Во-первых гугл имеет право на любые правила в ИХ СОБСТВЕННОМ продукте — Android OS. ФАС может к ним пидраться — да. Только законы у ФАС в разных странах немного разные :)
Во-вторых, гугл имеет право на любые правила, касающиеся ИХ ПРОДУКТОВ — в данном случае, сервисов — для Android OS.
Он не запрещает юзать систему сторонним компаниям — юзайте, но без севисов гугл.
В отличие от того-же MS, на который наезжали по поводу IE, гугл разрешает юзать что угодно, кроме своих сервисов или только их сервисы. Они имеют на это право, т.к. создали с нуля их, как и экосистему. Яндекса там даже рядом небыло,
Нда, печалька.
Выходит как всегда выходит у нас — т.е. через жопу.
У меня очень много знакомых в Яндексе, и после того, как компания стала катироваться на бирже, там резко все перекосилось в сторону бабла.
Т.е. нашли баг где-то серьезный — играем в молчанку — т.к. это может негативно сказаться на катировках ну и т.д. Стали урезать штат, давить на людей в штате (в том числе и за то, что те пытались что-то рассказать коммьюнити — например о внутренней кухне).
Зато понты стали многократно умноженные — надо же как-то поддерживать свой иммидж. Кто-то его поддерживает делами, а кто-то пшиком. На конференции яндексовских докладчиков обязывают делать атмосферу сложности и элитности (сами докладчики говорили мне про это).
Лично я вообще не использовал и не использую Яшу — потому что как тематический поисковик он нормально не ищет вообще, а как поиск по товарам насмерть засран крупными сетями и сеошниками.
Все это в купе + сотрудничество с нашими властями и отсутствие какого-либо более-менее своего суверенитета и мнение доверие к нему лично у меня подрывают очень сильно.
Перестал он быть гиковской высокотехнологической, свободной компанией. Виной всему – бабло.
Гугл тоже сейчас идет по похожему пути, но толи потому что он больше, толи потому что люди там смелей они все еще остаются более-менее свободными с более-менее своим мнением – а это для меня важно.
Ну и последним камнем в огород Яндекса была вот эта заява в ФАС. Мало того, что это борьба с конкурентами а-ля 90-е, так это еще и просто роспись в своей беспомощности.
Т.е. мозгом конкурировать они не могут, и тупо пошли к сильным мира сего.
Т.е. типа как наш Автоваз ныл когда-то «мы мол с нашими технологиями конкурировать не можем с западным производителем, давайте тогда Вы, правителсьтво, подниметие цену на ввоз иномарок и тогда мы точно также будем сидеть, ничего не делать и получать за свои волокуши бабло!»
Здесь точно также. Причем лицемерие просто страшное, они еще и статью накатали на хабре «Мол, мы не виноватые, это все – страшный гугол, он нам не дает работать»
Вобщем, подводя итог, очень печально, что компания, название которой когда-то вызывало гордость, стала очередной стандартной российской компанией по добыче бабла любыми методами.
Что-то последнее время это модно – drweb тут недавно тоже отличился, отжав группу создателя, причем минуя все правила, используя администрацию VK напрямую.
У меня, вообще, складывается впечатление что все наши «высокотехническиенанокомпании” принадлежат одной и тойже группе владельцев :) Ну Вы поняли.
Конечно это все ИМХО, но Яндексу я скажу свое «прощай». Погоды это конечно не сделает, но хоть на душе будет лучше. А вот если это сделаю не один я, быть может, они задумаются.
Вам в Ваших предыдущих топиках объясняли, что Вы изобретаете велосипеды + плохо понимаете то с чем пытаетесь бороться.
То, что Вы предлагаете здесь — очередной велосипед, потому что:
по поводу «аяксовой кнопки» Вам подробно описали в предыдущим Вашем топике, что это не выход при текущем развитии веб-движков
баном по IP вы убьете всех, кто юзает проксирование, динамические IP и иже с ними (а их не просто много — их очень много). Вы убьете тех, кто работает из кафе, гостиниц и т.д. — потому как только что там сидел чел, пил чай и создавал Вам Вашу «подозрительную активность» а параллельно бедный Ваш клиент пытался зайти в свой личный кабинет. При текущем ритме жизни такого очень и очень может быть много. Человек может быть вообще не в курсе, что его машину захватил бот, Вы пометите его как плохого, затем комп его вылечат и в один прекрасный момент лояльный к Вам клиент не сможет зайти на сайт или будет получать дурацкие сообщения об ошибке — Вы потеряете его
не возможно корректно и точно формализовать что есть «подозрительная активность» и «не подозрительная». Из-за этого можно случайно забанить людей, пользующихся каким-либо новым браузером / софтом, запросы которого отличаются от стандартных. Примеров — вагон и маленькая тележка.
вывод из бана поможет плохо, ибо человек попытается ввести капчу или что-то там еще и при следующем сеансе получит другой IP (при ротации IP в динамике), который очень запросто может быть снова «плохим», а его старый IP «раскомпромитированный» запросто за это время станет «плохим». Он проклянет Вас и будет прав ;)
Вобщем, Вы боритесь не так и не с тем. Мало того, при бане IP, если на Вас таки напал ботнет — Вы только просаживаться будете по производительности, но с ботом так и не справитесь. Почему — читайте матчасть.
Очередные от Вас security through obscurity + вредные советы.
P.S. подумайте, почему другие сайты не практически не пользуются такими методами, за исключением особо важных банковских и т.д. систем — но там совсем другая кухня и уровень. Там используется «весовая» пометка слепков IP + действий и т.д. Делать такое на простом сайте — это беccмысленно и беспощадно.
У меня за все время работы это событие применялось только два раза, и оба — в очень навороченных гридах. Вполне хватало только времени.
А так да, полностью согласен, что использовать надо лишь тогда, когда ооочень необходимо, ввиду неочевидности и сложности действия. Юзабилисты всегда говорят на такой ивент аяяй :)
function mouseClickDebounce( o, ev, handler ) {
if ( o.getAttribute( "data-_clk_" ) ) {
clearTimeout( Number( o.getAttribute( "data-_clk_" ) ) );
o.removeAttribute( "data-_clk_" );
ev.type = "_dblclick";
handler.call( o, ev );
}
else {
o.setAttribute(
"data-_clk_",
String( setTimeout(
function() {
o.removeAttribute( "data-_clk_" );
ev.type = "_click";
handler.call( o, ev );
},
200
) )
);
}
}
o — объект для кторого проводится действие
ev — объект (например event у jQuery, или любой другой — в нем будет меняться свойство type)
ev.type = "_click" — одно нажатие
ev.type = "_dblclick" — двойное нажатие
работать так:
$( element ).on(
"click",
function( ev ) {
mouseClickDebounce( this, ev, function( ev ) { alert( ev.type ); } );
}
);
У Вас излишне сложно, хотя более правильно. Но это далеко не всегда нужно.
возможно, но у эппла система — гораздо меньшее зло, и открутить ей руки гораздо проще, ибо никс, ну и самое главное — к своему софту (во всяком случае декстопному) они подходят гораздо вдумчивей.
Господа, Вы же технари — ну звоночки-то все были же. Сейчас облака модны, как и сервисы на их основе. У Microsoft с сервисами этими все плохо было как и с их интеграцией.
Мелкомягкие как всегда тормозят, по этому было очень ожидаемо, что они напихают в свою новую систему интеграцию со своими облачными сервисами, рекламой и т.д.
Так что все вполне понятно, как и отказ об ответственности и полное нарушение приватности.
Естественно будет гоняться тонна ненужной информации, который может воспользоваться MIM.
Причем дело может быть вовсе не из-за того что «big brother is watching you», а потому-что что-то на вырост сделали, а «вот эти данные нам НАВЕРНОЕ пригодяться» и т.д.
Да и зная мелкомягких — стопудово где-то что-то не доделают, не защитят и т.д.
Т.е. будут утечки, и, возможно, даже если корпорация не будет пользоваться этой инфой, ей будет пользоваться кто-то третий.
По этому все давно уже решено — большинство народа среди моих знакомых (программеры / менеджеры проектов / дизайнеры ) сидит на никсах / оси и чувствуют себя отлично.
Винда если и стоит — то семерка. А все остальное в виртуалочках / дуалбутах.
У меня например в дуалбуте стоит W10 64 + FW + стим (конечно же ДЛЯ РАБОТЫ :))
И чем дальше будет прогресс идти — тем все меньше будет оставаться анонимности — смиритесь уже. Будущее Вашей анонимности будет только в Ваших руках. А пытаться уповать на законы, людей и сильных мира сего и т.д. — абсолютно бесполезно, ибо бабло побеждает зло, как известно. Зло в данном случае это мы.
P.S. вот тут в очередной раз посчитали количество маков в использовании… печаль, маком не пользуюсь только я, секретарь и главный бородатый админ ))) в конторе технарей и бывших технарей (манагеры проекта) + дизайнеров около 70 человек. 68 — мак про / эир.
Звонок был с номера банка, звонившая была моим менеджером этого банка (представилась, назвала ФИО и должность — я уже работал с ней в этом банке) и сказала секретную фразу банка — так что подтвердили 3 способами ;)
Изначально посыл был в том, что пользователи далеко не всегда читают то, что пришло с кодом подтверждения. Т.е. CWYS здесь ничем не лучше обычных OTP — про что я, собственно, Вам и написал :) И в данном случае он ничем не поможет, ИМХО. Пользователь тупо подтвердит транзакцию, ну да, зато теперь подписанную :)
Вы про CWYS?
Там тоже не все гладко, если пользователь работает через фейковый интерфейс, то все данные за него формирует он.
Ну или я не понимаю технологию. Смотрите:
1) пользователь в фейкфейсе делает транзакцию на 100 рублей
2) в реальном интерфейсе делают перевод на 1000р — вся информация попадает в OTP, окей
3) пользователь вводит код (который от совсем другой операции) и подтверждает его
4) и где защита?
Если таких вариантов не много (подозрительные транзакции) — я, к сожалению, не знаю статистики — но Вы знаете — может есть вариант обзванивать данных пользователей, до подтверждения транзакции со стороны банка ( т.е. после OTP от пользователя ).
По поводу примеров.
Могу привести Райфазен, правда там было не совсем OTP ))
При подозрительной транзакции, после подтверждения со мной связались из банка, проверили меня секретным вопросом и уточнили, реально ли я хочу сделать данную транзакцию.
Любая защита — это вообще не удобно для пользователя.
Тут соблюдается баланс — в случае, если пользователь имеет отношение с публичными компаниями — OTP будет спрошен один раз. Это не доставит никаких неудобств.
В случае подозрения будет спрошено два раза — это во-первых даст возможность в случае проведения таки такого платежа, ткнуть, что Вас предупреждали два раза, во-вторых сильно повысит внимательность пользователя, но да, через его неудобство, увы.
Грубо говоря следующие действия:
1) от имени юзера происходит операция, запрашивается OTP на нее
2) на телефон юзера приходит сообщение «Перевод XXX рублей на счет ZZZZ, если вы подтверждаете это, используйте код YYYY
3) пользователь не читает, вводит YYYY
4) система в банке проверяет, имел ли дело данный пользователь с этим счетом, если нет — генерит еще один OTP
5) приходит еще одна смс — вы не разу не работали с данным счетом и действительно хотите перевести на него XXX рублей? Для подтверждения используйте код CCCC
На второй раз пользователь очень вероятно, что поглядит текст СМС. Это не панаяцея, но думается, что большинство людей не попадутся.
Главное, что сообщение об отсутствии взаимодействия с данным счетом приходило именно вторым, не первым. Первое никогда не читают.
Ну да, только вот степень залипания будет разной :)
Ну и согласитесь, что чем быстрее сервак избавляется от бота — тем меньше он залипает.
DOS разный бывает, бывает кроме него просто флуд.
а к Автору:
А если честно все это — даже не велосипед, это костылестроение.
В случае определения что зашел бот — нужно как можно более быстро и с минимальным количеством ресурсов избавиться от него, а не пытаться использовать. Иначе сервак захлебнется при флуде или досе.
Обычно сообщается IP антифлудеру вместе с датой (чтобы обновить / продлить бан ) и выходится, усе — в следующий раз оно не пройдет. Просто при бане по IP (если он есть) есть риск забанить прокси, через которую сидят кроме бота и невинные пользователи, по этому бан обычно по времени или есть возможность выхода из него при нормальной активности.
Иногда можно репортить IP/хэш от всего, к чему можно привязаться у пользователя (UserAgent, система и т.д.) — это помогает делать бан более избирательным и гибким.
Мой Вам совет разобраться во всем этом, прежде чем «картины писать». Ибо у Вас велосипедостроение + непонимание как что работает и как нужно = костылестроение (ибо свой велосипед далеко не всегда плохо, а вот велосипед без понимания — это костылище).
И не в обиду Вам будет сказано — я бы гнал таких вот любителей натюрмортов из команды поганой метлой.
Во-первых гугл имеет право на любые правила в ИХ СОБСТВЕННОМ продукте — Android OS. ФАС может к ним пидраться — да. Только законы у ФАС в разных странах немного разные :)
Во-вторых, гугл имеет право на любые правила, касающиеся ИХ ПРОДУКТОВ — в данном случае, сервисов — для Android OS.
Он не запрещает юзать систему сторонним компаниям — юзайте, но без севисов гугл.
В отличие от того-же MS, на который наезжали по поводу IE, гугл разрешает юзать что угодно, кроме своих сервисов или только их сервисы. Они имеют на это право, т.к. создали с нуля их, как и экосистему. Яндекса там даже рядом небыло,
Выходит как всегда выходит у нас — т.е. через жопу.
У меня очень много знакомых в Яндексе, и после того, как компания стала катироваться на бирже, там резко все перекосилось в сторону бабла.
Т.е. нашли баг где-то серьезный — играем в молчанку — т.к. это может негативно сказаться на катировках ну и т.д. Стали урезать штат, давить на людей в штате (в том числе и за то, что те пытались что-то рассказать коммьюнити — например о внутренней кухне).
Зато понты стали многократно умноженные — надо же как-то поддерживать свой иммидж. Кто-то его поддерживает делами, а кто-то пшиком. На конференции яндексовских докладчиков обязывают делать атмосферу сложности и элитности (сами докладчики говорили мне про это).
Лично я вообще не использовал и не использую Яшу — потому что как тематический поисковик он нормально не ищет вообще, а как поиск по товарам насмерть засран крупными сетями и сеошниками.
Все это в купе + сотрудничество с нашими властями и отсутствие какого-либо более-менее своего суверенитета и мнение доверие к нему лично у меня подрывают очень сильно.
Перестал он быть гиковской высокотехнологической, свободной компанией. Виной всему – бабло.
Гугл тоже сейчас идет по похожему пути, но толи потому что он больше, толи потому что люди там смелей они все еще остаются более-менее свободными с более-менее своим мнением – а это для меня важно.
Ну и последним камнем в огород Яндекса была вот эта заява в ФАС. Мало того, что это борьба с конкурентами а-ля 90-е, так это еще и просто роспись в своей беспомощности.
Т.е. мозгом конкурировать они не могут, и тупо пошли к сильным мира сего.
Т.е. типа как наш Автоваз ныл когда-то «мы мол с нашими технологиями конкурировать не можем с западным производителем, давайте тогда Вы, правителсьтво, подниметие цену на ввоз иномарок и тогда мы точно также будем сидеть, ничего не делать и получать за свои волокуши бабло!»
Здесь точно также. Причем лицемерие просто страшное, они еще и статью накатали на хабре «Мол, мы не виноватые, это все – страшный гугол, он нам не дает работать»
Вобщем, подводя итог, очень печально, что компания, название которой когда-то вызывало гордость, стала очередной стандартной российской компанией по добыче бабла любыми методами.
Что-то последнее время это модно – drweb тут недавно тоже отличился, отжав группу создателя, причем минуя все правила, используя администрацию VK напрямую.
У меня, вообще, складывается впечатление что все наши «высокотехническиенанокомпании” принадлежат одной и тойже группе владельцев :) Ну Вы поняли.
Конечно это все ИМХО, но Яндексу я скажу свое «прощай». Погоды это конечно не сделает, но хоть на душе будет лучше. А вот если это сделаю не один я, быть может, они задумаются.
То, что Вы предлагаете здесь — очередной велосипед, потому что:
Вобщем, Вы боритесь не так и не с тем. Мало того, при бане IP, если на Вас таки напал ботнет — Вы только просаживаться будете по производительности, но с ботом так и не справитесь. Почему — читайте матчасть.
Очередные от Вас security through obscurity + вредные советы.
P.S. подумайте, почему другие сайты не практически не пользуются такими методами, за исключением особо важных банковских и т.д. систем — но там совсем другая кухня и уровень. Там используется «весовая» пометка слепков IP + действий и т.д. Делать такое на простом сайте — это беccмысленно и беспощадно.
А так да, полностью согласен, что использовать надо лишь тогда, когда ооочень необходимо, ввиду неочевидности и сложности действия. Юзабилисты всегда говорят на такой ивент аяяй :)
o — объект для кторого проводится действие
ev — объект (например event у jQuery, или любой другой — в нем будет меняться свойство type)
ev.type = "_click" — одно нажатие
ev.type = "_dblclick" — двойное нажатие
работать так:
У Вас излишне сложно, хотя более правильно. Но это далеко не всегда нужно.
Мелкомягкие как всегда тормозят, по этому было очень ожидаемо, что они напихают в свою новую систему интеграцию со своими облачными сервисами, рекламой и т.д.
Так что все вполне понятно, как и отказ об ответственности и полное нарушение приватности.
Естественно будет гоняться тонна ненужной информации, который может воспользоваться MIM.
Причем дело может быть вовсе не из-за того что «big brother is watching you», а потому-что что-то на вырост сделали, а «вот эти данные нам НАВЕРНОЕ пригодяться» и т.д.
Да и зная мелкомягких — стопудово где-то что-то не доделают, не защитят и т.д.
Т.е. будут утечки, и, возможно, даже если корпорация не будет пользоваться этой инфой, ей будет пользоваться кто-то третий.
По этому все давно уже решено — большинство народа среди моих знакомых (программеры / менеджеры проектов / дизайнеры ) сидит на никсах / оси и чувствуют себя отлично.
Винда если и стоит — то семерка. А все остальное в виртуалочках / дуалбутах.
У меня например в дуалбуте стоит W10 64 + FW + стим (конечно же ДЛЯ РАБОТЫ :))
И чем дальше будет прогресс идти — тем все меньше будет оставаться анонимности — смиритесь уже. Будущее Вашей анонимности будет только в Ваших руках. А пытаться уповать на законы, людей и сильных мира сего и т.д. — абсолютно бесполезно, ибо бабло побеждает зло, как известно. Зло в данном случае это мы.
P.S. вот тут в очередной раз посчитали количество маков в использовании… печаль, маком не пользуюсь только я, секретарь и главный бородатый админ ))) в конторе технарей и бывших технарей (манагеры проекта) + дизайнеров около 70 человек. 68 — мак про / эир.
Там тоже не все гладко, если пользователь работает через фейковый интерфейс, то все данные за него формирует он.
Ну или я не понимаю технологию. Смотрите:
1) пользователь в фейкфейсе делает транзакцию на 100 рублей
2) в реальном интерфейсе делают перевод на 1000р — вся информация попадает в OTP, окей
3) пользователь вводит код (который от совсем другой операции) и подтверждает его
4) и где защита?
Если же их много, то да, вопрос, как обойтись…
Могу привести Райфазен, правда там было не совсем OTP ))
При подозрительной транзакции, после подтверждения со мной связались из банка, проверили меня секретным вопросом и уточнили, реально ли я хочу сделать данную транзакцию.
Во-вторых, еще раз — в случае публичных компаний Вы вообще ничего не заметите — OTP будет один.
Тут соблюдается баланс — в случае, если пользователь имеет отношение с публичными компаниями — OTP будет спрошен один раз. Это не доставит никаких неудобств.
В случае подозрения будет спрошено два раза — это во-первых даст возможность в случае проведения таки такого платежа, ткнуть, что Вас предупреждали два раза, во-вторых сильно повысит внимательность пользователя, но да, через его неудобство, увы.
1) от имени юзера происходит операция, запрашивается OTP на нее
2) на телефон юзера приходит сообщение «Перевод XXX рублей на счет ZZZZ, если вы подтверждаете это, используйте код YYYY
3) пользователь не читает, вводит YYYY
4) система в банке проверяет, имел ли дело данный пользователь с этим счетом, если нет — генерит еще один OTP
5) приходит еще одна смс — вы не разу не работали с данным счетом и действительно хотите перевести на него XXX рублей? Для подтверждения используйте код CCCC
На второй раз пользователь очень вероятно, что поглядит текст СМС. Это не панаяцея, но думается, что большинство людей не попадутся.
Главное, что сообщение об отсутствии взаимодействия с данным счетом приходило именно вторым, не первым. Первое никогда не читают.
Если так, то я не правильно понял ситуацию.
В этом случае спасает сообщение + двойное подтверждение, ибо врядли до этого юзер имел дело с аккаунтом данного мистера.
Есть еще одна штука, почему не читают сообщения с OTP — очень часто они засраны рекламой, если этого не было — пользователи были бы более внимательны.
Ну и согласитесь, что чем быстрее сервак избавляется от бота — тем меньше он залипает.
DOS разный бывает, бывает кроме него просто флуд.
а к Автору:
А если честно все это — даже не велосипед, это костылестроение.
В случае определения что зашел бот — нужно как можно более быстро и с минимальным количеством ресурсов избавиться от него, а не пытаться использовать. Иначе сервак захлебнется при флуде или досе.
Обычно сообщается IP антифлудеру вместе с датой (чтобы обновить / продлить бан ) и выходится, усе — в следующий раз оно не пройдет. Просто при бане по IP (если он есть) есть риск забанить прокси, через которую сидят кроме бота и невинные пользователи, по этому бан обычно по времени или есть возможность выхода из него при нормальной активности.
Иногда можно репортить IP/хэш от всего, к чему можно привязаться у пользователя (UserAgent, система и т.д.) — это помогает делать бан более избирательным и гибким.
Мой Вам совет разобраться во всем этом, прежде чем «картины писать». Ибо у Вас велосипедостроение + непонимание как что работает и как нужно = костылестроение (ибо свой велосипед далеко не всегда плохо, а вот велосипед без понимания — это костылище).
И не в обиду Вам будет сказано — я бы гнал таких вот любителей натюрмортов из команды поганой метлой.