Войти

Претензии к администрации сайта

485 сообщений, отображено с 101 по 120
№101
21.07.2014 21:47
Можно в лк/смена пароля написать правила для ввода этого пароля?
а сообщение
Цитата, q
Новый пароль задан не корректно
вообще не о чем....
0
Сообщить
№102
22.07.2014 11:41
Цитата, ArtemLV
Можно в лк/смена пароля написать правила для ввода этого пароля?
написали
0
Сообщить
№103
02.08.2014 05:46
Добавьте пожалуйста удаление профиля (аккаунта).
0
Сообщить
№104
03.08.2014 09:41
Цитата, тричетыре
Добавьте пожалуйста удаление профиля (аккаунта).

Уже говорили этого не будет.
Вы можете перестать вести любую деятельность на сайте и отписаться. НО удаления профиля не будет, так как это нарушит цепочки обсуждений, которые были ранее, а также может привести к потерям источников у рекомендованных материалов и изображений.

А мы историю не правим - мы её храним.

А с 1-го августа этого не сможет сделать никто, потому что новый закон о блогерах и требования к СМИ предписывают всем хранить данные о любой деятельности на сайте в течение 6 месяцев. Так что, с 1-го августа, Ваши пожелания противоречат закону РФ.
0
Сообщить
№105
09.08.2014 00:08
Андрей Л.

По поводу ПС хочу высказать пару замечаний:
1) Было бы правильно добавить текст соглашения к материалам, доступным в профиле пользователя или еще как-то. А то получается как-то дико: с соглашением согласился и забыл, и потом его даже процитировать нельзя.

2) Считаю, что любые требования к пользователю на тему того, что он несет ответственность за свои регистрационные данные и обязуется исключительно от своего имени соблюдать все требования сервиса VPK.NAME должны быть обеспечены технически, а именно: соединение должно быть защищено SSL сертификатом! В противном случае мы имеем профанацию - Вы требуете от пользователя соблюдения ПС и в то же время предоставляете сервис через уязвимое незащищенное HTTP соединение.

Вот даже это сообщение я вынужден был написать, предварительно согласившись с ПС, хотя мотив как раз был сообщить, о том, что я не согласен с ПС в такой форме. Но не согласившись с ним было уже не войти и не написать.

Конечно, SSL сертификат стоит каких-то денег, но если уж Вы хотите наводить порядок и призывать пользователей к ответственности, то надо держать марку со своей стороны тоже...

P.S. С рекламой стало лучше. Спасибо, что услышали! Жаль только, баннер всплывающий внизу страницы не перенесли, чтобы он навигационные ссылки не загораживал.
0
Сообщить
№106
09.08.2014 14:14
Цитата, vpd
А то получается как-то дико: с соглашением согласился и забыл, и потом его даже процитировать нельзя.

Это логично - будет доступно.

Цитата, vpd
Считаю, что любые требования к пользователю на тему того, что он несет ответственность за свои регистрационные данные и обязуется исключительно от своего имени соблюдать все требования сервиса VPK.NAME должны быть обеспечены технически, а именно: соединение должно быть защищено SSL сертификатом!

Он тоже не гарантирует 100% безопасность передаваемой информации. Он также никак не исключает утечку рег. данных с Вашего компьютера.

Как ИТ специалист, говорю Вам, что 95% всех взломов и утечек происходят всего по двум причинам
1. передача или потеря данных самим пользователем
2. взлом системы или передача данных для взлома бывшим или действующим сотрудником компании.

Оставшиеся 5% - целенаправленная атака чтобы украсть. И SSL от такой атаки - не убережет. При этом, на этапе хранения, мы всё шифруем и даже админ не знает паролей пользователей.

Поэтому на данном отрезке времени - требование считаю завышенным.
Более того, мы принудительно не запрашиваем у пользователей каких-либо данных, которые позволяют однозначно его идентифицировать - т.е. и законодательно требование также является излишним.
Тем не менее, требование услышали на будущее, в случае расширения запроса данных в профиль пользователя.

Цитата, vpd
Вот даже это сообщение я вынужден был написать, предварительно согласившись с ПС, хотя мотив как раз был сообщить, о том, что я не согласен с ПС в такой форме. Но не согласившись с ним было уже не войти и не написать.

Ваше право было не согласиться.

Ваша обязанность, как пользователя, является держать свои регистрационные данные в секрете и не более того.
0
Сообщить
№107
09.08.2014 14:22
Цитата, vpd
Конечно, SSL сертификат стоит каких-то денег, но если уж Вы хотите наводить порядок и призывать пользователей к ответственности, то надо держать марку со своей стороны тоже...

Наша основная задача - заставить пользователя нести ответственность за свои слова. Рег. данные это, как ни странно, в данном случае, вторично.

Люди перестали отвечать за свои слова - это очень искажает информацию.

Держать марку? Возможно мы с Вами по разному к этому относимся, но 99% посетителей вообще не понимают, что есть SSL и живут даже в соц. сетях не парясь по этому поводу, и выкладывая туда просто море конфиденциальной, персональной и даже секретной информации. Из них более 50% записывают свои пароли на листочек, в сотовой телефон или в текстовый файл на компьютере и держат всё это поближе к себе, чтобы всегда было перед глазами - особым восторгом лично у меня пользуется фишка, когда пароли приклеивают к обратной стороне клавиатуры.

В этих условиях, я не особо понимаю перед кем надо держать эту самую марку?
0
Сообщить
№108
11.08.2014 01:02
Цитата, Андрей Л.
Наша основная задача - заставить пользователя нести ответственность за свои слова. Рег. данные это, как ни странно, в данном случае, вторично.

Ну вот я понял официоз данного ПС таким образом: отныне пользователи соглашаются с тем, что они информированы о своей ответственности перед законодательством РФ, а также соглашаются с тем, что если НЕКТО, залогинившись с их регистрационными данными, напишет нечто, чем нарушит законодательство, то ответвенность несет все равно пользователь, а не НЕКТО.

И вот именно с этой точки зрения у меня возникает к Вам вопрос: сделали ли Вы все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?

И вот, имея общий стаж в IT уже тоже не маленький (более 20 лет), я смею усомниться в том, что на момент предъявления пользователям Соглашения Вы сделали все возможное, чтобы проблема утечки их регистрационных данных действительно полностью была проблемой их собственной IT-гигиены. На что и посчитал своим долгом Вам указать.

Цитата, Андрей Л.
Оставшиеся 5% - целенаправленная атака чтобы украсть. И SSL от такой атаки - не убережет. При этом, на этапе хранения, мы всё шифруем и даже админ не знает паролей пользователей.

Да еще как убережет! Вы просто не понимаете. Вот смотрите, специально для Вас я привожу фрагмент заголовка HTTP, который посылается на ваш сервер, когда пользователь жмет кнопочку "войти на сайт":

Цитата, Фрагмент заголовка HTTP запроса при попытке залогиниться на сайт

Host:vpk.name
Origin:http://vpk.name
Referer:http://vpk.name/login
User-Agent:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Form Dataview sourceview URL encoded
lname:test@test.ru
lpass:test_pwd


Как видите, форма с логином и паролем отправляется в сеть вообще не зашифрованной. Ваши программисты даже не пытаются как-то зашифровать данные формы, превратив это в простейшую абракадабру. А знаете, что это значит? Это значит, что любой сниффер запросто выдаст все пароли ваших пользователей на любом пути следования в момент входа на сайт. Для этого даже не придется взламывать компьютеры пользователей и даже получать к ним доступ. Таким образом, Вы подставляете пользователей, предлагая им нести ответственность, даже в том случае, когда у них нет контроля над ситуацией. Вот именно поэтому я и предлагаю Вам SSL. Есть и другие варианты, конечно, но SSL идеологически более правильный, мне кажется.

Цитата, Андрей Л.
Возможно мы с Вами по разному к этому относимся, но 99% посетителей вообще не понимают, что есть SSL и живут даже в соц. сетях не парясь по этому поводу, и выкладывая туда просто море конфиденциальной, персональной и даже секретной информации.

Согласен с Вами! Но есть нюанс. Соц. сети без SSL не требуют от пользователей подписаться под теми обязательствами, которые Вы определили своим пользователям в ПС. Вы в инициативном порядке подняли планку общественного договора, подразумеваемого между сайтом и его пользователями, не подкрепив при этом новые требования с технической стороны. Именно поэтому я и высказал свое замечание.

Цитата, Андрей Л.
В этих условиях, я не особо понимаю перед кем надо держать эту самую марку?

Ну, насколько я Вас понял, Вы создаете ресурс для людей от ВПК, доверие которых есть одна из важных целей его развития. И я помню Ваши критические высказывания о том, что формат общения аудитории не всегда способствует привлечению заинтересованного круга лиц со стороны предприятий ВПК. Отсюда, как я понимаю, вытекают Ваши инициативы реформирования аудитории форума (помимо очевидного приведения его в соответствие с законодательством РФ). Так вот, я надеюсь, что Вы не будете уравнивать представителей предприятий ВПК и пользователей, "99% которых вообще не понимают, что есть SSL...". Вот перед этими людьми рано или поздно придется держать марку, imho.
0
Сообщить
№109
11.08.2014 10:28
Цитата, vpd
И вот именно с этой точки зрения у меня возникает к Вам вопрос: сделали ли Вы все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?

Ну давайте займемся казуистикой на эту тему!!! Просто я уже много раз это проходил с людьми, которые не желают признавать принципа разумной достаточности, когда решать задачу надо не их силами.

Итак - что такое в нашем случае "все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?" - слушаю Вас!

И - Вы, лично Вы, гарантируете, что SSL и является тем самым "всё возможное" и на основании чего?

Цитата, vpd
Да еще как убережет!

Т.е.Вы считаете, что специально организованная атака, это атака уровня чтения заголовка HTTP?

Цитата, vpd
Это значит, что любой сниффер запросто выдаст все пароли ваших пользователей на любом пути следования в момент входа на сайт.

Ну не любой, а только установленный в определенном месте сети... Давайте уже не утрировать ситуацию ) У Вас же стоит сниффер - пробуйте со своей машины )
0
Сообщить
№110
11.08.2014 10:38
Цитата, vpd
Соц. сети без SSL не требуют от пользователей подписаться под теми обязательствами, которые Вы определили своим пользователям в ПС.

Изучайте законодательство РФ - ответственность перед государством за нарушение законодательства выраженное словами в частности в соц сетях, лежит на пользователях, но предъявляется к владельцам ресурсов через хостера, которые обязаны выдать всю информацию о пользователе по запросу из органов.

Для справки в городе Коврове губернатор Владимирской области подал в суд на местный форум и администраторов заставили выдать всю информацию о пользователях, так как ответственность за свои действия несут именно они.

Таким образом, даже не подписывая никаких соглашений, Вы всё равно несете ответственность, в том числе и в случае утери данных.
0
Сообщить
№111
11.08.2014 10:42
Цитата, vpd
Вы не будете уравнивать представителей предприятий ВПК и пользователей, "99% которых вообще не понимают, что есть SSL...".

Буду - я вижу ВПК изнутри!!!! и с пользователями, которые приклеивают на клавиатуру пароли буду!!!!

Цитата, vpd
Вот перед этими людьми рано или поздно придется держать марку, imho.

Вот! Когда уровень беседы перейдет в грамотный конструктив, хотя бы на 70% и я увижу, что аудитория превращается в профессиональное сообщество, пользователи которого требуют дополнительной защиты - тогда и необходимо будет задумываться над дополнительными мерами безопасности.

Или когда мы решим, что без расширения профиля для повышения доверия между посетителями, нам требуется информация, которая может просто локализовать местонахождения пользователя, мы тоже задумаемся над повышением уровня безопасности

Это и есть - уровень разумной достаточности!
0
Сообщить
№112
11.08.2014 10:59
Цитата, Андрей Л.
Ну давайте займемся казуистикой на эту тему!!!

При чем тут казуистика? Я вполне конкретно описал уязвимость, из-за которой данные регистрации пользователей передаются по сети в открытом виде. Да, немного идеалистически сформулировал вопрос, согласен. Но исключительно с целью подчеркнуть принцип, на основе которого обычно строится безопасность. А безопасности, как говорится, много не бывает.

Цитата, Андрей Л.
Итак - что такое в нашем случае "все возможное, чтобы исключить возможность того, что некто сможет произвести действия от имени пользователя?" - слушаю Вас!
Разумеется, выражение "все возможное" звучит довольно пафосно, но по смыслу это означает, что как только становится известной какая-либо новая уязвимость, то предпринимаются меры к ее нейтрализации. Я вот Вам показываю, что уязвимость есть, но мер к её нейтрализации пока нет.

Цитата, Андрей Л.
И - Вы, лично Вы, гарантируете, что SSL и является тем самым "всё возможное" и на основании чего?
Я не пытаюсь Вам навязывать SSL как достаточный механизм к реализации "всего возможного". Я лишь говорю о том, что imho это необходимая мера, если Вы хотите повысить степень ответственности пользователей. Во всяком случае, о ее действенности можно судить по тому, что SSL применяется для защиты соединений клиент-банк. Возможно что с точки зрения абсолютной безопасности это не будет панацеей, однако при наличии SSL я готов согласиться в Вашей мыслью о том, что проблемы с ложной идентификацией будут вызваны недостаточной бдительностью самих пользователей, а не vpk.name и/или действий его администраторов.
0
Сообщить
№113
11.08.2014 11:18
Цитата, q
Для справки в городе Коврове губернатор Владимирской области подал в суд на местный форум и администраторов заставили выдать всю информацию о пользователях, так как ответственность за свои действия несут именно они.

Так я с этим не спорю, я говорю о том, что под подозрения попадают пользователи даже в том случае, если кто-то схулиганил за них. Представьте себе, что у Вас угнали автомобиль, в процессе угона совершили ДТП, водитель скрылся, а потом Вас обвиняют в ДТП на основании того, что автомобиль ваш.

Ну, и если выражение всяких экстремистских взглядов можно еще с высокой вероятностью отнести к самому пользователю, то, например, взлом аккаунта соц. сети с целью рассылки спама - вполне себе заурядное явление.
0
Сообщить
№114
11.08.2014 11:29
Цитата, Андрей Л.
Это и есть - уровень разумной достаточности!

Чем-то этот подход напоминает ситуацию, когда светофор на перекрестке появляется не тогда, когда там начинают регулярно пробки собираться, а когда разобьется несколько машин в хлам. Или, дорогу делают только после того, как уберется с нее кто-нибудь капитально, но выживет и в суд подаст. Яркое олицетворение проблемы двух Д, описанное классиками, именуется также "разумной достаточностью" :)
0
Сообщить
№115
11.08.2014 12:36
Цитата, vpd
Чем-то этот подход напоминает ситуацию, когда светофор на перекрестке появляется не тогда, когда там начинают регулярно пробки собираться, а когда разобьется несколько машин в хлам

Я предлагаю Вам приобрести лицензии на все лучшие доступные на рынке средства безопасности персонального ПК и установить их на свой ПК - на всякий случай, мало ли что!
Как Вы на это смотрите?

наверное начнете оценивать стоимость и время, которое Вы проводите в сети, потом анализировать сайты, на которые ходите, потом искать наименее затратные варианты, потом исключите всё, что хоть немного дублирует друг-друга и только потом, возможно, что то приобретете.

А вероятнее всего - проигнорируете этот пост, решив, что много лет без этого жили и всё было хорошо.

Цитата, vpd
Я вот Вам показываю, что уязвимость есть, но мер к её нейтрализации пока нет.

Я Вам предложил, воспользуйтесь ей, попытайтесь. Это как локоть укусить с того места, где Вы находитесь. Знать и иметь возможность использовать - это очень разные вещи. И это тоже средство защиты, ведь в ИТ все понимают, что абсолютно защищенных систем не существует и оценка идет не возможностью взлома , а временем на него и затратами на взлом относительно предмета защиты.
0
Сообщить
№116
11.08.2014 13:26
Цитата, Андрей Л.
Я предлагаю Вам приобрести лицензии на все лучшие доступные на рынке средства безопасности персонального ПК и установить их на свой ПК - на всякий случай, мало ли что!
Как Вы на это смотрите?

1) Я на это смотрю как на зарывание головы в песок. Вы вдруг не хотите услышать, что проблема, про которую я Вам пишу, не сводится к проблеме отдельных пользователей.

2) SSL - является совершенно стандартным решением на сегодня, и это не требует никаких особых "лицензий на все лучшие доступные на рынке средства безопасности". На сегодня даже просто поиск в google работает через https.
0
Сообщить
№117
11.08.2014 15:39
Цитата, vpd
Вы вдруг не хотите услышать, что проблема, про которую я Вам пишу, не сводится к проблеме отдельных пользователей.

Нет - этот способ добиться от человека понимания путем постановки его на свое место с теми же требованиями, которые он предъявляет к Вам. Способ надежный - все сразу смотрят на проблему другими глазами.

Вот и Вы я вижу тоже!

Цитата, vpd
На сегодня даже просто поиск в google работает через https.

Гугле, в отличии от нас имеет разветвленную сеть интегрированных инструментов и технологий, которые накапливают такое количество информации о пользователях, что им крайне необходимо иметь помимо https и дополнительные меры безопасности.

Жаль, что Вы не видите или не желаете видеть этой разницы.
0
Сообщить
№118
12.08.2014 03:33
Цитата, q
Нет - этот способ добиться от человека понимания путем постановки его на свое место с теми же требованиями, которые он предъявляет к Вам
Похоже , Андрей, у вас цель поставить на место пока единственное достижение.
0
Сообщить
№119
Удалено
№120
14.08.2014 20:57
Уважаемая администрация, планирую посетить оборонэкспо 2014 в эти выходные. Планирую делать фотографии техники, если вам нужны в галерею что то из выставленных конкретных  образцов техники и вооружения то сделаю их фото. По себе знаю, что за один день все не осмотреть не получается) поэтому все что там будет не сумею запечетлить. Именно по этому если есть пожелания то помогу с фотографиями. Так же если  форумчан интересуют какая либо техника, пишите! В субботу буду там.
+1
Сообщить
Хотите оставить комментарий? Зарегистрируйтесь и/или Войдите и общайтесь!
  • Обсуждаемое
    Обновить
  • 12.12 00:25
  • 6369
Без кнута и пряника. Россия лишила Америку привычных рычагов влияния
  • 12.12 00:14
  • 8478
Минобороны: Все авиаудары в Сирии пришлись по позициям боевиков
  • 11.12 23:01
  • 3
Поражение Ирана в Сирии создает новые вызовы для России
  • 11.12 22:46
  • 28
Уроки Сирии
  • 11.12 21:17
  • 0
Ответ на "Катастрофа с "Абрамсами" на Украине только начинается (The National Interest, США)"
  • 11.12 17:46
  • 1
Катастрофа с "Абрамсами" на Украине только начинается (The National Interest, США)
  • 11.12 16:52
  • 1
Российский истребитель Су-57 продолжает доказывать свою эффективность (The National Interest, США)
  • 11.12 11:42
  • 1
Морской бой XXI века: Су-30 и Ми-8 громят вражеские БЭКи с пулеметами
  • 11.12 11:27
  • 1
«Чтобы оружие не попало в руки боевиков»: ВВС Израиля уничтожают оставшиеся от САА военную технику и боеприпасы в ряде провинций Сирии
  • 11.12 11:24
  • 1
Туск полагает, что мирные переговоры по Украине начнутся уже зимой
  • 11.12 05:46
  • 6
Ответ на "Российский бомбардировщик Ту-22М3 — безжалостный убийца на Украине (The National Interest, США)"
  • 11.12 01:16
  • 1
Ответ на "В США рассказали о недооценке российских «Ясеней»"
  • 10.12 21:35
  • 0
О Ту-22М3М
  • 10.12 20:30
  • 1374
Корпорация "Иркут" до конца 2018 года поставит ВКС РФ более 30 истребителей Су-30СМ
  • 10.12 18:47
  • 1
В США рассказали о недооценке российских «Ясеней»