Компания Sony Music добилась в немецком суде решения о блокировке нескольких пиратских ресурсов на уровне публичного DNS-ресолвера Quad9 (9.9.9.9). Quad9 - это некоммерческая организация, представляющая услугу публичного DNS-сервера (вроде Google-овских 8.8.8.8 и 8.8.4.4, или принадлежащего Cloudflare 1.1.1.1). То есть Quad9 - не регистратор доменных имен и вообще никаких отношений с этими пиратскими сайтами не имеет.
Зачем это все нужно Sony Music? Блокировка по DNS в Германии сейчас работает на уровне отдельных провайдеров. Пиратов типа ThePirateBay заносят в черный список и провайдеры на уровне своих DNS обязаны блокировать такие запросы. А пользователи в ответ меняют у себя на устройствах настройки DNS на публичные ресолверы и успешно обходят блокировки. Вот эту возможность Sony Music и пытается прикрыть.
В ответ Quad9 собирается судиться. Компания выпустила заявление о том, что они - не против авторских прав, просто публичный DNS-прокси - это неправильное место для блокировки, такое же неправильное, как антивирус на компьютере пользователя, или файрвол в локальной сети. Если Sony Music хочет бороться с пиратством, пусть разбирается с теми, кто напрямую продает услуги пиратам.
Очень интересно, чем закончится.
Зачем это все нужно Sony Music? Блокировка по DNS в Германии сейчас работает на уровне отдельных провайдеров. Пиратов типа ThePirateBay заносят в черный список и провайдеры на уровне своих DNS обязаны блокировать такие запросы. А пользователи в ответ меняют у себя на устройствах настройки DNS на публичные ресолверы и успешно обходят блокировки. Вот эту возможность Sony Music и пытается прикрыть.
В ответ Quad9 собирается судиться. Компания выпустила заявление о том, что они - не против авторских прав, просто публичный DNS-прокси - это неправильное место для блокировки, такое же неправильное, как антивирус на компьютере пользователя, или файрвол в локальной сети. Если Sony Music хочет бороться с пиратством, пусть разбирается с теми, кто напрямую продает услуги пиратам.
Очень интересно, чем закончится.
www.opennet.ru
Sony Music добилась в суде блокировки пиратских сайтов на уровне DNS-резолвера Quad9
Звукозаписывающая компания Sony Music добилась в окружном суде Гамбурга (Германия) предписания о блокировке пиратских сайтов на уровне проекта Quad9, предоставляющего бесплатный доступ к публично доступному DNS-резолверу "9.9.9.9", а также сервисам "DNS over…
Похоже, в Windows 11 будет поддержка полнодискового шифрования для всех.
Вчера Microsoft представил Windows 11, и одно из системных требований новой операционной системы - это поддержка аппаратного модуля безопасности TPM 2.0. Что это может значить? Самая очевидная догадка - Microsoft решил дать всем пользователям Windows 11 полнодисковое шифрование. В 2021 году домашние версии Windows фактически остались последней операционной системой без полнодискового шифрования — защиты от того, что злоумышленник украдет компьютер пользователя, достанет оттуда диск и прочитает файлы (да, да, а еще изменит и запишет свои). В Mac OS, дистрибутивах Linux, в Android и IOS опция шифрования "из коробки" давно есть, и только клиентам Windows приходилось либо докупать профессиональную версию, чтобы получить майкрософтовский Bitlocker, либо использовать сторонние приложения, например Veracrypt.
А модуль TPM - это такой железный чип, который умеет хранить криптографические ключи и управляет доступом к ним, он как раз нужен для работы майкрософтовского фирменного шифрования Bitloсker из профессиональных Windows. Подобная железяка - это удобно для шифрования, потому что она, например, ограничивает скорость и количество попыток перебора паролей. В устройствах Applе есть похожий чип, и из-за него ФБР не мог взломать iPhone террориста из Сан-Бернардино.
Кстати, чипы TPM можно еще использовать для DRM, управления лицензиями и авторскими правами и других способов защиты владельцев авторских прав от пользователей, а не защиты самих пользователей. Если вам интересен этот аспект - у Ричарда нашего Столлмана есть на эту тему целый манифест, старый, но вполне актуальный (вот русский перевод).
Вчера Microsoft представил Windows 11, и одно из системных требований новой операционной системы - это поддержка аппаратного модуля безопасности TPM 2.0. Что это может значить? Самая очевидная догадка - Microsoft решил дать всем пользователям Windows 11 полнодисковое шифрование. В 2021 году домашние версии Windows фактически остались последней операционной системой без полнодискового шифрования — защиты от того, что злоумышленник украдет компьютер пользователя, достанет оттуда диск и прочитает файлы (да, да, а еще изменит и запишет свои). В Mac OS, дистрибутивах Linux, в Android и IOS опция шифрования "из коробки" давно есть, и только клиентам Windows приходилось либо докупать профессиональную версию, чтобы получить майкрософтовский Bitlocker, либо использовать сторонние приложения, например Veracrypt.
А модуль TPM - это такой железный чип, который умеет хранить криптографические ключи и управляет доступом к ним, он как раз нужен для работы майкрософтовского фирменного шифрования Bitloсker из профессиональных Windows. Подобная железяка - это удобно для шифрования, потому что она, например, ограничивает скорость и количество попыток перебора паролей. В устройствах Applе есть похожий чип, и из-за него ФБР не мог взломать iPhone террориста из Сан-Бернардино.
Кстати, чипы TPM можно еще использовать для DRM, управления лицензиями и авторскими правами и других способов защиты владельцев авторских прав от пользователей, а не защиты самих пользователей. Если вам интересен этот аспект - у Ричарда нашего Столлмана есть на эту тему целый манифест, старый, но вполне актуальный (вот русский перевод).
Разработчик RedShieldVPN Владислав Здольников анонсирует запуск проекта GlobalCheck - онлайн-сервиса для исследования блокировок в России и странах СНГ, например, в Беларуси и Казахстане.
Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.
И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.
Идея проекта в том, что современные блокировки и замедления могут быть непубличными, работать по-разному у разных провайдеров и не попадать в официальный Реестр запрещенных сайтов. Но если много волонтеров поставят у себя сенсоры на базе небольших роутеров, то при помощи проекта можно будет в реальном времени проверять, что и как блокируется. Немножко собственных сенсоров работает уже сейчас, их можно потыкать на офсайте проекта. Если хотите быть волонтером и поставить у себя бесплатный сенсор - оставляйте заявку на сайте https://globalcheck.net/ru/support.
И напоминаем: наше расширение для браузеров для обхода блокировок, Censor Tracker (https://censortracker.org/) также помогает собирать информацию о внереестровых блокировках.
С сегодняшнего дня в кафе и ресторанах в Москве нужно предъявлять COVID-ный QR-код. Коды получают на https://immune.mos.ru, на сайте Госуслуг в разделе "Здоровье" (и еще на паре официальных сайтов), а потом их должны проверять на входе и сверять с паспортом.
Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.
Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.
Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.
В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.
Специального софта для проверки пока нет, QR-код - это просто ссылка на веб-страницы типа https://immune.mos.ru/qr?id=[идентификатор] или https://www.gosuslugi.ru/vaccine/cert/verify/[идентификатор]. Идентификаторы одного и того же пользователя на mos.ru и Госуслугах - разные.
Какую информацию о посетителях видит на экране персонал кафе (а значит, теоретически может ее собирать)?
• первые буквы ФИО вакцинированного/переболевшего и количество букв в имени (типа И***** И*** И******)
• дату рождения
• на mos.ru - срок действия сертификата
• на Госуслугах - две первые и три последние цифры номера паспорта. На mos.ru эту информацию не показывает.
Всё, других данных там нет. Вчера в программе "Точка" на Эхе ведущий рассказывал, что нашел в исходном коде страницы проверки QR-кода на Госуслугах кучу персональных данных, но он напутал - это не персональные данные вакцинированного, это персональные данные того, кто открывает страницы Госуслуг, если он залогинен. То есть условный охранник на входе будет там видеть свои полные ФИО, телефон и адрес (если при проверке он залогинен на сайте Госуслуг), а не данные клиента.
В результате, хотите ходить в кафе в Москве и оставлять меньше информации о себе - пользуйтесь QR-кодом от mos.ru, там нет пяти цифр номера паспорта. И выходит, что гораздо больше персональных данных - в открытом для сверки паспорте, который по идее нужно будет показывать вместе с QR-кодом, чтобы люди не ходили по кафе с чужими кодами.
В Словакии пару дней назад крупный провайдер 02 целиком заблокировал стриминговую платформу Twitch.tv из-за единственного пользователя (правда, достаточно популярного), который играл в онлайн-покер. Местный госорган, который регулирует азартные игры, внес его страницу (https://twitch.tv/ddandis) в черный список и суд предписал словацким провайдерам ее блокировать.
Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.
Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.
Но такой адрес невозможно заблокировать отдельно от остальной платформы, потому что во-первых HTTPS, а во-вторых это не отдельный домен, который можно было бы блокировать DPI-оборудованием провайдера по заголовкам SNI. Поэтому O2 просто заблокировал Twitch целиком, и Twitch сам быстренько удалил нужный аккаунт.
Вполне распространенная стратегия современной интернет-цензуры: создавать условия, в которых платформа сама будет делать то, что от нее требуется.
Вчера вечером редакция заблокированного в Беларуси новостного сайта Tut.by удалила из соцсетей весь контент, опубликованный с 1 января 2020 года. Tut.by было крупнейшим по охвату пользователей изданием в Беларуси, но с мая редакция работала только в соцсетях после блокировки сайта и изъятия оборудования.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Ковидные QR-коды в ресторанах в Москве начали проверять только вчера, а сегодня в интернете - уже 29 поддельных сайтов, имитирующих Госуслуги, на которых лежат поддельные подтверждения. Коммерсант пишет, что коды для посещения кафе и ресторанов продают через Telegram-каналы.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
РБК
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
Мошенники предлагают купить сгенерированный QR-код, который ведет на поддельный сайт, имитирующий «Госуслуги». Эксперты сообщили, что число таких доменных имен выросло с двух до 29
Ну вот, кто-то уже запилил инструкцию по генерации поддельных QR-кодов и сайта с подтверждениями, и положил на Github https://github.com/IDQDD/qrmosru
UPD: Удалена, но форков - куча.
UPD: Удалена, но форков - куча.
Тут читатель пишет важную вещь про нынешнюю систему проверки QR-кодов. Мы обратили внимание на то, какие данные может собирать само кафе, и их немного. А какие данные могут в процессе собирать Госуслуги (или mos.ru)?
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
В прошлую пятницу Twitter временно заблокировал аккаунт индийского министра связи, электроники и информационных технологий Рави Шанкар Прасада за нарушение авторских прав. В одном из его твитов 2017 года была ссылка на его же интервью, где присутствовал фрагмент песни A.R. Rahman - Maa Tujhe Salaam. Twitter получил об этом жалобу от Международной федерации производителей фонограмм, твит заблокировали, а аккаунт восстановили после того, как министр просмотрел твиттеровскую Политику в отношении авторских прав и нажал на синюю кнопочку, что соглашается не нарушать. Теперь министр теперь ужасно ругается на правовой беспредел, кстати, в Твиттере же.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Twitter
Сервера российского VPN-провайдера DoubleVPN арестованы в результате международной полицейской операции. DoubleVPN предлагал клиентам цепочку из двух последовательных VPN-серверов, их очень хвалили на форумах в даркнете и ими часто пользовались киберпреступники для доступа к своей инфраструктуре. Сервис обещал, что логов не хранит, а теперь на заглушке на сайте написано, что какие-то логи и информация клиентов захвачены полицией. Либо имеются в виду разные логи, либо кто-то врет.
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
Команда бывших сотрудников Google вчера запустила новый поисковик, https://neeva.com/. Хотят брать с подписчиков $4.95 в месяц, не показывать рекламу в выдаче и бережно относиться к приватности пользователей. Сервис уже работает, нужна регистрация, кредитку привязывать не нужно и первые три месяца бесплатно. В условиях конфиденциальности Neeva описывает, что cобирает информацию о пользователях, делиться могут, историю поиска обещают хранить 90 дней.
В общем, с точки зрения приватности это лучше, чем Google, но сильно менее круто, чем публичные сервера Searx.
В общем, с точки зрения приватности это лучше, чем Google, но сильно менее круто, чем публичные сервера Searx.
Fast Company
Inside Neeva, the ad-free, privacy-first search engine from ex-Googlers
Sridhar Ramaswamy and Vivek Raghunathan helped turn Google into an ad giant. Now they’re starting over with a service whose only customers are its users.
Роскомнадзор разослал по ведомствам официальную просьбу написать им, если кому-нибудь для работы нужны сервисы Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
Такие запросы РКН в последнее время рассылает регулярно. Недавно по их просьбе Минобрнауки рассылал по подведомственным учреждениям подобный запрос и вроде еще какое-то министерство рассылало, но письмо не попало в паблик. В результате этой работы у РКН должен появиться список, каким клиентам нужны какие провайдеры VPN, и какие IP-адреса клиентов просят оставить им доступ. Но что они будут делать с этим списком? Не блокировать VPN для клиентов из белого списка? Раздать им аккаунты какого-нибудь хорошего разрешенного VPN-провайдера? Пока непонятно.
И еще большой вопрос, а как будут блокировать "плохие" VPN-ы?
Технически самое простое решение - блокировать сайты VPN-провайдеров, просить Apple и Google убрать приложения из маркетов, и надеяться, что провайдеры включат самоцензуру или что клиенты испугаются. Неэффективно, но просто.
Еще можно пытаться блокировать инфраструктуру конкретных провайдеров. Но это - сложная задача: VyprVPN пишет, что у них 300 000 адресов, и разобраться, какой адрес принадлежит какому VPN-провайдеру может быть сложно, если адресов много и если клиенты не обращаются к понятным доменным именам типа 111.badvpn.com. И если VPN-провайдеры захотят бодаться, они могут менять эти адреса.
Наконец, можно блокировать или замедлять сами протоколы VPN и оставлять доступ только по белому списку клиентов или к белому списку провайдеров. Какие-то средства обхода останутся, но в целом это самый радикальный вариант, при котором точно будут лишние пострадавшие в бизнесе.
А как еще можно блокировать VPN? Не давать оплачивать плохих провайдеров российскими картами? Ввести штрафы за использование?
И кстати, VyprVPN и OperaVPN так никто и не блокирует. OperaVPN после публикации пресс-релиза РКН включил неэффективную самоцензуру, а VyprVPN как работал, так и работает.
Такие запросы РКН в последнее время рассылает регулярно. Недавно по их просьбе Минобрнауки рассылал по подведомственным учреждениям подобный запрос и вроде еще какое-то министерство рассылало, но письмо не попало в паблик. В результате этой работы у РКН должен появиться список, каким клиентам нужны какие провайдеры VPN, и какие IP-адреса клиентов просят оставить им доступ. Но что они будут делать с этим списком? Не блокировать VPN для клиентов из белого списка? Раздать им аккаунты какого-нибудь хорошего разрешенного VPN-провайдера? Пока непонятно.
И еще большой вопрос, а как будут блокировать "плохие" VPN-ы?
Технически самое простое решение - блокировать сайты VPN-провайдеров, просить Apple и Google убрать приложения из маркетов, и надеяться, что провайдеры включат самоцензуру или что клиенты испугаются. Неэффективно, но просто.
Еще можно пытаться блокировать инфраструктуру конкретных провайдеров. Но это - сложная задача: VyprVPN пишет, что у них 300 000 адресов, и разобраться, какой адрес принадлежит какому VPN-провайдеру может быть сложно, если адресов много и если клиенты не обращаются к понятным доменным именам типа 111.badvpn.com. И если VPN-провайдеры захотят бодаться, они могут менять эти адреса.
Наконец, можно блокировать или замедлять сами протоколы VPN и оставлять доступ только по белому списку клиентов или к белому списку провайдеров. Какие-то средства обхода останутся, но в целом это самый радикальный вариант, при котором точно будут лишние пострадавшие в бизнесе.
А как еще можно блокировать VPN? Не давать оплачивать плохих провайдеров российскими картами? Ввести штрафы за использование?
И кстати, VyprVPN и OperaVPN так никто и не блокирует. OperaVPN после публикации пресс-релиза РКН включил неэффективную самоцензуру, а VyprVPN как работал, так и работает.
Google Pay научился показывать QR-коды вакцинации, пока собираются тестировать только в США. Обещают данные в облаке не хранить, третьим лицам не передавать и рекламу на их основе не показывать. QR можно использовать на нескольких устройствах, но поскольку в облаке данные не хранятся, на каждое устройство код нужно будет добавлять отдельно. Для показа QR в приложении пользователю нужно будет авторизоваться - ввести код доступа или биометрию.
Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?
Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?
9to5Google
Google Pay gains the ability to save and display COVID vaccination cards on Android
Google Pay is now capable of saving and displaying COVID-19 vaccination cards on Android, starting in the United States.
Позавчера представители Googlе выступали перед комиссией парламента Индии и отвечали на вопросы, связанные с новым индийским законодательством о регулировании интернета. В материале India Today об этом событии пишут две интересные вещи.
Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.
В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.
Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.
В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.
India Today
Google tells Parliament IT Panel that its employees listen to some Ok Google queries
Panel sources stated that Google admitted that its employees listen when users with Google Assistant on their phones and smart speakers.
Счетчик очереди на Госуслугах провисел минут 15 и его убрали. Счетчик работал полностью в браузере со стороны пользователя и, чтобы перейти на сайт, достаточно было поправить исходник страницы. Цитирую коммент: "Это [счетчик] тупо плашка с таймером, ее можно убрать в коде и тыкнуть на кнопку) просто выпилить class="hidden"
Хакеры украли базу 70 000 пользователей VPN-провайдера LimeVPN с паролями и платежной информацией, которую достали с плохо защищенного бэкап-сервера. Утечка совсем свежая, включает в себя июньские данные. Вместе с аккаунтами и платежной информацией украли приватные ключи, которыми можно расшифровывать VPN-трафик клиентов. Если посмотреть на скриншоты украденного, возникает сомнение, действительно ли LimeVPN не хранил никаких логов, как обещал.
Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.
Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.
Mashable пишет про очередной случай, когда американский полицейский громко включает защищенную авторскими правами музыку на телефоне, чтобы видео с ним "нельзя было выложить в Youtube", и прямо признается в этом на камеру.
Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.
Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.