Pull to refresh

Comments 80

надо в опрос добавить вариант: «не поддерживаю их действия, но юридически возможно»
нашёл у них политику конфидициальности, там написано:

Предоставление доступа к информации

2. Если нужно обработать информацию от имени компании, то она предоставляет такие данные своим аффилированным и дочерним компаниям и некоторым доверенным лицам и организациям. При этом ее главным требованием при обработке подобных данных является следование строгим инструкциям и соблюдение настоящей политики конфиденциальности, а также принятие других, необходимых для защиты конфиденциальности мер.

То есть если это некто «aidata» их афилированная компания, то вроде как и законно. Но вот является ли она таковой?
Вы не обратили в конце публикации я в p.s. сразу добавил на этот счет:
при установке WordPress плагина от uLogin не требуется регистрация на их сервисе. А это значит что пользовательское соглашение, что они разместили на своем сайте — не имеет юридической силы
Как раз таки заметил, более того, где-то у вордпресса было (не помню где), что конфидициальность работы со сторонними плагинами не гарантируется.

Это освобождает от ответственности сам вордпресс (если этот пункт признают законным), но не создателей плагина, которые сливают данные в обход закона.

Ага, теперь почитайте соглашение создателей плагина, то есть uLogin. Важную выдержку оттуда я привел выше

А тут как раз вступает в силу то, на что указал автор.
Соглашение, на которое пользователь не соглашался (т.к. никак с ним не пересекался), не имеет силы.
Хотя как работает российское законодательство в этих вопросах я не спец.
Возможно, достаточно чтобы в описании плагина было написано "скачивая и устанавливая этот плагин, вы соглашаетесь с [ссылка]".

Ничего удивительного. Если вы пользуетесь чем-то бесплатно, то вы не клиент, вы товар. Вам ничего не должны, и на вас будут зарабатывать так, как смогут. Наверняка, они ещё и базы емайлов пользователей, проходящих через них, продают.

p.s. сам сервис совершенно бесполезен. Если вы программируете сами, или у вас есть свой разработчик, то прикрутить авторизацию через соц сети дело одного-двух дней. Если у вас какая-то готовая cms/фреймворк, то почти ко всем из них есть готовый плагин для этого.
Сторонний js — своих партнеров — они не контролируют его и сами не знают что их партнеры снимают с его помощью. В публикации я этот момент выделял жирным шрифтом.

Это все справедливо если вы работает на проекте и получаете с него прибыль.
Соц. сети переодически меняют свое и API и на поддержание хотя бы 3-5 провайдеров уходит время.


И с популярными CMS тоже не все так гладко. Нужно в каждой соц. сети получить токен\секрет и следить за изменениями в их API.
У меня есть небольшой проект на Drupal/MediaWiki.
Давайте рассмотрим вариант модулей доступных для них:
Drupal 8 — https://www.drupal.org/project/social_auth — до сих пор beta.
Drupal 7 — https://www.drupal.org/project/hybridauth — вероятно работает, переодически отваливается.
MediaWiki — https://www.mediawiki.org/wiki/Extension:SocialLogin — unstable, Latest version 0.9.9 (2012-11-26)
Возможно на других движках все гораздо лучше, но вариант "поставил и все работает" очень заманчивый. Однако это ни в коем случае не оправдывает поведение uLogin.

Вы так говорите, как будто клиент — не товар.
С точки зрения продажника клиент — очень ценный ресурс, превращать его в товар означает признать своё поражение как продавца.
При этом если клиент ничего не платит и не будет платить — то это вообще-то и не клиент.
Вот именно, что клиент — это ресурс. Его надо доить. Когда он перестаёт доиться — он может стать товаром, а может даже и не стать.
А сейчас этим еще пользуются? Годик назад сервис вообще не работал, пулялся 500 целый месяц мне при попытке авторизоваться на одном из ресурсов. И к тому же сам ресурс-то был — дичайшее старье. Больше я uLogin нигде не встречал. Вообще.
И ассоциации даже с ним тех времен, когда юзали всю эту тему на Kohana github.com/ulogin/ulogin-Kohana… КОХАНА, КАРЛ.

Наверное, это какая-то вордпрессовская фишка?
По мне так удивительно, использовать сторонний сервис для авторизации пользователей через сторонние сервисы. Странно было бы, если бы они не сливали все подряд любому, кто покажет доллар.

что виджеты социальных сетей, кнопки поделиться, счетчики поисковых систем — все они с нашего сайта собирают данные

Как хорошо, когда вся эта гадость локально заблокирована и не грузит ни браузер, ни внешний вид страницы.

Посоветуйте качественный аналог данного сервиса
У Яндекса был. Вроде и сейчас работает.
Один — забанен… второй- пару лет в оффлайне =)
HeadFore я так понимаю он разработчик uLogin — его публикация от 21 октября 2011 говорит об этом. Но интересно — он сейчас у руля этой команды?
Уже очень давно нет, в той публикации есть актуальные контакты.
Спасибо за ответ — а как вы оцениваете подобную ситуацию?

Читал вашу запись «Биглион освоил чёрное продвижение?» — вы в конце записи оставили «Update» — и говорили, цитирую:
В комментариях отмечают, что это может быть деятельность исключительно партнёров, что на самом-то деле не сильно обеляет компанию, если не противодействуешь, значит одобряешь.
Но со «скидкой»-лотереей на покупку Ford Focus, где ни ответа, ни привета о чёткой дате, когда хоть кто-нибудь сможет купить автомобиль со скидкой 70%, складывается ощущение, что они пытаются выжать максимум из тех сотен тысяч, которые придётся выложить для реализации акции, в последние дни.

Сейчас могу только как потенциальный пользователь оценить: негативно. Для своего проекта скорее всего бы писал код авторизации сам. Про цитирование поста про биглион не понял.
Про биглион — я заметил в той статье, что вы тоже крайне негативно отнеслись, когда компания начинает работать с партнерами и они в итоге начинают использовать черные методы.
Продукт бесплатный — а значит или отказаться или согласиться при условии что об этом будет сказано:
1. Если они хотят собирать данные:
1.1. пусть трекают через свой сервер и свой js скрипт (потому что я на своем сайте — контролирую работу своих скриптов, ну они будут контролировать работу своих — обеспечивая отсутствия в логах моего сайта ошибок, а не третья сторона — которая лезет: см. скрин выше в записи)
1.2. на странице плагина в ВП репозитории надо написать что они собирают и зачем
1.3. при активации плагина я должен согласиться с тем что они собирают данные. Если я не принял попап с этой информацией — плагин у меня работать не должен.

Больше 2-х месяцев не отвечать своим пользователям на площадке что они завели сами — это не дело.
Аналогично и на форуме поддержки плагина — больше месяца тишина. Если вы делаете сервис — вы ответственно должны подходить.

Но я выбираю отказаться от них. У меня пользователи входят с 3-х соцсетей максимум — буду токены прописывать сам и контролировать процесс.
1.1 «Пусть трекают так, а не иначе»
1.2 «Надо прописать»
1.3 «Они должны получать моё согласие так, а не иначе»

«Если делаете сервис — вы должны»

Внимание, вопрос: почему кто-то Вам что-то должен?
Вы договор с ними заключили?
Если да и они нарушили — идите в суд.
Если нет — нечего плакать. Никто Вас не заставлял использовать сторонний продукт.

Использование стороннего продукта — всегда риск (даже если продукт платный, даже если есть договор).
Если Вы этого не понимаете — ССЗБ.

ЗЫ. У них на странице русским по белому указано: «Другие сайты – эта политика конфиденциальности относится исключительно к службам uLogin. Сайты, на которые есть ссылки, непосредственно из этих служб, сайты, использующие продукты, приложения и службы uLogin компания не контролирует. Эти сайты могут самостоятельно помещать на электронное устройство пользователя файлы cookie, а также заниматься сбором данных или присылать запросы о личной информации.»
Кто Вам виноват, что вы не читаете?
У них на странице
— пользователь, ставя плагин из репозитория ВП ничего не знает про «их страницу» и их правила что они прописали. Только регистрируясь на их сайте ему дают возможность увидеть эти правила.

p.s. плагин из репозитория вордпресс безопасники удалили (закрыли возможность скачать)
Сейчас дополню пост
При работе какой-либо организации она должна исполнять местные законы (Евросоюз, РФ, ...). Законы о персональных данных — есть. При нарушении законов нарушитель преследуется по закону уполномоченными органами. Пользователь услуги (в данном случае — другая организация) может предполагать добросовестность другой стороны. У обычного участника рыночных отношений не должно быть особых прав по борьбе с нарушителями законодательства, соответственно, у него нет и не будет возможностей для расширенной проверки контрагента. А у уполномоченных органов это есть.
В данном случае пользователь обнаружил нарушения правил добросовестного ведения дел и законодательства, решил вопрос, обнародовал решение. Бизнес-среда от этого — улучшилась. Автор — молодец.
Давайте я изменю антураж, чтобы лучше разъяснить свою позицию.

Автор нашёл в парке на скамейке коробку с надписью «вкусный торт».
Он не пришёл в магазин, где совершил сделку купли-продажи «я вам деньги — вы мне торт». Не заказал торт в пекарне «сделайте мне такой-то и такой-то торт».
Нашёл и забрал. Никто никаких гарантий о содержимом коробки ему не давал. А маленькую записку, что лежала рядом с коробкой, автор проигнорировал.
С этой коробкой он пришёл в гости к знакомым.
Открыли коробку, стали пить чай. И в процессе чаепития выяснилось, что в качестве ингредиента в торт кто-то добавил собачье [censored].

Я не одобряю добавления [censored] в торты.

Но в сложившейся ситуации, на мой взгляд, виноват только автор — изготовитель торта не обещал, что его (изготовителя) цели совпадут с ожиданиями автора.
И более того — рядом поместил бумажку, которую автор либо невнимательно прочитал, либо не обратил на неё внимания.

Нет договора — не должно быть и ожиданий. Ожидаешь чего-то без договора — ССЗБ.
UFO just landed and posted this here
Поехали от конца к началу:

И да, оставлять испорченные продукты питания на скаймейке в парке с умыслом отравить других лиц — уже состав преступления. Даже если где-то рядом (да хоть на самом торте) была бумажка с описанием ингредиентов.
От [censored] не умирают.
Закон не запрещает изготовления [censored].
Закон не запрещает даже предоставления [censored] для потребления в пищу.
Закон от поставщика (не производителя!) только требует предварительно получить у потребителя галку «согласен потреблять [censored]».

Изготовитель торта не нарушил закон.
Он создал продукт, соответствующий закону.
И честно рассказал, что полученный продукт содержит [censored].
Нарушение закона может произойти при использовании определенного способа потребления данного продукта.

Нарушил закон автор, не получив от друзей перед чаепитием галку «согласен потреблять [censored]».

Автор может теперь рассказывать всем «я не знал, что там [censored]», но по закону виноват будет именно он.

И может сколько угодно кричать «изготовитель торта мне должен то-то и то-то». Изготовитель торта ему ничего не обещал, и поэтому — не должен.

Кроме того, пострадавшие — это не те, кто установил себе подобный виджет на сайт, а пользователи этого сайта, которые о uLogin могли никогда и не слышать.
Ещё раз — ответственность несет поставщик, а не изготовитель.
Именно поэтому виноват автор, накормивший непроверенным тортом друзей, а не изготовитель торта.

Без договора обычно ожидают исполнение требований законодательства. В том числе касательно персональных данных.
Создание торта с [censored] не нарушает никаких законов.
Предоставление такого торта потребителю — может.
Ожидания автора о том, что кто-то за него должен решать его проблемы — необоснованны.
Если потребитель торта отравится, у поставщика торта будут проблемы независимо от цены торта и наличия сопроводительных записок.
Отсутствие бумаги с заглавием «Договор ...» не означает отсутствие договора.
Когда владелец открывает магазин и вешает ценники на товар, он начинает действовать в рамках договора публичной оферты (офёрты?). Когда покупатель приходит с улицы и покупает в магазине товар, скажем, булку хлеба, он присоединяется к дорговору оферты (акцептирует его). Подтверждением заключения договора является кассовый чек.
Наличие или отсутствие бумаги с текстом договором, подписью и печатями — вопрос удобства.
Без закона о защите ПД WordPress не стали бы так быстро закрывать плагин от скачивания.
uLogin совершенно бессмысленный сервис, уже примерно около 5 лет. Как писали выше все давно сами делают авторизацию через соцсети, благо у всех соцсетей есть уже толковые API и SDK.
Но им пользовались, а их поведение никто в интернете не оглашал. Общественность должна знать.
Сам смотрю на вот этот набор «Hybridauth»: github.com/hybridauth/hybridauth
Мы тоже использовали HybridAuth, вполне вменяемо. Ну uLogin действительно когда то использовали (в далеко прошедшем времени), но как писал выше, его давно уже почти никто не использует. Поэтому у них и «плохие времена» и они сливают данные. Вы подождите немного, когда станет вообще плохо они подсунут JS лоадер с малварью.

Малварь это не модно. Майнеры — вот это по-молодежному!

Для кого придумали плагин Ghostery?
Ссылка Для хрома.
Джентельменский набор нового браузера:
AdBlock Plus (блокирует рекламу)
uBlock Origin (защищает IP от слива через WebRTC)
Ghostery (блокирует все трекеры и статистики)
HTTPS Everywhere (всегда использовать HTTPS)
и все это — в виртуальной машине, используемой только для веб-серфинга. Срок жизни такой машины должен исчисляться часами — пришел вечером с работы, поднял из шаблона, посерфил, перед сном — грохнул всю целиком, вместе со всем следящим дерьмом, которое расползлось по разным там каталогам, LSO, флэш-куки и прочему.
На этой ВМ вполне можно использовать Linux. Плюс, сейчас уже вроде есть какие-то решения для подделки browser fingerprinting, надо бы почитать.

Если лень ВМ шаблонить — регулярно использовать плагин Click&Clean.
Можно просто откат использовать к заранее сделанному снимку чистой ВМ.

Достаточно noscript и все. Сторонные ресурсы не будут подгружены.

AdBlock Plus (блокирует рекламу)
uBlock Origin (защищает IP от слива через WebRTC)

Я, наверное, скажу общеизвестную вещь, но uBlock тоже блокирует рекламу.
А я вам скажу такую вещь, что большенство из этих плагинов трекают вас, либо могут быть использованы для создания отпечатка вашей системы.
Я с искренним любопытством ожидаю доказательств ваших слов.
Обыкновенная библиотека для browser fingerprinting.
Как это доказывает ваше утверждение, что «большинство плагинов из „AdBlock Plus / uBlock Origin“ могут быть использованы для создания отпечатка вашей системы?»
А я прочитал. И я знаю, на основании чего делают отпечатки, более того, пытаюсь разработать решение для их подделки. Рандомной подделки.
Еще раз, медленно — Как. Плагины. Вроде AdBlock и uBlock используются для создания отпечатка?

Ответ — никак.
Пункт 19 описания не канает, ибо там можно подставить любой плагиннейм, и что, теперь он будет использоваться для создания отпечатка?
Более того, он не канает еще и потому, что факт отсутствия AdBlock точно так же используется для создания отпечатка.
Ну раз вас пункты 18 и 19 не устраивают и то что плагины модифицируют вебстраницу, то увы, спорить смысла нет.
А я объяснил, в чем ваша логика ошибочна. Конкретно адблок/юблок не виноваты. Для создания отпечатка может быть использован любой плагин… и даже не плагин, а сам факт его наличия, равно как и факт его отсутствия.

С таким же успехом можно утверждать, например, что плагин Disconnect.Me может быть использован для создания отпечатка. Тоже чушь, потому что сам плагин для этого не используется, используется факт его наличия/отсутствия.

И все еще нет доказательства первого утверждения («большинство из этих плагинов трекают вас»).
А я и писал про любой плагин в том числе и адблок, чем плагинов больше, тем точнее отпечаток.
большенство из этих плагинов

А я и писал про любой плагин


Напоминаю, речь шла о адблоке и юблоке. Каких «этих», кроме этих двух? Откуда взялся «любой» плагин?

чем плагинов больше, тем точнее отпечаток.


Там много от чего зависит, но и от количества плагинов — тоже.

Так что там с доказательством первого утверждения?
Неприятно переписываться с человеком, который минусует за вполне доказанные утвержжения.
По первому утверждению, изучайте интересующий вас плагин на предмет запросов и поведения, утверждение было в том, что они как минимум используются для фингерпринтинга, как максимум сами отправляют трек информацию. Вы же не будете спорить с тем что плагины впн в том числе и контролируют ваш трафик?
изучайте интересующий вас плагин на предмет запросов и поведения


Воу-воу, палехчи. Тяжесть доказательства всегда лежит на утверждающем.

утверждение было в том, что они как минимум используются для фингерпринтинга, как максимум сами отправляют трек информацию.


Нет. Утверждение было:

большенство из этих плагинов трекают вас, либо могут быть использованы для создания отпечатка вашей системы.


Вы же не будете спорить с тем что плагины впн в том числе и контролируют ваш трафик?


Смотря что считать контролем. Вмешиваются в трафик — да, однозначно, но такова суть их работы. Записывают — вряд ли.
Ну докажите, что они не ведут логов тогда. И так же докажите что пункты 18 и 19 не относятся к этим (на этот раз перечисленным вами плагинам), раз заминусовали.
Ну докажите, что они не ведут логов тогда


Давайте я вам лучше кое-что объясню.
Для того, чтобы утверждать, что «большинство этих плагинов либо трекает вас...» необходимо: провести аудит программного кода этих самых плагинов, найти закладки для трекинга, посчитать отношение количества плагинов с найденными закладками к общему числу оных, и если это отношение превысит 50% — вот только тогда утверждать, что «большинство плагинов трекают».
Ибо всякий факт зиждется на доказательстве. Если это не аксиома, конечно.
Смотрите, я вам вполне доказал вторую половину этого стейтмента, вы считаете что нет, я так же сказал что под этими плагинами я имел ввиду любой плагин (для скрытия или защиты чего либо), а не конкретно эти два которые вы имели ввиду. Но вас почемуто это не устраивает, при этом вы не можете доказать, что ваше утверждение о том, что впн плагины не записывают ничего вы считаете истиной, чего вы от меня тогда хотите?
я вам вполне доказал вторую половину этого стейтмента


Вторую да, пусть. Первую — нет, да и не получится.

впн плагины не записывают ничего


Я не утверждал, что они не записывают. Я сказал — «вряд ли». Это означает «я думаю, что нет, но допускаю такую возможность, что таки да».
Я использовал именно такую формулировку специально, так как отлично понимаю, что у меня нет доказательств, чтобы утверждать однозначно — есть запись или нет.

чего вы от меня тогда хотите?


Да я не лично от вас хочу. Ничего личного, абсолютно, вот честное слово.
Первую тоже может получится, тут вы правы нужно делать аудит, все зависит от выборки плагинов. Это больше предупреждение тем, кто следит за своей конфиденциальностью, плагины это идентификатор вашего браузера, так или иначе.
Да, тут абсолютно согласен. Плагины это палево. Надо, надо делать штуку для рандомизации отпечатка. Беда в том, что я пока слабо представляю себе, как это может выглядеть, разве что какая-то сторонняя софтина, «стоящая» между браузером и интернетом, этакий прокси-сервер, меняющий актуальные данные на рандомную чушь. Плагином, по понятным причинам, этого делать нельзя.
Про 3 верхних все понятно, а для чего последняя лень читать.
Я пару лет назад попробовал логин от Яндекса, и он мне понравился, правда API потом меняли, но старые примеры продолжают работать (они выглядят лучше). В тот момент с uLogin сравнивал, но почему-то выбрал Яндекс.
Комментаторы, которые поддерживают идею о том что «оно же бесплатное, а значит вы — товар, прав у вас нет, на вас будут зарабатывать, продавая ваши персональные данные кому угодно, установил — сам виноват» повергают меня в уныние.
UFO just landed and posted this here
Равно как у некоторых талан ожидать, что вот прямо сейчас, в 2018 году, кто-то мифический им предоставит стерильную среду для существования, где не нужно себя защищать.

Если нарвался на очевидное и предсказуемое преступление в отношении тебя — виноват сам.
UFO just landed and posted this here
Ага, мне тоже кажется, что преступник и честный человек давно стало одно и то же. Какая разница, кто там виноват по закону? Закон написан, чтобы держать в узде толпу, а интеллект толпы, как известно, всегда низводится к наихудшему её представителю. Ни ум, ни совесть к уголовному праву отношения не имеют, это вообще несвязанные вещи. Иногда взаимно враждебные.
Если кто с криком «Эй вы, дайте пива!» подходит к незнакомой толпе быдловатой наружности, то во всём, что последует, виноват он. Не по закону виноват, а по уму.
Какая разница, кто там виноват по закону?


Это вот вы шутите так сейчас?

интеллект толпы, как известно, всегда низводится к наихудшему её представителю


«Как известно, лучший способ протащить какуюнибудь сомнительную идею — начать ее со слов «естественно», «очевидно» или «как известно»» (С)

Не по закону виноват, а по уму.


Хорошо, что в уголовном праве отсутствуют фразы вида «по уму», «по-людски», ну и «по понятиям» тоже.
Не, я серьёзно. В уголовном праве отсутствует понятие «понятия» потому, что уголовное право, как понятие, и есть «понятия» в варианте от самой крутой братвы на раёне.
Нашёл доступ для uLogin к моим данным в фейсбуке (когда-то пользовался для входа куда-то). На всякий случай удалил.
На всякий случай удалил.

Периодически проверяйте свои аккаунты в соц. сетях на наличия доступов к персональной информации от сторонних приложений.

Около 2 лет назад я начал проверять аккаунт гугл, вк и нашел такие приложения и сайты, у которых домены уже просрочены и никому не нужны. После этого начал делать подобные проверки раз в несколько месяцев.

Большое спасибо гуглу, который периодически в последнее время начал об этом напоминать.
Помню инциденты, года 3 назад они ротатор iframe вставляли.
Не пользовался никогда этой штукой, за сим могу ошибаться в суждениях:

Это ведь JS скрипт? Если да, то почему тогда просто не прописать integrity атрибут и на всякий залочить его cors правами (same-origin)?

Первое зафиксирует версию и любые изменения будут блочиться браузером, а второе избавляет от утечек кукисов, если разраб не прикрыл их http-only.
Давно-давно прикрутил uLogin. Мимодумно. Потом заказчик сделал замечание — зачем заставляем пользователей нажимать лишнюю кнопку? Посмотрел и подумал, в самом деле, зачем?

Написал 10 строк для oAuth2, теперь нажимают одну кнопку для авторегистрации или входа.
Только что пришло письмо от Юлмарта с недавно просмотренными товарами, хотя я не авторизовывался никогда с рабочего компьютера, и вот неожиданность, в отписке от рассылки caltat.com
Вчера плагин вернули в репозиторий вордпресс. Таким образом он отсутствовал там ровно 4 месяца. Были ли устранены эти грязные методы заработка — нам неизвестно. Но, увы, доверия к этой команде нету. Будьте осторожны. Если команда и руководство не поменялось — ситуация может повториться.
Всегда думайте — перед тем, как использовать сторонние сервисы на вашем сайте.
Sign up to leave a comment.

Articles