TGTGInsightтелеграм анализLIVE / telegram public index
← Такты, стеки, два колеса

TGINSIGHT SIMILAR POSTS

Намери подобно съдържание

Изходен канал @clockstackwheels · Post #784 · 21.03

У Лавки Игр хороший SMM, но я на их примере хочу проиллюстрировать важность умения разбираться в деталях той системы, которой ты пользуешься. СММщик писал пост с упоминанием статьи и вместо прямой ссылки на запись просто скопировал свой текущий URL из адресной строки браузера после того, как зашёл в поиск и нашёл нужный текст. То есть, в тексте вместо простого /wall-8375786_166962 получилось что-то такое: /search?c%5Bper_page%5D=40&c%5Bq%5D=истбрук&c%5Bsection%5D=statuses&w=wall-8375786_166962 Можно говорить, что это скорее ошибка ВК, но в разработке на самом деле есть некоторые подходы вроде CQRS, идемпотентности и семантического использования HTTP-методов, говорящие, в числе прочего, о том, что URL должен полностью отражать текущее состояние страницы. Думаю, это наследие Дурова, который любил консервативные решения. В любом случае, ВК здесь совершенно не уникален, и немало систем, которые ведут себя точно так же. При этом СММщик вызывает своей ссылкой у пользователей непредвиденное поведение: заход на страницу поиска и ввод поисковой фразы. А нижняя ссылка на скриншоте ещё хуже — обратите внимание, там нужный пост был открыт изнутри некоторой личной переписки, поэтому нажатие на ссылку формирует, внезапно, запрос на переписку с незнакомым большинству пользователей человеком, с которым общался СММщик в этот момент. Помимо просто путаницы для людей, которые в этом не разбираются (а таких большинство), возникает ещё и вполне прямая опасность: мало ли, что за страницы и с какой целью открыты у СММщика в момент вставки ссылки. Вполне возможна ситуация, при которой таким способом будут выданы закрытые сведения или даже даны несанкционированные доступы. #web

Hashtags

Резултати

Намерени 1 подобни публикации

Търсене: #openness

当前筛选 #openness清除筛选

Маленький преданонс. В августе-ноябре 2018 года мы в Информационная культура и Ассоциация участников рынка данных, а конкретно я лично проводили обследование открытых интерфейсов государственных информсистем и иных информационных систем под госрегулированием на предмет раскрытия из них персональных данных пользователей. Только на основе общедоступной информации. Результаты не были публичными, их направили в Минсвязь, Роскомнадзор, Генпрокуратуру, что-то всё ещё в работе, а многое уже исправлено. Около половины найденного - это сведения из удостоверяющих центров, государственных и не очень. И как раз в их случае большая часть найденного уже исправлена, а остальные не исправят пока их явно не "пнешь" похоже. Лично я долго думал что делать с найденным. Можно ли делать общедоступными результаты этого исследования? Можно ли рассказывать о путях вылова раскрытия перс. данных в информационных системах. В итоге ту часть исследования которая касается удостоверяющих центров мы будем делать общедоступной. Это подробный анализ систем с конкретными путями воспроизведения и скриншотами по 17 УЦ в которых выявлена эта история (из примерно 50% существующих которые мы проверили). Сейчас есть развилка: 1. Сделать это в виде собственного доклада, после перепроверки и дополнения информацией о том что было исправлено в итоге после чего рассылать пресс-релиз. 2. Поделиться с одним из крупных федеральных изданий под то что у них будет 1-2 журналиста готовых проверить то что тогда было выявлено и что исправлено и написать об этом качественный материал сославшись на Инфокультуру и Ассоциацию. Может быть даже провести это исследование повторно охватив 100% УЦ. Если есть идеи и предложения как это лучше сделать - пишите мне на [email protected] #openness#investigations#gis#personaldata