Вчера вечером редакция заблокированного в Беларуси новостного сайта Tut.by удалила из соцсетей весь контент, опубликованный с 1 января 2020 года. Tut.by было крупнейшим по охвату пользователей изданием в Беларуси, но с мая редакция работала только в соцсетях после блокировки сайта и изъятия оборудования.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Вчера, когда посты стали исчезать, читатели Tut.by забеспокоились, что это кто-то перехватил аккаунты и стирает архивы, но редакция отписалась, что они "удалили публикации из-за дела об "экстремизме" наших соцсетей и сайта. Мы сделали это для безопасности наших читателей и сотрудников." Такая вот онлайн-самоцензура.
Ковидные QR-коды в ресторанах в Москве начали проверять только вчера, а сегодня в интернете - уже 29 поддельных сайтов, имитирующих Госуслуги, на которых лежат поддельные подтверждения. Коммерсант пишет, что коды для посещения кафе и ресторанов продают через Telegram-каналы.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
Идея простая и понятная: охрана в кафе не обязана и не станет внимательно проверять подлинность домена, на котором размещено подтверждение. Это можно было бы сделать, если бы проверка работала через приложение, которое бы обращалось только к "хорошим" сайтам, но браузер - он же на то и браузер, чтобы открывать любые сайты. А QR-код - это просто ссылка, он может вести и на какие-нибудь g0suslugi.tk. Чтобы сделать подтверждение, которое выглядит как настоящее, пользователь должен передать мошенническому серверу только первые буквы ФИО, дату рождения и пять цифр паспорта.
Департамент информационных технологий Москвы говорит, что использование поддельных QR-кодов - это типа статья УК 327 о подделке и использовании официальных документов, но другие юристы считают, что QR-код - это вообще не документ. В общем, пока система проверки не очень удалась, видимо, ее будут переделывать.
РБК
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
Мошенники предлагают купить сгенерированный QR-код, который ведет на поддельный сайт, имитирующий «Госуслуги». Эксперты сообщили, что число таких доменных имен выросло с двух до 29
Ну вот, кто-то уже запилил инструкцию по генерации поддельных QR-кодов и сайта с подтверждениями, и положил на Github https://github.com/IDQDD/qrmosru
UPD: Удалена, но форков - куча.
UPD: Удалена, но форков - куча.
Тут читатель пишет важную вещь про нынешнюю систему проверки QR-кодов. Мы обратили внимание на то, какие данные может собирать само кафе, и их немного. А какие данные могут в процессе собирать Госуслуги (или mos.ru)?
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
Сейчас при проверке QR-кода Госуслугам видно, "кто" и "когда" ходит в кафе (и это уже немало), но не очень понятно "куда". Но достаточно изменить систему так, чтобы кафе тоже должно было аутентифицироваться для проверки, и мы получим систему, способную фиксировать "кто", "когда" и "куда" ходит.
В прошлую пятницу Twitter временно заблокировал аккаунт индийского министра связи, электроники и информационных технологий Рави Шанкар Прасада за нарушение авторских прав. В одном из его твитов 2017 года была ссылка на его же интервью, где присутствовал фрагмент песни A.R. Rahman - Maa Tujhe Salaam. Twitter получил об этом жалобу от Международной федерации производителей фонограмм, твит заблокировали, а аккаунт восстановили после того, как министр просмотрел твиттеровскую Политику в отношении авторских прав и нажал на синюю кнопочку, что соглашается не нарушать. Теперь министр теперь ужасно ругается на правовой беспредел, кстати, в Твиттере же.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Это вообще известная проблема - такие жалобы массово автоматически генерируют боты, которые парсят контент соцсетей. Google как-то жаловался, что автоматических жалоб от ботов им приходит больше 99%. А потом соцсети по этим жалобам блокируют лишнее, потому что внимательно обработать столько вручную - просто нереально.
Twitter
Сервера российского VPN-провайдера DoubleVPN арестованы в результате международной полицейской операции. DoubleVPN предлагал клиентам цепочку из двух последовательных VPN-серверов, их очень хвалили на форумах в даркнете и ими часто пользовались киберпреступники для доступа к своей инфраструктуре. Сервис обещал, что логов не хранит, а теперь на заглушке на сайте написано, что какие-то логи и информация клиентов захвачены полицией. Либо имеются в виду разные логи, либо кто-то врет.
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
На тему доверия к VPN-провайдерам недавно очень точно писал гуру безопасности Брюс Шнайер: "Мы об этом нечасто говорим, но вообще использование VPN целиком основано на доверии. Потребители понятия не имеют, какой провайдер лучше защитит их приватность. Мы не знаем, какие законы о защите данных работают в Панаме или Сейшеллах [где часто зарегистрированы VPN-провайдеры]. Мы не знаем, какие страны могут оказывать незаконное давление на провайдеров, работающих в их юрисдикциях. Мы не знаем, кто фактически владеет этими сервисами и не знаем людей, которые обслуживают сервера. Наконец, мы не знаем, какие зарубежные компании NSA (АНБ США) взломал, чтобы потом использовать украденные у них данные для массовой слежки. Все, что мы можем, это попытаться правильно угадать."
Команда бывших сотрудников Google вчера запустила новый поисковик, https://neeva.com/. Хотят брать с подписчиков $4.95 в месяц, не показывать рекламу в выдаче и бережно относиться к приватности пользователей. Сервис уже работает, нужна регистрация, кредитку привязывать не нужно и первые три месяца бесплатно. В условиях конфиденциальности Neeva описывает, что cобирает информацию о пользователях, делиться могут, историю поиска обещают хранить 90 дней.
В общем, с точки зрения приватности это лучше, чем Google, но сильно менее круто, чем публичные сервера Searx.
В общем, с точки зрения приватности это лучше, чем Google, но сильно менее круто, чем публичные сервера Searx.
Fast Company
Inside Neeva, the ad-free, privacy-first search engine from ex-Googlers
Sridhar Ramaswamy and Vivek Raghunathan helped turn Google into an ad giant. Now they’re starting over with a service whose only customers are its users.
Роскомнадзор разослал по ведомствам официальную просьбу написать им, если кому-нибудь для работы нужны сервисы Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.
Такие запросы РКН в последнее время рассылает регулярно. Недавно по их просьбе Минобрнауки рассылал по подведомственным учреждениям подобный запрос и вроде еще какое-то министерство рассылало, но письмо не попало в паблик. В результате этой работы у РКН должен появиться список, каким клиентам нужны какие провайдеры VPN, и какие IP-адреса клиентов просят оставить им доступ. Но что они будут делать с этим списком? Не блокировать VPN для клиентов из белого списка? Раздать им аккаунты какого-нибудь хорошего разрешенного VPN-провайдера? Пока непонятно.
И еще большой вопрос, а как будут блокировать "плохие" VPN-ы?
Технически самое простое решение - блокировать сайты VPN-провайдеров, просить Apple и Google убрать приложения из маркетов, и надеяться, что провайдеры включат самоцензуру или что клиенты испугаются. Неэффективно, но просто.
Еще можно пытаться блокировать инфраструктуру конкретных провайдеров. Но это - сложная задача: VyprVPN пишет, что у них 300 000 адресов, и разобраться, какой адрес принадлежит какому VPN-провайдеру может быть сложно, если адресов много и если клиенты не обращаются к понятным доменным именам типа 111.badvpn.com. И если VPN-провайдеры захотят бодаться, они могут менять эти адреса.
Наконец, можно блокировать или замедлять сами протоколы VPN и оставлять доступ только по белому списку клиентов или к белому списку провайдеров. Какие-то средства обхода останутся, но в целом это самый радикальный вариант, при котором точно будут лишние пострадавшие в бизнесе.
А как еще можно блокировать VPN? Не давать оплачивать плохих провайдеров российскими картами? Ввести штрафы за использование?
И кстати, VyprVPN и OperaVPN так никто и не блокирует. OperaVPN после публикации пресс-релиза РКН включил неэффективную самоцензуру, а VyprVPN как работал, так и работает.
Такие запросы РКН в последнее время рассылает регулярно. Недавно по их просьбе Минобрнауки рассылал по подведомственным учреждениям подобный запрос и вроде еще какое-то министерство рассылало, но письмо не попало в паблик. В результате этой работы у РКН должен появиться список, каким клиентам нужны какие провайдеры VPN, и какие IP-адреса клиентов просят оставить им доступ. Но что они будут делать с этим списком? Не блокировать VPN для клиентов из белого списка? Раздать им аккаунты какого-нибудь хорошего разрешенного VPN-провайдера? Пока непонятно.
И еще большой вопрос, а как будут блокировать "плохие" VPN-ы?
Технически самое простое решение - блокировать сайты VPN-провайдеров, просить Apple и Google убрать приложения из маркетов, и надеяться, что провайдеры включат самоцензуру или что клиенты испугаются. Неэффективно, но просто.
Еще можно пытаться блокировать инфраструктуру конкретных провайдеров. Но это - сложная задача: VyprVPN пишет, что у них 300 000 адресов, и разобраться, какой адрес принадлежит какому VPN-провайдеру может быть сложно, если адресов много и если клиенты не обращаются к понятным доменным именам типа 111.badvpn.com. И если VPN-провайдеры захотят бодаться, они могут менять эти адреса.
Наконец, можно блокировать или замедлять сами протоколы VPN и оставлять доступ только по белому списку клиентов или к белому списку провайдеров. Какие-то средства обхода останутся, но в целом это самый радикальный вариант, при котором точно будут лишние пострадавшие в бизнесе.
А как еще можно блокировать VPN? Не давать оплачивать плохих провайдеров российскими картами? Ввести штрафы за использование?
И кстати, VyprVPN и OperaVPN так никто и не блокирует. OperaVPN после публикации пресс-релиза РКН включил неэффективную самоцензуру, а VyprVPN как работал, так и работает.
Google Pay научился показывать QR-коды вакцинации, пока собираются тестировать только в США. Обещают данные в облаке не хранить, третьим лицам не передавать и рекламу на их основе не показывать. QR можно использовать на нескольких устройствах, но поскольку в облаке данные не хранятся, на каждое устройство код нужно будет добавлять отдельно. Для показа QR в приложении пользователю нужно будет авторизоваться - ввести код доступа или биометрию.
Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?
Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?
9to5Google
Google Pay gains the ability to save and display COVID vaccination cards on Android
Google Pay is now capable of saving and displaying COVID-19 vaccination cards on Android, starting in the United States.
Позавчера представители Googlе выступали перед комиссией парламента Индии и отвечали на вопросы, связанные с новым индийским законодательством о регулировании интернета. В материале India Today об этом событии пишут две интересные вещи.
Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.
В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.
Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.
В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.
India Today
Google tells Parliament IT Panel that its employees listen to some Ok Google queries
Panel sources stated that Google admitted that its employees listen when users with Google Assistant on their phones and smart speakers.
Счетчик очереди на Госуслугах провисел минут 15 и его убрали. Счетчик работал полностью в браузере со стороны пользователя и, чтобы перейти на сайт, достаточно было поправить исходник страницы. Цитирую коммент: "Это [счетчик] тупо плашка с таймером, ее можно убрать в коде и тыкнуть на кнопку) просто выпилить class="hidden"
Хакеры украли базу 70 000 пользователей VPN-провайдера LimeVPN с паролями и платежной информацией, которую достали с плохо защищенного бэкап-сервера. Утечка совсем свежая, включает в себя июньские данные. Вместе с аккаунтами и платежной информацией украли приватные ключи, которыми можно расшифровывать VPN-трафик клиентов. Если посмотреть на скриншоты украденного, возникает сомнение, действительно ли LimeVPN не хранил никаких логов, как обещал.
Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.
Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.
Mashable пишет про очередной случай, когда американский полицейский громко включает защищенную авторскими правами музыку на телефоне, чтобы видео с ним "нельзя было выложить в Youtube", и прямо признается в этом на камеру.
Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.
Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.
Вчера китайский интернет-регулятор постановил заблокировать DiDi, популярный китайский аналог Uber, в китайских магазинах мобильных приложений. Сам сервис, у которого 377 миллионов активных пассажиров и водителей в Китае, продолжает работать, ограничение касается только новых установок и регистраций.
Ситуация с DiDi развивается быстро: в пятницу 2 июля против них начали расследование и запретили им регистрировать новых пользователей в приложении, а в воскресенье выкинули из каналов распространения до устранения нарушений. DiDi в ответ сам снял приложение из магазинов и выпустил заявление, в котором "искренне благодарит ... регулятора за инструкции, как устранить риски", и обещает все исправить.
DiDi наказывают по новому закону о защите персональной информации, который приняли в мае, до сих пор китайский регулятор только выписывал по нему предупреждения, а теперь перешел к блокированию установки. В законе явно указано, какие данные кому можно собирать. Например, вот что можно собирать сервисам такси:
• Номер телефона пользователя
• Адрес откуда, адрес куда, маршрут следования, геолокацию пассажира.
• Платежную информацию: время и сумму платежа, способ платежа.
Интересный принцип: законодательно ограничить, какой информации должно хватать для работы приложения, и запретить собирать все остальное.
Ситуация с DiDi развивается быстро: в пятницу 2 июля против них начали расследование и запретили им регистрировать новых пользователей в приложении, а в воскресенье выкинули из каналов распространения до устранения нарушений. DiDi в ответ сам снял приложение из магазинов и выпустил заявление, в котором "искренне благодарит ... регулятора за инструкции, как устранить риски", и обещает все исправить.
DiDi наказывают по новому закону о защите персональной информации, который приняли в мае, до сих пор китайский регулятор только выписывал по нему предупреждения, а теперь перешел к блокированию установки. В законе явно указано, какие данные кому можно собирать. Например, вот что можно собирать сервисам такси:
• Номер телефона пользователя
• Адрес откуда, адрес куда, маршрут следования, геолокацию пассажира.
• Платежную информацию: время и сумму платежа, способ платежа.
Интересный принцип: законодательно ограничить, какой информации должно хватать для работы приложения, и запретить собирать все остальное.
ProtonMail успешно прошел очередной аудит безопасности веб-приложения и выложил отчет с результатами. Отчет хороший, самая большая проблема, которую нашли их аудиторы, поляки Securitum.pl, это межсайтинговый скриптинг через встроенный во вложенное изображение Javascript. Если эта фраза вам ничего не говорит - проблема не самая страшная, поправить такое несложно.
ProtonMail ориентируется на целевую аудиторию пользователей, которые любят доказуемую безопасность и опенсорс. В этом смысле швейцарская компания очень правильно себя ведет - таким пользователям нужны:
• регулярный внешний аудит безопасности (есть),
• приложения с открытым исходным кодом (есть)
• и публичный отчет о прозрачности, где регистрируются запросы от государства на выдачу информации (есть).
Конечно, у пользователей может оставаться недоверие: вдруг, к примеру, ProtonMail записывает в отчет о прозрачности не все запросы или еще что-нибудь скрывает. Внешний аудит безопасности как раз решает проблему этого недоверия: аудиторы дорожат своей репутацией, и поэтому стараются найти побольше косяков. Чем больше они найдут, тем больше клиентов захотят их потом нанять.
ProtonMail ориентируется на целевую аудиторию пользователей, которые любят доказуемую безопасность и опенсорс. В этом смысле швейцарская компания очень правильно себя ведет - таким пользователям нужны:
• регулярный внешний аудит безопасности (есть),
• приложения с открытым исходным кодом (есть)
• и публичный отчет о прозрачности, где регистрируются запросы от государства на выдачу информации (есть).
Конечно, у пользователей может оставаться недоверие: вдруг, к примеру, ProtonMail записывает в отчет о прозрачности не все запросы или еще что-нибудь скрывает. Внешний аудит безопасности как раз решает проблему этого недоверия: аудиторы дорожат своей репутацией, и поэтому стараются найти побольше косяков. Чем больше они найдут, тем больше клиентов захотят их потом нанять.
Proton
Proton Mail: Get a private, secure, and encrypted email account | Proton
Proton Mail is the world’s largest secure email service with over 100 million users. Available on Web, iOS, Android, and desktop. Protected by Swiss privacy law.
Разработчик частных облачных хранилищ Nextcloud запустил новую версию, Nextcloud 22. В ней добавили вики под названием Collective, новый тип пользовательских групп, которые называются Circles, и еще кучу всего по мелочи.
Если вы никогда не пробовали Nextcloud, это похоже на такой персональный Google Drive или Dropbox с серверной частью и готовыми клиентскими приложениями под все возможные операционные системы. Люди и компании устанавливают его на своих собственных серверах или покупают готовым у коммерческих провайдеров. В Nextcloud есть поддержка календарей (CalDav) и контактов (CardDav), почта, облачный просмотр и редактирование документов, чат и так далее. В последнее время разработчики много работают над тем, чтобы сделать Nextcloud удобным изолированным облаком для компаний и организаций, но им также пользуются люди, которым просто удобно хранить файлы, контакты и календари в облаке, но они не доверяют Google, Apple и Microsoft.
Если хотите попробовать - начните с регистрации бесплатного аккаунта у какого-нибудь провайдера Nextcloud из списка на оффсайте.
Если вы никогда не пробовали Nextcloud, это похоже на такой персональный Google Drive или Dropbox с серверной частью и готовыми клиентскими приложениями под все возможные операционные системы. Люди и компании устанавливают его на своих собственных серверах или покупают готовым у коммерческих провайдеров. В Nextcloud есть поддержка календарей (CalDav) и контактов (CardDav), почта, облачный просмотр и редактирование документов, чат и так далее. В последнее время разработчики много работают над тем, чтобы сделать Nextcloud удобным изолированным облаком для компаний и организаций, но им также пользуются люди, которым просто удобно хранить файлы, контакты и календари в облаке, но они не доверяют Google, Apple и Microsoft.
Если хотите попробовать - начните с регистрации бесплатного аккаунта у какого-нибудь провайдера Nextcloud из списка на оффсайте.
Nextcloud
Nextcloud 22 introduces knowledge management - Nextcloud
The nature of work has changed, many organizations are adjusting to a more flexible mode of collaboration. One element in this is making information available where it is needed. When colleagues work different days, different hours or in a different location…
Китайская корпорация Tencent со вчерашнего ввела в принадлежащих ей играх "комендантский час" с распознаванием лиц, чтобы несовершеннолетние не играли по ночам и не тратили в играх деньги. Начали с 60 мобильных игр и планируют постепенно распространить систему на все игры, которые принадлежат Tencent.
Работает это так: все игровые аккаунты по умолчанию - ограничены и имеют права как для несовершеннолетних. Таким аккаунтам можно играть 1.5 часа в рабочие дни и 3 часа в выходные и праздничные, и только с 8 утра до 10 вечера, игровых платежей в таких аккаунтах можно делать только на 400 юаней в месяц (это примерно 4500 рублей), и для этого распознавание лица проходить не надо. Но если хочется поиграть ночью или положить больше денег на игровой аккаунт - надо проходить распознавание лица при входе в игру или во время платежа. Tencent уже тестировал эту систему и пишет, что в июне распознавание лица при входе в игру предлагали пройти в среднем 5.8 миллионам аккаунтов в день и 91.4% попыток - не прошли. То ли пользователи отказались распознаваться, то ли правда система распознавания их забраковала.
Вторая функция, которую Tencent вчера ввел, это что-то вроде родительского контроля: взрослый пользователь смартфона может сам включить обязательное требование распознавания лица для своего аккаунта, а то дети таскают родительские телефоны, чтобы на них играть.
Tencent придумал всю эту историю не сам: наверняка им выгодно, чтобы люди много играли на смартфонах и тратили в играх деньги. Но в 2019 году Китай принял официальные государственные правила и Tencent их буквально имплементирует. Основных ограничений для несовершеннолетних в госправилах три:
1. Регистрировать аккаунты можно только на настоящие имена и фамилии.
2. Играть можно с 8 утра до 10 вечера, 90 минут в рабочие дни и 3 часа в выходные.
3. Пользователям младше восьми лет вообще нельзя делать покупки в играх. С 8 до 16 лет нельзя одноразово платить больше 50 юаней и в месяц больше 200. С 16 до 17 лет нельзя одноразово платить больше 100 юаней и в месяц больше 400.
И с одной стороны вроде они добра желают. А с другой - должно ли государство законодательно регулировать, сколько часов в день можно играть на смартфоне? А еще, в определении свободного ПО есть такая "нулевая свобода": программу можно свободно использовать с любой целью. Игры Tencent устроены наоборот: приложением фактически владеет производитель, который решает, когда и как оно у пользователя будет работать.
Работает это так: все игровые аккаунты по умолчанию - ограничены и имеют права как для несовершеннолетних. Таким аккаунтам можно играть 1.5 часа в рабочие дни и 3 часа в выходные и праздничные, и только с 8 утра до 10 вечера, игровых платежей в таких аккаунтах можно делать только на 400 юаней в месяц (это примерно 4500 рублей), и для этого распознавание лица проходить не надо. Но если хочется поиграть ночью или положить больше денег на игровой аккаунт - надо проходить распознавание лица при входе в игру или во время платежа. Tencent уже тестировал эту систему и пишет, что в июне распознавание лица при входе в игру предлагали пройти в среднем 5.8 миллионам аккаунтов в день и 91.4% попыток - не прошли. То ли пользователи отказались распознаваться, то ли правда система распознавания их забраковала.
Вторая функция, которую Tencent вчера ввел, это что-то вроде родительского контроля: взрослый пользователь смартфона может сам включить обязательное требование распознавания лица для своего аккаунта, а то дети таскают родительские телефоны, чтобы на них играть.
Tencent придумал всю эту историю не сам: наверняка им выгодно, чтобы люди много играли на смартфонах и тратили в играх деньги. Но в 2019 году Китай принял официальные государственные правила и Tencent их буквально имплементирует. Основных ограничений для несовершеннолетних в госправилах три:
1. Регистрировать аккаунты можно только на настоящие имена и фамилии.
2. Играть можно с 8 утра до 10 вечера, 90 минут в рабочие дни и 3 часа в выходные.
3. Пользователям младше восьми лет вообще нельзя делать покупки в играх. С 8 до 16 лет нельзя одноразово платить больше 50 юаней и в месяц больше 200. С 16 до 17 лет нельзя одноразово платить больше 100 юаней и в месяц больше 400.
И с одной стороны вроде они добра желают. А с другой - должно ли государство законодательно регулировать, сколько часов в день можно играть на смартфоне? А еще, в определении свободного ПО есть такая "нулевая свобода": программу можно свободно использовать с любой целью. Игры Tencent устроены наоборот: приложением фактически владеет производитель, который решает, когда и как оно у пользователя будет работать.
👍1
Выпущен Tor Browser 10.5. В нем появилась поддержка бриджей Snowflake, которые должны выручать в странах, где Tor блокируется. Например, в Беларуси государство борется с Tor с 2015 года.
Как работает нововведение: пользователи, у которых нет доступа к Tor, включают у себя Snowflake в настройках Tor Browser (Настройки-Tor-Использовать мост-Выбрать встроенный мост-Snowflake). Волонтеры, у которых есть доступ в сеть Tor, устанавливают в своих обычных браузерах расширение Snowflake (вот ссылки для Firefox, Chrome) и соглашаются быть прокси в сеть Tor, и потом через них начинает ходить чужой зашифрованный трафик. В любой момент в сети активно около 8000 Snowflake прокси и если кто-то из них исчезает, соединение автоматически переключается на другой. Скорость у конечного пользователя при этом снижается, но людям, у которых заблокирован Tor, выбирать не приходится.
Дополнительная техническая информация здесь.
Как работает нововведение: пользователи, у которых нет доступа к Tor, включают у себя Snowflake в настройках Tor Browser (Настройки-Tor-Использовать мост-Выбрать встроенный мост-Snowflake). Волонтеры, у которых есть доступ в сеть Tor, устанавливают в своих обычных браузерах расширение Snowflake (вот ссылки для Firefox, Chrome) и соглашаются быть прокси в сеть Tor, и потом через них начинает ходить чужой зашифрованный трафик. В любой момент в сети активно около 8000 Snowflake прокси и если кто-то из них исчезает, соединение автоматически переключается на другой. Скорость у конечного пользователя при этом снижается, но людям, у которых заблокирован Tor, выбирать не приходится.
Дополнительная техническая информация здесь.
www.torproject.org
The Tor Project | Privacy & Freedom Online
Defend yourself against tracking and surveillance. Circumvent censorship.
В Беларуси сегодня заблокировали два популярных там новостных сайта - Еврорадио (euroradio.pl) и Наша Нива (nn.by). Причем nn.by хостился в Беларуси, поэтому его по факту просто отключили и он перестал открываться для пользователей во всем мире, с VPN и без. В Беларуси есть указ, по которому местные сайты должны быть размещены на хостинговых площадках в Беларуси, и это позволяет их блокировать из Беларуси для всего мира.