Некоторое время тому назад (с пару месяцев) яндекс начал баловаться требованием ответов на вопросы, которые сочинялись на этапе регистрации более десяти лет тому назад, с тех пор ни разу не использовавшиеся и потому естественно благополучно забытые. А к настоящему времени и спрятанные в интерфейсе (предпринимавшаяся попытка найти благополучно обломалась).
Но если забить, то следующая попытка авторизации проходила успешно. Потому новшество конечно раздражало, но не то, чтобы сильно (ибо мы помним руководство господина Фокса).
Сего дня при попытке авторизации в сервисе электронной почты обнаружил «приятный» сюрприз в виде *инвариантного* требования ответов на упомянутые вопросы.
Это они таким образом «привлекают» пользователей?
Или запуск подготовленной диверсии в ответ (для компенсации?) на санкции в отношении гугля?
ЗЫ: Особенно прекрасен запрос адреса электронной почты для обратной связи в форме восстановления доступа к электронной почте.
В качестве приложения — историческая заметка (от декабря прошлаго года) подозрительного типа отставного управленца о недавней выходке Я.Маркета.
Комментарии
Эти мрази на днях забанили мне почту, которой уже почти 20 лет. Мол, наверное взломали. Хорошо, что почта спамовая, типа для регистраций на форумах. Требуют ответ на контрольный вопрос. Но дело в том, что ответ на этот "контрольный вопрос" я забыть никак не мог - почтовый индекс. Ладно, решил пройти этап восстановления через анкету и бросил. Не так нужна мне та почта, что бы я отвечал на все вопросы анкеты.
Попробуйте повторить попытку авторизации.
Вангую воплощения закономерностей руководства господина Фокса (при том, что рукой.водящие с высокой степенью вероятности не знают не только его, но даже руководство господина Брукса) на модно-популярной теме *симуляции* «двухфакторной авторизации».
ЗЫ: Вы обратили внимание на то, что в анкете на восстановление запрашиваются перс.данные? И лично мне тут очень интересно наличие сертификата ИС на обработку ПД.
Сейчас попробовал зайти. И что вы думаете? Таки, разбанили.
При входе по привычке спросили номер телефона. Не-а. Ну нет, так нет.
А зачем тут «думать», когда я практически *знал*?..
Аналогично. Причём если набрать пароль неправильно - так и писали что неправильно, а если правильно - спрашивает контрольный вопрос, который я не помню спустя 20 лет, но почти 99,9% уверен, что я его не заполнял тогда.
Вы тоже заценили то, как они спрашивают спрятанное в актуальном интерфейсе?
с тех пор как стали вымогать номер телефона - не пользуюсь
Скажите, а сервисами гугля Вы пользуетесь?
да, давно. у меня там телефон никогда не вымогали
Ключевое слово видите?
ЗЫ: Я *не* пользуюсь. Потому что когда относительно недавно решил предпринять попытку, обнаружил факт невозможности регистрации без ввода номера телефона.
Если смарт на Андроиде, они его и так знают )))
это если сим карта в телефоне
Это, как я понимаю, заявка на описание метода регистрации в сервисах типа воцапа без указания номера телефона?
я даже не заморачиваюсь этим, просит телефон да и на.... глупо скрывать информацию от владельца ОС в которой она сохранена
Это же "другое" ))) Зачем ментальному рабу запада такие неудобные вопросы задавать? )))
Впервые я с этим столкнулся на Яхе. Вот нафига яхе телефон российского пользователя?
Однако тут интереснее вопрос в способе верификации (на чём отчаянно экономят… собиратели).
вроде обязали идентифицировать средства связи. Я предоставляет почту, вот и запрашивают телефон как идентификатор
На newmail он же nightmail он же qip.ru телефон затребовали уже давно, лет 5 назад по ощущениям. В связи с ФЗ, где все "аськи" должны только через номер телефона регистрироваться.
В принципе в то время Яндекс тоже баловался со своей аськой ("Я.Онлайн"), но они её просто выключили к тому времени.
Что на них сейчас нашло - хз. Скорее всего, они эту защиту включили всем, кто не входит в Яндекс регулярно. Т.е. если у вас, для примера, на телефоне или компьютере установлена почтовая программа с настроенной яндекс-почтой, или, для другого примера, Яндекс-Диск - фоточки закачивает и вообще синхронизируется несколько раз в день, то защита не обостряется.
А вот если кто-то не входил на Яндекс неделю (месяц? год?) - то сразу возникает большой привет.
У меня пока, слава богу, такого не случилось, но родственница тоже под раздачу попала.
Неверно.
Ситуация наблюдалась в том числе на регулярно используемых ящиках.
А разве "укажите свой мобильный, мы туда пришлем пароль" не канает больше?
имхо таким незамысловатым способом они привязывают ящики (читай - идентификацию юзера, шатающегося по разным сайтам) к мобиле, далее к _покупкам_ по всяким скидочным картам.... ну и начинают втюхивать то диван из дсп за 50 тыщ для кухни то увеличение груди...
Известная штука. Особенно прекрасно смотрится на фоне заключения специально обученных юристов о том, что сам по себе номер телефона, без присовокупления дополнительных атрибутов, к ПД не относится.
Ну и даже в блогах продаванов вредоносного ПО лаборатории касперского схоронена закладка-алиби на тему ненадёжности рассылки пароликов в тексте SMS.
да где вы находите эту рекламу то, в наше время адблоков
Это после "не помню пароль" появлялось. Смс приходило, всеок.
Вы никогда не встречались с воплощениями закономерного стремления к идентификации оных (об истории с закладкой в одном из популярнейших решений скромно умолчим)?
При входе в один их акков,потребовали ответить на контрольный вопрос: "день рождения бабушки", на 100% уверен, никогда не выбирал что-то подобное.
> на 100% уверен, никогда
ответь от фонаря, только чтобы год был плюс-минус правильный
Поясните пожалуйста, что такое «год был плюс-минус правильный» для отфонарного вопроса (ответа на который пользователь не фиксировал) при столь же отфонарной дате рождения самого пользователя?
По мне тут поможет только хардкор, только прокурорская проверка ИС на соответствие требованиям по обработке ПД (ну и полагающихся сертификатов до кучи).
трудно поверить в наличие бабушки, которой от роду 5 лет
трудно поверить в наличие бабушки живого человека, которой от роду 150 лет
а вот бабушка возрастом примерно 60 лет - приемлемо ложится на широкий диапазон возможного возраста "абонента"
Зачем во втором случае задавать глупые вопросы (из формулировки которых, кстати, не следует, что речь идёт о *живом* человеке)?
проверка гипотезы
той самой, отквоченной выше, что "> на 100% уверен, никогда" и что речь идёт о сборе перс-данных под видом ответа на старые контрольные вопросы
если ответ в самом деле был забит и забыт - не проканает. А если гипотеза справедлива, то проканает и будет забивание спам-БД мусорными данными
Как утверждает камрад Zanuda, как минимум в некоторых сценариях ввод *правильного* (!!!) ответа на исторический вопрос дарует лишь возможность привязки учётной записи к номеру телефона.
Что показательно: с тем же *инвариантом? (!) фигового листочка «защиты» посредством парольного механизма авторизации.
За пару тысчонок тонн физического рыжья прочитаю автором сего сценария краткий ликбез по логике работы предметной области, на которую они завязываются.
Отдел маркетинга Яндекса в аду ждут отдельные сковородки со всплывающими в самое неподходящее время окошечками с рекламой и требующие перезапустить процедуру жарки, потому как оне, видите ли, обновились.
П.С.
И с этой вечно греющей уши сукой Алисой...
Закройся я сказал!!!Однако позвольте обратить Ваше внимание на тот факт, что тенденция к «*само*обновлению» приложений далеко не ограничивается яндексом.
Вот-вот... Жалкие подражатели!..
тут более прикольно то, что яндекс-браузер у меня выключается вместе с компом - обновляйся в момент выгрузки-загрузки, хрена тебе - СЛОЖНО ШТОЛЕ???
"Неее, я хачу штоп именно юзверь нажал кнопоцку "ЗАКРЫТЬ" и снова запустил браузер! Штоп он понимал, что МЫ АБНАВИЛИС!!!"
Вы будете смеяться, но с удовлетворением эгрессивного требования сохранения традиционного для самой распространённой ОС еретического подхода к решению задачи управления ПО оно действительно мягко говоря нетривиально. До практической нереализуемости.
> До практической нереализуемости.
Что именно нельзя реализовать?
Ну например так:
1) скачиваем фоном обновление
2) прописываем его, например, в Active Setup, как заповедовал нам Windows 95 (впрочем, тут могут быть панические заморочки у пользователей с запросом админских прав)
3) при выходе из программы, если компьютер не в режиме перезагрузки - запускаем обновление досрочно
4) иначе - Windows его запускает при следующей загрузке Рабочего Стола
Что неправильно ?
Начинать рекомендуется с вопроса об условиях решаемости задачи обновления (а, строго говоря, и установки) ПО.
Наблюдал как-то ржачный эпизод, когда на типо «доменной» рабочей станции (с порезанными правами на всё и вся) браузер установился (то, чего в норме и при правильном решении задачи быть не должно), и долго *пытался* обновиться. Причём попытки *само*обновления (как и попытки *удаления* пользователем) закономерно обламывались…
> на типо «доменной» рабочей станции (с порезанными правами на всё и вся) браузер установился (то, чего в норме и при правильном решении задачи быть не должно)
Ну это не стандартная настройка ОС.
В тех же Линуксах тоже всегда были дилеммы с само-обновляющимися программами. Тот же Firefox, ждать пока в apt прилетит или с mozilla.org обновиться? Adobe flash плагин? всякие библиотеки на perl или python - из условного CPAN'а обновлять или ждать недели, пока кто-нибудь в apt обновление запакетит. 0install и всякие там flatpak не на пустом месте возникли. Идеального решения вообще нет, только выбирать недостатки по своему вкусу.
На фрюниксах не было дилеммы.
Потому что то, что Вы описываете суть ересь!
Ну так и вы описываете ту же самую ересь.
> Если Вы ставите [на генту] программы или драйвера руками в обход системы Portage...
Если Вы ставите [на доменный windows] программы или драйвера руками в обход групповых политик и собственного WSUS-сервера...
> На фрюниксах не было дилеммы.
Если бы не было дилеммы - то и вашей странички бы не было. Тут как раз именно дилемма чётко и описана: либо послушно делаете как мы решили (в частности, НЕ ставите свежие обновления), либо идёте на хутор бабочек ловить.
Не видите отличий?
Попробуйте что-то «поставить» из еретического «установщика» в гентушечке. С правами непривиллегированного пользователя.
Когда получится — можете возвращаться со сказками о подобии.
То есть вы, с ваших слов, сравниваете идеально сконфигурированную генту, и непонятно как "но явно неправильно" сконфигурированную винду. Ну... такое себе.
При этом винда плохая, потому что в ней нельзя будет "без рута" обновить программу, а гента хорошая, потому что в ней нельзя будет "без рута" обновить программу, и добавочно нельзя будет установить тоже.
Кстати, а для каждого ли расширения firefox/thunderbird есть готовый и обновляемый день в день ebuild ?
И опять же, что в генте нельзя разве "без рута" из собственного хомяка запускать программы (предположим статическую линковку или даже make из тарболла) ?
Не стоит поддаваться соблазну «усиления» аргументации домыслами.
Возьмите в качестве наглядного примера WYSIWYM!
ЗЫ: А тот *факт*, что ошибочное и долженствующее быть запрещённым действие оказалось возможным ну никак не связан с особенностями… архитектуры ОС.
Могу добавить: аудит такого рода, только уже других, неправильностей спустя пару лет… доставил изрядно лулзов. Если наблюдать со стороны да с безопасного удаления…
Также как и грёбаный ассистент гугля
https://www.youtube.com/watch?v=TyySBKLDkzk
Недавно транспортная компания потребовала мою фотографию на фоне паспорта, что бы как они говорят удостовериться что я это я. Вообще забавы с вымогательством персональных данных перестали радовать и стали сильно напрягать.
Обращение в прокуратуру с просьбой проведения аудита ИС на соответствие требованиям действующего законодательства по обработке собираемых данных.
С временной приостановкой действия лицензии до устранения выявленных недостатков (и разрешением подачи заявки на прохождение КЛД скажем 1 генваря 2023 года).
И, на случай сваливания авторов, ассоциация санкций с минет.иментом (в случае увольнения и приёма на работу ответственных за принявшей компании — аналогичный набор санкций с усугублением, заявка на КЛД принимается не ранее 1 негваря 2026 года).
Проверками ИС на ПД занимается Роскомнадзор. Он же занимается бумажными ПД.
Если же проверить наличие организации в реестре РКН организаций операторов ПД и ее там не обнаружится... тогда совсем замечательно.
Страницы