ballistic
Приватні балістичні технології
Зарегистрирован:
19 декабря 2010
Последний раз был на сайте:
17 октября 2024 в 04:12
19 декабря 2010
Последний раз был на сайте:
17 октября 2024 в 04:12
Подписчики (87):
-
044blog
36 лет, Киев
-
viktory2001
18 лет
-
Натал Н
43 года
-
kingcity
54 года, Львів
-
Anton Shulga
30 лет, Ukraine, Zaporizhia
-
annagreenish
москва
-
brigadirius
Киев
-
eldarien
41 год
ballistic
— Приватні балістичні технології
- 19 января 2019, 0:00
Приват ≠ приватність
| "Приватність — це можливість особи відокремити інформацію про себе, і, таким чином, виявляти свою особистість вибірково". |
Під час міграції на новий смартфон звернув увагу, що додаток Приват24 вимагає доступу до моїх контактів, мого сховища файлів та мого розташування.
Без надання доступу до моїх приватних даних користування додатком неможливе.
Не бачу жодних підстав вважати ці види приватних даних необхідними для реалізації базових функцій інтернет-банку. Принаймі аналогічні додатки інших банків можуть працювати без зазіхання на приватність.
Замислився, чи потрібен мені такий «неприватний» Приват?
|
|
15
|
Просмотров: 1744, сегодня — 1
- 20:00 В Украине приняли бюджет-2025, МВФ выделяет еще $1,1 миллиарда транша: главное за вторник
- 19:41 российский рубль упал ниже отметки 100 руб за доллар, впервые за год
- 18:10 Швейцария обеспокоена планом Трампа повысить торговые пошлины
- 17:26 Курс валют на вечер 19 ноября: доллар и евро подешевели на межбанке
- 16:16 Байден выделит рекордные $4 миллиарда в фонд Всемирного банка для самых бедных стран
- 15:49 План стойкости от Зеленского: что предполагает
- 15:34 Доллар дорожает в парах с евро и фунтом, но падает к иене
- 14:59 Верховная Рада одобрила в целом проект Бюджета-2025
- 14:30 Миссия МВФ согласовала выделение Украине еще $1,1 миллиарда транша — Шмыгаль
- 13:52 Компания Трампа ведет переговоры о покупке площадки для торговли криптовалютами
Комментарии - 20
Назвіть хоча б декілька…
Пізніше попросив доступ до контактів, який я відхилив без втрати можливості користування сервісом.
При установке, разрешите всё что просит приложение,
а затем заблокируйте доступ к адресной книге, хранилищу и геоданным…
Кстати, Монобанковский доступ к адресной книге — это жесть…
Я не уверен что звонившие хоть один раз на мой телефон сотрудники разных контор и просто физлица теперь светятся в моей адресной книге, как клиенты Монобанка…
А они даже не знают об этом…
— так в тому й справа, що після закриття доступу до приватних даних додаток перестає працювати і починає вимагати доступ.
А Моно у мене прекрасно працює без доступу до моїх контактів.
«Показувати в контактах інших користувачів» — теж не вимога, а опція, яку можна відключити.
Але якщо це додаток найпопулярнішого банку України, то тут з високою ймовірністю маємо справу з наміром.
Хоча думка отримати пояснення від офіційного представника цікава, напишу їм.
Отвлекусь и приведу общеизвестный пример — вирус Петя и МЕдок.
До вирусной атаки через МЕдок и нанесения огромного много миллиардного ущерба Украине — разработчики МЕдка убеждали своих клиентов, что их софт просто обязан работать с правами администратора и по другому ну просто никак, также доказывали, что обновления должны быть исполняемыми файлами и запускаться из-под МЕдка да ещё и с теми же админскими правами.
После вирусной атаки, вмешательства СБУ с привлечением иностранных экспертов из Микрософта и ESET оказалось, что МЕдок без проблем умеет не только работать с правами обычного пользователя, но и обновляться не исполняемыми файлами.
Т.е. программистов МЕдка надо было всего-лишь мотивировать внести изменения в их разработку, чтобы она соответствовала определённым стандартам работы ПО.
Конкретные методы мотивации мне не известны, но по результатам вижу, что методы оказались очень действенными — возможно пообещали уволить или переселить в тюремную камеру.
В теории и приватовские программисты могут внести коррективы в своё приложение, но такое счастье обычно инициируется вышестоящим руководством.
— хочете сказати, что в Приваті нема відділу контролю якості?
Кейс з МЕдок-ом показовий, але я схиляюсь до думки, що в цьому випадку маємо справу з цілеспрямованою диверсією, а не халатністю. Тобто хтось з керівництва відділу розробки компанії прямо чи приховано впровадив саме такий спосіб роботи ПЗ зі шкідливою метою.
У випадку з Приватом я теж покладаю провину на керівництво, а не простих кодерів. Але чи є на меті у керівництва збір приватних даних клієнтів — це питання відкрите. Я не стверджую, але і не виключаю.
Кстати, мобильное приложение Приват24 появилось одним из первых и возможно поэтому ещё не было опыта эксплуатации наработок именно в части управления правами и доступом к разным ресурсам смартфонов.
А вот с мобильным приложением Приват24 — это была новая и неизведанная среда разработки.
Ну и в то время никто сильно не парился с безопасностью мобильных приложений — ведь не было даже прецедентов.
Да и сейчас доступ к адресной книге любому приложению не является чем то сверхъестественным и тем более преступным…
Поэтому не надо сгущать краски и из-за такой чепухи обвинять в преступных намерениях…
— я погоджусь, що в сучасному світі своєю приватністю потрібно ділитися, якщо хочеш отримати додаткові переваги.
Але я двічі думаю, перед тим як надавати доступ додатку до моїх приватних даних. Одна справа — це додаток великої і поважної міжнародної компанії. І зовсім інша — додаток від локальної компанії.
«не надо сгущать краски и из-за такой чепухи обвинять в преступных намерениях»
— відповім зеркально — не потрібно згущувати фарби і звинувачувати мене у звинуваченнях, які я не робив :)
https://minfin.com.ua/ua/company/privatbank/review/123000/
Послухаю, що скажуть на це представники банку.
Нужно писать не надо форуме а на имя руководства с просьбой (требованием) внести изменения в функционал приложения для опционального выбора или блокировки тех или иных прав доступа.
Однозначно уверен, что никакого преступного умысла не было — просто закодировали функционал без дополнительного анализа прав приложения на доступ к сервисам — так было быстрее и проще.
Посмотрите на аналогичное приложение от тех же разработчиков — Монобанк — там они на этапе разработки сразу же учли возможность изменения прав доступа.
Зато теперь переделывать приложение Приват24 будет сложнее и намного затратнее…
Погоджусь, що реалізація функціоналу додатку з різними видами доступу до даних юзера — це додаткова складність для розробників. Але ця складність не є неординарною.
Якщо Приват цінує приватність клієнтів, то має виправити цей нескладний, але критичний баг.
«За словами представників банку, в новому Приват24 залишилося 0% старого коду»
— тобто є надія, що старих помилок в новому додатку не буде.
Через 2 місяці перевіримо.