Роскомнадзор не беспокоят счётчики в секюрной зоне сайта

Развитие событий: IT-центр Принстонского университета: Яндекс.Метрика лучше всех собирает чувствительные данные о посетителях сайта (23 ноября)

Иван Бегтин, директор НПО «Информационная Культура» пишет:

Пару месяцев назад я обнаружил, что Инвитро, в личном кабинете пользователя включила несколько счетчиков статистики включая WebVisor Яндекс.Метрики с записью сессий. Напомню — в личном кабинете, где все за https и «типа секюрно».

Я направил им запрос (по клику полная версия)

Переписка с Инвитро об утечке персональных данных

с вопросами — зачем они это делают и не пора ли им это прекратить. На что они отписались что отключат WebVisor, но про всё остальное — ничего. WebVisor они тоже не отключили.

Я не поленился — отправил запрос в Роскомнадзор на проведение проверки. Сотрудники Роскомнадзора поленились и переслали запрос в компанию. И когда те ответили — просто переслали ответ мне.

Без вообще каких-либо усилий и интерпретации. Ответ содержал скриншот где выключен WebVisor.

Приложение к ответу Роскомнадзора об утечке персональных данных на Инвитро

И вот захожу я в личный кабинет и первое что там всплывает

Требования Инвитро

— это требование согласится с условиями использования без которого дальнейшая работа невозможна. В требования, ага, угадали, моё согласие с тем, что данные передаются третьим сторонам — компаниям владельцам счетчиков.

Напомню — если не согласиться с условиями использования, работать в личном кабинете нельзя.

Иначе говоря они существенно так усилий потратили на это всё, но не на исправление, а на слив данных компаниям владельцам счетчиков.

Roem получил ещё 1 похожее сообщение. В личном кабинете Сбербанка включена Яндекс.Метрика с enableAll и Google Analytics:

Яндекс.Метрика с enableAll и Google Analytics в личном кабинете на сайте Сбербанка

Лучшие комментарии

  • Контекст комментария

    Артур Суилин

    > А с Вебвизором они доступны еще и Яндексу. Во-первых, политика Яндекса по отношению к собираемым данным прозрачно изложена в Пользователском Соглашении. За всю историю не было зафиксировано еще ни одного значимого ее нарушения, за этим следят. Во-вторых, даже если кто-то захотел бы тайно нарушить, админу Яндекса даже в страшном сне не приснится раскодирование потокового формата записей сессий Вебвизора. Админу же сайта или хостинга заглянуть в БД, где все данные представлены в готовом для употребления виде и слить их на флешку — дело нескольких секунд. В третьих, даже если недобросовестный админ пробрался через все дебри и, бессонными ночами, рискуя репутацией и карьерой, намайнил данные клиентов ИнВитро — что он с ними, бесценными, дальше будет делать? Если действительно есть заказчик на такие данные, в реальной жизни гораздо проще попросить слить их за небольшую мзду у секретарши или админа того же ИнВитро, а не городить сложные хакерские схемы. > вы упускаете тот факт, что «админ» сайта и «админ» работающий с вебвизором в общем случае разные люди В ИнВитро эти данные скорее всего доступны через CRM десяткам людей, а не только админу сайта. И?

  • Контекст комментария

    Иван Бегтин АНО "Информационная Культура"

    Вообще если очень-очень надо то ставится локальная статистика типа Piwik или Sawmill и нет никаких объективных оснований использовать third-party скрипты в зонах где есть персональные данные. Начиная с некоторых уровней персональности — вроде банковских данных или данных медицинской диагностики я лично не готов доверять кому бы то ни было.

Добавить 71 комментарий

  • Ответить

    Путин учил: «основной поток данных идет через серверы, расположенные в США, где все контролируется. «Все это [интернет] возникло как спецпроект ЦРУ США, так и развивается», а потом люди удивляются — а почему Сбербанк это Сбербанк?! А потому, потому — Путина не слушаются!

  • Ответить

    Аtlassian в своей jira, что размещается у них, тоже GA вставляет… А там ведут многие багтрекинг и зачастую в тикетах куча приватных данных бывает…

  • Ответить

    Ээ. Чтож вам теперь вообще отрубить аналитику что-ли? Она как бы для улучшения сайта! Как вы вообще представляете себе «тырение» данных через это? (Нужно было бы, решили бы по изящнее :)) Возьмите для рассмотрения скажем не банк, а Wikimart. Нашли тут блин проблему.

  • Ответить

    Да — удалить. Оттуда где её не должно быть по умолчанию. Вебвизор в Яндекс.Метрике записывает действия посетителей вашего сайта и позволяет вам просматривать их в режиме «живого видео». Воспользовавшись плеером, вы увидите точное повторение всех действий посетителя на сайте, как если бы смотрели в его монитор: — движения мыши;— клики;— прокрутка страницы;— нажатия на клавиши и заполнение форм;— выделение и копирование текста. https://metrika.yandex.ru/promo/webvisor/ там и видео соответствующее есть, с примером. Сегодня и сейчас, на момент написания комментария оно почему-то пишет, что «ролик недоступен», но, в общем, там хороший «захват», где прекрасно утекают (потенциально) к админу, к владельцу доступа к статистике сайта — чувствительные данные посетителей этого сайта.

  • Ответить
    dima5ty гасконец

    > Как вы вообще представляете себе «тырение» данных через это? (Нужно было бы, решили бы по изящнее :)) как-то так: (function (){/*делай что хочешь с документом, куками и кейпрессом*/})();

  • Ответить

    dima5ty вот и я также себе представляю) но не нужно было бы никаких Вебвизоров включать. Иван Ильин там даже пароли не пишутся, 100500 видео не лучший формат данных, надеюсь у этих шпионов хотя бы файлы создаются для складирования, сортировки данных. Самое время выпустить «госаналитику», с возможностями LI, угрохать на это nn милионов, заодно заставить всех ЭТО поставить к себе на сайты, чтобы блогеров считать. :) давайте-давайте

  • Ответить

    а с чего бы РКН должен следить за выполнением закона о ПДн? за выполнением законов у нас следит прокуратура, вот туда и надо писать.

  • Ответить

    Например с того, что и Сбербанк и Инвитро есть в реестре операторов ПД у РКН http://rkn.gov.ru/personal-data/register/?id=11−0206659 http://pd.rkn.gov.ru/operators-registry/operators-list/?id=11−0187199 А по положению об уполномоченном органе именно РКН является органом по защите ПД: http://pd.rkn.gov.ru/authority/ В настоящее время Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), а именно одно из ее управлений — Управление по защите прав субъектов персональных данных.

  • Ответить

    ну вот так защищает, да. если хочется результата — надо писать в прокуратуру, хотя они тоже могут проверку спустя рукава провести. ущерба очевидного нет, механизм его появления неясен.

  • Ответить
    shmutz пользователь сервисов

    Чтож вам теперь вообще отрубить аналитику что-ли? Она как бы для улучшения сайта! что что? какое мне дело до проблем сайтописателя??? Тем более когда речь о таком сайтописателе как Сбербанк. Который меня лично уже подставлял с безопасностью. Разве бывает безопасность второго сорта?

  • Ответить

    Чтож вам теперь вообще отрубить аналитику что-ли? Она как бы для улучшения сайта! Работаете с персональными данными — ставьте локальную аналитику.

  • Ответить
    Иван Бегтин АНО "Информационная Культура"

    Вообще если очень-очень надо то ставится локальная статистика типа Piwik или Sawmill и нет никаких объективных оснований использовать third-party скрипты в зонах где есть персональные данные. Начиная с некоторых уровней персональности — вроде банковских данных или данных медицинской диагностики я лично не готов доверять кому бы то ни было.

  • Ответить

    >где прекрасно утекают (потенциально) к админу, к владельцу доступа к статистике сайта — чувствительные данные посетителей этого сайта. Владельцу сайта и админу сайта доступны данные собственного сайта! Шок, сенсация! Без Вебвизора они бы не были им доступны? И не хранились бы, например, на жестких дисках и бэкапах хостера? Почему же никто не идет подавать в суд на хостера? Он хранит ваши персональные данные без вашего разрешения, причем хранит в гораздо более удобном для использования виде, чем запись сессий в Вебвизоре.

  • Ответить
    Roman Y ISV

    Артур Суилин > Без Вебвизора они бы не были им доступны? А с Вебвизором они доступны еще и Яндексу. Никто в здравом уме не захочет безосновательно плодить количество тех, кому доступны его приватные данные. Причем, умышленно или нет, вы упускаете тот факт, что «админ» сайта и «админ» работающий с вебвизором в общем случае разные люди.

  • Ответить

    > А с Вебвизором они доступны еще и Яндексу. Во-первых, политика Яндекса по отношению к собираемым данным прозрачно изложена в Пользователском Соглашении. За всю историю не было зафиксировано еще ни одного значимого ее нарушения, за этим следят. Во-вторых, даже если кто-то захотел бы тайно нарушить, админу Яндекса даже в страшном сне не приснится раскодирование потокового формата записей сессий Вебвизора. Админу же сайта или хостинга заглянуть в БД, где все данные представлены в готовом для употребления виде и слить их на флешку — дело нескольких секунд. В третьих, даже если недобросовестный админ пробрался через все дебри и, бессонными ночами, рискуя репутацией и карьерой, намайнил данные клиентов ИнВитро — что он с ними, бесценными, дальше будет делать? Если действительно есть заказчик на такие данные, в реальной жизни гораздо проще попросить слить их за небольшую мзду у секретарши или админа того же ИнВитро, а не городить сложные хакерские схемы. > вы упускаете тот факт, что «админ» сайта и «админ» работающий с вебвизором в общем случае разные люди В ИнВитро эти данные скорее всего доступны через CRM десяткам людей, а не только админу сайта. И?

  • Ответить

    > политика Яндекса по отношению к собираемым данным прозрачно изложена в Пользователском Соглашении. У клиента Инвитро — нет отношений с Яндексом, пардон. И, да, конечно, клиент инвитро должен писать официальную бумагу в соответствии с законом о ПД (с копией куды надо) с требованием прекратить передавать его ПД третьим лицам (Яндексу) и отозвать все переданные данные. BTW, кто уже разбирался, как запретить вебвизор через hosts (и/или файрволл), подкиньте готовых правил.

  • Ответить
    shmutz пользователь сервисов

    Яндек все-таки пытается доказать, что рыба бывает второй свежести, женщина слегка беременна, а Яндекса обычно честным, секьюрность отчасти секьюрной. Сегодня честный, завтра кгбэшный. А уж в банковской страничке плодить недосказанности и недоговоренности …

  • Ответить

    > У клиента Инвитро — нет отношений с Яндексом, пардон. У клиента Инвитро нет отношений и с другими субподрядчиками Инвитро, обслуживающих работу с данными клиента, например хостингом сайта. Или каким нибудь облачным 1С. Но никто пока не пишет писем с требованием удалить данные с хостинга. Или уже пишут? > BTW, кто уже разбирался, как запретить вебвизор через hosts (и/или файрволл), подкиньте готовых правил. Просто запретить mc.yandex.ru, это хост, на который уходят данные.

  • Ответить

    Короче проблема высосана из пальца :) Утечка персональных данных возможна, если у разработчиков сайта кривые или грязные руки, но аналитика тут же не причем!

  • Ответить

    >У клиента Инвитро нет отношений и с другими субподрядчиками Инвитро Ага. Но это место (например, что хостится все на шареном хостинге) пока не вылезло. То есть если у них в Караване стоит свой сервер, правильно сконфигурированный — я ничего против не имею. Но, конечно, и с банками и с медициной — тщательнее надо. Хоститься где попало — не надо, внешние услуги непонятно какие — тоже не надо бы, такие чувствительные как вебвизор — тем более. Ну и конечно, да, надо профилактически писать письма про ПД, закон есть, пусть работает.

  • Ответить

    Похоже на какую-то паранойю http://national-travel.ru/wp-content/uploads/2010/12/belki-isteryhki.jpg Есть какие-то аргументы или автор узнал про существование счетчиков и началась истерика? Сейчас все сайты собирают статистические (не привязанные к персональным) данные и делается это всякими разными инструментами компаний партнеров, а Яндекс и Гугл просто наиболее массовые и популярные. Рубрика очевидное — невероятное). 2Автор, Продолжайте изучать технологии, вас ждет еще столько всего нового :)

  • Ответить

    По поводу Сбера: enableAll: true не включает Вебвизор. Если специальных настроек нет, то персональные данные никуда не передаются. Не очень понятно, почему сам факт установки счётчиков приравнивается к проблемам безопасности.

  • Ответить

    Удивительно, как много людей в качестве аргумента повторяют «вот я не вижу никаких проблем, какие тут проблемы?» Большинство же дыр безопасности как раз и возникают так, что сначала только немногие понимают суть проблемы и как ею воспользоваться в корыстных целях, а уже затем формируется общая реакция и понимание, как с этим бороться. В вопросах безопасности как раз нужно быть параноиком, и вместо «я тут самый умный, чего сам не видел — того не существует» следует предполагать, что другая (атакующая) сторона видит дальше, понимает лучше, и может найти применение данным, утечка которых навскидку кажется безопасной.

  • Ответить

    Maxim Surkiz, нет. Я как раз и говорю, что те, кто полагаются на «понимание», утечка какой информации риски представляет, а какой — нет, совершают ошибку, предполагая обладание полной информацией да на все времена. Нужно же предполагать, что всегда найдется кто-то умнее. Поэтому следует рассуждать не по шаблону «я не вижу, как эта утечка меня может скомпромитировать, поэтому пусть утекает», а наоборот, «я не знаю, может ли это меня скомпромитировать (сейчас или в будущем), или нет, поэтому пусть лучше не утекает».

  • Ответить

    kroki, следуя вашей логике, нужно на всякий случай отказаться не только от интернета, а вообще от любых коммуникационных устройств, никто точно не знает, через какие 3-и стороны передается информация.

  • Ответить

    Maxim Surkiz, вот для этого и был изобретен HTTPS прочие формы передачи данных с шифрованием: чтобы исключить или значительно уменьшить вероятность того, что какие-то третьи стороны будут иметь доступ к передаваемой информации. И печально, что заходишь на якобы HTTPS сайт банка, а браузер тебе говорит, что «не все элементы страницы являются безопасными». Потому, что какой-то мега «программист HTML», не владея даже базовыми понятиями информационной безопасности, влепил тучу счетчиков «ради заботы о пользователях».

  • Ответить

    > надписи «не все элементы страницы являются безопасными» вы с ними точно не увидите Это тоже никакой не плюс, радости от того, что инфа сливается пусть по защищенному каналу, но без предупреждения, еще меньше. Но HTTPS — это только один аспект. Я говорю о том, что если нет реальных причин информацию раздавать направо и налево (именно с точки зрения пользователя), то и не следует. Полагаться на всякие «пользовательские соглашения» Яндекса, что «за сохранностью следят правильные люди» — это все IT-религиозность какая-то, вера в высшие силы добра. На практике вынести инфу из компании совсем не сложно, Яндекс здесь не круче других. Но даже если уверовать, всегда остается место просто какой-нибудь глупой ошибке со стороны праведного персонала, которая может привести к утечке (типа, включили сбор нажатий клавиш на тестовом стенде и забыли выключить при выкатке на боевую машину — таких вариантов масса).

  • Ответить

    > радости от того, что инфа сливается пусть по защищенному каналу, но без предупреждения, еще меньше. На вас не угодишь :) > если нет реальных причин информацию раздавать направо и налево (именно с точки зрения пользователя), то и не следует Времена, когда вся информация размещалась на сервере, стоящем, в зависимости от размеров компании, в ногах у гендира, или в Серверной, обслуживаемой Админами, проходят. Информация все больше разъезжается по облакам разнообразных назначений и калибров. Самый заурядный смартфон сливает вашу персональную информацию в несколько облаков, о существовании части из них вы даже не подозреваете. На подходе SaaS облака для промышленного и бизнес-использования, которые окончательно отделят владение информацией от ее физического хранения, и сторадж-провайдеры, отделяющие уровень хранения от уровня предоставления сервиса. Вы даже представления иметь не будете, где, кем и как хранятся ваши данные. Вебвизор по сравнению со всем этим просто детская игрушка.

  • Ответить
    shmutz пользователь сервисов

    За всю историю не было зафиксировано — не было, не значит, не будет админу Яндекса даже в страшном сне не приснится сегодня нет, завтра приснится и инструмент подгонят. даже если недобросовестный админ пробрался через все дебри То есть принципиально возможно? Сейчас все сайты собирают статистические (не привязанные к персональным) данные причем здесь моя банковская страничка и желания «всех» сайтов? сегодня не привязанные, завтра привязанные. На вас не угодишь :) а вы стараетесь? мне нафик вы не нужны на моей банковской страничке. Вы тут все от разработчиков отстаиваете свои интересы. А я от пользователей скажу. У меня сейчас нет странички в Сбере, я потратил огромные усилия в свое время чтобы ее закрыть. При этом столкнулся с вопиющей некомпетентностью сотрудников, дырами в безопасности и огромным бардаком в решении простых казалось бы вопросов. Но возможно придется опять заводить аккаунт. А мне тут говорят, да фигня! мы тебя попользуем в своих интересах. Вроде бы ты не пострадаешь. Мы надеемся… если наши админы не накосячат. И это в вопросах секьюрности!!! Ну не бред ли?

  • Ответить

    > Времена, когда вся информация размещалась на сервере… Аминь. Но о чем была эта проповедь? Дескать, информация разъезжается, смартфоны сливаются, облака отделяются, мозги разжижаются — и гуляй, народ, рассылай реквизиты/ключи/пароли во все стороны? Ваше оправдание, что Вебвизор на фоне глобального заговора просто мелоч, не кажется мне убедительным. Если, например, банк выбирает для хранения личной информации облако или еще что — его право. Но банк изначально знает класс секретности информации, и, например, хранит все в зашифрованном виде, определяет процедуры на случай утечки данных, и т. п. Когда я посещаю сайт банка, то да, я не могу проверить, что все действительно безопасно, но я вправе ожидать, что банк сделал все возможное для сохранности моих данных (а если не сделал, то можно подать на него в суд). Статистика же ни в Google, ни в Яндекс никогда не имела никакого класса секретности, ее утечка это максимум имиджевые потери, и то, что со временем диски с нешифрованными данными попадают в ремонт или на свалку, никого не волнует. Поэтому подмешивание статистики в секьюрные зоны сайтов есть понижение общего класса секретности, обман ожиданий пользователя относительно уровня безопасности, и потенциальное компромитирование данных. > Вы даже представления иметь не будете, где, кем и как хранятся ваши данные. А это и не моя задача. Но я рассчитываю, что если я отдаю информацию в тот же банк, то там есть люди, которые вопрос хранения контролируют, и ответы на «где, кем, и как» знают.

  • Ответить

    > даже если недобросовестный админ пробрался через все дебри То есть принципиально возможно? Любой недобросовестный админ любого банка, да хоть ЦРУ, может организовать утечку данных, если задастся такой целью. Сноуден тому примером. Также принципиально возможны: падение метеорита на голову, заражение лихорадкой Эбола и нашествие инопланетян. Что из этого следует? Ничего, т.к. вероятность всех этих событий крайне мала. Равно как и вероятности утечки ваших чувствительных данных из записей Вебвизора — она гораздо меньше, чем вероятность утечки этих же данных из компании, целенаправленно занимающейся их сбором и обработкой, по причинам, которые я уже излагал. > А мне тут говорят, да фигня! мы тебя попользуем в своих интересах. Решение о том, включать или не включать Вебвизор, принимает владелец счетчика, т.е. банк. У Яндекса никакого коммерческого интереса в этом нет.

  • Ответить

    > я рассчитываю, что если я отдаю информацию в тот же банк, то там есть люди, которые вопрос хранения контролируют, и ответы на «где, кем, и как» знают. Логично. Счетчики и Вебвизор не самозарождаются на сайтах, их вполне осознанно ставят туда сами владельцы. Если банк поставил счетчик, значит он доверят стороне, которая хранит эти данные.

  • Ответить
    Иван Бегтин АНО "Информационная Культура"

    В чём спор? Претензии не к Яндексу и Гуглу, а Сбербанку и Инвитро. Если организации предоставляющие счетчики еще и не поленятся и напишут рекомендации в каких случаях их лучше не ставить — то вообще никаких претензий не будет. Будет во что «тыкать носом» админов Инвитро. Не напишут — не страшно, переживем.

  • Ответить

    А что если рассказать уважаемым параноикам, что в любую единицу времени вас снимают камеры, а в центральных районах крупных городов — десятки камер (дорожные, погодные, яндекс.пробки, камеры банков, путники (опечатался, но решил не исправлять :), личные видео-регистраторы, Google Street View, Камеры в автобусах и маршрутках, метро, ПробкиИзОкна, камеры на подъездах и прочие, прочите тонны камер и датчиков… т.е. в автоматическом режиме и реальном времени, достаточно лишь сделать ваше фото, сматчить его с профилями в соц. сетях, связать с местоположением, интересами, покупками, семейным положением, посещаемыми ресурсами и так далее по цепочке… Вы можете сказать, что вы против этого, вы так не хотите, вы не принимали этих лицензионных соглашений. В начале 2000х это еще могло быть актуально, сейчас вас уже просто не услышат… Поэтому паранойя про «UserAgent и разрешение экрана», которые у вас «угнала» Метрика, выглядят очень не состоятельными на фоне общей картины, которую вы просто пока не видите… P. S. В банках тоже работают обычные люди и им тоже нужна пользовательская статистика и они ее собирают, хотите вы этого или нет, просто названия инструментов вам не известны, как в случае с Метрикой.

  • Ответить
    Roman Y ISV

    Недавно у меня был разговор с одним человеком. Я тогда сказал, что мне не нравится (мягко говоря) реклама на асфальте, а он ответил что-то вроде: «а чем она тебе мещает, спотыкаешься ты об нее что ли»? Мне логика сторонников наличия сторонних систем статистики в банковских приложениях об этом разговоре напомнила. Что-то здесь есть общее. За мной и так уже следят ФСБ, ГРУ, ЦРУ, АНБ, ГИБДД и метеорологи. Яндексом больше, яндексом меньше, что же мне жалко разве? Я уж прошу меня извинить за такое отступление.

  • Ответить

    > Если банк поставил счетчик, значит он доверят стороне, которая хранит эти данные. В наш век тотального непрофессионализма такой вывод не является единственным. Вполне возможен вариант, что банковский сайт напрограммировало вчерашнее школоло, которое говорило, «но папочка, почему я не должен был отдавать ему ключи от квартиры, веть тот дяденька сказал, что он твой друг». Не во всех банках есть команды с достаточным уровнем технической экспертизы (а некоторые банки вообще заказывают сайты на (сомнительной) стороне), и выкатка сайта внутри HTTPS кажется им верхом безопасности, а повальная вставка счетчиков просто делом привычки, «всегда вставляли, ничему не мешало». > В банках тоже работают обычные люди и им тоже нужна пользовательская статистика и они ее собирают, хотите вы этого или нет Речь о том, что если им статистика нужна, то пусть собирают ее локальными средствами, а не через внешних провайдеров. Да и зачастую статистика лепится на все страницы просто «на всякий случай, вдруг пригодится», а вовсе не ради того, чтобы посмотреть, как меняется UserAgent и разрешение экрана при переходе на секьюрную страницу оплаты.

  • Ответить

    kroki, за вашими громкими фразами, теряется суть повествования. Скажите конкретно, что вас беспокоит? Какие конфеденциальные данные собирает Метрика, что изобретение собственного («локального велосипеда») внутри банка было бы оправдано, по вашему мнению?

  • Ответить

    Далее еще веселее… Если Банки должны иметь «свою локальную Метрику», кто еще должен? где граница? Платежные системы должны иметь свою систему? А Яндекс.Деньги (которые фактически принадлежат Сбарбанку) могут использовать Яндекс.Метрику? А сам Сбербанк может внедрить к себе на сайт проверенную технологию, успешно используемую на другом проекте, например? kroki, вы можете более конкретно сформулировать ваши опасения или вы боитесь неизвестности?

  • Ответить

    > за вашими громкими фразами, теряется суть повествования. Мне искренне жаль, что суть моего повествования оказалась выше порога вашего восприятия, но цели охватить абсолютно все уровни компетенции у меня и не было ;)

  • Ответить

    >А что если рассказать уважаемым параноикам, что в любую единицу времени вас снимают камеры, а в центральных районах крупных городов — десятки камер, А еще добавить к этому, что видео с камер потом продают любому желающему, причём не на чёрном рынке, а вполне официально — изборажение со спутника, записи с камер наружного наблюдения Москвы

  • Ответить
    shmutz пользователь сервисов

    какое отношение имеют камеры к обеспечению режима безопасности банковской странички? А что если рассказать уважаемым параноикам помимо оскорбления собеседников вы и вопиющий непрофи, ибо безопасность должна строится на параноидальном сомнении, ане школоловской безалаберности. (а у нас обынчо все было ок, оо, яяндекс классная организация, верьте нам!!)

  • Ответить

    Александр, я никого не оскорблял. Людей с паранойей — называют параноиками, так сложилось. Паранойя (др.-греч. А±Б¬Ѕї№±, дословно — «околомышление») — вид расстройства мышления, странность, возникающая при ряде психических заболеваний и поражений головного мозга. В классическом представлении страдающие паранойей отличаются нездоровой подозрительностью, склонностью видеть в случайных событиях происки врагов, выстраивать сложные теории заговоров против себя. Паранойя не является пожизненным хроническим состоянием с периодами обострения и утихания клинических симптомов. Во многих случаях отдельные признаки паранойи развиваются в преклонном возрасте при дегенеративных процессах в головном мозге (например, при атеросклеротическом поражении сосудов мозга, болезни Альцгеймера, болезни Паркинсона, болезни Хантингтона и др. Александр, без некоторого доверия интернет не может существовать, это сеть тут все обмениваются информацией, даже если вы этого не хотите. Вы доверяете данные о себе и своем компьютере тысячам людей, просто для того, что бы открыть эту страничку на Роем. Мне тоже многие реализации протоколов кажутся «школоловсими», выражаясь вашим языком, но я не могу с этим ничего поделать, они уже есть, они уже работают. Другое дело, что персональные данные охраняются законом и не должны свободно распространяться. Но счетчики типа Метрики не собирают персональных данных, т.е. не нарушают закон и ваши интересы. > безопасность должна строится на параноидальном сомнении может стоит начать с понимания предмета обсуждения?

  • Ответить

    Maxim Surkiz, а вы не перепутали «нездоровую подозрительность» с «подозрительностью» в целом? Возможно вы будете смеяться, но всякий раз выходя из дома я входную дверь запираю. И ведь не потому, что я точно знаю, что сегодня ко мне придет грабитель, а потому, что я «параноик», «боюсь неизвестности», ну или просто не вижу ни одной причины рисковать. Также и с банками: я не хочу видеть статистику внутри HTTPS не потому, что уверен, что она меня обворует, а просто потому, что не вижу ни одной причины рисковать, механизмы сбора статистики могут стать причиной утечки потенциально. Вы можете этого не знать, но проактивный подход к безопасности требует устранения угроз именно потенциальных, а не ждать, пока ружье реально выстрелит. > Но счетчики типа Метрики не собирают персональных данных И тут мы все склоняемся перед вашим авторитетом. Нет-нет, Максим не может ошибаться, если уж сказал за все статистики, то так оно и есть. А вам точно есть, на что опираться? :)

  • Ответить

    Метрика действительно не собирает персональных данных, попадающих под действие закона о ПД. Данные Метрики обезличены, т.е. клиент Метрики смотрит действия анонимуса, который что-то вводит в форму. Если, например, в поле ввода фамилии что-то введено, нет никакого способа проверить, какой физический человек это вводил, и вводил ли он свои данные или данные соседа. Это конечно не отменяет понятия чувствительные данные и здравого смысла. Именно поэтому Метрика не записывает содержимое password полей и предоставляет владельцу сайта возможность пометить CSS классом -metrika-nokeys поля с чувствительными данными. Или вовсе не включать на страницах с чувствительными даными Вебвизор, здесь все в руках владельца сайта.

  • Ответить

    Я не думаю, что у кого-нибудь могут быть претензии к Метрике или другим системам статистики. Что, кто, где и чем собирает — вопрос к конечным сервисам.

  • Ответить

    Ну и наверное в заключении процитирую Автора: > Начиная с некоторых уровней персональности — вроде банковских данных или данных медицинской диагностики я лично не готов доверять кому бы то ни было. Пишет человек с почтой на Гугле ibegtin@gmail.com (:

  • Ответить

    > Если, например, в поле ввода фамилии что-то введено, нет никакого способа проверить, какой физический человек это вводил, и вводил ли он свои данные или данные соседа. «Да, мы собираем номера кредиток и CVV2, но мы же не знаем, правильные они, или нет!» — не очень обнадеживает. > Именно поэтому Метрика не записывает содержимое password полей и предоставляет владельцу сайта возможность пометить CSS классом -metrika-nokeys поля с чувствительными данными. Или вовсе не включать на страницах с чувствительными даными Вебвизор, здесь все в руках владельца сайта. О том и шла речь: претензия не к метрикам, а к владельцам сайтов. Вы начинаете с того, что метрики безопасны, а заканчиваете описанием целого ряда условий, которые разработчики сайта должны выполнить без ошибок, чтобы все действительно было безопасным. Вам же в ответ и говорят, что овчинка выделки не стоит, убрать метрики вообще — и нет рисков что-то там не так настроить. We have no unknown bugs — знакомо? :)

  • Ответить

    > Да, мы собираем номера кредиток и CVV2, но мы же не знаем, правильные они, или нет!" - не очень обнадеживает. Во-первых, мы — не собираем. Вебвизор записывает банальный поток нажатий клавиш в полях ввода. В Метрике нет и никогда не будет никакой обработки этих данных, отличной от «был ввод/не было ввода» и попыток их как либо интерпретировать и использовать. Во-вторых, покажите сайт, который действительно записывает с помощью Метрики номера кредиток, если он вам известен.

  • Ответить

    > Конечно, все в открытом доступе: http://legal.yandex.ru/metrica_termsofuse/ как и код самого скрипта. Мой вопрос был не совсем об этом, но ваша попытка доказать утверждение обо всех метриках одним примером (да еще и «соглашения», то есть просто обещаний) наводит на мысль, что принципы доказательства вам не знакомы. Одним примером можно что-то опровергнуть, но чтобы доказать, что опасения метрик в принципе несостоятельны, нужно именно всеобъемлющее доказательство (которого я своим вопросом и не просил, ибо понимаю, что невыполнимо). > Я понимаю, неизвестность вас пугает, но ведь от вас никто, ничего не скрывает, чего вы так боитесь? Я боюсь возможности внесения бага при самых благих намерениях и продвинутых навыках (например, то, что «-metrika-nokeys» что-то отключает — это ведь не факт природы, а просто декларация наемрения, код же может отработать и по-другому). А также я просто боюсь людей глупых, ибо никогда не знаешь, какой номер они могут выкинуть. Вы мой страх не развеяли :)

  • Ответить

    Артур, перечитайте еще раз: О том и шла речь: претензия не к метрикам, а к владельцам сайтов. Вы начинаете с того, что метрики безопасны, а заканчиваете описанием целого ряда условий, которые разработчики сайта должны выполнить без ошибок, чтобы все действительно было безопасным. Вам же в ответ и говорят, что овчинка выделки не стоит, убрать метрики вообще — и нет рисков что-то там не так настроить.

  • Ответить

    Извиняюсь за три сообщения подряд, но вдруг стало интересно: > Во-вторых, покажите сайт, который действительно записывает с помощью Метрики номера кредиток, если он вам известен. Отбросив соображения о том, как бы я вас мог пропустить в секьюрную зону своих банков, предположим, что я показываю вам страницу ввода номера кредитки с CVV2, и предположим, что на странице есть Метрика (хотя опять же, через частное нельзя доказать общее, речь шла обо всех статистиках, а не выборочно). Ваши действия? Мне кажется, вы проинспектируете код страницы, и заверите меня, что при таких вот настройках все безопасно. Но разве это не будет как раз являться указанием на то, что метрики безопасны не при всяких настройках? А, значит, желание исключить риски неверных настроек на сайте, либо некорректной их обработки на сервере — вполне оправданным?

  • Ответить
    shmutz пользователь сервисов

    я вот честно говорю, детально не понимаю того, что тут пишет Яндекс. Но общая картина из комментариев ясна, да, риски малы, возможно очень малы. А потом тихонько добавляют, при здравомыслии владельцев сайта, и можете посмотреть — СЕЙЧАС наш код чист. А что будет завтра? А в здравомыслие программеров Сбера я не верю, только в их бардак и неразбериху. Я когда-то работал в космической отрасли и при обсуждении схемы комплекса — только параноя, только удаление всех лишних цепочек, никаких излишеств, крупные лампочки «работает-не работает». Так вот может Инвитро и хрен с ним пусть утекает (хотя спорно), но в вопросе о моих деньгах в банке — никаких компромиссов!, все как космосе. Странно, что это надо объяснять.

  • Ответить

    > Но разве это не будет как раз являться указанием на то, что метрики безопасны не при всяких настройках Вы, уходя из квартиры, запираете дверь? А можете и не запереть, если изменятся ваши ментальные настройки. Означает ли это, что у вас надо отобрать ключи и посадить под домашний арест, во избежание потеницальных дыр в безопасности квартиры?

  • Ответить

    Артур, ваша «логика» сбивает с толку. Но ответ, видимо, «да, потенциальные риски есть». Из дискуссии я как раз и понял, что и в Яндексе «не боги горшки обжигают», и нужно быть еще внимательнее по отношению к вашим продуктам.

  • Ответить

    Означает ли это, что у вас надо отобрать ключи и посадить под домашний арест, во избежание потеницальных дыр в безопасности квартиры? — есть такое понятие, как недееспособность. Оно появляется, когда кто-то не может защитить свои права и права подопечных. Например, кто-то попадает в список РКН как оператор ПД. И якобы защищает ПД. А по факту не запирает дверь — значит в двери есть ньюансы! Если бы квартира (или деньги на счету в Сбере) действительно была собственностью оператора — то его проблемы. На самом деле деньги могут и не воровать. Иногда будет достаточно украсть нажатия на кнопку «оформить депозит» и телефон — затем перезвонить жертве и обманом загнать деньги в адрес мошенников. Если окажется что Сбербанк недееспособен и не может защитить ПД — разумеется ключи у него надо отобрать. P. S. На практике даже многомиллиардные утечки ПД на миллионы карточек в супермаркетах США в 2013 году дают ускользающе небольшие потери от краж. Поэтому ключи никогда не отнимают. Просто ставят на вид. Имиджевый момент — мол: «ну-ну, вот молодцы!»

  • Ответить

    >> Вы, уходя из квартиры, запираете дверь? А можете и не запереть, если изменятся ваши ментальные настройки. Аналогии — вредны. Но вот оставаясь в рамках этой аналогии: да, если банк не запирает/не охраняет помещение с депозитарными ячейками, то надо или из банка бежать, или настучать банку по голове, чтобы запирал.