Google Pay научился показывать QR-коды вакцинации, пока собираются тестировать только в США. Обещают данные в облаке не хранить, третьим лицам не передавать и рекламу на их основе не показывать. QR можно использовать на нескольких устройствах, но поскольку в облаке данные не хранятся, на каждое устройство код нужно будет добавлять отдельно. Для показа QR в приложении пользователю нужно будет авторизоваться - ввести код доступа или биометрию.

Интересно, появится ли в результате какой-нибудь единый международный стандарт хранения, отображения и проверки QR-кодов вакцинации?

Позавчера представители Googlе выступали перед комиссией парламента Индии и отвечали на вопросы, связанные с новым индийским законодательством о регулировании интернета. В материале India Today об этом событии пишут две интересные вещи.

Во-первых, живые сотрудники Google могут слушать записи речи пользователей, сделанные голосовым помощником Google, если пользователи согласились участвовать в программе Voice & Audio Activity (VAA) во время настройки Google Ассистента на своем устройстве. Это в принципе не новость: в 2019 году Google объяснял, что живые люди отслушивают что-то около 0.2% таких записей, не хотите - не соглашайтесь участвовать в VAA. Во-вторых, представители Google признают, что иногда Android-смартфоны и другое оборудование может записывать своих владельцев при включенном голосовом помощнике даже без активации фразой OK Google. В условиях использования написано, что так случается, если голосовой помощник ошибся и решил, что его позвали, хотя пользователь сказал что-нибудь другое.

В общем, выходит, что сотрудники Google слушают пользователей. Редко, по ошибке, но бывает. Индийская парламентская комиссия собирается жаловаться в правительство на нарушение приватности. А сами пользователи могут проверить в аккаунте (https://myactivity.google.com/myactivity), сохраняются ли там записи их голоса, и отключить Google Ассистент в настройках своих устройств.

Очередь на сайте Госуслуг!
UPD: Убрали.

Счетчик очереди на Госуслугах провисел минут 15 и его убрали. Счетчик работал полностью в браузере со стороны пользователя и, чтобы перейти на сайт, достаточно было поправить исходник страницы. Цитирую коммент: "Это [счетчик] тупо плашка с таймером, ее можно убрать в коде и тыкнуть на кнопку) просто выпилить class="hidden"

Хакеры украли базу 70 000 пользователей VPN-провайдера LimeVPN с паролями и платежной информацией, которую достали с плохо защищенного бэкап-сервера. Утечка совсем свежая, включает в себя июньские данные. Вместе с аккаунтами и платежной информацией украли приватные ключи, которыми можно расшифровывать VPN-трафик клиентов. Если посмотреть на скриншоты украденного, возникает сомнение, действительно ли LimeVPN не хранил никаких логов, как обещал.

Похоже, что обещание не хранить логи - это теперь такой же маркетинговый трюк, как "нулевое доверие". Все так говорят, а потом обнаруживается, что имелось в виду что-то не то, что мы думаем. VPN-провайдерам нужен независимый аудит с публичным детальным отчетом, какие данные клиентов, как и насколько долго хранятся. Или поднимайте собственные VPN-ы и не доверяйте. Например, проект Amnezia VPN, запущенный с нашей помощью, недавно выпустил очередную версию, рекомендуем.

Mashable пишет про очередной случай, когда американский полицейский громко включает защищенную авторскими правами музыку на телефоне, чтобы видео с ним "нельзя было выложить в Youtube", и прямо признается в этом на камеру.

Делать это советуют на форумах и Facebook-группах для американских правоохранителей. Снимать полицию при исполнении в США разрешено, но полицейские рассчитывают на то, что технология защиты авторских прав Youtube под названием Content ID не даст закачать ролик или автоматически удалит, посчитав его пиратским, а пользователь, который его закачал, получит предупреждение. В материале пишут, что способ реально иногда срабатывает.

Вчера китайский интернет-регулятор постановил заблокировать DiDi, популярный китайский аналог Uber, в китайских магазинах мобильных приложений. Сам сервис, у которого 377 миллионов активных пассажиров и водителей в Китае, продолжает работать, ограничение касается только новых установок и регистраций.

Ситуация с DiDi развивается быстро: в пятницу 2 июля против них начали расследование и запретили им регистрировать новых пользователей в приложении, а в воскресенье выкинули из каналов распространения до устранения нарушений. DiDi в ответ сам снял приложение из магазинов и выпустил заявление, в котором "искренне благодарит ... регулятора за инструкции, как устранить риски", и обещает все исправить.

DiDi наказывают по новому закону о защите персональной информации, который приняли в мае, до сих пор китайский регулятор только выписывал по нему предупреждения, а теперь перешел к блокированию установки. В законе явно указано, какие данные кому можно собирать. Например, вот что можно собирать сервисам такси:

• Номер телефона пользователя
• Адрес откуда, адрес куда, маршрут следования, геолокацию пассажира.
• Платежную информацию: время и сумму платежа, способ платежа.

Интересный принцип: законодательно ограничить, какой информации должно хватать для работы приложения, и запретить собирать все остальное.

ProtonMail успешно прошел очередной аудит безопасности веб-приложения и выложил отчет с результатами. Отчет хороший, самая большая проблема, которую нашли их аудиторы, поляки Securitum.pl, это межсайтинговый скриптинг через встроенный во вложенное изображение Javascript. Если эта фраза вам ничего не говорит - проблема не самая страшная, поправить такое несложно.

ProtonMail ориентируется на целевую аудиторию пользователей, которые любят доказуемую безопасность и опенсорс. В этом смысле швейцарская компания очень правильно себя ведет - таким пользователям нужны:

• регулярный внешний аудит безопасности (есть),
• приложения с открытым исходным кодом (есть)
• и публичный отчет о прозрачности, где регистрируются запросы от государства на выдачу информации (есть).

Конечно, у пользователей может оставаться недоверие: вдруг, к примеру, ProtonMail записывает в отчет о прозрачности не все запросы или еще что-нибудь скрывает. Внешний аудит безопасности как раз решает проблему этого недоверия: аудиторы дорожат своей репутацией, и поэтому стараются найти побольше косяков. Чем больше они найдут, тем больше клиентов захотят их потом нанять.

Разработчик частных облачных хранилищ Nextcloud запустил новую версию, Nextcloud 22. В ней добавили вики под названием Collective, новый тип пользовательских групп, которые называются Circles, и еще кучу всего по мелочи.

Если вы никогда не пробовали Nextcloud, это похоже на такой персональный Google Drive или Dropbox с серверной частью и готовыми клиентскими приложениями под все возможные операционные системы. Люди и компании устанавливают его на своих собственных серверах или покупают готовым у коммерческих провайдеров. В Nextcloud есть поддержка календарей (CalDav) и контактов (CardDav), почта, облачный просмотр и редактирование документов, чат и так далее. В последнее время разработчики много работают над тем, чтобы сделать Nextcloud удобным изолированным облаком для компаний и организаций, но им также пользуются люди, которым просто удобно хранить файлы, контакты и календари в облаке, но они не доверяют Google, Apple и Microsoft.

Если хотите попробовать - начните с регистрации бесплатного аккаунта у какого-нибудь провайдера Nextcloud из списка на оффсайте.

Китайская корпорация Tencent со вчерашнего ввела в принадлежащих ей играх "комендантский час" с распознаванием лиц, чтобы несовершеннолетние не играли по ночам и не тратили в играх деньги. Начали с 60 мобильных игр и планируют постепенно распространить систему на все игры, которые принадлежат Tencent.

Работает это так: все игровые аккаунты по умолчанию - ограничены и имеют права как для несовершеннолетних. Таким аккаунтам можно играть 1.5 часа в рабочие дни и 3 часа в выходные и праздничные, и только с 8 утра до 10 вечера, игровых платежей в таких аккаунтах можно делать только на 400 юаней в месяц (это примерно 4500 рублей), и для этого распознавание лица проходить не надо. Но если хочется поиграть ночью или положить больше денег на игровой аккаунт - надо проходить распознавание лица при входе в игру или во время платежа. Tencent уже тестировал эту систему и пишет, что в июне распознавание лица при входе в игру предлагали пройти в среднем 5.8 миллионам аккаунтов в день и 91.4% попыток - не прошли. То ли пользователи отказались распознаваться, то ли правда система распознавания их забраковала.

Вторая функция, которую Tencent вчера ввел, это что-то вроде родительского контроля: взрослый пользователь смартфона может сам включить обязательное требование распознавания лица для своего аккаунта, а то дети таскают родительские телефоны, чтобы на них играть.

Tencent придумал всю эту историю не сам: наверняка им выгодно, чтобы люди много играли на смартфонах и тратили в играх деньги. Но в 2019 году Китай принял официальные государственные правила и Tencent их буквально имплементирует. Основных ограничений для несовершеннолетних в госправилах три:

1. Регистрировать аккаунты можно только на настоящие имена и фамилии.
2. Играть можно с 8 утра до 10 вечера, 90 минут в рабочие дни и 3 часа в выходные.
3. Пользователям младше восьми лет вообще нельзя делать покупки в играх. С 8 до 16 лет нельзя одноразово платить больше 50 юаней и в месяц больше 200. С 16 до 17 лет нельзя одноразово платить больше 100 юаней и в месяц больше 400.

И с одной стороны вроде они добра желают. А с другой - должно ли государство законодательно регулировать, сколько часов в день можно играть на смартфоне? А еще, в определении свободного ПО есть такая "нулевая свобода": программу можно свободно использовать с любой целью. Игры Tencent устроены наоборот: приложением фактически владеет производитель, который решает, когда и как оно у пользователя будет работать.

Выпущен Tor Browser 10.5. В нем появилась поддержка бриджей Snowflake, которые должны выручать в странах, где Tor блокируется. Например, в Беларуси государство борется с Tor с 2015 года.

Как работает нововведение: пользователи, у которых нет доступа к Tor, включают у себя Snowflake в настройках Tor Browser (Настройки-Tor-Использовать мост-Выбрать встроенный мост-Snowflake). Волонтеры, у которых есть доступ в сеть Tor, устанавливают в своих обычных браузерах расширение Snowflake (вот ссылки для Firefox, Chrome) и соглашаются быть прокси в сеть Tor, и потом через них начинает ходить чужой зашифрованный трафик. В любой момент в сети активно около 8000 Snowflake прокси и если кто-то из них исчезает, соединение автоматически переключается на другой. Скорость у конечного пользователя при этом снижается, но людям, у которых заблокирован Tor, выбирать не приходится.

Дополнительная техническая информация здесь.

В Беларуси сегодня заблокировали два популярных там новостных сайта - Еврорадио (euroradio.pl) и Наша Нива (nn.by). Причем nn.by хостился в Беларуси, поэтому его по факту просто отключили и он перестал открываться для пользователей во всем мире, с VPN и без. В Беларуси есть указ, по которому местные сайты должны быть размещены на хостинговых площадках в Беларуси, и это позволяет их блокировать из Беларуси для всего мира.

На сайте Роскомсвободы - история о том, как Роскомнадзор попросил Wordpress.com заблокировать одну страницу, а Wordpress.com заблокировал весь сайт, а вчера разблокировал.

Есть такой сайт о марийцах и финно-угорском мире https://mariuver.com/ Это - платный блог на площадке Wordpress.com с собственным доменным именем. У них вышла заметка, которую Роскомнадзор потребовал снять, потому что там содержалась информация о способе самоубийства. Редактор заметку снял. А РКН, оказывается, отправил требование снять заметку и в Wordpress.com, а те заблокировали для России весь сайт "чтобы WordPress.com оставался доступным для всех в России". Испугались, что их IP-адреса заблокируют, а у них на нескольких адресах все клиенты их платформы. В результате сайт https://mariuver.com/ из России не открывается, показывает пользователям заглушку, и Роскомсвобода делает материал на сайте. А редактор пишет в поддержку Wordpress.com, вы чего, я же снял заметку, и вообще, за что весь сайт заблокировали? А техподдержка ему вчера отвечает, да, погорячились. И разблокировали сайт!

В общем, если блокируют незаконно, то ругаться с сервис-провайдерами бывает полезно.

Сегодня в Китае заблокированы сайты крупных криптовалютных бирж Binance.com, Huobi.com и Okex.com. У Binance также перестало работать мобильное приложение. И кстати, ровно месяц назад любые упоминания этих бирж исчезли из китайских поисковых систем Baidu и Sogou и социальных сетей. Не любит китайское государство криптобиржи.

До конца сентября Mozilla собирается предложить всем пользователям Firefox в Канаде включить DNS-поверх-HTTPS (DoH), то есть шифровать весь DNS трафик в Firefox. Канада - вторая страна, в которой Firefox предлагает всем пользователям включать DoH, в прошлом году Mozilla то же самое сделала в США. У Mozilla есть собственный список доверенных DNS-серверов, которые поддерживают DoH, и теперь в их число входит канадская CIRA.

Какую проблему они вообще решают? DNS - это старая технология, в которой запросы и ответы не зашифрованы, а поэтому маршрутизаторы между пользователем и доверенным DNS-сервером могут следить за пользовательскими запросами, блокировать их или модифицировать. Это - известный способ интернет-цензуры, он, к примеру, активно используется в Китае. Так вот DoH - это способ решения этой проблемы на уровне браузера.

Поддержка этой технологии уже давно есть во всех основных браузерах, но она, как правило, отключена. К примеру, будет ли DoH работать в Chrome с настройками по умолчанию, зависит от того, поддерживает ли эту технологию используемый в системе DNS-сервер. Конечно, DNS-через-HTTPS можно включить руками, но такое делаем только мы с вами, а остальным пользователям лень разбираться и менять настройки. Вот для них Mozilla и старается. Как обычно, безопасность приложения определяется его настройками по умолчанию.

Если вы еще не ковырялись с DoH, вот как он включается в Firefox и Chrome. И есть онлайн-тестилки, например у Cisco.

Защищенный сервис электронной почты Tutanota жалуется на Google. Имейлы от платных пользователей Tutanota на Gmail не доходят, если в теле сообщения есть ссылка на https://tutanota.com. У бесплатных аккаунтов такой проблемы нет. Наверное, косяк конфигурации спам-фильтров, но выглядит некрасиво.

На Медузе вышло интервью Евгения Антипова, создателя "Глаза Бога" - канала и бота, предлагающего услуги "пробива". "Глаз Бога" удалили из Telegram 2 июля по решению суда, но проект запустил кучу клонов. Теперь Антипов обещает публиковать компромат на Telegram: "все, что у меня на них есть — а есть у меня сильно много — вылить в сеть. Все их сообщения, все голосовые, где они рассказывают, как сливают информацию всем подряд. И про коррупцию в Telegram, и про их связь с РКН — все-все абсолютно."

И вот еще интересная цитата: "После обыска [в апреле 2021 года] меня отвезли на разговор в Следственный комитет. И я услышал там от их сотрудников, которые в праве шарят: «Когда нужно узнать, кто кого ищет в боте, мы запрашиваем не вас, а Telegram: у нас к ним больше доверия. Вы-то можете что-то подмешать к ответу на запрос, загрязнить данные — а они так не будут делать: там люди с репутацией сидят. В Telegram мы возьмем все, что нужно, от и до»."

А еще Антипов рассказывает, что "Глаз Бога" сохраняет и анализирует, кто кого "пробивает", например, кого и когда ищут сотрудники спецслужб и журналисты: "Журналисты ... мы раздали им подписки, чтобы они подсели на «Глаз Бога» — и поставили все их запросы на монитор. И теперь можно смотреть, кто какие запросы сейчас делает: о ком ищут информацию."

В общем, однозначно надо читать целиком, очень много любопытных заявлений.

Перестал реcолвиться домен pikabu.ru, возвращает статус "Не делегирован". Что случилось, пока неизвестно, в реестре запрещенных сайтов их нет.
UPD: Починили!

На vc.ru обсуждают вчерашнюю историю. Человеку звонит "Служба безопасности Сбербанка", а дальше следим за руками: "Во время общения с "младшим сотрудником", "старший" звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер наугад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток."

И оно реально так и работает, достаточно позвонить с правильного номера, чтобы получить у робота информацию по остаткам и последние четыре цифры номера карты. Никакая другая авторизация не нужна, можете сами проверить. А подделать исходящий номер - решаемая задача.

Получается, что последние четыре цифры номера карты Сбербанка и остаток на счету - это информация, доступная технически грамотным мошенникам. Учитывайте это, когда будете принимать входящие звонки.

На Кубе протесты, поэтому там отрубали интернет, а теперь блокируют Telegram, Whatsapp Signal, Facebook и Instagram. При этом VPN работает.

Местные айтишники в соцсетях рассказывают про децентрализованные мессенджеры Briar и Matrix, причем Briar даже специально разрабатывался для подобных ситуаций и хорошо работает без интернета. А обычные пользователи пока в основном пишут, что пользуются VPN: установить и включить его - проще и удобнее, чем договариваться с контактами о смене мессенджера.

Админ Пикабу рассказывает историю про утреннее разделегирование.

• 5 июля регистратор Reg.ru просит админа Пикабу актуализировать паспортные данные. Админ по имейлу отвечает, что паспортные данные не менялись, и уезжает в отпуск.
• 8 июля Reg.ru присылает следующий имейл, что при непредоставлении паспортных данных разделегирует домен. Админ в отпуске и не видит этого имейла.
• 13 июля в два часа ночи Reg.ru разделегирует домен, админ понимает это в пять утра и с пяти до десяти утра через поддержку возвращает делегирование.

В посте голосование, кто из них достоин быть принятым в лигу тупых, админ или reg.ru. Большинство ответивших считают, что оба.