«это печально» как сказал в своё время один молодой господин)
Дело в том, что нужно было ещё тогда несколько лет назад вынести эту проблему за радиус покрытия FL.ru, чтобы они чисто физически не могли воспрепятствовать распространению информации. Видимо тогда никто в Хабр так и не написал.
А между тем, сейчас на FL.ru мне как фрилансеру и как заказчику недоступны все три документа безопасной сделки:
Меня удивляет не только (и не столько) молчание FL, как скорость и качество их реагирования на этот вопиющий случай. Такое чувство, что у них там команда админов на фрилансе. И техподдержка, разумеется, тоже на фрилансе.
Прям рекурсия.
да. Более того:
1. хабр не включает эту статью в список рассылаемых на почту
2. ни одно СМИ не подхватило
3. fl.ru мне ничего не пишет в топике тех.поддержки.
а между тем утечка произошла крайне серьёзная. Тем кто хотел, наверно уже воспользовались случаем.
Больше всего настораживает тот факт, что не слышны голоса фрилансеров или работодателей. То есть тех лиц, которые по факту потерпевшие.
Страна терпеливых молчунов.
Мы с Вами вряд ли сможем ответить на вопрос о том, каким же всё-таки способом Яндекс узнал UID документа и поместил этот документ в индекс. Это останется загадкой.
А вот что имела в виду Юлия, то здесь я могу судить лишь по её комментариям, где чётко написано, что причиной сбоя могли стать только либо я либо мой собеседник. Не исключаю, что имелось в виду клиентское ПО в том числе.
Как бы мы не спорили, результат один: FL.ru судорожно доработал систему безопасности. И это супер!
P.S. а перед Юлией я извинился ещё с утра, проинформировав, что вынужден опубликовать текст на хабре.
1. Не переиначивайте. Вот что Юлия написала "Здравствуйте! Информация может быть доступна по прямой ссылке и проиндексирована лишь в том случае, если одна из сторон публично где-либо разместила эту информацию".
Это означает, что для того чтобы а) получить доступ к документу по прямой ссылке И б) чтобы документ попал в индекс необходимо выполнить условие — разместить этот документ где-либо публично. Как все мы поняли, это неправда. Документы становятся доступны по прямой ссылке и индексируются по умолчанию, в принудительном порядке, без участи пользователя.
Далее, на мой взгляд, уже нет смысл отвечать на пункты, но тем не менее, ситуация требует.
2. Дубль. См.п1.
3. Я ответил «Да, могу». Это, по-моему, я чётко написал.
4. Ок, согласен
5. Эмоции, эмоции, сэр.
6. Вот жеж! Как Вы меня ловко интерпретировали. Извините, но Вы теперь должны либо привести факты, либо Вы господин «соврамши».
Вся фабула доказательства невиновности FL.ru строится на изначально лживой гипотезе: "если документ появился в индексе и стал доступен по прямой ссылке — значит виноваты Вы или Ваш собеседник, потому что засветили в интернете ссылку на этот документ". Мы все уже здесь разбили данное доказательство с помощью фактов.
Согласен, что Юлия совершенно не виновата в ошибках разработчиков. Но абсолютно не согласен с утверждением "она пыталась вам объяснить что такое хотлинкинг и как не стоит делать если он разрешён (не стоит выкладывать в сеть ссылки на ТЗ)" потому что никто не выкладывал в публичный доступ ссылки на ТЗ. Поисковые движки сами нашли. Я делаю вывод, что Вы либо специально переиначиваете и жонглируете словами, либо банально не захотели вникнуть в проблему.
А проблему я изложил в 3-х предложениях, причём намного правильнее чем Вы. Я попросил "не индексировать скрытые (приватные) документы в Яндексе". Холинкинг здесь вообще ни при чём, это вторая проблема. Посмотрите на vk.com. Там все личные документы доступны по внешней ссылке, но при этом ни один из приватных документ НЕ индексируется.
>почему, вы, преследуя определенную, несомненно благую, цель, так легко запутались в липких сетях службы поддержки
по долгу службы я привык общаться с изначально благонадёжным собеседником, который стремится меня понять. А здесь на 10-й минуте диалоге я начал чувствовать, что меня уводят в другое русло, но не придал этому должного внимания.
>почему, прежде, чем писать статью вы не посмотрели на ситуацию с разных сторон?
когда я понял что у меня нет возможности достучаться до технических специалистов, то взвесив риски, решился на «вынесение ссора из избы».
Коллега, я очень надеюсь что вы понимаете всю серьёзность ситуации, что под удар могла попасть не только финансовая сторона фрилансеров/заказчиков, но и безопасность их жизни в принципе. Я не преувеличиваю.
Представьте, что сильно недовольный клиент узнаёт адрес регистрации того или иного фрилансера… дальше сами можете продолжить :)
ну вот начинается игра слов: «праведен, но не справедлив»!)
Посмотрите с какой темой я вошёл в переписку с техподдержкой. Там всё детально расписано: аттачи из приватной переписки попадают в индекс. И мне кажется, что любой нормальный специалист техподдержки должен сразу же смекнуть насчёт утечки финансовой и перс.информации. Но не в этом случае, разумеется.
Что касается нашего с Юлией «холивара», то я согласен, там мы ушли в глубокую дискуссию. Но ещё раз повторюсь, проблема была озвучена максимально прозрачно.
P.S. надеюсь FL не станет увольнять Юлию. Ведь теперь она приобрела ценный опыт, который может применить в дальнейшей работе. Но провести воспитательную беседу считаю необходимым.
На FL.ru по прямой ссылке (при условии, что вы её знаете) доступен любой документ. При этом неважно где вы его размещали: в портфолио, в переписке и даже в личных сообщениях. Протестировано!
вот именно! FL должна была предусмотреть в своей системе прав этот кейс: если документ не публичный, то к нему не должны иметь доступ даже по прямой ссылке. Чего уж там говорить про индексирование в поисковиках!
это тоже вариант, но не самый удобный, потому что в результатах поиска много «шума».
Намного эффективнее искать по «ключевикам». У каждого типа документа на fl.ru есть КС. За счёт этого можно найти теперь любую контору или физ.лицо и посмотреть кто что заказывал и за сколько.
Но самое страшное даже не это. Можно получить доступ к персональной информации, например, адрес регистрации, номер паспорта, телефон. Это тихий ужас.
Мои слова подтверждаются хотя бы тем, что люди банально не могу узнать реквизиты из текста сделки: feedback.fl.ru/topic/673886-ne-mogu-poluchit-schet-na-oplatu-po-bezopasnoj-sdelke/
Дело в том, что нужно было ещё тогда несколько лет назад вынести эту проблему за радиус покрытия FL.ru, чтобы они чисто физически не могли воспрепятствовать распространению информации. Видимо тогда никто в Хабр так и не написал.
А между тем, сейчас на FL.ru мне как фрилансеру и как заказчику недоступны все три документа безопасной сделки:
Меня удивляет не только (и не столько) молчание FL, как скорость и качество их реагирования на этот вопиющий случай. Такое чувство, что у них там команда админов на фрилансе. И техподдержка, разумеется, тоже на фрилансе.
Прям рекурсия.
1. хабр не включает эту статью в список рассылаемых на почту
2. ни одно СМИ не подхватило
3. fl.ru мне ничего не пишет в топике тех.поддержки.
а между тем утечка произошла крайне серьёзная. Тем кто хотел, наверно уже воспользовались случаем.
Больше всего настораживает тот факт, что не слышны голоса фрилансеров или работодателей. То есть тех лиц, которые по факту потерпевшие.
Страна терпеливых молчунов.
А вот что имела в виду Юлия, то здесь я могу судить лишь по её комментариям, где чётко написано, что причиной сбоя могли стать только либо я либо мой собеседник. Не исключаю, что имелось в виду клиентское ПО в том числе.
Как бы мы не спорили, результат один: FL.ru судорожно доработал систему безопасности. И это супер!
P.S. а перед Юлией я извинился ещё с утра, проинформировав, что вынужден опубликовать текст на хабре.
1. Не переиначивайте. Вот что Юлия написала "Здравствуйте! Информация может быть доступна по прямой ссылке и проиндексирована лишь в том случае, если одна из сторон публично где-либо разместила эту информацию".
Это означает, что для того чтобы а) получить доступ к документу по прямой ссылке И б) чтобы документ попал в индекс необходимо выполнить условие — разместить этот документ где-либо публично. Как все мы поняли, это неправда. Документы становятся доступны по прямой ссылке и индексируются по умолчанию, в принудительном порядке, без участи пользователя.
Далее, на мой взгляд, уже нет смысл отвечать на пункты, но тем не менее, ситуация требует.
2. Дубль. См.п1.
3. Я ответил «Да, могу». Это, по-моему, я чётко написал.
4. Ок, согласен
5. Эмоции, эмоции, сэр.
6. Вот жеж! Как Вы меня ловко интерпретировали. Извините, но Вы теперь должны либо привести факты, либо Вы господин «соврамши».
Вся фабула доказательства невиновности FL.ru строится на изначально лживой гипотезе: "если документ появился в индексе и стал доступен по прямой ссылке — значит виноваты Вы или Ваш собеседник, потому что засветили в интернете ссылку на этот документ". Мы все уже здесь разбили данное доказательство с помощью фактов.
Согласен, что Юлия совершенно не виновата в ошибках разработчиков. Но абсолютно не согласен с утверждением "она пыталась вам объяснить что такое хотлинкинг и как не стоит делать если он разрешён (не стоит выкладывать в сеть ссылки на ТЗ)" потому что никто не выкладывал в публичный доступ ссылки на ТЗ. Поисковые движки сами нашли. Я делаю вывод, что Вы либо специально переиначиваете и жонглируете словами, либо банально не захотели вникнуть в проблему.
А проблему я изложил в 3-х предложениях, причём намного правильнее чем Вы. Я попросил "не индексировать скрытые (приватные) документы в Яндексе". Холинкинг здесь вообще ни при чём, это вторая проблема. Посмотрите на vk.com. Там все личные документы доступны по внешней ссылке, но при этом ни один из приватных документ НЕ индексируется.
по долгу службы я привык общаться с изначально благонадёжным собеседником, который стремится меня понять. А здесь на 10-й минуте диалоге я начал чувствовать, что меня уводят в другое русло, но не придал этому должного внимания.
>почему, прежде, чем писать статью вы не посмотрели на ситуацию с разных сторон?
когда я понял что у меня нет возможности достучаться до технических специалистов, то взвесив риски, решился на «вынесение ссора из избы».
Коллега, я очень надеюсь что вы понимаете всю серьёзность ситуации, что под удар могла попасть не только финансовая сторона фрилансеров/заказчиков, но и безопасность их жизни в принципе. Я не преувеличиваю.
Представьте, что сильно недовольный клиент узнаёт адрес регистрации того или иного фрилансера… дальше сами можете продолжить :)
а не сваливать всё в одну переписку.
Посмотрите с какой темой я вошёл в переписку с техподдержкой. Там всё детально расписано: аттачи из приватной переписки попадают в индекс. И мне кажется, что любой нормальный специалист техподдержки должен сразу же смекнуть насчёт утечки финансовой и перс.информации. Но не в этом случае, разумеется.
Что касается нашего с Юлией «холивара», то я согласен, там мы ушли в глубокую дискуссию. Но ещё раз повторюсь, проблема была озвучена максимально прозрачно.
P.S. надеюсь FL не станет увольнять Юлию. Ведь теперь она приобрела ценный опыт, который может применить в дальнейшей работе. Но провести воспитательную беседу считаю необходимым.
На FL.ru по прямой ссылке (при условии, что вы её знаете) доступен любой документ. При этом неважно где вы его размещали: в портфолио, в переписке и даже в личных сообщениях. Протестировано!
В реализации это элементарно.
Намного эффективнее искать по «ключевикам». У каждого типа документа на fl.ru есть КС. За счёт этого можно найти теперь любую контору или физ.лицо и посмотреть кто что заказывал и за сколько.
Но самое страшное даже не это. Можно получить доступ к персональной информации, например, адрес регистрации, номер паспорта, телефон. Это тихий ужас.