Мир опять куда-то без меня укатился

[etoile_verte]

Недавно зарегистрировалась на Linkedin.com, и почти немедленно мне предложили ввести логин и пароль моей почты. Оп-ля, подумала я, ну ладно вконтакты всякие доверчивых хомячков разводят
//10 хомячков на полведра

, но это! Серьёзный же вроде сервис! Или они думают, что раз серьёзный, то им кто-то свой пароль от почты доверит?

У меня просто в голове не укладывается. Со всех сторон талдычат о безопасности, о том, как важно никому-никому не предоставлять доступ к своей почте, и на тебе: единственный способ передать сервису список почтовых контактов — это предоставить ему свой пароль! А ключ от квартиры, где деньги лежат? Впрочем, сервисы, занимающиеся деньгами, такой фигнёй не страдают, тот же PayPal.

Предполагать, что полагается применять один ящик для всех паролей, а другой для контактов, будет явно глупо, т.к. подходит только для озабоченных безопасностью с большим стажем. Большинство людей вообще не знает, что расстояния измеряются единицами длины, а не минутами ходьбы, езды на машине или, того хуже, на маршрутке, а вы хотите, чтобы они думали о безопасности, а потом раскрывали пароли от почты...

Comments

[kii-chan.livejournal.com]

ну да, или "скажите нам пароль от жж, а мы вам - кто вас комментирует чаще всего". полный бред!

[etoile_verte]

Уж комментаторов-то и без того посчитать можно. Или куки браузера использовать, скажем.
Но про статистику — это разве не считается официальный сайт того же супа? Или ты о другом?

[kii-chan.livejournal.com]

а хомячки-то и рады отдать.

не про статистику, одно время ходил такой флешмоб - стороннему сайту отдать свой логин-пароль, а он тебе список комментаторов по убыванию за все время ведения жж.

еще очень бесит, когда я захожу на какой-то сайт и вижу себя там залогиненной под своим жж-юзернеймом. кто-то из печатных СМИ этим грешил, то ли "Коммерсант", то ли кто другой.

[etoile_verte]

Ого. О таком не слышала.
Я на днях поставила уведомлялку о новых письмах в гмыле, плагин оперы. Думала, он как-то с оперой договорится, ан нет — пароль хочет. Ну и что, что опенсорс, я этимващим си, или на чём там написано, не владею!
Об этом тоже не слышала. Это ЖЖ как-то договорился с ними, что ли?

[kii-chan.livejournal.com]

думаю, да, договорился. очень подло с их стороны!

[alexander shooshpanov (from livejournal.com)]

Это паранойя.

В большинстве случаев доступ таких сайтов к почтовым сервисам предоставляется через API этих почтовых сервисов, и уже их головной болью становится отдать через это API только список контактов, а не всё-всё-всё, включая контент писем.

Да и потом, выражение "своя почта", в тот момент, когда она хранится на публичном почтовом сервисе как-то попахивает оксюмороном.

[etoile_verte]

Какое апи, когда они пароль требуют? С паролем можно отдать всё-всё-всё, включая пароль от пейпала.
При регистрации там есть возможность избежать ввода пароля, и тогда гугль сам меня спрашивает, мол, показать ему контакты? Я согласилась, и кучка контактов немедля нашлась. И возникает вопрос, нафига пароль-то просить? А просят его потом на каждом шагу, почему-то заново запросить контакты ну никак.
Что угодно публично, если подходить с этой стороны. Только замок отделяет наши дома от публичного пространства :)

[alexander shooshpanov (from livejournal.com)]

Да что значит "какое"? API такое API.

Откуда API должно знать, кто запрашивает доступ к информации? Поэтому и происходит аутентификация. Как идентифицировать тебя? Вводом логина и пароля. Почитай ToS сервиса - там наверняка указывается, что они через API возьмут, используя твой пароль. Также должно быть сказано, что больше ни к чему они не притронутся. Если нет или если паранойя - ты всегда можешь отказаться от использования услуги.

Ты не там боишься. Вот то что роботы гугля показывают тебе контекстную рекламу в интерфейсе, основываясь на ключевых словах из твоей переписки - это тебя не смущает?

[etoile_verte]

Что значит, откуда? Есть куки браузера, есть этот неведомый метод, которым сервис в итоге воспользовался. Есть ссылочка внизу, которая позволяет просто загрузить файлик со списком контактов. Я попробовала — работает. Зачем они просят мой пароль тогда?
Ну мало ли что они написали в ToS, что им, верить, что ли. Они его и поменять-то могут наверняка без предупреждения. Главное, что он им не нужен нафиг, а они его просят.
Разумеется, не боюсь. Гугль, как владелец моей почты, заведомо может что угодно, в том числе и пароль от пейпала поменять. Доверять в той же степени какому-то второму сервису я не собираюсь.

[alexander shooshpanov (from livejournal.com)]

Чем гугль заслужил больше твоего доверия, чем кто-то ещё?

[etoile_verte]

Люди сами решают, кому им доверять. Но чем шире круг, тем больше натягивается доверие, может и дырка образоваться.

[alexander shooshpanov (from livejournal.com)]

Меньше всего по жизни я доверяю тем, кто приходит делать мне хорошо и не просит ничего взамен.

[etoile_verte]

Пейпал что-то взамен получает, не от меня, а от получателей денег, насколько я понимаю механику, так что не бескорыстен.
Манибукерс, сволочи, получают на кусочку денег на каждом этапе, но им я, тем не менее, доверяю меньше. Славяне-с.
Гугль не просит, гугль берёт. Я иногда даже кликаю по его рекламе :)

[alexander shooshpanov (from livejournal.com)]

А я её вырезаю. Мне она стала противна, хотя когда-то приносила мне небольшой, но стабильный доход.

Лень не даёт мне настроить собственный почтовый сервер и собственный мейл-сервер, а то бы и почтой их перестал пользоваться. Попробовал пользоваться смартфоном на базе Android - проклял всё на свете и сейчас стараюсь его продать. Реклама, реклама, слежка, слежка, реклама, реклама, слежка, слежка. Ну его, такое счастье.

[etoile_verte]

Я теперь тоже, там, где мешается и крадёт место. Но с совсем недавних пор. В любом случае, что-то они с нас имеют, и ничего особенно плохого я в этом не вижу.
И что, никто не хочет модный девайс с модной осью?..

[alexander shooshpanov (from livejournal.com)]

Я старый гик. В фидонетах с меня никто ничего не хотел, и я ни с кого ничего, и нормально все общались. Но те времена прошли, понимаю.

Я вяло стараюсь. Пока только друзьям предложил. Никто не захотел. Надо бы дать объявление, конечно.

[etoile_verte]

В фидонетах, насколько я понимаю, никто и бесплатный сыр не раздавал :)

[alexander shooshpanov (from livejournal.com)]

Ну почему же? Файловые конференции там очень даже были, например. :-)

[alexander shooshpanov (from livejournal.com)]

Показывать кому попало "куки браузера" - это ещё несекьюрнее, чем пускать кого-то в свою почту. Кстати, хранить в почте важные пароли - это тоже надо умудриться. Хотя я и не такое видел. Чтобы "загрузить файлик со списком контактов", как показывает практика, нужно быть даже не "уверенным пользователем ПК", а "продвинутым".

Так что у хомячка проще попросить пароль и сделать всё самому, чем долго объяснять, что конкретно надо сделать, а он ещё возьмёт и нажмёт не туда, и тебя же во всём обвинит.

[etoile_verte]

Сомневаюсь, что несекьюрнее, но подтвердить мне нечем.
Зачем их там хранить? Достаточно того, что на почту придёт подтверждение и прочие элементы процедуры смены пароля. С доступом к почте весь мой страшно секьюрный пароль, который хранится только в голове и пгп-файлике со страшно длинной и сложной пассфразой, — пустышка.
Ну тут уж не знаю :) Можно же написать инструкцию, пойдите туда, нажмите Экспорт. Понятное дело, что так проще сервису, но меня не очень волнуют его проблемы. Меня интересует, за кого он меня принимает.
Опять же, если бы захват чужих учётных записей стал делом прошлым, если бы ни у кого уже много лет не уводили пароли от вконтакта, одноклассников и того хуже, это ещё можно было бы рассматривать как вариант нормы. Но что-то сия практика никак не даёт о себе забыть.

[alexander shooshpanov (from livejournal.com)]

Показывая кому-то куки, ты пускаешь его на свой компьютер, не так ли?

Почта и пароли... Серьёзные сервисы стараются делать авторизацию отвязанной от почты уже сейчас. Мобильная авторизация, авторизация при помощи брелков-генераторов... мой клиент-банк вообще меня при помощи одноразовых паролей авторизует, которые присылает в SMS. Возможно, почта когда-нибудь будет использоваться исключительно для сообщения друг с другом, для контактов, а не для обмена токенами.

Опять же, по умолчанию личная информация средневзвешенного хомячка - меня, тебя, его - она никому не нужна. Сайтам не нужна, потому что один взвизг учуявшего в своём кармане руку - и какое пятно на репутации сайта? Нет, они найдут возможность вытащить из тебя деньги сравнительно честными способами, коих существует более четырёхсот. Киберпреступность? Опять нет. За штуку баксов с кредитки и за миллион из банка одно и то же наказание - допустим, 10 лет. Куда "выгоднее" копать? 9/10 "взломов" совершают ревнивые супруги, отвергнутые возлюбленные, хикки всякие и прочий асоц.

Уммм. Инструкцию. Да. Но что мы имеем? У уже упомянутого сегодня гугля довольно массивная база мануалов - неплохо организованная, искать по ней несложно. Тем не менее, периодически в том же Google Answers кто-нибудь да спросит "Как настроить IMAP в Microsoft Outlook 2007?" И это не так уж редко.

Кстати, есть и гипотеза об идиотии в той или иной форме у 95% мирового населения.

[etoile_verte]

Показывая куки, я показываю куки. Они ещё не весь компьютер.
Ну уж мобилка никак не серьёзнее почты. Мобильным операторам веры вообще никакой нет, да и я могу поменять и номер, и оператора в любой момент: мало ли, цены подняли. Да, у меня в банке тоже так, для активных операций. Для простого захода в банкинг и рассматривания своих денег я бы задолбалась. Да и вообще мобильники не менее для другого предназначены, чем почта. Возможно, скоро соцсети начнут просить номер мобильника и требовать контакты у телефона каким-нибудь хитрым подвывертом.
Не нужна, это и позволяет доверять гуглю и пейпалу. Но доверять так тонне соцсетей нет никакого желания. Тонна мне лично и не нужна, но многим же нужна зачем-то. И их приучают, что вводить пароль от почты фиг знает где — нормально, «все так делают». А потом удивляются, что они его совершенно не берегут.
Как спросит, так и нагуглит. Мне кажется, это как с туристом, который сел обедать на двое суток раньше.

[alexander shooshpanov (from livejournal.com)]

Если уж на то пошло, то веры нет никому. Сосед облучает космическими лучами, сотовые операторы воруют копейки со счёта, гугль низверг б-га и следит за нами вместо него!

Для меня лично мобильный телефон гораздо серьёзнее почты. У меня скоро 10 лет, как один и тот же номер и менять я его не собираюсь. В отличие от почтовых ящиков, которых у меня уже было... ого-го сколько. Соцсети уже просят номер мобильника - пока больше для посылки уведомлений, чем для расширенной авторизации, но уже есть подвижки и к ней. Да и требовать контакты у телефона они уже умеют... если это смартфон, и если ты разрешишь. Помнишь, что вампира надо пригласить, он сам не приходит?

Да вот им отвечают. Отчасти из-за того, чтобы набить карму на этом вопрососервисе, отчасти потому, что боятся вопроса "что такое "нагугли?"

[etoile_verte]

А у меня уже третий или четвёртый, я переезжала, один здешний номер протух, и меня об этом никто не предупредил, а ещё один пришлось забросить, потому что оператор оборзел сверх меры. И ещё один я так и не использовала по назначению, пакетные деньги в гпрс высидела и всё. Это скорее как Инет-провайдер, чего за него держаться-то? А почта у меня не 10 лет, одна, конечно, но лет шесть уже.

[alexander shooshpanov (from livejournal.com)]

Ну, у меня и номер красивый, и знают его многие хорошие люди, так что не хочу менять.

[etoile_verte]

Ну не оставаться же было из-за этого в Москве :)

[alexander shooshpanov (from livejournal.com)]

Интересно, роуминг когда-нибудь отменят? :-)

[etoile_verte]

Переход на стёб мне неинтересен.

[alexander shooshpanov (from livejournal.com)]

Это не стёб, это наболевшее. Как и плата за трафик, например.

[etoile_verte]

Тогда я не понимаю, о чём ты. Ты хочешь, чтобы в роуминге плата стала нормальной, или чтобы его отключили вовсе, и на территории другой страны оставаться без связи? Или ты про внутрироссийский роуминг?

[alexander shooshpanov (from livejournal.com)]

Я хочу, чтобы плата стала нормальной. Хотя бы внутри страны для начала. Хотя, как показывает практика, нормальную цену можно сделать и в международке. Например, когда я прошлым летом был в Армении, я с местной симки (Orange) мог звонить в Россию и зависать на трубке по полчаса. А здесь из Ростова в Москву позвонить - за 10 минут без штанов останешься.

[etoile_verte]

А, это неплохо бы. Просто для меня из Москвы — означает из страны, а по Украине плата везде одинаковая.
Да, физических причин там явно нет...

[etoile_verte]

Ну и да. Мы тут можем долго спорить о полной фигне, но я вовсе не хочу долго спорить о какой-то фигне. Мне вовсе не нужно, чтобы кто-то тут сидел и убеждал меня в полной фигне, а именно, что чёрное — это белое. Меня эти люди задолбали раньше, чем я пошла в школу двадцать лет назад. Мне больше этого не надо.

[alexander shooshpanov (from livejournal.com)]

Ты ведь не считаешь, что я специально пришёл поругаться в комментариях, да?

На любом сервисе у тебя всегда есть выбор - пользоваться или не пользоваться. Ну и не пользуйся, чего возмущаться-то?

[etoile_verte]

Считаю, что ты пришёл сюда повозражать мне. А это примерно то же самое.
Есть, несомненно. Ещё у меня есть выбор — писать об этом в ЖЖ или не писать. Я им пользуюсь. Не им же в саппорт возмущаюсь, хотя, наверное, стоит. Посмотрела через плечо в чужой аккаунт линкедина, даже в том же браузере: не просят никаких паролей, хоть и не знают. Что за дискриминация по непонятному признаку?..

[alexander shooshpanov (from livejournal.com)]

То есть, ты возражений не терпишь? Что в тебе изменилось? Когда-то же это было не так.

Перефразируем - я пришёл сказать тебе примерно то же самое, что тебе ответят в их саппорте, если ты туда напишешь.

[etoile_verte]

Возражений ради возражений — нет, не терплю. Во мне изменилось то, что я хочу стать живой и счастливой.
Это ещё предстоит проверить :) Кроме того, ты мне ничего не сказал о том, чем я отличаюсь от другого пользователя, который пароль тоже не вводил, а зарегистрировался полугодом раньше, а они, может, и скажут.

[alexander shooshpanov (from livejournal.com)]

Я тут немного призадумался, на самом деле. Если взвесить разговор, то я просто излагаю свою точку зрения на озвученную ситуацию. Более или менее совпадающую с общепринятой. Цели переубедить тебя - не преследую. Получается, что в твоей системе координат это чистое возражение ради возражения.

Кстати, я ел ядовитые грибы. Если их правильно приготовить - они ничего.

[etoile_verte]

У меня не получается поверить, что эта точка зрения хоть сколько-нибудь общепринята. Сколько я в сети, 10 лет уже, мне отовсюду твердят, мол, берегите свои пароли, придумывайте сложные, никому не говорите. С другой стороны отовсюду сообщения о фишинге, о том, что люди пароли светят где попало, теряют свою почту, через неё ещё много чего, все плачут. Это непоследовательное поведение — вот так запросто приучать всех подряд к такой дыре в безопасности.
Я могу допустить, конечно, что мир сошёл с ума настолько, он каждый день сходит с ума. Но, тем не менее, я не могу допустить, что сошёл с ума мир, а не я. Безопасность есть безопасность, а кто её до такой степени променял на удобство, тот глубоко неосмотрителен. Я не из них.
Цель ты, может, и не преследуешь, но у тебя плохо получается :)
Вряд ли правильно, скорее — как ядовитые грибы. Правильное приготовление грибов, всё же, на вкусное блюдо рассчитано, а не нейтрализацию яда, которого там по умолчанию нет.

[alexander shooshpanov (from livejournal.com)]

Да, линкедину с его уставным капиталом чертовски не хватает логина от твоего пейпала.

А вообще, это можно рассматривать и с другой стороны. Если они украдут у тебя 10$, представляешь, какой судебный процесс можно будет устроить, и сколько отсудить?

Что до грибов... Видно, никогда не ела ты жареных в масле сморчков. :-)

[etoile_verte]

Мне нет дела до его уставного капитала, а ему — до моих паролей. А он меня задалбывает своим окошком.
Хы, а откуда у меня деньги на адвоката?
Да я грибы вообще не ем. Они что, прям-таки ядовитые, даже не условно-съедобные?

[aldanare.livejournal.com]

У Фейсбука та же фигня при поиске контактов по почтовому ящику.
А какие есть альтернативы этому способу для предоставления сервису списка твоих почтовых контактов?

[etoile_verte]

Как минимум две:
1. Я отказалась от ввода пароля, мне предложили что-то вроде «посмотреть контакты», не вводя пароль. Я согласилась, всплыл запрос на выдачу контактов от гугля, далее контакты были выданы, всё нормально. Я не знаю, как именно это было сделано, я не обязана это знать. И ты не обязана, да :)
2. Экспортировать список контактов из своего почтового клиента, это и веб-интерфейс гугль-мейл умеет, и оффлайновые клиенты. Далее грузишь файлик, и всё работает. Там даже есть такая ссылка, пониже, я её нажала и всё чудесно получилось. Правда, всё равно каждый раз при логине немалая часть экрана отведена под приглашение найти мои контакты, введя почту и пароль. Видимо, он хочет запрашивать эти контакты регулярно.
А ещё можно ручками вводить чужие адреса электронной почты, разумеется, но перечисленные выше способы куда удобнее.