Цитата:
Сообщение от Alisher Umarov
Речь о потенциальной угрозе фишинга через такого рода приложения для абонента, потому что авторизационные данные могут быть перенаправлены третьему лицу.
Как можно гарантировать безопасность приложения?
Единственный правильный способ - получить разрешение у владельца БД, филиала "Биллинг Телеком", который гарант и ответственное юридическое лицо.
|
С опасностью фишинга-то я согласен, это вопрос бесспорный. Меня смущает сам тон треда и то, что разработчики программы жалуются примененные санкции, да и из ваших уст прозвучал намек на возможность их продолжения.
Цитата:
Сообщение от Alisher Umarov
Пока такого разрешения нет - все программы манипулирующие авторизационными данными абонента потенциально опасны для абонентов, так же как и технология фишинга.
|
Опять же возвращаемся к вопросу браузеров. Не, ну мы все прекрасно понимаем, что мейнстримовые приложения давно одобрены сообществом и буржуйскими проверяющими органами - но с юридической стороны в данном случае браузеры, да и ОС, стоят в одном ряду с наколенной поделкой. Наши государственные органы и/или УО не проводили какой-либо экспертизы по безопасности вообще каких-либо приложений, а в итоге выходит, что претензия возникла к тому, кого легче пнуть.
По факту с показометром мы имеем ситуацию "докажи, что не верблюд". Хотя у нас действует презумпция невиновности (законодательство в области ИТ слабое, да и не только у нас оно слабое, так что берем Конституцию). Следовательно, не разработчик должен доказывать, что его творение безопасно, а нужно доказать, что оно опасно, а потом запрещать.
В тасиксе мульен мест, где можно "бесплатно без смс скачать" тот же ФФ. Влепить в этот ФФ (который юзеры качают не с офсайта) фишинговый аддон, который уведет не только пароль от интернета, но и банковские данные - как два пальца. Однако ж никто этим не заморачивается.
Смысл этих абзацев - трясти либо всех и вводить в оферту список одобренного ПО, либо не трясти никого. А сейчас выходит, что просто прицепились к конкретно взятой программе.
Цитата:
Сообщение от Alisher Umarov
В каком бы соотоянии не находился текущий биллинг, это закрытая система у которой есть хозяин.
Хозяин сказал что пока никому разрешения не давал. Возможно он и совершенно не против, если будет нормальный запрос.
|
Ну мы же все прекрасно знаем, как у нас устроена околоайтишная (да и любая) бюрократия.
Я думаю, что попытка получение разрешения на распространение программки выльется в головную боль с хождением по инстанциям, получением каких-нибудь ЭЦП и лицензий, что простенькому свободно распространяемому проекту и не нужно, и неподъемно. И это ведь в лучшем случае - в случае, что при обращении в УО все поймут, что от них хотят и дадут четкие указания по легализации.
Админ БД или верховный повелитель техотдела не уполномочены решать такие вопросы, хотя это вполне в их компетенции. Запрос пойдет выше и в итоге, скорей всего, его рассмотрением займется директорат (у вас ведь нет службы сертификации, так?). А директорату решить такой вопрос очень сложно. Я не говорю, что они не умеют, я о том, что даже директор не может просто сказать "можно, пусть юзают". Надо же бумажки по установленной форме (о форме такой бумажки я не слышал).
Даже если разрешение получено, то как быть с распространением? Сертифицируется код конкретной версии, как потом быть уверенным, что распространяемые на стороннем сайте бинарники именно из него скомпилены? Как быть с последующими версиями? Выход тут - только организовывать юрлицо, берущее программу на свою ответственность. Это стае товарищей нафиг не нужно.
Это был лучший случай - а в худшем, и гораздо более вероятном, запрос о сертификации просто уйдет в никуда. Элементарно - куда его отправлять? Прийти в офис и спросить? И там объяснят? Вряд ли, в офисе даже просьба о белом ип ставит рядовых сотрудников в ступор. Писать начальнику техотдела? Даже его имя узнать - задача нетривиальная, а тем более - увидеться. Даже если до техотдела дошел запрос - он там погрязнет в незнании, как решить его официально. Просто под свою ответственность техзам/техдир ничего не разрешит - возвращаемся к первому пункту.
Ести и финансовая сторона - возня с сертификацией отнимет у ваших сторудников рабочее время, которое надо как-то списывать.
Я вижу три способа решения проблемы, хотя они уже ускользают, раз имел место быть "наезд" и запрещение:
1. Простой - просто рассудить, что абоненты не жалуются на угон паролей, что антивирусы не звенят. Посмотреть на аналогичный опыт других провайдеров и сделать вывод, что ничего страшного нет. На этом и остановиться. В конце концов, у вас привязка по маку (у тштт была, во всяком случае).
2. Сложный, но полезный, особенно с учетом государственности УО. Пойти навстречу и помочь с сертификацией. Не "вы должны согласовать с нами", а "ребята, давайте мы посмотрим, что у вас, чтобы ни у кого было вопросов". Связаться с разработчиками, получить программу или код, встретиться, как-то обсудить. Причем свести к минимуму сроки и количество волокиты, количество действий, требуемых от разработчиков - иначе они просто закроют проект. Им ведь неинтересно тратить слишком много времени на благотворительность.
Результат - решена проблема с данной программой, плюс, что более важно, - создан какой-то прецедент по анализу и сертификации небольших разработок. Из этого можно выработать методику/документацию/правила решения таких вопросов в будущем.
3. Промежуточный и наиболее удобный. Если вам интересна эта сфера (с точки зрения безопасности или с точки зрения удобства клиентов) - взять проект под крыло. Собственно, это самый популярный вариант в европах. Посмотрите код, перенесите хостинг программы к себе, дайте разработчикам API. Не надо пускать в базу, не надо мудрить, просто вываливайте данные в виде JSON. Примитивное решение разгрузит ваш вебсервер и улучшит качество работы программы. Давайте агенту новости для отображения, обсудите новые плюшки. Чтобы эти плюшки реализовались, даже не обязательно брать разработчиков на зарплату (хотя и можно, если они толковые и не против), можно элементарно дать бесплатно не самый нищебродский интернет, план тыщ так за 100-200. Это куда меньше зарплаты, за которую согласится работать даже студент-фрилансер, но это приятно разработчику (он кодит и для души, и ради пользы), удобно и вам - по бухгалтерии даже деньги не тратятся. А отдать кому-то мегабит/полмегабита в масштабах провайдера - капля в море. Что имеет с того УО: не очень довольные пользователи получают плюшку и радуются, потенциально меньше нагрузка на биллинг (вы переносите хотя бы расчеты по визуальному отображению к юзеру), сама ситуация "УО прикормил энтузиастов" тоже положительна и играет на имидж. Опять же прецедент в налаживании связи с сообществом.
А имеющаяся сейчас на форуме ситуация - нехорошо. Слушок поползет. "УО приковырялся к трем студентам, оттого, что ему завидно". Пусть слушок и быстро заглохнет, но осадочек останется. А у УО репутация, скажем так, уже немного подмочена. Не, понятно, что он от этого не развалится и не обнищает, но все равно на фоне общей картины с минусами еще можно сделать плюсик, и довольно жирный. Замеченые и пригретые таланты - всегда хорошая новость.
PS. Вон недавно конкурс программерский закончился. Никто реальных достижений пока не видел, а призы выданы... А тут люди уже пользуются и отзывы в целом благоприятны - в результате только угрозы. Все с ног на голову.
Комбинированный вид