнес в их стране, а значит подчиняетесь их законам.
Вспомните как американские сервисы дружно банили пользователей из Крыма при подозрении принадлежности к оной территории. Полагаю, что именно такое явление называется «не ведет бизнес на территории Крыма».
Ну и тут будет уместно упомянуть про «правомочность» требований. По сути, государство это в том числе репрессивный аппарат для того, чтобы уметь делать больно, если вы не делаете как оно хочет. Это касается и иностранных фирм. Если иностранным фирмам не интересен рынок страны и они не опасаются того, что если они случайно залетят на территорию страны и их могут сразу посадить в тюрьму и проделать какие-нибудь интересные штуки, то они могут забить на любые требования — они не обязаны выполнять их.
> Нет, не слышал. Можете предъявить пруф?
Моя карточка сбербанка открыта в Новосибирске. В данное время проживаю в Абакане. При перечислении на другую карточку сбербанка 25000 рублей, комиссия составила 250 рублей. Эта регионность сбербанка сильно раздражает.
Ещё бы знать откуда можно узнавать о таких мероприятиях. Я вот знаю об events.yandex.ru и периодически заглядываю на него в поисках интересных мероприятий, но эта страница ограничивается, как ни странно, только мероприятиями яндекса, а хотелось бы чего-то более глобального агрегатора it-событий.
По поводу критики об ограничениях и отсутствия многофункциональности хочется отметить — ребят, вы же должны были слышать о таком принципе, что идеал это не когда нечего добавить, а когда нечего убрать. Обилие выбора не радует людей — чем меньше у них вариантов, тем проще делать выбор, тем они счастливее. И не надо парить мозги про «отупление» людей. В нашем огромном мире всегда есть место, куда можно применить любознательность. Упрощая интерфейсы и продукты, мы экономим людям время, которое они уже могут потратить на своё усмотрение, на тот же DIY. Например, я счастлив пользоваться iOS и OS X, так как с ними мне не хочется ничего настраивать и я занимаюсь непосредственно своими делами.
Ещё добавлю по поводу маркетинга. У Apple самый лучший маркетинг — пользователи сами рекламируют их. Собственно, таким образом я и познакомился со своим MacBook Pro. Ко мне в дом не вваливался гениальный маркетолог с шаманской тростью и не внушал мне через магию вуду приобрести его продукт. Просто я изучал Rails и часто в видеоуроках или на скриншотах я видел примечательный интерфейс OS X, мне стало любопытно и при первой возможности я его приобрел. Ну и в дальнейшем, когда меня спрашивали знакомые-программисты, стоит ли брать макбуки, я им твёрдо советовал: стоит. Таким образом я подсадил на маки человека 4 и даже одного человека-антибренда, который был впечатлён, что я в 2016 всё ещё пользуюсь MacBook Pro 2010 и вполне доволен им.
А чем гарантируется это обязательство? Репрессивными средствами государства. Вы думаете чужое государство не сможет наказать ваш бизнес, если у вас там есть рынок? Иначе говоря, вы можете спокойно игнорировать законы в определённой стране, если у вас там нет бизнеса, если вы там не планируете открывать бизнес и если вы не планируете её посещать вовсе.