Это не совсем так. Я вот буквально на днях делал интеграцию с платёжным сервисом (Stripe), и выяснилось немало любопытных и странных подробностей про то, как устроены подписки. По факту то, что показывается юзеру при получении первой оплаты почти никак не связано с тем, когда и сколько с него будут пытаться списать на самом деле. Равно как и наличие поддержки 3D Secure на карте в большинстве случаев вовсе не обязывает продавца использовать 3D Secure — там много нюансов, начиная с значительно большей сложности реализации и UX из-за появляющейся асинхронности и заканчивая оценкой рисков что клиент отменит оплату после получения услуги "я это не оплачивал". В результате никто не пытается никого обмануть, но баги, попытки упростить реализацию, и желание "совсем без обмана" подписать юзера на регулярные платежи делают своё дело. На западе это, по слухам, компенсируется тем, что юзер может действительно легко отозвать оплату, если считает что её с него брать не должны были. С нашими банками проще не допускать такие оплаты нежели оспаривать их постфактум.

Это правила выживания в том мире, в котором мы оказались. Да, можно и нужно пытаться сделать мир лучше. Но метод "надел розовые очки и всё стало намного лучше" — не работает.

Отдельная карта для платежей. Деньги на неё закидываются непосредственно перед тем, как нужно за что-то заплатить. Желающие внезапно списать с неё что-то идут лесом или удовлетворяются суммой порядка нескольких долларов, которая случайно завалялась на карте как остаток предыдущих платежей.

Да, закидывать деньги на неё перед каждой оплатой — это лишние телодвижения, зато есть гарантия что расходы реально контролируются. Главное держать основные средства на карте, данные которой никогда в инете не светить, а лучше вообще отключить для неё возможность оплаты через инет.

Да без проблем: https://ru.wikipedia.org/wiki/Абсолютная_монархия

Честно говоря, лично меня раздражает не столько факт того, что закон для всех разный, сколько то, что народ тупо и нагло дурят, создавая иллюзию демократии. Лучше бы уже короновали Путина, узаконив то, что и так уже по факту есть, и перестали притворяться что в стране конституция и демократия. Заодно у него появилось бы больше желания и возможностей давить коррупцию, и меньше ресурсов бы тратилось на блокировки и подавление оппозиции. Ну, это в романтично-идеальном случае. :)

Эта идея значительно старше https://ru.wikipedia.org/wiki/Билет_на_планету_Транай и вряд ли она работает — насилие порождает ещё больше насилия, способов закрыть такие аукционы смерти полно, и у тех, кто заинтересован в их закрытии более чем и власти и денег чтобы это реализовать. Более того, не удивлюсь если в даркнете такое уже существует, но скорее в качестве средства поиска и найма фрилансеров нежели для борьбы с политиками через краудфандинг.

Лично я верю в ровно один способ решения этой проблемы — через повышение осознанности населения. Это долгий путь, но зато без большой крови и бега по одним и тем же граблям по бесконечному кругу.

Проблема в том, что когда политики начитают слишком уж зарываться, игнорировать обратную связь, и считать что им всё дозволенно… заканчивается всё плохо. Сейчас им кажется, что они научились контролировать население, что можно за всеми следить, можно заблокировать распространение нежелательной информации… но это не сработает, максимум — затянет процесс и сделает результат ещё более кровавым. Но людям свойственно надеяться на лучшее, и политики тут не исключение, так что они будут гнуть свою линию до последнего, это уже вполне очевидно.

Ну, надо же хоть раз пройти этот процесс абсолютно до конца, чтобы публично получить решения судов всех уровней наглядно доказывающие, что закон в принципе не работает в отношении гос.учреждений когда с другой стороны не чиновники, и что с ними надо бороться другими методами (напр. самим становиться чиновниками — а вы что подумали? :)).

Потому что отсутствие такого наглядного доказательства приводит к тому, что многие наивно пытаются чего-то добиваться тратя энергию на суды, которые (когда за здравый смысл и против гос.учреждений) заканчиваются ровно ничем, а сил/времени на что-то ещё уже не остаётся.

Если не путаю, у меня тогда был RPS порядка 900. Помню, огорчался что до тысячи не дотянул немного. Но… это был Perl 15 лет назад на одном 10Mbps сервере. Думаю, сейчас и на Go можно выжать намного больше 2k.

Я в начале 2000-ных на Perl+epoll писал подобное. Скорость получил довольно грубым методом: в процессе резолва имеющихся доменов я получал адреса их DNS-серверов, после чего просто проверял не открыт ли на этих серверах рекурсивный ресолвинг всем желающим — и таких было довольно много, так что дальше к ресолвингу подключались найденные "халявные" DNS-сервера. Очень быстро их набиралось достаточно много, чтобы рейт запросов к каждому был достаточно низким и никого не напрягал. Единственно что, на всякий случай делал дублирующую проверку через другой DNS, на случай если кто-то из "халявных" это специальный ханипот возвращающий левые ответы.

Сами пакеты никого не будоражат. А вот их блокирование… Если путать причины и следствия, то можно далеко зайти. Приложение просто пытается работать, обходя блокировки. Если обход блокировки приложением экстремизмом пока не считается, то идём дальше. Для обхода приложение маскируется под популярные приложения — вовсе не с целью кого-то будоражить, потому что никого будоражить отправкой своих пакетов своему серверу невозможно в принципе, а целью помешать блокированию своих пакетов из соображений "чтобы не будоражить народ". Если эти соображения кого-то не остановили, и он всё-таки заблокировал эти пакеты — то будоражит народ именно он. Я к тому, что идеи/задачи "будоражить людей" ни в этих комментариях, ни в предложении использовать популярные сайты для маскировки — нет. Наоборот, идея в том, что это поможет обойти блокировки потому что никто не захочет "будоражить".

P.S. Даже более того. Идеи помогающие телеграму обходить блокировку направлены на то, чтобы меньше будоражить людей из-за неработающего телеграма. :)

Где конкретно экстремизм? В том, что приложение посылает такие сетевые пакеты на собственный сервер какие ему хочется посылать? Или в том, что провайдер блокирует пакеты нарушающие работу популярных сервисов? РКН последние полтора месяца активно этим занимался лично, что-то его пока никто в экстремизме обвинять не пытается, хотя давно пора…

Никто никого не порвёт, разумеется, но сама идея будоражить, причём не избирательно а сразу всех — что-то в этом есть. :)

Такое вроде умеет искать https://www.shodan.io/

Читаю бумагу редко. Есть всего два кейса:

1. Несколько авторов, которых реально хочется и покупать в бумаге (чтобы поддержать автора) и читать в бумаге (Фрай, например).
2. Техническая литература, которая на читалке тупо неудобна для чтения (размер экрана читалки меньше размера бумажной страницы многих технических книг, которые во-первых нередко больше по размеру чем художественные, и в которых нередко встречаются схемы/таблицы, которые на читалке рассматривать трудно).

Покупать перестал (кроме вышеупомянутых исключений) по простой причине: все шкафы забиты книгами, тупо некуда положить новые (в тех количествах, в которых я их читаю). Половину имеющихся можно было бы без жалости сдать на перепродажу (не ради денег, а потому, что на мусорку вынести рука не поднимется никогда), но руки до этого не доходят уже лет 5, и скорее всего ещё столько же не дойдут.

Сейчас покупаю бумагу либо в подарок, либо любимых авторов "в коллекцию", либо вышеупомянутые два кейса. Как выживают книжные — для меня тоже загадка.

Для начала, не надо подсказывать РКН. Там явно работают не звёзды, судя по тупым ошибкам, которые регулярно совершаются, так что чем меньше мы им будем подсказывать, тем дольше они будут вычислять.

Кроме того, не всё так просто и за log2(n) это вычислить невозможно. Простой пример: 4 провайдера, log2(4)=2 попытки. Если данные сливают все, кроме одного провайдера — за 2 попытки мы это никак не выясним. Но это edge case, обычно всё проще… поэтому и не надо подсказывать.

Есть технические средства, которые заблокировать получится только выключив интернет и сбив кучу спутников. Другое дело что скорость работы этих средств пока не впечатляет, котиков с ютуба через них смотреть будет проблематично, и массового распространения в связи со всем этим они никогда не получат.

Если сливает несколько источников, то можно включать только данные одинаковые у всех. Это сильно замедлит попытки что-то вычислить.

Кроме того, РКН работает за налоги, исполняет публичные решения суда — разве результат этой работы не должен быть так же публичен как базовый чёрный список? Иначе получается, что РКН по своей воле изменяет некоторые решения суда (так и есть, но ведь это вроде как незаконно) и пытается препятствовать определению этого факта.

Мне тоже (собственно, у меня так всё и настроено давным-давно). А комбайн нужен тем, кто сам поставить и настроить "только нужное" не в состоянии либо не хочет заморачиваться.

Ну, поскольку этот комбайн служит одной цели, ставится из одного источника, etc. — его вполне можно воспринимать как одно приложение. Глубокое внедрение в систему — это проблема только если в этой системе установлено что-то ещё, чего в данном случае лучше просто не делать.

Поверю, почему нет. Но тогда неясно, почему Вы считаете эти телодвижения лишними? Если Вы поставили новое приложение, да к тому же такое масштабное что заняло целый сервер, то, предположительно, оно Вам нужно. В этом случае бэкапить его и иметь способ восстановления нужного приложения — это ни разу не лишние телодвижения.

Проблема, вероятно, в том, что Вы не считаете это приложение нужным для себя. Проще продолжать юзать gmail, вероятно. В этом случае любые дополнительные накладные расходы ради не нужного приложения — безусловно будут раздражать. Ну так не ставьте его, раз не нужно, это снимает сразу все проблемы разом.

Я думаю основной защитой для всех нас выступает паранойя компаний — гораздо выгоднее много лет спокойно

Полагаться на то, что в данный момент владельцы компании считают более выгодным для себя — по меньшей мере странно. И даже если компания реально следует политике защиты своих пользователей, don't be evil и прочее — она может разориться, её могут внезапно (привет, github) купить, её могут взломать и украсть эти данные…

Если она не скрывалась — зачем гугл кардинально переписал свои полиси из-за GDPR? Было бы всё хорошо изначально — не пришлось бы переделывать.

Любое запущенное Вами приложение может устроить из компа, на котором его запустили, "проходной двор" — вы не контролируете что и как делает это приложение. В данном случае ситуация намного проще: отдельный сервер, на нём одно приложение. Шансы на то, что там будет проходной двор намного ниже, чем у обычного сервера или десктопа с кучей приложений.

Что до лишнего времени — время на бэкапы и механизм быстрого восстановления не лишнее. "Люди делятся на тех, кто не делает бэкапы, и тех, кто уже делает." — вероятно Вы ещё в первой категории, и можете пока наслаждаться "сэкономленным" временем, пока не случится то, что наглядно докажет ложность этой экономии.

Всё просто. Я могу отвечать только за то, что контролирую. Т.е. за свои действия.

Налоги не платить не получится нигде, нету стран без налогов… и даже если не платить явные налоги, то полно скрытых вроде таможенных сборов и НДС, так что стоит что-то купить в магазине — и налоги уже уплачены. А раз это нельзя контролировать — нет смысла об этом беспокоиться.

Можно сменить страну, и для многих это выход. Оставшиеся могут пойти в политику, пытаясь что-то изменить, но многим это противно или тупо не интересно — время этой жизни не бесконечно, и надо выбирать, на что его тратить.

Если в результате выбрали оставаться в этой стране и не заниматься политикой, то это ещё не трагедия: остаётся множество возможностей чем и как заниматься так, чтобы улучшать мир, а не портить его. И вот где-то здесь мы и доходим до выбора работать на роскомпозор или нет.

Странная постановка вопроса. Я говорю о том, что цена не должна скрываться и прятаться в тенях. А Вы о том, что я должен эту цену назначить. Я не должен — пусть компания сама решает, что ей от меня нужно. Суть в том, что она должна цену назвать явно. А дальше я либо соглашусь её платить, либо уйду к конкурентам. Вместо этого сейчас компании пытаются удерживать юзеров скрывая реальную цену, которую они платят — это неправильно и так быть не должно.

Кто Вам сказал, что "механизм борьбы" — он один? Они уже продавили блокирование сайтов для защиты порнографии от детей, теперь продавливают следующие законы для блокирования поисковой выдачи… это процесс, и он идёт. Идёт на нас. Войной.

И какое Вам дело до ресурса сервера? Сдохнет — запустите следующий. Бэкапы всё-равно надо делать, равно как и иметь механизм быстрого восстановления. Сервер рождён работать, а не ресурс экономить, вот и пусть работает.

Ещё раз. Слабый сервер. На котором ничего кроме этого cloudron не установлено. Майнер не увеличит стоимость оплаты сервера, так что пока он не тормозит основной функционал — пускай гоняют.

На самом деле проблема не в майнере, а в том, что этот сервер может использоваться как прокси для любой деятельности, что может привлечь внимание органов. Но это и так происходит везде просто из-за дыр в безопасности, достаточно поставить WordPress… :)

Это не так. Публичные сервисы вроде gmail и google.com позиционируются не как сервисы оплачиваемые обязательным сбором личных данных, а как бесплатные. Иными словами гугл не предъявляет требований к каждому, кто что-то ищет на google.com, чтобы тот в качестве оплаты предоставил море приватных данных о себе. И знаете почему? Потому что если они попытаются это сделать явным и обязательным, то юзеры тупо разбегутся.

Поэтому на самом деле правда выглядит так: компания предоставляет как-бэ бесплатный сервис (исключительно с целью заманить как можно больше юзеров), после чего всеми правдами и неправдами пытается получить с этих юзеров всё, что в принципе возможно, причём так, чтобы они как можно дольше даже не догадывались о том, что они оплачивают этот "бесплатный" сервис и чем именно. Именно поэтому в GDPR отдельно оговаривается: "Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто." — потому что компании стараются либо вообще этого не сообщать, либо сообщать в такой форме, чтобы никто не захотел это читать.

Так что ничего мы гуглу не должны. Мы имеем полное право пользоваться "бесплатным" сервисом, и при этом всеми силами стараться избежать того, чтобы гугл с нас всё-таки взял нужную ему оплату. Если гуглу это не нравится — пусть делает сервис платным, и явно указывает чем его нужно оплачивать. Вы ведь предпочитаете видеть ценники в магазине до того, как принесёте товар на кассу, верно?

P.S. Кстати, иногда гугл явно указывает требования. Например, в последние годы для создания ящика на gmail появилось требование сообщить свой мобильный телефон. Окей, гугл, меня это не устраивает, новые аккаунты я теперь создаю в других сервисах. Тут — всё честно, они в своём праве, и я выбираю не пользоваться их сервисом.

Не пользовался cloudron, но зачем столько лишнего доступа? Если оно ставится в AWS, то банально запускаете слабый выделенный инстанс EC2 эксклюзивно для cloudron, создаёте в IAM токен доступа ограниченный возможностью что-то делать только с этим инстансом, создаёте отдельный гугл-акк (а зачем он вообще cloudron?), etc.

Моя паранойя говорит о том, что все варианты установки чего-либо в стиле curl … | bash нужны для того, чтобы иногда можно было возвращать скрипты, которые делают что-то отличное от установки ожидаемой программы. Но на практике, сколько проверял — пока всё было чисто. И, надо признать, иногда такой способ установки действительно удобнее прочих — особенно когда установка выполняется внутри докера или на новом сервере выделенном под одну (эту) задачу. Тем не менее — да, стрёмно. И лучше всего когда помимо такого способа "для ленивых" есть более традиционный через гитхаб.

Вы правы, юзер не знает, что ему нужно. Я некорректно сформулировал: юзер указывает категории своих интересов и предпочтений. Т.е. ровно то, что пытается автоматически вычислить бигдата из действий юзера.

К сожалению, это не всегда возможно. Shit happens.

не вижу особой проблемы в том, чтобы полиция (или даже злоумышленник) узнал, что я по лестнице ночью поднимаюсь

Это ровно до того момента, когда от таких вещей будет зависеть где вы проведёте следующие лет 5 — дома, или в другом месте, менее комфортном.

В линуса у меня больше веры

Вера тут не при чём. Он лично не в состоянии контролировать каждую строку кода. И в прошлом были инциденты, когда подозрительный код удавалось внедрять в крупные опенсорс-проекты через группу безобидных коммитов, равно как и были инциденты со взломом серверов и подменой исходников/бинарников с релизами.

У меня Gentoo, mutt и gpg2, можете не объяснять как это работает. :) Тем не менее, провайдер (если SMTP без TLS, а обычно оно именно так) видит в моих, зашифрованных mutt и gpg2 письмах, все эти метаданные. А если у меня SMTP с TLS на тот же gmail, то эти метаданные видит гугл. Так что особой разницы нет. Ну или я не понял Вашу мысль.

Я отказываюсь. Без вариантов. У меня 2FA включен только там, где это дают сделать не разглашая мой номер телефона. Единственное исключение — банк, но он и так знает номер телефона, так что без разницы. Если по работе требуют — без проблем, но только на рабочий же телефон, предоставленный компанией.

Не надо делать 2FA на СМС и вообще номер своего телефона сообщать не стоит. 2FA отлично работает через кучку совместимых между собой приложений использующих TOTP. Когда пароли в KeePass плюс ещё и 2FA через такое приложение — ну, успехов всё это взломать (хинт: паяльником намного проще и дешевле выйдет).

К сожалению, его мало установить. Когда выяснится, что письма от него отказывается принимать куча серверов придётся настраивать и поддерживать некоторое количество всего, начиная от DNS (reverse PTR, SPF, etc.) и заканчивая регулярными запросами на удаление из спам-баз рэкетиров вроде SpamHaus.

Помимо гугла следят тысячи других — каждому платить задолбаемся, плюс по сути это уже рэкет: плати, или я за тобой слежу и сливаю данные всем желающим. Кроме того, изначально вся эта слежка родилась для того, чтобы реализовать полезный функционал, и отключить её можно только вместе с этим функционалом.

Проблема не в том, что они следят. И не в куче "сырых" данных кто, когда, с какого IP, в каком месте странички кликнул мышкой. Проблема в обработанных данных, готовых к использованию (имя, IP, телефон, предпочтения, покупки, контакты, etc.), которые сливаются неизвестно кому и используются с неизвестными целями. Если юзер будет контролировать что именно включается в обработанные данные и кто имеет к ним доступ — острота проблемы сильно снизится.

Я так понимаю, эту проблема надо репортить сюда: https://duck.co/feedback/relevancy/-

Проблема в том, что мы без понятия чего она стоит или нет — до тех пор, пока не случится какая-то крупная фигня. А есликогда она случится — будет уже поздно, потому что забрать обратно собранные про нас данные невозможно.

Поэтому мой здравый подход — малые усилия это то, что можно сделать однократно, пусть даже придётся разобраться и что-то настроить или заплатить $5/mo. Раньше это включало патч ядра линуха GrSecurity, настройку XPrivacy на андроиде, свой VPN и uMatrix в браузере, ну и никаких соц.сетей кроме хабра… сейчас с GrSecurity и XPrivacy "всё сложно", к сожалению.

Когда у юзера появится реальный контроль над тем, какие данные по нему собираются, как они используются, и кому они доступны. Т.е. скорее всего никогда. В отсутствие этого контроля всё, что можно сделать, это стараться минимизировать сбор этих данных — о чём и речь в статье и остальном нытье на эту тему.