Претензии к администрации сайта

Можно в лк/смена пароля написать правила для ввода этого пароля?
а сообщение

Новый пароль задан не корректно

вообще не о чем....

Можно в лк/смена пароля написать правила для ввода этого пароля?

написали

Добавьте пожалуйста удаление профиля (аккаунта).

Добавьте пожалуйста удаление профиля (аккаунта).

Уже говорили этого не будет.
Вы можете перестать вести любую деятельность на сайте и отписаться. НО удаления профиля не будет, так как это нарушит цепочки обсуждений, которые были ранее, а также может привести к потерям источников у рекомендованных материалов и изображений.

А мы историю не правим - мы её храним.

А с 1-го августа этого не сможет сделать никто, потому что новый закон о блогерах и требования к СМИ предписывают всем хранить данные о любой деятельности на сайте в течение 6 месяцев. Так что, с 1-го августа, Ваши пожелания противоречат закону РФ.

Андрей Л.

По поводу ПС хочу высказать пару замечаний:
1) Было бы правильно добавить текст соглашения к материалам, доступным в профиле пользователя или еще как-то. А то получается как-то дико: с соглашением согласился и забыл, и потом его даже процитировать нельзя.

2) Считаю, что любые требования к пользователю на тему того, что он несет ответственность за свои регистрационные данные и обязуется исключительно от своего имени соблюдать все требования сервиса VPK.NAME должны быть обеспечены технически, а именно: соединение должно быть защищено SSL сертификатом! В противном случае мы имеем профанацию - Вы требуете от пользователя соблюдения ПС и в то же время предоставляете сервис через уязвимое незащищенное HTTP соединение.

Вот даже это сообщение я вынужден был написать, предварительно согласившись с ПС, хотя мотив как раз был сообщить, о том, что я не согласен с ПС в такой форме. Но не согласившись с ним было уже не войти и не написать.

Конечно, SSL сертификат стоит каких-то денег, но если уж Вы хотите наводить порядок и призывать пользователей к ответственности, то надо держать марку со своей стороны тоже...

P.S. С рекламой стало лучше. Спасибо, что услышали! Жаль только, баннер всплывающий внизу страницы не перенесли, чтобы он навигационные ссылки не загораживал.

А то получается как-то дико: с соглашением согласился и забыл, и потом его даже процитировать нельзя.

Это логично - будет доступно.

Считаю, что любые требования к пользователю на тему того, что он несет ответственность за свои регистрационные данные и обязуется исключительно от своего имени соблюдать все требования сервиса VPK.NAME должны быть обеспечены технически, а именно: соединение должно быть защищено SSL сертификатом!

Он тоже не гарантирует 100% безопасность передаваемой информации. Он также никак не исключает утечку рег. данных с Вашего компьютера.

Как ИТ специалист, говорю Вам, что 95% всех взломов и утечек происходят всего по двум причинам
1. передача или потеря данных самим пользователем
2. взлом системы или передача данных для взлома бывшим или действующим сотрудником компании.

Оставшиеся 5% - целенаправленная атака чтобы украсть. И SSL от такой атаки - не убережет. При этом, на этапе хранения, мы всё шифруем и даже админ не знает паролей пользователей.

Поэтому на данном отрезке времени - требование считаю завышенным.
Более того, мы принудительно не запрашиваем у пользователей каких-либо данных, которые позволяют однозначно его идентифицировать - т.е. и законодательно требование также является излишним.
Тем не менее, требование услышали на будущее, в случае расширения запроса данных в профиль пользователя.

Вот даже это сообщение я вынужден был написать, предварительно согласившись с ПС, хотя мотив как раз был сообщить, о том, что я не согласен с ПС в такой форме. Но не согласившись с ним было уже не войти и не написать.

Ваше право было не согласиться.

Ваша обязанность, как пользователя, является держать свои регистрационные данные в секрете и не более того.

Конечно, SSL сертификат стоит каких-то денег, но если уж Вы хотите наводить порядок и призывать пользователей к ответственности, то надо держать марку со своей стороны тоже...

Наша основная задача - заставить пользователя нести ответственность за свои слова. Рег. данные это, как ни странно, в данном случае, вторично.

Люди перестали отвечать за свои слова - это очень искажает информацию.

Держать марку? Возможно мы с Вами по разному к этому относимся, но 99% посетителей вообще не понимают, что есть SSL и живут даже в соц. сетях не парясь по этому поводу, и выкладывая туда просто море конфиденциальной, персональной и даже секретной информации. Из них более 50% записывают свои пароли на листочек, в сотовой телефон или в текстовый файл на компьютере и держат всё это поближе к себе, чтобы всегда было перед глазами - особым восторгом лично у меня пользуется фишка, когда пароли приклеивают к обратной стороне клавиатуры.

В этих условиях, я не особо понимаю перед кем надо держать эту самую марку?

Наша основная задача - заставить пользователя нести ответственность за свои слова. Рег. данные это, как ни странно, в данном случае, вторично.

Ну вот я понял официоз данного ПС таким образом: отныне пользователи соглашаются с тем, что они информированы о своей ответственности перед законодательством РФ, а также соглашаются с тем, что если НЕКТО, залогинившись с их регистрационными данными, напишет нечто, чем нарушит законодательство, то ответвенность несет все равно пользователь, а не НЕКТО.

И вот именно с этой точки зрения у меня возникает к Вам вопрос: сделали ли Вы все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?

И вот, имея общий стаж в IT уже тоже не маленький (более 20 лет), я смею усомниться в том, что на момент предъявления пользователям Соглашения Вы сделали все возможное, чтобы проблема утечки их регистрационных данных действительно полностью была проблемой их собственной IT-гигиены. На что и посчитал своим долгом Вам указать.

Оставшиеся 5% - целенаправленная атака чтобы украсть. И SSL от такой атаки - не убережет. При этом, на этапе хранения, мы всё шифруем и даже админ не знает паролей пользователей.

Да еще как убережет! Вы просто не понимаете. Вот смотрите, специально для Вас я привожу фрагмент заголовка HTTP, который посылается на ваш сервер, когда пользователь жмет кнопочку "войти на сайт":

Host:vpk.name
Origin:http://vpk.name
Referer:http://vpk.name/login
User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Form Dataview sourceview URL encoded
lname:test@test.ru
lpass:test_pwd

Как видите, форма с логином и паролем отправляется в сеть вообще не зашифрованной. Ваши программисты даже не пытаются как-то зашифровать данные формы, превратив это в простейшую абракадабру. А знаете, что это значит? Это значит, что любой сниффер запросто выдаст все пароли ваших пользователей на любом пути следования в момент входа на сайт. Для этого даже не придется взламывать компьютеры пользователей и даже получать к ним доступ. Таким образом, Вы подставляете пользователей, предлагая им нести ответственность, даже в том случае, когда у них нет контроля над ситуацией. Вот именно поэтому я и предлагаю Вам SSL. Есть и другие варианты, конечно, но SSL идеологически более правильный, мне кажется.

Возможно мы с Вами по разному к этому относимся, но 99% посетителей вообще не понимают, что есть SSL и живут даже в соц. сетях не парясь по этому поводу, и выкладывая туда просто море конфиденциальной, персональной и даже секретной информации.

Согласен с Вами! Но есть нюанс. Соц. сети без SSL не требуют от пользователей подписаться под теми обязательствами, которые Вы определили своим пользователям в ПС. Вы в инициативном порядке подняли планку общественного договора, подразумеваемого между сайтом и его пользователями, не подкрепив при этом новые требования с технической стороны. Именно поэтому я и высказал свое замечание.

В этих условиях, я не особо понимаю перед кем надо держать эту самую марку?

Ну, насколько я Вас понял, Вы создаете ресурс для людей от ВПК, доверие которых есть одна из важных целей его развития. И я помню Ваши критические высказывания о том, что формат общения аудитории не всегда способствует привлечению заинтересованного круга лиц со стороны предприятий ВПК. Отсюда, как я понимаю, вытекают Ваши инициативы реформирования аудитории форума (помимо очевидного приведения его в соответствие с законодательством РФ). Так вот, я надеюсь, что Вы не будете уравнивать представителей предприятий ВПК и пользователей, "99% которых вообще не понимают, что есть SSL...". Вот перед этими людьми рано или поздно придется держать марку, imho.

И вот именно с этой точки зрения у меня возникает к Вам вопрос: сделали ли Вы все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?

Ну давайте займемся казуистикой на эту тему!!! Просто я уже много раз это проходил с людьми, которые не желают признавать принципа разумной достаточности, когда решать задачу надо не их силами.

Итак - что такое в нашем случае "все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?" - слушаю Вас!

И - Вы, лично Вы, гарантируете, что SSL и является тем самым "всё возможное" и на основании чего?

Да еще как убережет!

Т.е.Вы считаете, что специально организованная атака, это атака уровня чтения заголовка HTTP?

Это значит, что любой сниффер запросто выдаст все пароли ваших пользователей на любом пути следования в момент входа на сайт.

Ну не любой, а только установленный в определенном месте сети... Давайте уже не утрировать ситуацию ) У Вас же стоит сниффер - пробуйте со своей машины )

Соц. сети без SSL не требуют от пользователей подписаться под теми обязательствами, которые Вы определили своим пользователям в ПС.

Изучайте законодательство РФ - ответственность перед государством за нарушение законодательства выраженное словами в частности в соц сетях, лежит на пользователях, но предъявляется к владельцам ресурсов через хостера, которые обязаны выдать всю информацию о пользователе по запросу из органов.

Для справки в городе Коврове губернатор Владимирской области подал в суд на местный форум и администраторов заставили выдать всю информацию о пользователях, так как ответственность за свои действия несут именно они.

Таким образом, даже не подписывая никаких соглашений, Вы всё равно несете ответственность, в том числе и в случае утери данных.

Вы не будете уравнивать представителей предприятий ВПК и пользователей, "99% которых вообще не понимают, что есть SSL...".

Буду - я вижу ВПК изнутри!!!! и с пользователями, которые приклеивают на клавиатуру пароли буду!!!!

Вот перед этими людьми рано или поздно придется держать марку, imho.

Вот! Когда уровень беседы перейдет в грамотный конструктив, хотя бы на 70% и я увижу, что аудитория превращается в профессиональное сообщество, пользователи которого требуют дополнительной защиты - тогда и необходимо будет задумываться над дополнительными мерами безопасности.

Или когда мы решим, что без расширения профиля для повышения доверия между посетителями, нам требуется информация, которая может просто локализовать местонахождения пользователя, мы тоже задумаемся над повышением уровня безопасности

Это и есть - уровень разумной достаточности!

Ну давайте займемся казуистикой на эту тему!!!

При чем тут казуистика? Я вполне конкретно описал уязвимость, из-за которой данные регистрации пользователей передаются по сети в открытом виде. Да, немного идеалистически сформулировал вопрос, согласен. Но исключительно с целью подчеркнуть принцип, на основе которого обычно строится безопасность. А безопасности, как говорится, много не бывает.

Итак - что такое в нашем случае "все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?" - слушаю Вас!

Разумеется, выражение "все возможное" звучит довольно пафосно, но по смыслу это означает, что как только становится известной какая-либо новая уязвимость, то предпринимаются меры к ее нейтрализации. Я вот Вам показываю, что уязвимость есть, но мер к её нейтрализации пока нет.

И - Вы, лично Вы, гарантируете, что SSL и является тем самым "всё возможное" и на основании чего?

Я не пытаюсь Вам навязывать SSL как достаточный механизм к реализации "всего возможного". Я лишь говорю о том, что imho это необходимая мера, если Вы хотите повысить степень ответственности пользователей. Во всяком случае, о ее действенности можно судить по тому, что SSL применяется для защиты соединений клиент-банк. Возможно что с точки зрения абсолютной безопасности это не будет панацеей, однако при наличии SSL я готов согласиться в Вашей мыслью о том, что проблемы с ложной идентификацией будут вызваны недостаточной бдительностью самих пользователей, а не vpk.name и/или действий его администраторов.

Для справки в городе Коврове губернатор Владимирской области подал в суд на местный форум и администраторов заставили выдать всю информацию о пользователях, так как ответственность за свои действия несут именно они.

Так я с этим не спорю, я говорю о том, что под подозрения попадают пользователи даже в том случае, если кто-то схулиганил за них. Представьте себе, что у Вас угнали автомобиль, в процессе угона совершили ДТП, водитель скрылся, а потом Вас обвиняют в ДТП на основании того, что автомобиль ваш.

Ну, и если выражение всяких экстремистских взглядов можно еще с высокой вероятностью отнести к самому пользователю, то, например, взлом аккаунта соц. сети с целью рассылки спама - вполне себе заурядное явление.

Это и есть - уровень разумной достаточности!

Чем-то этот подход напоминает ситуацию, когда светофор на перекрестке появляется не тогда, когда там начинают регулярно пробки собираться, а когда разобьется несколько машин в хлам. Или, дорогу делают только после того, как уберется с нее кто-нибудь капитально, но выживет и в суд подаст. Яркое олицетворение проблемы двух Д, описанное классиками, именуется также "разумной достаточностью" :)

Чем-то этот подход напоминает ситуацию, когда светофор на перекрестке появляется не тогда, когда там начинают регулярно пробки собираться, а когда разобьется несколько машин в хлам

Я предлагаю Вам приобрести лицензии на все лучшие доступные на рынке средства безопасности персонального ПК и установить их на свой ПК - на всякий случай, мало ли что!
Как Вы на это смотрите?

наверное начнете оценивать стоимость и время, которое Вы проводите в сети, потом анализировать сайты, на которые ходите, потом искать наименее затратные варианты, потом исключите всё, что хоть немного дублирует друг-друга и только потом, возможно, что то приобретете.

А вероятнее всего - проигнорируете этот пост, решив, что много лет без этого жили и всё было хорошо.

Я вот Вам показываю, что уязвимость есть, но мер к её нейтрализации пока нет.

Я Вам предложил, воспользуйтесь ей, попытайтесь. Это как локоть укусить с того места, где Вы находитесь. Знать и иметь возможность использовать - это очень разные вещи. И это тоже средство защиты, ведь в ИТ все понимают, что абсолютно защищенных систем не существует и оценка идет не возможностью взлома , а временем на него и затратами на взлом относительно предмета защиты.

Я предлагаю Вам приобрести лицензии на все лучшие доступные на рынке средства безопасности персонального ПК и установить их на свой ПК - на всякий случай, мало ли что!
Как Вы на это смотрите?

1) Я на это смотрю как на зарывание головы в песок. Вы вдруг не хотите услышать, что проблема, про которую я Вам пишу, не сводится к проблеме отдельных пользователей.

2) SSL - является совершенно стандартным решением на сегодня, и это не требует никаких особых "лицензий на все лучшие доступные на рынке средства безопасности". На сегодня даже просто поиск в google работает через https.

Вы вдруг не хотите услышать, что проблема, про которую я Вам пишу, не сводится к проблеме отдельных пользователей.

Нет - этот способ добиться от человека понимания путем постановки его на свое место с теми же требованиями, которые он предъявляет к Вам. Способ надежный - все сразу смотрят на проблему другими глазами.

Вот и Вы я вижу тоже!

На сегодня даже просто поиск в google работает через https.

Гугле, в отличии от нас имеет разветвленную сеть интегрированных инструментов и технологий, которые накапливают такое количество информации о пользователях, что им крайне необходимо иметь помимо https и дополнительные меры безопасности.

Жаль, что Вы не видите или не желаете видеть этой разницы.

Нет - этот способ добиться от человека понимания путем постановки его на свое место с теми же требованиями, которые он предъявляет к Вам

Похоже , Андрей, у вас цель поставить на место пока единственное достижение.

Уважаемая администрация, планирую посетить оборонэкспо 2014 в эти выходные. Планирую делать фотографии техники, если вам нужны в галерею что то из выставленных конкретных  образцов техники и вооружения то сделаю их фото. По себе знаю, что за один день все не осмотреть не получается) поэтому все что там будет не сумею запечетлить. Именно по этому если есть пожелания то помогу с фотографиями. Так же если  форумчан интересуют какая либо техника, пишите! В субботу буду там.