Comments 322
UFO just landed and posted this here
Мало того, up time сайта страдает и часто проблемы то с картинками, то со страницами, то с сообщениями, так вы еще и умудрились случайно раздать такого рода права.
Ладно если бы это был маленький стартап с 1000 просмотров в неделю и там можно факапиться с функциями сколько влезет и ты ничего не потеряешь, но там и то так не факапятся как вы с миллиардами переходов в день.
Ладно если бы это был маленький стартап с 1000 просмотров в неделю и там можно факапиться с функциями сколько влезет и ты ничего не потеряешь, но там и то так не факапятся как вы с миллиардами переходов в день.
уничтожение автоматикой всех подряд скриншотов интерфейса
О да, автоматика удаляла скриншоты по названию файла(!!!!), было достаточно изменить название взятого с хабра скриншота и вуаля, факсосаити, я хакер и передал таинственный скриншот другу в личке.
Как же это абсурдно, господи.
А я подумал, что они нейросети натренировали :)
То есть вы в ситуации, когда можно предотвратить 90% распространения потенциально персональной информации, предпочли бы не делать этого по причине «найдутся несколько процентов переименовывающих» и увеличить масштаб проблемы на порядок?
Или вы форс-мажорных условиях за час на коленке написали бы продвинутый анализ изображения?
Или вы форс-мажорных условиях за час на коленке написали бы продвинутый анализ изображения?
Можно было по хэшу хотя бы удалять.
«всех подряд» и «скриншотов с известными названиями из публичных источников» великая разница.
А продвинутый анализ, ну он итак есть у вконтакта. Удаляют ведь спам картинками. Да и найти на картинке конкретный текст фирменно голубого цвета вк — не нужно нейросеть обучать.
Вопрос конкретно к публичному объяснению причин удаления этих скриншотов.
А продвинутый анализ, ну он итак есть у вконтакта. Удаляют ведь спам картинками. Да и найти на картинке конкретный текст фирменно голубого цвета вк — не нужно нейросеть обучать.
Вопрос конкретно к публичному объяснению причин удаления этих скриншотов.
Я бы заблокировал к ним доступ, возможно, до выяснения обстоятельств вообще бы отключил работу с изображениями ( если можно решить проблему быстро).
Но зачем удалять? Сейчас бы неплохо вернуть было.
Но зачем удалять? Сейчас бы неплохо вернуть было.
Ну не знаю, у меня переименованную картинку резало, но после того, как я изменил один пиксель, я тоже стал хакером)
Shit happens :)
Вы же только олимпиадников и всяких там гениев на работу берёте. Неужели решение олимпиадных задач не помогает в деплое? :)
Что Вы. Весь этот факап произошел по вине олимпиадников-психологов. Ну, понимаете о чём я ;)
</сарказм мод офф>
</сарказм мод офф>
Не в бровь, а в глаз.
Прям в самую точку попал!
Прям в самую точку попал!
Судя по последним изменениям в js скриптах вконтакта, они сменили разработчиков. Или, как минимум, архитектора.
Намекаешь на то, что взяли неолимпиадников? Разве такое возможно?
Мне писали знающие люди, что последние скрипты — просто чем-то запакованы/обфусцированы. Чтобы такое написать самому (и читать) — вот где надо быть гением, это точно. И я сомневаюсь, что кто-то на серьёзных щах кодит в таком стиле, ибо это почти ассемблер уже с точки зрения понятности и читаемости :)
UFO just landed and posted this here
Всем, кто еще доверяет нам
Телега лучше, как минимум шифрование есть
Насколько я понимаю, шифруется не все подряд, а только секретные чаты, которыми повседневно мало кто пользуется.
Секретные чаты есть только на мобильных приложениях, исходные коды которого как я слышал больше не обновляются.
Вы хотели сказать:
исходные коды которого как я слышал нигде не были опубликованы в полном объёме.
Странно, у меня на десктопном клиенте есть secret chats, и вот его исходники: https://github.com/overtake/telegram
Секретнее некуда, достигли нирваны в коде и нету смысла продолжать обновлять. Просветление кода
sarcasm mode off
sarcasm mode off
> загрузить картинку с кроликами в FAQ Поддержки
Я бы посмотрел на эту картинку с кроликами
Я бы посмотрел на эту картинку с кроликами
UFO just landed and posted this here
За то что могли видеть все?
UFO just landed and posted this here
>где попало
Это относится к теме публикации, и не является порнографией. Отличие эротики от порнографии. Мне кажется приемлемо.
Это относится к теме публикации, и не является порнографией. Отличие эротики от порнографии. Мне кажется приемлемо.
Ханжество, господин, ханжество.
Б-же, там же черточка нарисована! А на Хабре сплошь и рядом малые дети, которые женской писи не лизали не видали! Ужс, что деется. Куда смотрит миллиция?
Сами себя высекли? Это правильно.
Шикарно смотрится подсвеченная кнопка в контексте.
>Случился фатально невнимательный merge ветки, в которой переделывали один из внутренних интерфейсов.
>Эти четыре минуты показали, что нам нужно усовершенствовать процесс деплоя, чтобы минимизировать риск ошибки.
А почему не отделить физически админку?
>Эти четыре минуты показали, что нам нужно усовершенствовать процесс деплоя, чтобы минимизировать риск ошибки.
А почему не отделить физически админку?
А что случилось с тем, кто сделал кривой merge?
кнопка со страшным названием «Открыть приватные фото» работает только с точной ссылкой, которую предоставляет сам владелец фотографиия просто не в курсе, а эта ссылка включает guid или что-то подобное, не подбираемое сканом?
Наверное, попап, куда надо ввести ссылку.
Ссылка на фотографию содержит id пользователя (публичная информация) и id фотографии (число, инкремент).
Нет, ссылка обычная, которую Вы видите в адресной строке, открывая фотографию у друга: vk.com/photo{owner_id}_{photo_id}, без уникальных хэшей и прочего.
{photo_id} — сквозной инкремент по всем фотографиям юзера, как верно сказали ниже.
Подбор этого инкремента, как легко понять, довольно затратный при отсутствии инфы о времени загрузки фотки в альбом и прочих условий, которые могли бы сузить интервал. Во избежание попыток существует ревоук прав через 15 минут + частотное ограничение на сам запрос. Допускаем, что модератор мог один раз скопировать ссылку неправильно, но не более.
{photo_id} — сквозной инкремент по всем фотографиям юзера, как верно сказали ниже.
Подбор этого инкремента, как легко понять, довольно затратный при отсутствии инфы о времени загрузки фотки в альбом и прочих условий, которые могли бы сузить интервал. Во избежание попыток существует ревоук прав через 15 минут + частотное ограничение на сам запрос. Допускаем, что модератор мог один раз скопировать ссылку неправильно, но не более.
Только вот получается, что установить владельца фото — задача тривиальная. И какая разница первое ли это интимное фото или пятнадцатое…
Почему для кнопки блокировки и/или восстановления аккаунта посредством ссылки на фото выбрано такое компрометирующее название, ни разу не созвучное с выполняемыми действиями?
Кнопка не блокирует/восстанавливает аккаунт, для этого есть другие интерфейсы, причем работают с ними не одни и те же люди.
Эта кнопка делает ровно то, о чем говорит ее название — позволяет открыть фото по ссылке. В абсолютном большинстве случаев для решения вопроса она не нужна, и добавлять ее прямо в форму блокировки/восстановления было бы излишним. Не говоря уже о том, что далеко не у всех, кто может восстанавливать или блокировать аккаунты, есть право такой кнопкой воспользоваться, только у пары человек.
Но, откровенно говоря, в служебных интерфейсах в смысле UX у нас есть к чему стремиться.
Эта кнопка делает ровно то, о чем говорит ее название — позволяет открыть фото по ссылке. В абсолютном большинстве случаев для решения вопроса она не нужна, и добавлять ее прямо в форму блокировки/восстановления было бы излишним. Не говоря уже о том, что далеко не у всех, кто может восстанавливать или блокировать аккаунты, есть право такой кнопкой воспользоваться, только у пары человек.
Но, откровенно говоря, в служебных интерфейсах в смысле UX у нас есть к чему стремиться.
Если это инкремент без пропусков и только по фотографиям этого конкретного юзера, то что мешает до использования кнопки посмотреть все публичные фото, найти дырки в инкременте и уже целенаправленно посмотреть закрытое фото? Не сработает только с фотографиями, которые были добавлены после последнего публичного фото — просто неизвестно сколько их и есть ли вообще. Но в целом и их можно попытаться посмотреть. Таким образом нужен не тупой брутфорс, а банальная подготовка заранее. У вас как-то отслеживается такая ситуация?
«Дырки» в инкременте — это не только вожделенные приватные фотографии. Это все удаленные фотографии, все фотографии, загруженные не в профиле, а где-нибудь в комментариях на стене друга, все сервисные копии (например, когда Вы предлагаете пост в сообществе, до публикации фотография считается «Вашей»).
В целом, потенциальная жертва любопытного модератора — идеальный пользователь в вакууме, который загрузил одну приватную фотку (и модератор точно об этом знает), а потом еще одну публичную. Ну, можно представить. Но кажется, что вкупе с крайне малым числом модераторов с доступом к такого уровня магии, полным логированием и здравым смыслом это не выглядит сценарием для эксплуатации.
В целом, потенциальная жертва любопытного модератора — идеальный пользователь в вакууме, который загрузил одну приватную фотку (и модератор точно об этом знает), а потом еще одну публичную. Ну, можно представить. Но кажется, что вкупе с крайне малым числом модераторов с доступом к такого уровня магии, полным логированием и здравым смыслом это не выглядит сценарием для эксплуатации.
UFO just landed and posted this here
Да, в варианте, когда брутфорс отсекается через ограничение частоты и количества запросов, а проверить нужно много разных потенциальных вариантов это действительно выглядит адекватно. Особенно с учетом того, что людей с таким доступом немного и их действия логируются.
Что же такое вектор интересов (физически, на уровне сущности БД и языка программирования) и каким способом он рассчитывается?
С этим все довольно просто. Вектор — массив весов интересов юзера.
Учитываем взаимодействия с группами, публичными страницами, переходы по ссылкам и посещаемые сайты. У каждого такого объекта есть тематика. В итоге для каждой тематики считаем вес (положительный или отрицательный), который и сохраняется в векторе.
Учитываем взаимодействия с группами, публичными страницами, переходы по ссылкам и посещаемые сайты. У каждого такого объекта есть тематика. В итоге для каждой тематики считаем вес (положительный или отрицательный), который и сохраняется в векторе.
Подробно про реализацию можно прочитать тут
Скажите, а что это за KittenPHP на гитхабе? В википедии сказано что это некий транслятор с php на c++, а при беглом взгляде на исходники кажется что это уже странслированная версия сайта.
Про KPHP рекомендую почитать в первоисточнике из глубин этого блога.
Читал. Все равно непонятно «KPHP – минималистичный язык, созданный с целью обеспечить очень высокую скорость работы, без ущерба для удобства и скорости разработки»
Возможно нужно более внимательно смотреть исходники и я просто туплю. Но «язык» в моем понимании это компилятор, то есть там должен быть например парсер php и генератор кода на си. А что там делает например расчет того же вектора интересов? По названиям папок больше похоже на какую-то часть движка внутренней логики контакта. Только папка KPHP содержит что-то похожее на транслятор, а что тогда остальное?
Возможно нужно более внимательно смотреть исходники и я просто туплю. Но «язык» в моем понимании это компилятор, то есть там должен быть например парсер php и генератор кода на си. А что там делает например расчет того же вектора интересов? По названиям папок больше похоже на какую-то часть движка внутренней логики контакта. Только папка KPHP содержит что-то похожее на транслятор, а что тогда остальное?
Ну, вы правильно поняли.
Репозиторий, кроме KPHP, также содержит разные внутренние движки сайта. Вместо MySQL они используют эти движки, которые разработали сами для своих целей. Более подробно о них можно узнать из вышеприведенного поста и доклада на HighLoad++ 2016.
Репозиторий, кроме KPHP, также содержит разные внутренние движки сайта. Вместо MySQL они используют эти движки, которые разработали сами для своих целей. Более подробно о них можно узнать из вышеприведенного поста и доклада на HighLoad++ 2016.
Мы будем двигаться в сторону открытости. О технологиях и внутренней кухне ВКонтакте снаружи известно немного — так было всегда. Вот и в этот раз, когда завеса случайно приоткрылась, возникло множество домыслов на грани теорий заговора. Мы готовы начать говорить о том, что находится за фасадом продукта. И нам действительно есть что рассказать.
Да, наконец-то вы это поняли. Спасибо.
Как-то наказали пользователей которые воспользовались этими привилегиями?
Интересно, а личная карточка что собой представляет? И от куда собирается эта информация?
Хорош не то кто не падает, а кто упав умеет подняться.
Молодцы, что рассказали как все было, аналогичная проблема может быть у любой ИТ-компании.
Молодцы, что рассказали как все было, аналогичная проблема может быть у любой ИТ-компании.
Никогда ни у какой крупной соц. сети не было такого бага, как появился mail.(s)ru, так сразу же аптайм упал до 80%, все начало лагать, падать, и т.д.
Ну у Фэйсбука давным давно была уязвимость, позволяющая читать чужие сообщения. Вон всякие крутые и крупные проекты базы нечаянно удаляют. А яндекс.диск вообще мог винду мне снести при обновлении (чудом не снёс, не знаю почему). Именно такого бага может и не было именно у социальных сетей, но сравнимой серьёзности баги неизбежно случаются у всех рано или поздно.
S3 недавно падал… Не соцсеть, но факап не меньшего уровня.
Вы наверно просто плохо помните. Разные баги и проблемы у вконтактика были всегда. То плохо грузились фотографии, то сообщения дублировались, то счетчики барахлили. Регулярно появляются и исчезают баги, как у любого крупного проекта.
Я не говорю что вконтактик хорош или плох, я просто говорю что после покупки мэйлом он не стал резко хуже в плане надежности, он таким всегда был.
Я не говорю что вконтактик хорош или плох, я просто говорю что после покупки мэйлом он не стал резко хуже в плане надежности, он таким всегда был.
пффф, у нас проект крутится на Azure, который тоже падает, а вместе с ним и все проекты, которые на нем лежат
«аптайм упал до 80%»
Из-за такого конкретного числа прямо любопытно: я правильно понял, что, по-вашему, ВК недоступен в среднем по пять часов в день? :)
Из-за такого конкретного числа прямо любопытно: я правильно понял, что, по-вашему, ВК недоступен в среднем по пять часов в день? :)
У Google было такое, что несколько часов почта не ходила из-за одновременного обрыва двух кабелей.
Рассказали все как было целому хабру и извинились, судя по всему, перед пользователями хабра. Чего-то я в официальном сообществе не вижу подобного поста.
А что случилось с тем, кто сделал кривой merge
Так на рисунке техподдержки ответ, волевым решением руководства сменили пол и наказали, в результате
Много моральной боли и все, я думаю
Вконтакте интерпретировал известное правило
Быстро поднятое упавшим, не считается
Но по последним данным исследователей это не так
Вконтакте гарантирует 100% отсутствия слива данных? Как у вас строго, как в армии упал,
«Кому то» удаленный кабинет для доступа делали(или сделали, но переносили на новые рельсы), но что то не учли, и, вместо Бигбосса, простые человеки получили тот самый доступ.
И естественно, что любая компания будет говорить, что ничего не случилось с «чувствительной» дата. А мы, конечно, верим.
ИМХО. Случайные баги, случайные взломы и случайные дампы паролей в текстовом виде, это такой хитрый ход — поделиться с нужными людьми данными.
Очередное напоминание, что не стоит свои данные предоставлять кому попало(соцсетям и прочим агрегаторам).
И естественно, что любая компания будет говорить, что ничего не случилось с «чувствительной» дата. А мы, конечно, верим.
ИМХО. Случайные баги, случайные взломы и случайные дампы паролей в текстовом виде, это такой хитрый ход — поделиться с нужными людьми данными.
Очередное напоминание, что не стоит свои данные предоставлять кому попало(соцсетям и прочим агрегаторам).
> Случайные баги, случайные взломы и случайные дампы паролей в текстовом виде, это такой хитрый ход — поделиться с нужными людьми данными.
А не проще просто взять и выдать нужному человеку нужный доступ, если там такой мощный админ завёлся?
А не проще просто взять и выдать нужному человеку нужный доступ, если там такой мощный админ завёлся?
А не проще просто взять и выдать нужному человеку нужный доступ, если там такой мощный админ завёлся?
Такое есть, называется «Кабинет» для уполномоченных лиц. Что бы найти нужного «человечка» при необходимости.
http://www.vedomosti.ru/newspaper/articles/2014/06/03/runet-pod-lupoj
Ну то есть по факту спецслужбы «ищут нужного человечка» в ВКонтаче, который якобы не выдает сенситив дата технически? Вы серьёзно что ли верите в то что вконтику можно доверить что-то серьёзнее фотографии своего кота?
Вконтактику даже фотографию кота доверять не стоит. Собственно, об этом вся тема.
Впрочем, доверять не стоит любой крупной конторе, которая имеет доступ к данным множества пользователей. Дата утекла в сеть, за что конторам ничего не будет. Разве что появится пост, о якобы неудачной мердже, одного из внутренних интерфейсов.
Дело не только в прямых данных, предоставленных лично юзером. На многих сайтах стоят маячки от соц.сетей, которые пополняют уже непрямые данные.
Я понимаю, конечно, что со стороны видится, как текст от человека, в шапочке из фольги. Но, к этим данным(соцсетей) доступ не только у полицаев, но и у более-менее крупных контор, их СБ, которые имеют подвязки в соответствующих органах.
Впрочем, доверять не стоит любой крупной конторе, которая имеет доступ к данным множества пользователей. Дата утекла в сеть, за что конторам ничего не будет. Разве что появится пост, о якобы неудачной мердже, одного из внутренних интерфейсов.
Дело не только в прямых данных, предоставленных лично юзером. На многих сайтах стоят маячки от соц.сетей, которые пополняют уже непрямые данные.
Я понимаю, конечно, что со стороны видится, как текст от человека, в шапочке из фольги. Но, к этим данным(соцсетей) доступ не только у полицаев, но и у более-менее крупных контор, их СБ, которые имеют подвязки в соответствующих органах.
Да нет, комментарий вполне адекватен.
Такие заявления делаются корпорациями и всяческими бигдата как раз именно для затыкания «логических дыр», когда смолчать можно, но невыгодно и нужно обнародовать факт бага под благовидным предлогом, даже если он замечен ровно 2,5 анонами.
Не считая ништяков вроде повышения лояльности у хомячков, детей, домохозяек и наивной\лояльной бренду прослойки техспецов, которые умом-то понимают что происходит, но до последнего верятв «МММ» в лучшее.
Такие заявления делаются корпорациями и всяческими бигдата как раз именно для затыкания «логических дыр», когда смолчать можно, но невыгодно и нужно обнародовать факт бага под благовидным предлогом, даже если он замечен ровно 2,5 анонами.
Не считая ништяков вроде повышения лояльности у хомячков, детей, домохозяек и наивной\лояльной бренду прослойки техспецов, которые умом-то понимают что происходит, но до последнего верят
Купите шапочку из фольги, на всякий случай.
Как быть с тем что в багтрекере были описаны в т.ч. критические уязвимости и любой мог их прочитать? Экстренно пофиксили все открытые баги?)
Надо понимать, что это не основной наш трекер с репортами штатных тестировщиков. Доступ был к полузакрытому багтрекеру для бета-тестеров — просто чуть больше доступа, чем обычно.
Уязвимости из репортов по нему были закрыты еще в прошлом году, сейчас там ничего серьезного нет.
Сейчас мы уже вычистили оттуда все следы происшествия, доступ для бета-тестеров снова открыт.
Уязвимости из репортов по нему были закрыты еще в прошлом году, сейчас там ничего серьезного нет.
Сейчас мы уже вычистили оттуда все следы происшествия, доступ для бета-тестеров снова открыт.
Однозначно, работать есть над чем. Не могу с уверенностью говорить, не зная всей вашей кухни, но я думаю, стоит существенно увеличить путь от репозитория до рабочего окружения, чтобы неаккуратный мерж (в ночь, что частично объясняет) не приводил к такому факапу. Может быть короткий путь и удобен, но иногда есть смысл создавать неудобства искусственно.
Возможно, стоит подкорректировать процесс деплоя так, чтобы новые версии применялись не ко всем пользователям сразу, а постепенно с чётко заданными долями и интервалами. Тогда, если факап случится, можно будет пресечь его пока масштабы трагедии невелики. У вас такое применяется для крупных обновлений. Это хорошая практика. Полагаю, стоит развить этот опыт.
Конечно же, всё это имхо и, возможно, всё это у вас и так есть, просто что-то прямо вообще невероятное случилось.
Возможно, стоит подкорректировать процесс деплоя так, чтобы новые версии применялись не ко всем пользователям сразу, а постепенно с чётко заданными долями и интервалами. Тогда, если факап случится, можно будет пресечь его пока масштабы трагедии невелики. У вас такое применяется для крупных обновлений. Это хорошая практика. Полагаю, стоит развить этот опыт.
Конечно же, всё это имхо и, возможно, всё это у вас и так есть, просто что-то прямо вообще невероятное случилось.
У вас нет авто-тестов?
Минус поставили те, кто считает не адекватным делать такие сценарии?
Ожидается, что тестовый пользователь, у которого ТОЧНО стоят права «обычного пользователя» при попытке зайти на раздел администратора\модератора должен вылететь.
Или это выглядит как провокация? Ото же очевидный тест, который избавил бы вас от проблемы подобного рода.
Ожидается, что тестовый пользователь, у которого ТОЧНО стоят права «обычного пользователя» при попытке зайти на раздел администратора\модератора должен вылететь.
Или это выглядит как провокация? Ото же очевидный тест, который избавил бы вас от проблемы подобного рода.
Задним умом все сильны.
Если бы cloudflare сделали бы авто-тест, 10 раз загружающий рандомную страницу и проверяющий, что в нет мусора, то не было бы cloudbleed, и т.д.
Благо мы покрыли эту ошибку )
Всё равно не понятно, почему в кодовой базе нет проверки на валидность.
Мне кажется, что «новый»/«ещё» несуществующий/пользователь не доверенной группы — не должен обладать никакими правами.
В конце концов, охраняется достаточно важный ресурс и охраняться положено, как военному объекту — любая ошибка запрещает доступ.
Мне кажется, что «новый»/«ещё» несуществующий/пользователь не доверенной группы — не должен обладать никакими правами.
В конце концов, охраняется достаточно важный ресурс и охраняться положено, как военному объекту — любая ошибка запрещает доступ.
Ну вообще проверить права доступа для всех ролей на сайте — очевидный и естественный тест. Более того он зачастую адекватно автоматизируется без особых проблем.
UFO just landed and posted this here
UFO just landed and posted this here
> фатально невнимательный merge ветки
Случайно мимо тестов прошло и в прод улетело?
Случайно мимо тестов прошло и в прод улетело?
кнопка со страшным названием «Открыть приватные фото» работает только с точной ссылкой, которую предоставляет сам владелец фотографии
А почему во множественном числе, если не секрет?
Скольких уволили? Скольких расстреляли?
Ой, расскажите мне тут. В любой удобной ситуации ВКонтакте сольёт и переписки, и всё, что надо — тем, кому надо. Объяснять кому и в каких случаях, думаю не надо. Дурова не просто так прижали. Так что ВКонтакте, который не сливает — влажные фантазии "ориентированной на клиентов" конторы. Больше рекламы, больше! И еще апи закроем.
Извиняюсь за хейтерство, накипело.
А какая соцсеть не сольет запрошенные данные структурам правоохранительных органов своей страны по запросу?
Та, в которой даже самые главные не имеют доступа к открытым данным.
Пример не подскажите?
У вас есть все шансы стать первым, кто ее создаст.
С моими навыками программирования я создам ее через 250.000 лет и все равно сдам все ключи после терморектального криптоанализа (:
Вы не сможете сдать все ключи даже после терморектального криптоанализа, если у вас их не будет.
Наработок шифрования полно — от ВПаше и Ватсапов до Меги и Сигнала. Проблема не в шифровании и команде разработчиков, проблема в переходе людей в новую социалку, а мы знаем, какие люди ленивые.
Скрытый текст
Наработок шифрования полно — от ВПаше и Ватсапов до Меги и Сигнала. Проблема не в шифровании и команде разработчиков, проблема в переходе людей в новую социалку, а мы знаем, какие люди ленивые.
Тогда сделают проще — штраф за не удовлетворение судебного иска. Следующий штраф будет еще больше. Далее судебное дело над таким вот разработчиком, который не может предоставить нужную следствию информацию. Это как с софтом — у вас не прокатит говорить «я не я и я хз что у меня паленый софт».
Да хоть 10000 штрафов выпиши — сессионные ключи уже удалены из RAM пользовательских устройств, во вселенной их больше нет.
Паленый софт на устройствах легко доказывается тем, что он, этот паленый софт, установлен на этих устройствах. Некорректное сравнение. Самих ключей шифрования просто вообще не существует на ваших серверах. Судя по вашей логике, так можно прикопаться вообще к любому:
-Где детонатор?!
-Но я пенсионерка, мне 93 года. Я даже не знаю, что такое этот ваш дитанутар.
-Где вы прячете детонатор?! Мы знаем, что он у вас есть!
-Где детонатор?!
-Но я пенсионерка, мне 93 года. Я даже не знаю, что такое этот ваш дитанутар.
-Где вы прячете детонатор?! Мы знаем, что он у вас есть!
Вы передергиваете. Вы как владелец форума/бложика/соцсети несете всю ответственность за ваших пользователей.
А что ж за лайки и репосты сажают пользователей, а не начальство соцсетей?
Я предоставляю услуги хранения информации или как там юридически правильно будет написать, я не знаю. Я могу передать вам все сервера со всеми жесткими дисками со всей информацией, которая на них есть. Ничего не скрываю, серверная и клиентская части в open source. Информация на сервера поступает уже в виде каши, за кашу я и несу ответственность.
Ну попробуйте. Потом напишите как вы избежали ответственности за, ну там… размещенный нелегальный софт. Ну или за сериалы российские.
Да нет у меня на серверах сериалов и фильмов российских. Нет у меня их, понимаете? Где я чего там передергиваю, если вы обвиняете меня в том, чего я не сделал/у меня этого нет? Отформатировали вы диск — получился массив непойми чего. И вам предъявляют то, что в этом массиве у вас фотошоп нелецензионный. Вы прям нашли новый путь повысить раскрываемость товарищу майору.
Вы явно с органами не сталкивались ни разу по иску, раз пытаетесь косить под дурачка. Вы несете ответственность за свой ресурс. То что его наполняют пользователи лишь усугубляет положение.
Вам как вообще, жить не страшно?
Посодють!
А почему мне должно быть страшно?
Я же вам описал пример, ну…
Вам говоришь, что всю информацию с серверов + open source исходники клиентской и серверной части, в которых сказано, что ключи находятся на устройствах пользователей, передаешь органам, вы говорите, что органы будут что-то еще требовать. Да, наверное, в воровском кармане флешку с мифическими ключами прячу и периодически к серверам подключаю, чтобы все это работало.
Отформатировали вы диск — получился массив непойми чего. И вам предъявляют то, что в этом массиве у вас фотошоп нелецензионный.
Вам говоришь, что всю информацию с серверов + open source исходники клиентской и серверной части, в которых сказано, что ключи находятся на устройствах пользователей, передаешь органам, вы говорите, что органы будут что-то еще требовать. Да, наверное, в воровском кармане флешку с мифическими ключами прячу и периодически к серверам подключаю, чтобы все это работало.
Скажите, а вы в армии служили?
Хватит писать чушь :D Какая к черту армия? Вы бы еще сюда приплели «у вас просто мужика нормального не было» или что-то из этой оперы ахахаа
Я, наверно, не просто так спросил здесь. Зачем мне в личке писать.
Из ваших слов можно сделать вывод, что не служили. То есть не сталкивались с силовыми структурами. Ну или вам очень повезло с частью. Потому что иначе вы бы знали, что косить под дурачка у вас не выйдет. Потому что то, что вы пишете, никого не е не волнует. И у вас реально будут требовать пароли, флешку с ключами, и расшифрованную информацию. Либо способ эту информацию получить.
Зачем косить под дурачка, если можно сразу сказать, показать и доказать технически что у них не получится получить пароли и явки. Просто потому что система проектировалась изначально ДЛЯ таких вот переговоров. Это сэкономит время обеим сторонам.
Вы сдадите исходники, пока их будут проверять технические специалисты, у вас будут спрашивать пароли. Потом будут спрашивать, с какой целью вы сделали такую систему. А потом да, будет понятно, что предоставить вы ничего не сможете. Про дурачка я имел в виду последнюю фразу про "флешку с мифическими ключами".
Я создал эту систему потому что я могу её создать, потому что я имею право её создать и потому что это (грубо говоря) приватный банк данных, который уполномочен уничтожать данные заказчика в случаях, если нет возможности противодействия, уведомляет заказчика в случае прихода запроса на его данные и так далее.
Функция хеширования паролей технических специалистов тоже будет смущать?
Кто вам сказал что они вообще получат хэши?
Она не будет их смущать. Они будут ее проверять. Только причем здесь функция хеширования паролей?
А причем здесь фукция хеширования, не знаю, например, поля сообщения?
Так и пусть проверяют. Почему надо делать из этого проблему и всего этого бояться?
Так и пусть проверяют. Почему надо делать из этого проблему и всего этого бояться?
Вы путаете хеширование пароля и шифрование сообщения. Это не одно и то же.
Проблема тут в том, что пока они проверяют, ваши слова что расшифровать нельзя ничем не подтверждены. Может вы просто не хотите говорить, где находится ваша флешка с ключами. Поэтому в зависимости от ситуации могут быть варианты от простых вопросов и напоминаний до штрафов и обвинений в противодействии. Вас могут попросить сделать бэкдор. А если специалисты сами найдут бэкдор из-за ошибки в исходниках, то к вам будут вопросы, как и зачем он там появился. Как к этому относиться, решайте сами.
Если мы и сделаем бэкдор, то только для того чтобы внимательно снимать данные с того, что именно через этот бэкдор тянется, куда, кем, кому, когда и зачем. Чтобы при случае это использовалось по назначению. Если товарищей, просящих бэкдор устраивает тот факт что пока они пополняют свои папки на нас мы будем пополнять свои папки на них — вэлкам.
Но так как на таких условиях им не интересно, то я могу сразу сказать что бэкдор не интересен нам.
Но так как на таких условиях им не интересно, то я могу сразу сказать что бэкдор не интересен нам.
Ваши слова, что на вашем диске нет нелицензионного фотошопа ничем не подтверждены.
Вы думаете, что если сформулируете похожую фразу и не сможете описать разницу, значит разницы и нет? Она есть.
В случае с сервисом. Человек является владельцем этого сервиса, он им управляет, он его разрабатывает, имеет доступ к системам хранения информации. К нему приходит запрос на информацию, и он начинает отмазываться, типа корова не моя, оно само как-то работает. Действия с информацией со стороны сервиса есть.
В случае с фотошопом. Человек не оказывает услуги по обработке фотографий и не рисует для себя, не заявляет себя владельцем фотошопа или автором фотографий, установленной в системе программы нет. Действий с информацией нет.
И да, подозрение может быть в обоих случаях, но в первом причастность человека к информации уже есть и надо доказать невозможность восстановления без третьей стороны, во втором эту причастность надо установить.
Вы в армии служили?
Допустим, да. К чему этот вопрос?
Извините, не могу не выложить, так как очень коррелирует с темой поста и комментариев. Понимаю, что так делать не принято, и с моей стороны это выглядит не очень хорошо.
Товарищ tentakle, вы в курсе, что на Хабре тоже есть модераторы, и они, скорее всего, в некоторых случаях могут просматривать личные сообщения? Ваше поведение хорошо показывает, зачем делают такие системы доступа. А также почему вы выступаете против них.
Товарищ tentakle, вы в курсе, что на Хабре тоже есть модераторы, и они, скорее всего, в некоторых случаях могут просматривать личные сообщения? Ваше поведение хорошо показывает, зачем делают такие системы доступа. А также почему вы выступаете против них.
Скрин из личных сообщений
Товарищ tentakle, вы в курсе, что на Хабре тоже есть модераторы, и они, скорее всего, в некоторых случаях могут просматривать личные сообщения? Ваше поведение хорошо показывает, зачем делают такие системы доступа. А также почему вы выступаете против них.
Для жалоб модераторам в подвале каждой страницы есть ссылка обратная связь.
Выкладывание лички без согласия не обоснованно почти никогда, вы честно заслужили -1 в карму.
Ctrl+Shift+I в Google Chrome.
Прекратите выкладывать личную переписку в общий доступ и пытаться компрометировать этим.
Прекратите выкладывать личную переписку в общий доступ и пытаться компрометировать этим.
Прекратите писать мне оскорбления в личные сообщения. На тот момент у меня было от вас 8 сообщений, в 4 из них разного рода обзывательства.
У меня нет цели вас компрометировать. Я не собираюсь жаловаться на вас модераторам. Выложил я потому что связано с темой статьи и комментов, и объясняет мою точку зрения. Была бы статья на другую тему, просто перестал бы вам отвечать.
Ну значит вы умрете от ужасных пыток ФСБ, потому что ключей у вас нет, что поделать.
Для того чтоб вам предъявить — должны быть основания, доказательства, нотариально заверенные скриншоты. Если они есть — да, вам будут е*ть мозг за кашу на жестком диске, что уже было неоднократно в той-же США. Не имеете технической возможности расшифровать? Ну ок, будете как Эпл, писать везде что вас заставляют-принуждают, но все равно прогнетесь под систему, рано или поздно.
Я вам еще один пример придумал. Запрос из органов — выдать все пароли пользователей. Дерзайте.
Если вы имеете в виду техническую возможность, то все проще простого. Пользователь при входе отправляет логин/пароль, пароль хешируется, хеш сверяется с базой. Если совпадает, пароль в исходном виде записывается в таблицу или файлик. Не вводите логин/пароль на Хабре, вдруг им запрос пришел.
Запрос из органов про пароли звучит не так. Запрос будет «предоставить доступ к учетной записи такой-то на основании такого-то решения» (никто не будет просить у вас доступ до всех). Далее вы вольны делать что хотите, лично мы меняли временно почту у аккаунта, чтоб пароль не восстановил, и сам пароль, сохраняя предыдущие значения, а после проведенных «экспертиз» меняли обратно. Пришлось делать так. Сами эксперты держали нас в курсе.
И это все местечковый форум.
И это все местечковый форум.
Так не я же ссылаюсь на слабоумие и отвагу органов, предоставить то, чего физически нет на серверах. Вам на примере паролей вроде все должно быть ясно, получается, что нет.
-Предоставьте нам ключ к расшифровке паролей
-Но пароль шифруется еще до того, как окажется в базе данных, далее хеш пароля просто сверяется при его вводе на устройстве пользователя с тем, что есть в базе
-Вы что, никогда не имели дело с органами?!11 Вы чего тут нам дурака включили?!!!1 А ну быстро расшифровали пароли нам!!!1
-Предоставьте нам ключ к расшифровке паролей
-Но пароль шифруется еще до того, как окажется в базе данных, далее хеш пароля просто сверяется при его вводе на устройстве пользователя с тем, что есть в базе
-Вы что, никогда не имели дело с органами?!11 Вы чего тут нам дурака включили?!!!1 А ну быстро расшифровали пароли нам!!!1
Аккаунт удаляется физически, все данные с него высылаются юзеру в криптоконтейнере с уведомлением. На запрос органов отвечается «не представляется возможным, т.к. юзер за час до вашего запроса удалил свой аккаунт со всеми данными».
Давайте еще простой пример.
Я создал контейнер каким-нибудь TrueCrypt и закачал его на Dropbox. Органы просят предоставить информацию. Какую информацию предоставит органам Dropbox — зашифрованный контейнер или то, что находится в этом зашифрованном контейнере?
Я создал контейнер каким-нибудь TrueCrypt и закачал его на Dropbox. Органы просят предоставить информацию. Какую информацию предоставит органам Dropbox — зашифрованный контейнер или то, что находится в этом зашифрованном контейнере?
Вообще-то не несёт. За информацию, размещаемая пользователем, ответственность несёт только пользователей, не вводите людей в заблуждение.
Сервис обеспечивает только хранение и передачу. Он не генерирует эту информацию, и не обязан вообще вникать в её содержимое.
Вот если придёт жалоба от органов — да, должен заблокировать URL, не сделает этого — сделают провайдеры по решению Роскомнадзора. Но если мы про мессенджеры, это какой-то экзотический сценарий, да и прямых ссылок на сообщения там нет.
UFO just landed and posted this here
>Но вы же понимаете, что он не обязан предоставлять эту информацию.
Обязан. Законы страны на пару порядков выше договора с пользователем на сайте.
Обязан. Законы страны на пару порядков выше договора с пользователем на сайте.
UFO just landed and posted this here
Простите, вы хотите чтоб я аргументировал почему законы страны выше соглашения с пользователем на вашем сайте?
Или я вас не так понял?
Или я вас не так понял?
суды работают немного не так — либо ты выдашь личную информацию, либо заплатишь штраф. Никакие отговорки и объяснения не помогут — будешь виноват в том, что не обеспечил возможность дешифровки по требованию.
А причем здесь зашифрованный личный диск? У следователя есть нотариально заверенный скриншот с ссылкой на плохие данные, который ведет на ваш сайт. Ваш сайт, по хорошему, оформлен на вас. Запрос через систему — ваши данные у органов. А далее вам будет не просьба расшифровать содержимое, а просьба выдать личные данные пользователя. Откажитесь или скажите что не можете — суд будет над вами.
Вы статью читали вообще или вам так с органами неймется?
А причем тут статья? Я отвечал сугубо на комментарий пользователя, который, считает что ВК единственная соцсеть которая:
>В любой удобной ситуации… сольёт и переписки, и всё, что надо — тем, кому надо.
А статья про ошибку, банальную. И мне нет ничего удивительного что средний модератор может читать мою переписку.
>В любой удобной ситуации… сольёт и переписки, и всё, что надо — тем, кому надо.
А статья про ошибку, банальную. И мне нет ничего удивительного что средний модератор может читать мою переписку.
Давайте начистоту, вы сами-то верите, что надо обеспечивать такую возможность?
Любой инструмент можно использовать по-разному. Можно молотком убивать людей, а можно забивать гвозди. Сайт с полным шифрованием данных — это всего лишь инструмент. Как его использовать — зависит от пользователей. И не надо говорить, что "владелец должен ответить". Владелец не в ответе, он только создал условия для использования, не призывая к плохим целям.
Всё, что не запрещено — разрешено, я придерживаюсь такого подхода обычно. Значит и создавать такие сервисы допустимо.
Я кстати очень похожую вещь уже делал. Правда, только мессенджер. Почему-то не пошло...
Тогда сольётся сама сеть или(и) её создатели.
даже самые главные не имеют доступа к открытым данным.К открытым? Это как?
Не сольет наверное нет, но вконтакте, из-за недоверия к судебной системе (насколько мне известно пользовательские данные выдаются только по решению суда, возможно не верно) я не могу чувствовать что мои данные хоть как-то защищены и это не проблема ресурса.
насколько мне известно пользовательские данные выдаются только по решению суда,
httpx://www.vedomosti.ru/newspaper/articles/2014/06/03/runet-pod-lupoj
Вы ещё раз 5 скиньте ссылку на сее чудесное и достоверное издание, а то вдруг не все увидели.
Раз Вам достоверности не хватает, вот вам полное наименование документа. Используя любую поисковую систему можете выбрать наиболее предпочтительное «достоверное» издание.
Постановление Правительства Российской Федерации от 31 июля 2014 г. N 743 г. Москва «Об утверждении Правил взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети „Интернет“ с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации»
Постановление Правительства Российской Федерации от 31 июля 2014 г. N 743 г. Москва «Об утверждении Правил взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети „Интернет“ с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации»
Мы, например.
Вы, это кто?
Мы — имеется ввиду наш небольшой проект. Мы пилим один достаточно закрытый проект для специалистов и энтузиастов. Комментом я просто хотел сказать что да, такие сети есть.
Вы сталкивались с запросами от органов?
Скажем так — мы целенаправленно пишем свою структуру таким образом, чтобы органы не были в состоянии получить любые данные, которые их интересуют или могут заинтересовать.
Тобишь вы целенаправленно пишите структуру таким образом чтоб создать большое количество проблем себе в будущем?
Пара советов от человека который сталкивался с отделом К и отделом Э очень близко: Не упоминайте свою причастность к данному проекту вообще никак, без документов, без паспортных данных на хостинге. Пока вы Неуловимый Джо — все будет замечательно. Если придут — не косите под дурачка. Не прокатит.
Пара советов от человека который сталкивался с отделом К и отделом Э очень близко: Не упоминайте свою причастность к данному проекту вообще никак, без документов, без паспортных данных на хостинге. Пока вы Неуловимый Джо — все будет замечательно. Если придут — не косите под дурачка. Не прокатит.
Зачем такие сложности?) Проще шифровать данные таким образом чтобы их невозможно было расшифровать и\или не логировать их вовсе. Как уже упоминалось — фарш невозможно провернуть назад, если котлет не существовало в принципе.
Тобишь вы целенаправленно пишите структуру таким образом чтоб создать большое количество проблем себе в будущем?
Можно ли услышать делали. Вот теоретическая вводная: у меня есть сайт на котором много интересной людям в погонах информации. Но все шифруется, и НИКТО не может получить к ней доступ. Какие у меня проблемы возникнут?
Ох, зря вы тоже с ним в диалог вступаете. У человека вроде психические расстройства в виде мании преследовании или что-то в этом духе.
Психиатры в треде, судя по всему?
>У человека вроде психические расстройства в виде мании преследовании или что-то в этом духе.
эм… Я конечно очень рад что вы можете ставить диагноз по постам на хабре, но вроде как за собой я таких наклонностей не наблюдаю, кроме того меня никогда не пугала возможная слежка за мной, я в принципе не шифруюсь, да и органам я к черту не сдался.
эм… Я конечно очень рад что вы можете ставить диагноз по постам на хабре, но вроде как за собой я таких наклонностей не наблюдаю, кроме того меня никогда не пугала возможная слежка за мной, я в принципе не шифруюсь, да и органам я к черту не сдался.
Вы начинаете не с того момента. Нужно изначально проектировать систему агрегации и генерирования контента таким образом, чтобы она была черным ящиком при любом некорректном воздействии на неё, включая создателя.
Если прям никто — вы 100% защищены. Но тогда зачем вам такой… кхм… даже не знаю как это назвать… сайт? (:
Если-же вы имеете ввиду что у вас шифрованная база данных, которую вы не в состоянии расшифровать по архитектурным причинам, то я предлагаю на данный момент данный диалог завершить и продолжить его после первого обращения к вам органов правопорядка (ничуть не желаю конечно-же такого вам), иначе у нас получается ИМХО vs ИМХО, и тут я проигрываю ораторским искусством.
У меня сложился опыт когда стало НАДО открыть скрытые разделы форума для определенных лиц и разговоры «все зашифровано по ключу, который знают только владельцы подфорума» просто не прокатил.
Если-же вы имеете ввиду что у вас шифрованная база данных, которую вы не в состоянии расшифровать по архитектурным причинам, то я предлагаю на данный момент данный диалог завершить и продолжить его после первого обращения к вам органов правопорядка (ничуть не желаю конечно-же такого вам), иначе у нас получается ИМХО vs ИМХО, и тут я проигрываю ораторским искусством.
У меня сложился опыт когда стало НАДО открыть скрытые разделы форума для определенных лиц и разговоры «все зашифровано по ключу, который знают только владельцы подфорума» просто не прокатил.
разговоры «все зашифровано по ключу, который знают только владельцы подфорума» просто не прокатил.Т.е., на самом деле у вас не было «всё зашифровано по ключу, который знают только владельцы подфорума», раз вы смогли расшифровать?
Тогда может вы будете обсуждать некомпетентность судебную систему, а не само существование такой шифрованной системы? Таким способом привлечь могут любого, как я уже говорил выше, просто потому, что товарищу майору надо в этом месяцу премию получить.
А какой смысл обсуждать компетентность/некомпетентность судебной системы? Сама идея о предоставлении доступа для определенного круга лиц априори является нарушением права на личную жизнь.
Браво. И о каком предоставлении доступа для третьих лиц вы тогда всю дорогу говорите? Всю эту ветку у вас априори — органы должны иметь доступ ко всему.
Вы всё достаточно верно поняли. Создаётся
Ну и ответ на
шифрованная база данных, которую вы не в состоянии расшифровать по архитектурным причинамименно потому (и с расчётом на то) что может случится
обращения к вам органов правопорядка
Ну и ответ на
тогда зачем вам такой…звучит так: ровно затем же, зачем люди создают на жестком диске криптоконтейнер с правдоподобным отрицанием. Да ещё и с обвесом в виде затруднённого тем или иным способом доступа в директорию.
Мы, например.
А «вы» — это кто?
Ну, тогда «вас» ещё нет — у вас нет ещё своей соцсети, как я понял, раз свой проект вы ещё только пилите.
Кто вам сказал что она не готова? Кто вам сказал, что вам её спалят? Кто вам сказал что сначала нужно писать код, а уж потом думать зачем он написан и как защитить его? Ещё раз для вас лично, для tentakle и daggert: я не собирался и не собираюсь тут ни с кем холиварить. В ветке встал вопрос: есть ли те, кто пилит нечто подобное? Есть ли в принципе такие люди и вещи. Я ответил — да, есть. Мы создаём закрытую платформу во внешней сети которая строится по принципам (техническим и тактико-стратегическим) даркнета. Не более того.
Не собирались холиварить, но лезете даже в те ветки, в которые не к вам обращаются, где вопрос не к вам и вы вообще к вопросу отношения не имеете.
Конкретно Ваша паническая боязнь полилога уже очевидна, выпейте новопассита или что там у вас. Вам это нужно. Судя по всему. (с)
Когда прочитал ваш комментарий, что вы создаете такую сеть, порадовался даже, что такой проект может наконец-то появиться. Но потом, когда вы обвинили меня в выпадах в вашу сторону, когда я отвечал вообще на другой комментарий, я понял, что пользоваться здешними ветками вы не умеете. На основании всего этого очень хотелось бы увидеть какие-то отметки о том, что вы были одним из разработчиков сети, если она появится в будущем, чтобы всячески эту сеть избегать, потому что если вы с ветками не смогли справиться, то уж что говорить о более сложной системе.
Вы непробиваемы. Я прекрасно умею пользоваться ветками. Но в этом нет никакой нужды — в отличии от вас я многозадачен. И да, мы создаём такой сервис. Соцсетью это смогут назвать только люди в зависимости от их количества внутри. Но мы не заинтересованы вытаскивать это на рынок, который засирается школьниками быстрее чем выкатываемые проекты доходят до полноценных релизов. И вряд ли я стану рассказывать публично, что я имею к ней отношение — комплекса Дурова у меня нет, как и времени на это.
Различайте многозадачность и хаос. Вы же не встреваете в чужой разговор, например, о фильмах с тем, что вы макароны сегодня на ужин поели. А может и встреваете…
А вы помните, был у героев такой разговор про макарошки с котлетками в сериале про ментов? Довольно эпичный кстати, почти как наш с вами.
Да и я не холиварю, а просто делюсь печальным опытом (:
В ветке встал вопрос: есть ли те, кто пилит нечто подобное?Да ладно? Вопрос был, цитирую:
А какая соцсеть не сольет запрошенные данные структурам правоохранительных органов своей страны по запросу?Про «есть кто пилит» там ничего нет, вопрос был, есть ли какая-то существующая социальная сеть, которая не выдаст данных.
Кто вам сказал что она не готова?Вы сами в этом же комментарии:
Мы создаём закрытую платформу«Создаём», а не «создали».
А что, вы видели хоть один проект, который не допиливается никогда? Вот прямо так вот сразу — сели, написали вечное ТЗ, склепали по нему и всё, на века прямо? Я рад за вас, пришлите потом ссылку, посмотрю на сайт из девяностых. Может даже через нетскейп навигатор, чем чёрт не шутит. Для аутентичности.
И что? Сомневаюсь, что любая другая сеть поступает иначе. Да и толку то: сидеть в соцсети и жаловаться на отсутствие приватности, это, по меньшей мере, нелогично.
Вы двигаетесь в сторону открытости и сделали bugtracker просто открытым? Потому что вот в данный момент он открыт.
VK Open Source
Мне баг-трекер был доступен еще с начала сентября 2016, пруфов не будет, ищите сами.
А хотя напишу — в начале сентября был бета-тест VK Desktop Messenger, ну я записался, выслал 2 отчета и забыл. В начале декабря его сделали открытым для всех.
Странно, что все только заметили что он открыт.
А хотя напишу — в начале сентября был бета-тест VK Desktop Messenger, ну я записался, выслал 2 отчета и забыл. В начале декабря его сделали открытым для всех.
Странно, что все только заметили что он открыт.
У меня сейчас выглядит вот так:
Скриншот
По нажатию Show more рисует ещё одну полоску с „9964 reports found“
По нажатию Show more рисует ещё одну полоску с „9964 reports found“
UFO just landed and posted this here
Вы пишите что предусмотрен штраф. Разве компания имеет право штрафовать своих сотрудников?
Если есть ежемесячная премия никто не мешает им использовать ее как инструмент штрафования сотрудников.
ТК РФ, ст. 192:
За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) увольнение по соответствующим основаниям.
Не допускается применение дисциплинарных взысканий, не предусмотренных федеральными законами, уставами и положениями о дисциплине.
За совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) увольнение по соответствующим основаниям.
Не допускается применение дисциплинарных взысканий, не предусмотренных федеральными законами, уставами и положениями о дисциплине.
Несомненно это так. Но премия не положена по умолчанию, ее выдача инициируется отдельными действиями руководства. В данном случае отсутствие премии это не взыскание юридически, но очевидно же что может использоваться именно так.
Ну да, по сути не слишком законно, но можно. Но это обычно признак не самого хорошего работодателя. Особенно если внутри это всё равно называется штрафом.
UFO just landed and posted this here
В оригинале было слово «штраф». ТК РФ не предусматривает штрафов.
Премия должна выдаваться за отличную работу, а не раз в квартал всем подряд. Накосячил — остался без премии.
Здесь логическое противоречие между двумя предложениями. В первом премия описана как механизм поощрения, во втором — как механизм наказания.
Здесь логическое противоречие между двумя предложениями. В первом премия описана как механизм поощрения, во втором — как механизм наказания.
Штрафовать по ТК нельзя, но ничто не мешает поделить зарплату на основную и премиальную части и сокращать последнюю на сумму фактического штрафа.
UFO just landed and posted this here
А почему Вы считаете это лазейкой?
UFO just landed and posted this here
UFO just landed and posted this here
Это называется защита прав трудящихся, достижение СССР. А штрафовать, кстати, можно:
Статья 241. Пределы материальной ответственности работника
За причиненный ущерб работник несет материальную ответственность в пределах своего среднего месячного заработка, если иное не предусмотрено настоящим Кодексом или иными федеральными законами."иное" — это наличие материальной ответственности, умысла, опьянения, вины (есть протокол об административном правонарушении)
А что мешает издать распоряжение, что при продаже алкоголя надо спрашивать паспорт у всех в обязательном порядке?
UFO just landed and posted this here
Одно дело, когда говорят на словах "спрашивайте у несовершеннолетних" (это по поводу "ей разъяснили инструкцию, провели обучение"), не уточняя, по каким критериям отличать их от совершеннолетних, и другое, когда издают приказ "спрашивать у всех в обязательном порядке". В первом случае критерии отдаются на усмотрение кассира, во втором никаких критериев нет. Штраф берется с владельца алкоголя. Вы им владеете, вы отдали кассиру возможность решать, нужен паспорт или нет, с вас и спрос. Кассир конечно виноват, и это проступок, с него спрос в меру его значимости в процессе. Он винтик, и спрос с него как с винтика.
UFO just landed and posted this here
Штрафа не будет и уволить нельзя. Потому что кассир это винтик в системе, он не принимает решения о закупках и продажах. Это ничего не меняет, это к вопросу о том, почему организация несет ответственность. Продает, потому и несет. Можете продолжать каждый день объяснять на словах и возмущаться, можете принять организационные меры для уменьшения такой вероятности. У кассира нет цели продать алкоголь несовершеннолетнему без паспорта, но и спрашивать паспорт у каждого у него инструкции тоже нет.
И он решил кинуть фирму
Подождите. Если директор решил кинуть фирму, то причем тут кассир?
Кстати, у вас наверное merge делается без code review?
Вопрос личной карточки не раскрыт.
Раскрыли в комментариях чуть выше.
Могу ли я получить ответ на свой комментарий? Пожалуйста.
Интересно, изучается ли в самом вконтакте «вектор интересов» и подобное, если туда попытаться устроится?
есть переводчики, есть агенты поддержки и модераторы жалоб
Хлебные места. По блату, наверное, набирают.
Есть альбом: https://vk.com/album296339984_212813665 Его автор удалила свою страницу. Ссылку нашёл в какой-то теме, где прикрепили часть фотографий из него. Остальные просмотреть не могу. Залейте, пожалуйста, весь альбом архивом на файлообменник.
Кстати, верните, пожалуйста, возможность установить себе прежнее оформление сайта. Новое получилось всё же тяжеловесным.
Может лучше в спортлотто лучше напишете?
К вопросу об оформлении – частично может помочь VKopt. Да и пару полезных плюшек добавит, по типу скачивания аудио/включение HTML-5 плеера.
Здраствуйте. Я, Кирилл. Хотел бы чтобы вы сделали игру, 3Д-экшон суть такова… Пользователь может играть лесными эльфами, охраной дворца и злодеем. И если пользователь играет эльфами то эльфы в лесу, домики деревяные набигают солдаты дворца и злодеи. Можно грабить корованы… И эльфу раз лесные то сделать так что там густой лес… А движок можно поставить так что вдали деревья картинкой, когда подходиш они преобразовываются в 3-хмерные деревья[1]. Можно покупать и т.п. возможности как в Daggerfall. И враги 3-хмерные тоже, и труп тоже 3д. Можно прыгать и т.п. Если играть за охрану дворца то надо слушаться командира, и защищать дворец от злого (имя я не придумал) и шпионов, партизанов эльфов, и ходит на набеги на когото из этих (эльфов, злого...). Ну а если за злого… то значит шпионы или партизаны эльфов иногда нападают, пользователь сам себе командир может делать что сам захочет прикажет своим войскам с ним самим напасть на дворец и пойдет в атаку. Всего в игре 4 зоны. Т.е. карта и на ней есть 4 зоны, 1 — зона людей (нейтрал), 2- зона императора (где дворец), 3-зона эльфов, 4 — зона злого… (в горах, там есть старый форт...) Так же чтобы в игре могли не только убить но и отрубить руку и если пользователя не вылечат то он умрет, так же выколоть глаз но пользователь может не умереть а просто пол экрана не видеть, или достать или купить протез, если ногу тоже либо умреш либо будеш ползать либо на коляске котаться, или самое хорошее… поставить протез. Сохранятся можно… P.S. Я джва года хочу такую игру.
уничтожение автоматикой всех подряд скриншотов интерфейса, чтобы сдержать возможный слив sensitive data.А можно человеческим языком вот об этом моменте, товарищ вконтач?
Дурова на вас нет!
Читаешь коментарии и думаешь — GNU атакует. Создается ощущение, что пользователи хабра на 99% состоят из сисадминов в полосатых свитерах (напомню — один известный парень с когтистой перчаткой в полосатом свитере был педофилом). Но мне не очень понятно, почему меня должно интересовать мнение GNU`шников — это ведь секта похуже свидетелей явления «железной матери».
Можно подумать, что полосатые свитера никогда не ошибаются. Не нравится сервис — не пользуйся, от куда столько ненависти, господа?
Можно подумать, что полосатые свитера никогда не ошибаются. Не нравится сервис — не пользуйся, от куда столько ненависти, господа?
Я бы посмотрел видео из офиса в момент, когда это все обнаружилось.
Смешно на самом деле, что крупнейшая соц сеть РФ может такие фичи выдавать просто из-за «невнимательный merge ветки».
Полагаю выглядело примерно так:
Смешно на самом деле, что крупнейшая соц сеть РФ может такие фичи выдавать просто из-за «невнимательный merge ветки».
У вас деплой происходит сразу на рабочие серваки? Нет никакого промежуточного staging, который уже тестируется тестерами/автоматизированными системами?
Не знаю слишком ли секретно, что человек — агент поддержки, но вышло узнать кто удалил мою группу из поиска пару месяцев назад.
Могу предположить, что слив его страницу, посыпалось бы куча вопросов в лс итд
Работал вк — возможность просмотра скрытых фото есть!
UFO just landed and posted this here
и посмотреть чужой IP-адрес или номер телефона никто не смог.
То есть вот этот момент на всем известной записи мне попросту привиделся?
Сдается мне, кто-то пытается ввести нас в заблуждение.
Удалять скриншоты из IM бессмысленно, по причине того, что юзер может отправить его другу через любой другой сервис. Каким образом удаление скриншотов препятствует сливу данных — не ясно.
Интересно было бы узнать, какой стек технологий вы используете для деплоя. Не надеюсь на ответ, но все же вопрос задам)
У меня как-то видео из ЛС было удалено (даже загрузиться толком не успело). Пожаловаться никто не мог (зачем на себя жаловаться), никуда не пересылалось. Либо глюк, либо всё же есть доступ к материалам даже без прямой ссылки/жалобы.
God mode ВКонтакте