LINUX.ORG.RU

Фонд EFF возмущен решением HP удаленно блокировать принтеры неплательщикам сервиса «Бесплатные чернила на всю жизнь»

 , ,


8

3

Правозащитная организация «Фонд Электронных Рубежей» (Electronic Frontier Foundation, EFF) выпустила обличительную статью о деятельности компании Hewlett-Packard. В ноябре 2020 года стало известно, что HP изменило линейку тарифных планов, и убрало бесплатную возможность печати 15 страниц в месяц по программе Instant Ink. Теперь, если пользователь не заплатит $0.99 в месяц, то его механически исправный и заправленный принтер будет отключен дистанционно.


Изначальные принципы программы Instant Ink выглядели привлекательно: пользователь платил абонентскую плату, компания HP следила за уровнем чернил в принтере и сама отправляла пользователю новые заправленные картриджи, когда чернила подходили к концу. Это было немного экономней простой покупки заправленных фирменных картриджей, и добавляло удобства пользователям. В программе Instant Ink так же был бесплатный тарифный план, позволяющий свободно печатать 15 страниц в месяц без абонентской платы. Картриджи в этом случае не высылались, но пользователь мог напечатать 15 страниц теми чернилами, которые у него есть.

Как выразилась EFF, компания HP только что побила собственный рекорд скупердяйства, превратив свой план «Бесплатные чернила на всю жизнь» в план «Платите нам 0,99 доллара каждый месяц до конца жизни, иначе ваш принтер перестанет работать». Эта выходка HP бросает вызов самой основе частной собственности. Благодаря программе HP Instant Ink, владельцы принтеров больше не владеют чернильными картриджами и чернилами в них. Вместо этого клиенты HP должны платить ежемесячную плату в зависимости от количества страниц, которые они планируют печатать из месяца в месяц. Если пользователь превысит расчетное количество страниц, HP выставит счет за каждую напечатанную страницу. Если пользователь решит не платить, то принтер откажется печатать, даже если в картридже есть чернила.

Принтеры HP известны тем, что содержат различные закладки, позволяющие удаленно управлять данными устройствами и блокировать их. Исследователь безопасности Анг Цуй (Ang Cui) еще в 2011 году продемонстрировал, что принтеры HP не только управляются извне напрямую по сети или через ПО компьютеров, но и могут управляться кодом, содержащимся в документах, отправляемых на печать. Компания HP не раз пользовалась этими возможностями: например в 2016 году HP распространило обновление безопасности с тайм-бомбой, которая заблокировала принтеры со сторонними картриджами спустя несколько месяцев, в разгар начала учебного года. На вопросы пользователей компания ответила, что никогда не обещала, что их принтеры будут работать с чернилами сторонних производителей.

Пользователям Linux можно только посоветовать с осторожностью пользоваться HPLIP (HP Linux Printing and Imaging System) и ограничить доступ этого сервиса печати ко внешней сети. Если модель принтера позволяет, лучше использовать подсистему печати CUPS. Данная подсистема не полностью защищает пользователя от произвола производителя устройства, так как в ней используются проприетарные бинарные блобы, но как минимум, при отключенных обновлениях блобов, можно обеспечить неизменность работы оборудования.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от Croco

Значит, пусть прекращают кропать эту туфту и переквалифицируются в управдомы.

Или послать форумного дурачка с его мнением. Тоже вариант, верно?

Однако ты не понял. Сетевым играм, в массовом интернетном варианте, уже скоро 20 лет стукнет. Есть те, которые эти 20 лет эволюционируют, есть те, которые с нуля пару лет назад написали. И нигде твоего варианта нет. Наверное, потому что невозможно. Более того, не нужно быть семи пядей во лбу, чтоб понять, что аимбот в шутере на стороне сервера в принципе не предотвращается. Не, ну можно какими-то средствами обучения поймать неестественное прицеливание и понять что это автоматика, но мало того что это ненадёжно, так ещё и вспоминая твою максиму, автор игрушки после этого обязан сам добавить в клиент аимбот, который бы серверную защиту обходил.

Если софт опенсорсный, то, в принципе, автор ничего не должен.

С чего это вдруг? Получается, Вася, который написал некий код и не хочет его никому показывать, но согласен разрешить запускать его на определённых условиях, вдруг становится всем должен и сам факт отсутствия у потенциального клиента альтернативы должен автоматически превращать Васю в раба хотелок посторонних людей, а сосед Петя, который просто открыл исходник, вдруг никому ничего не должен? Минуточку. Открытие кода вовсе не значит, что я могу доработать, я могу не уметь, или мне может быть тупо лень. И аргумент «найми кого-то» тоже не катит, ты в принципе можешь нанять кого-то чтоб тебе написали альтернативу любого софта, чей EULA тебе не приглянулся.

Так что выбирай. Либо за право запуска на моём компе их софта мне обязаны любые разработчики, в том числе и разрабы опенсорса, либо это вопрос договорённости, т.е. EULA.

Железяка, за которую человек платил деньги, должна – обязана – исполнять волю своего владельца, а не следить за тем, что он какой-то там договор то ли нарушил, то ли не нарушил.

Ты вообще иногда хотя бы думаешь перед тем как написать? Банковские карточки видел когда-нибудь? Ты реально хочешь, чтоб, например, терминал во фруктовом ларьке Ашота исполнял волю Ашота и не следил за тем, чтоб Ашот не нарушал договор с банком?

(к публике) народ, кажется, этот меня решил поучить философии. Меня. Философии.

Впервые вижу человека, который претендует на звание философа, но при этом не вырос из детского эгоцентризма.

ак ты от проблемы-то не увиливай, ты вот что скажи: вот, допустим, всё-таки некий Вася запилил бизнес, накропал железок, распродал их,

Ты забыл добавить, что он смеётся мне в лицо, называет лохом и рассказывает о том, что он делал с моей мамой.

Ещё раз отвечаю: апелляция к эмоции как бы изначально говорит о том, что ты бредишь. Ты предлагаешь мне возненавидеть Васю и ради возможности его покарать отказаться от защиты бизнеса. Так себе аргумент.

Ещё раз, если Васян реально готовился всех кинуть, то статью о мошенничестве никто не отменял. А если Васян, например, выпустил дизельные автомобили, а потом Обама запретил их использовать, то с какой стати Васян должен почку продавать, даже если клиенты больше не могут товаром пользоваться?

чтобы те, кто из-за твоего «рискованного шага» потерял деньги (а они ведь ниоткуда не появляются), так и остались без денег?

Да. Ты, мамкин философ, так и не понял что я тебе написал про ответственность, поэтому и до сих пор в шоке от идеи, что кто-то может без вины потерять деньги. Относись к этому как к стихии. Ты можешь потерять деньги на наводнении, на том, что кто-то из твоих контрагентов ошибся или просто принял решение. Вот Imagination technologies разорились в тот момент, когда Apple решили сами разрабатывать GPU для своих айфунов. Люди разорились из-за решения Тима Кука. Вырезаем у него почку?

Вот я и говорю, не должно быть никаких ООО. Вообще. Любые сделки – только от своего имени.

Я видимо не так понял. Я думал ты предлагаешь просто отказаться от ограниченной ответственности в виде отдельного бюджета юрлица. Ты же ещё дальше пошёл, ты вообще предлагаешь структуру ликвидировать. Да в общем без разницы, найти лошка, посадить его на должность и потом сделать виноватым вообще не проблема. Юрлицо для этого не нужно.

khrundel ★★ ()
Ответ на: комментарий от khrundel

И нигде твоего варианта нет. Наверное, потому что невозможно.

Как пример. В WoT вся игровая физика считается на сервере. Клиент только отображает, то что насчитал сервер.

аимбот в шутере

Контрится разбросом при перемещении прицела, и чем резче (неестественнее) перемещение прицела, тем сильнее разброс. Это конечно отпугнёт «резких» пацанов, но имбовать на реакции - это «неправильно» в «сетевых играх, в массовом интернетном варианте», где не у всех пинг меньше 0 мс. А то, ишь чего захотели, хедшоты из калаша с разворота в прыжке с кувырком - реалистично и правдоподобно.

И в «сетевых играх, в массовом интернетном варианте» никого не волнует правильность/правдоподобность. Там главное заработать. А читы - это дополнительная реклама-завлечение игроков-лохов, которые на все готовы ради чувства превосходства.

anonymous ()
Ответ на: комментарий от khrundel

Или послать форумного дурачка с его мнением

Мальчик, когда у тебя будет две учёные степени, как у меня, и когда ты напишешь и издашь хотя бы половину от объёма книг, которые написал и издал я, тогда ты будешь называть меня форумным дурачком. А пока ты отправляешься в игнор.

Croco ★★ ()
Ответ на: комментарий от Croco

Я тут вижу противоречие. Увы, могу объяснить только аналогией.

Есть условный Андрей. Он хочет большой рынок ЭВМ (от микроконтроллеров до ноутбуков, «умных» часов и телефонов), которые полностью принадлежат владельцу (физлицу, а не компании, владельцу софта с drm и прочим). Де юре это можно, а де факто - нет, все компании извращают право физлиц на частную собственность, так удобнее получать прибыль. Обывателям всё равно - «жри, что дают». Но Андрей хочет запретить для всех такие отношения, его не устраивает, что все пользователи поставлены в ситуацию

Если пользователь такой дурак, что будет от своего имени заключать сделки (EULA в комплекте к ЭВМ и ПО), по которым профит – дяде, а гемор – ему, то это его проблемы.

И всё ради того, чтобы Андрей и остальные (которые не осознают пользы от этого) мог спокойно потреблять ЭВМ по своим принципам «всё для пользователя».

И есть очень похожая ситуация с условный Артёмом (не я). Он хочет большой рынок труда, где можно очень гибко настраивать условия труда, нет огромной ответственности за ошибки, которых очень сложно избежать, пусть и сохраняя принцип «оплата прямо пропорциональна пользе для предприятия» (даже в случае полной отмены ООО многие предприятия смогут работать в целом также когда нет форс мажоров с принятием ответственности). И он хочет работать на низкоквалифицированной работе в небольшом городе, например продавцом еды в круглосуточный магазин, но строго на 8 часов в день. Он хотел бы гибкого графика (пусть и согласовывая). Но рынок труда предлагает только 12, иногда 10 часов в день, что его категорически не устраивает. Он готов работать 8 часов за оплату x*0.75 и даже x*0.7 от предлагаемой оплаты за 12 часов.

Ему нужно каждый день хотя бы 4 часа работать на себя (писать программу/игру для бизнеса в будущем, строить дом на участке для себя или на продажу, вариантов очень много). Работать только на выходных - категорически ему не подходит.

Де юре работать 8 часов в день можно, а де факто - в этих условиях нет, предприятия устраивает только работа всю смену, хотя тот же убер показал возможность совместить «работа предприятия 24/7» и «гибкий график». Остальным продавцам всё равно - готовы работать по 12 часов, выделять каждый день время для работы «на себя» им не хочется. И Артём хочет всем запретить работать больше 8 часов в день на предприятие, его не устраивает, что все работники в этом секторе рынка труда поставлены в ситуацию

Если работник такой дурак, что будет от своего имени заключать сделки, по которым профит – дяде, а гемор – ему, то это его проблемы.

Так что, имхо, запрет на EULA со скотским отношением к пользователю и запрет на трудовые договора со скотским отношением к работнику - это всё частные случаи запрета на ЛЮБЫЕ договора со скотским отношением к одному из участников договора. И повсюду есть обыватели, которые демпингуют из-за очень ограниченного выбора, помогая толкать в массы скотские договора.

arturianec100 ()
Ответ на: комментарий от anonymous

Как пример. В WoT вся игровая физика считается на сервере. Клиент только отображает, то что насчитал сервер.

Серьёзно, танки? Я в это не играл, но по идее в игре про трактора с привязанными пушками может и возможно, однако в более быстрых присутствует куча проблем с пингом, которые решить невозможно, можно только выбрать наименее плохой вариант.

Контрится разбросом при перемещении прицела, и чем резче (неестественнее) перемещение прицела, тем сильнее разброс. Это конечно отпугнёт «резких» пацанов,

Не контрится в мире нашего светоча с 2мя учёными степенями. Потому что он требует, чтоб в клиент игры был встроен эймбот, который позволит читерить ровно настолько, насколько дозволяет сервер. Т.е. как только разработчик игры устанавливает на сервере некий порог резкости после которого начинается разброс, этот же разработчик обязан обновить клиента игры, чтоб встроенный эймбот действовал ниже этого порога резкости и не попадался.

но имбовать на реакции - это «неправильно» в «сетевых играх, в массовом интернетном варианте», где не у всех пинг меньше 0 мс. А то, ишь чего захотели, хедшоты из калаша с разворота в прыжке с кувырком - реалистично и правдоподобно.

Там другой подход, современная сетевая игра не имеет единого состояния мира, каждый клиент со своей версией, в которой другие игроки действуют как предсказывает игра, периодически синхронизируясь. Возможны проблемы с пингом, однако когда пинг не слишком велик все спокойно хедшотят из калашей.

khrundel ★★ ()
Ответ на: комментарий от Croco

Мальчик, когда у тебя будет две учёные степени,

Дядя, ты в этой теме написал несколько утверждений, основанных исключительно на твоих хотелках. Которые оказались к тому же ещё и глупыми, так как я моментально находил противоречия в этих утверждениях со здравым смыслом. К тому же ты продемонстрировал полную неспособность взглянуть на обсуждаемые ситуации с другой точки зрения, за что получил диагноз «эгоцентризм». Википедия утверждает, что это состояние обычно к 12 годам проходит.

Встретив противоречия твоих идей ты широким махом начал отменять всё что твоим бредням противоречит. В том числе и опыт реальных разработчиков игр.

Так что то что ты - инфантильный дурачок, это, извини, факт.

И самое последнее, что что следует делать после того как ты заработал такую характеристику - это начать писать, что тебе уже 40+ лет и у тебя есть учёные степени. Тупых людей с учёными степенями в мире полно, тут ничего удивительного. А вот написать несколько дипломных работ, диссертаций, научных публикаций и так и не научиться критически оценивать собственные аргументы перед тем как их сообщить - вот это удивительно, тут действительно надо постараться.

khrundel ★★ ()
Ответ на: комментарий от khrundel

Потому что он требует, чтоб в клиент игры был встроен эймбот,

Ну и что даст аимбот, когда есть разброс, стабилизация и тп из реального мира?Будешь дергать прицел как тупой робот - никуда не попадешь. Спасет только wallhack, когда плавно ведешь невидимого противника. Но ты не увидишь противника, пока тебе не покажет сервер. И да будут проблемы с так называемой latency в централизованной системе.

все спокойно хедшотят из калашей.

Вот ради этого и играют в такие игры - «хедшоты с калашей», где половина читеров.

игра не имеет единого состояния мира

каждый клиент со своей версией

Шизофрения. Хорошо, если у всех одинаковая :)

anonymous ()
Ответ на: комментарий от anonymous

Ну и что даст аимбот, когда есть разброс, стабилизация и тп из реального мира?Будешь дергать прицел как тупой робот - никуда не попадешь

Так в этом и прикол. Вот ты - честный фраер, никогда в своей жизни читами не пользовался, но обладаешь реакцией чуть выше среднего, плюс ещё и потренировался чуток. Пытаешься хедшотить, а умный сервер оценил, что так круто стрелять сложно и вероятность того что это бот играет довольно высока, берёт и назначает тебе разброс, ты мажешь.

С другой стороны рядом эймбот, написанный умным дядькой под конкретный сервер, который аккуратно обойдёт все красные флажки и прицелится ровно с той скоростью, которую сервер не посчитает читерской.

В итоге реальный честный игрок будет попадаться на false positive, а читер будет играть с максимальной эффективностью.

Шизофрения. Хорошо, если у всех одинаковая :)

Ну как бы да, но простые решения не работают. Вообще, если по чеснаку, быстрые решения, принимаемые игроками, они вряд ли сильно умные. Так что, вероятно, довольно простая нейросеть к 30й минуте игры (необязательно в одной катке) освоит, как один конкретный игрок реагирует на стандартные раздражители, так что будет предсказывать реакцию игрока с довольно большой вероятностью. Так что пинги вообще перестанут быть проблемой, ты бегаешь, стреляешь, в тебя стреляют, и случаев, когда твой клиент предсказал одно действие противника, а случилось другое будет очень немного, поэтому и странностей синхронизации, типа когда ты нырнул за укрытие и через полсекунды умер, будет немного.

khrundel ★★ ()
Ответ на: комментарий от khrundel

Пытаешься хедшотить, а умный сервер оценил, что так круто стрелять сложно и вероятность того что это бот играет довольно высока, берёт и назначает тебе разброс, ты мажешь.

Реальность такова, что «круто» стрелять сложно, потому что есть нормальное распределение. И из калаша «от бедра» попасть в голову можно попасть только в упор. Игра должна поощрять игровой скилл, а не имбование на крутизне техники и ПО (читов). Кстати WoT тоже нечестная - донатер круче, чем остальные. Фри-то-плей - пей-то-вин. Так что никого не интересует честная игра, все зарабатывают на эксплуатации чувства превосходства.

Ну как бы да, но простые решения не работают.

Потому что это никому неинтересно. В игры играют, чтобы «нагибать». И игры создают, чтобы завлечь «нагибаторов». Поэтому с читами (включая читерскими лутбоксами) борются только, когда они начинают сказываться на кошельке.

anonymous ()
Ответ на: комментарий от drfaust

Только вот УЦ тухнут со временем

Проблема царизма в башке. Не обязательно хранить всё яйца в одних штанах.

госархив

Госархив с распечатками закрытых/открытых ключей, не?? В другую сторону у тебя мозги не работают вообще?

crutch_master ★★★★★ ()
Ответ на: комментарий от aureliano15

Если ты на 100% уверен, что твой закрытый ключ никогда и ни при каких обстоятельствах не уведут, то пользуйся, кто мешает? А я погодю. :-)

Даже пустой листок с твоей подписью можно увести. Как и карточку с пинкодом. И с этим как-то живут, представляешь? Вы почему-то думаете о каких-то своих проблемах, о продаже левыми лицами дачи, квартиры, почки. А я говорю про бумаготу внутри и между всяких контор.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от khrundel

инфантильный дурачок, это, извини, факт.

а это норма среди ученых.

норма и проблема.

причем это не мои выдумки, а это известная проблема.

к слову, ученые степени выданные в России…))))))))000

anonymous ()
Ответ на: комментарий от anonymous

Контрится разбросом при перемещении прицела, и чем резче (неестественнее) перемещение прицела, тем сильнее разброс.

Через день сделают аимбота, который будет целиться плавно.

crutch_master ★★★★★ ()
Ответ на: комментарий от khrundel

Я в это не играл, но по идее в игре про трактора с привязанными пушками может и возможно, однако в более быстрых присутствует куча проблем с пингом, которые решить невозможно,

Всё считается на сервере давным, давно, а с клиентом просто синхрится. Если ты скажешь серверу, что всем хедшотов навешал, в лучшем случае словишь десинх.

современная сетевая игра не имеет единого состояния мира

И поэтому такая - говно и кнопкодроч, место её в помойке, куда читоры всё это и скатывают.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от crutch_master

Всё считается на сервере давным, давно, а с клиентом просто синхрится. Если ты скажешь серверу, что всем хедшотов навешал, в лучшем случае словишь десинх.

Я слышал, что на сервере только проверка на случай абуза пинга. Т.е. если залагало, ты кому-то хедшот выдал, потом отлагало, то сервер может сказать, что нет, чувак, вот то попадание не засчитывается, в реале игрок уже давно свалил. А если наоборот, залагало, ты выстрелил в пустой коридор, а потом при синхронизации выяснится, что с точки зрения сервера в коридоре кто-то был, эти выстрелы уже никто не засчитает.

И поэтому такая - говно и кнопкодроч, место её в помойке, куда читоры всё это и скатывают.

Все игры - говно и кноподроч, а вся работа на компах - это электронный документооборот, нахрен не нужный. Нет бы матан считать

khrundel ★★ ()
Ответ на: комментарий от crutch_master

Не обязательно хранить всё яйца в одних штанах.

Т.е. подписывать один и тот же документ разными ЭЦП от разных УЦ.

Госархив с распечатками закрытых/открытых ключей, не?? В другую сторону у тебя мозги не работают вообще?

Прекрасно работают. А вот на твоём факультете разве не рассказывали почему ЭЦП, как и все остальные виды ключей имеют ограниченный срок годности и со временем протухают? Вообще не говорили о криптостойкости алгортмов?

Через двадцать лет твою ЭЦП подделать можно будет с калькулятора за 5 минут, а тут и приписки к трудовой, и поддельные завещания, якобы написанные тобой 25 лет назад и т.п.

А вот поддельный автограф на бумаге если обычный нотариус и не увидит, то в случае подозрений/спора с реальными наследниками каллиграфическая экспертиза всё расставит по своим местам.

drfaust ★★★★★ ()
Ответ на: комментарий от crutch_master

А я говорю про бумаготу внутри и между всяких контор.

Как шуcтро спрыгнул :D

Внутри конторы хватает 1С Документооборот(и т.п.) без всяких ЭЦП - просто разграничение прав юзверей.

Между конторами давным давно работает ЭДО с несколькими подписями (дир, глбух, гл инж. и т.п.) а если контора бедная, то одной от дира хватает. диадоки, сбисы на этом и живут уже десятки лет.

Крыса в конторе с правом подписи что с ЭЦП, что с бумагой спокойно может дачу с яхтой наворовать - ЭДО тут не спасёт.

Но это не те документы, о которых стоит серьёзно беспокоится. Речь идёт не о постоянных партнёрах, а о массовом внедрении ЭДО в народ - и вот тут вырастают описанные мной грабли.

drfaust ★★★★★ ()
Ответ на: комментарий от crutch_master

Через день сделают аимбота, который будет целиться плавно.

Даже если и сделают, то этот бот не даст никакого преимущества, так как будет целится также медленно, как человек.

anonymous ()
Ответ на: комментарий от crutch_master

Даже пустой листок с твоей подписью можно увести.

Можно, но для этого я должен подписать этот самый пустой листок и тогда буду сам себе ссзб. Закрытый же ключ можно увести без моего ведома и подписать им неограниченное число документов. Не говоря уже о возможности подписания задним числом, уже после отзыва ключа. А если требовать заверения таких документов нотариусом (единственный путь, позволяющий защититься от подлога задним числом), то весь смысл теряется, т. к. беготни становится ничуть не меньше.

Как и карточку с пинкодом.

Карточка с пинкодом из той же области, что и электронная подпись. Именно поэтому на таких карточках обычно не держат большие суммы.

Вы почему-то думаете о каких-то своих проблемах, о продаже левыми лицами дачи, квартиры, почки. А я говорю про бумаготу внутри и между всяких контор.

Конторы пусть работают, как им удобнее. Я в данном случае говорю о людях. Если у меня нет ЭЦП, то никто без моего ведома не распродаст моё имущество и не наделает за меня долгов. А если в каком-то банке из-за ошибки или мошенничества на мне будет висеть несуществующий долг, то я легко разберусь с этим в досудебном порядке, в крайнем случае архиупоротости менеджеров банка — легко выиграю суд. А банк пускай уже сам свои проблемы решает и дыры в системе латает.

aureliano15 ★★ ()

Вброшу свои пять копеек в дискуссию.

Есть такое понятие как кабальная сделка. Это сделка, при которой одна сторона формально добровольно, но по сути вынужденно принимает крайне невыгодные для себя условия. Поэтому все отсылки, что покупатели добровольно согласились с условиями продавца могут быть очень спорными. Тут уже приводили пример с трудовым законодательством, что там много ограничений (на продолжительность рабочего дня и прочие условия). Казалось бы зачем? Ведь трудовой договор - это договор работника и работодателя, и пусть они сами обговаривают все условия своего соглашения. Но поскольку работник в менее выгодной ситуации, поэтому и введены ограничения для работодателя.

Примечательно, что пользователя ставят перед фактом, без возможности выбора. По сути предъявляют свои условия, как требования: либо так, либо никак, без возможности компромисса, т.е. именно взаимного соглашения двух сторон.

Ладно принтеры, а автомобили по типу Теслы, которые также могут быть дистанционно заблокированы, например, из-за того что не на их фирменном сервисе колеса поменял. Видимо это все пойдет по нарастающей.

anonymous ()
Ответ на: комментарий от khrundel

Если говорить про танки, то там есть такое понятие «серверный прицел». И вот куда уж он смотрит туда и будет лететь, а что у тебя на экране отображается это уже вопрос второй.

либо так, либо никак, без возможности компромисса

Эх, помню в нулевых ноут (Dell или HP, не помню) не хотел включатся с сторонним wifi-адаптером и батареей. Просто на уровне биоса вшитый список разрешенных компонентов и все, хоть перепрошить можно было, и то на программаторе.

artzaleks ()
Ответ на: комментарий от aureliano15

Закрытый же ключ можно увести без моего ведома

И тогда ты тоже ссзб.

Не говоря уже о возможности подписания задним числом

Не должно быть такой возможности. Если даты можно ставить от балды, то это - говно, а не даты, все будут подписывать каким угодно числом и ценности у такой информации нет.

А если требовать заверения таких документов нотариусом

Это всё придумывание херни от принципиального неприятия идеи.

Я в данном случае говорю о людях.

Да кому на них не похер? Физик - это априори безответственная макака, которая всё обязательно просрёт. И ключи, и подпись, и жопу. Вообще ничему нельзя на 100% доверять от физика, да и взять с него нечего, кроме его долгов по кредитам и ипотеке.

crutch_master ★★★★★ ()
Ответ на: комментарий от drfaust

якобы написанные тобой 25 лет назад и т.п.

Повторю, что сама возможность подписывать что-то задним числом обесценивает это самое число. Почему вы на серьёзных щах считаете, что эта самая дата будет выставляться в подписываемом документе? Вы после этого мне что-то затираете за ограниченные срок годности ЭЦП и стойкости криптоалгоритмов?

Через двадцать лет твою ЭЦП подделать можно будет с калькулятора за 5 минут

И много это даст, если все ходы уже записаны и разосланы? Как только становится известно, что алгоритм взломан все новые документы подписанные им автоматом не имеют силы. Но старые проверить тебе всё еще никто не мешает.

о криптостойкости алгортмов

Даже если внезапно выяснилось, что алгоритм херовый ты не можешь вот так просто взять и заставить всех забыть про наличие оригинального документа с подписью и пропихнуть свою подделку. Установление подлинности достигается не столько криптостойкостью, а доступностью, возможностью взять и посмотреть, откуда оно появилось. Твои мысленные эксперименты выглядят как попытки в закрытой комнате выдать себя за соседа слева.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от drfaust

Крыса в конторе с правом подписи что с ЭЦП, что с бумагой спокойно может дачу с яхтой наворовать - ЭДО тут не спасёт.

Если документы доступны всем заинтересованным лицам, то еще как спасет. Много ты наворуешь на глазах у всех честнЫх людей и прочих прокуроров.

crutch_master ★★★★★ ()
Ответ на: комментарий от khrundel

Я слышал, что на сервере только проверка на случай абуза пинга

Ну это вообще говно, тогда.

Все игры - говно и кноподроч

Шахматы не кнопкодроч.

а вся работа на компах - это электронный документооборот

Он там по сути бумажный.

crutch_master ★★★★★ ()
Ответ на: комментарий от crutch_master

Не хватает.

Хватает. Прихожу на склад - а там уже накладная в 1Ске (без документооборота) у кладовщицы лежит. Если служебку писать - быстрее чем «в ворде» выходит.

Не работает.

Всё работает. Правда наша контора с ненавистным мне контуром пашет, но это проблемы айтишников. Мне АСУ-шнику до лампы - не имею прав. Всё через служебки. Но судя по IT - они шевелятся только в конце договора, и просьбы переключиться на ЭДО от других, сторонних, контор через моё начальство согласование проходят.

Вы после этого мне что-то затираете за ограниченные срок годности ЭЦП и стойкости криптоалгоритмов?

Не умеем читать что я написал? Я писал, что сегодня подписанный валидной ЭЦП документ не будет иметь юридической ценности через несколько лет, не говоря про 25, т.к. не хватит криптостойкости ЭЦП - именно поэтому обычные ЭЦП ограничиваются одним годом - после этого пшик.

Установление подлинности достигается не столько криптостойкостью, а доступностью, возможностью взять и посмотреть, откуда оно появилось.

Посмотреть будет нелигитимно - а следовательно что либо доказать невозможно, т.к. криптоподпись отозвана из-за своей слабой криптостойкости или же из-за отозванного сертификата УЦ, который так же имеет свой срок годности, примерно в 3-5 лет (зависит от самого сертификата и для чего он используется)

Много ты наворуешь на глазах у всех честнЫх людей и прочих прокуроров.

При тысячном обороте в месяц шанс, что начальство увидит бумажку или счёт в ЭДО ничтожен. А аудиторы и так всё увидят - только поздно уже будет.

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от drfaust

Хватает. Всё работает.

Рад за вашу контору.

Не умеем читать что я написал?

А ты умеешь? Какая разница каким говноалгоритмом подписан документ? Когда ты его подписывал, он был валиден, у всех есть этот документ и твой открытый ключ, они друг к другу подходят, в чём ты видишь проблемы, конкретно? В том, что кто угодно может делать документы с какими угодно ключами? Так алгоритм устарел, _новые_ документы не принимаются, а старый просунуть невозможно, потому что много кто помнит какие документы кто делал.

Посмотреть будет нелигитимно

Потому что ты так решил.

При тысячном обороте в месяц шанс, что начальство увидит бумажку или счёт в ЭДО ничтожен.

Потому что у тебя всё одно бумажки. Что на столе бумажки, что в компухтере - тоже бумажки. Надо тысячу бумажек руками перебрать, тогда может быть что-то увидишь. Делать выборки по бд? Неее, мы не умеем, мы будем перебирать бумажки.

crutch_master ★★★★★ ()

Фонд EFF возмущен решением HP удаленно блокировать принтеры неплательщикам сервиса «Бесплатные чернила на всю жизнь»

Не сплю из-за этого уже месяца два
anonymous ()
Ответ на: комментарий от crutch_master

а старый просунуть невозможно, потому что много кто помнит какие документы кто делал.

Через двадцать лет тебя никто и не вспомнит. ЭЦП с протухшим алгоритмом подделать под любой документ можно - пример устаревшего алгоритма DES, который на современном железе за полдня ломается. А прошло со времён DES`а не так уж и много А вот подделать автограф на бумажке гл. буха уже не существующей конторы практически нереально - экспертиза раз чихнуть докажет подделку.

Делать выборки по бд? Неее, мы не умеем, мы будем перебирать бумажки.

А какая разница? Перелистывать папки с тысячей бумажек или просматривать на экране выборку с той же тысячей доков? Что ты собираешься выискать в этой выборке? Среди тысяч легитимных счетов на миллионы найти пару-тройку счетов «в карман бухгалтера» нереально, как и запомнить а действительно ли нужны были конторе стройматериалы, закупленные год назад?

drfaust ★★★★★ ()
Ответ на: комментарий от drfaust

Через двадцать лет тебя никто и не вспомнит.

Данные за 30 лет, нас, почему-то обязывают хранить.

ЭЦП с протухшим алгоритмом подделать под любой документ можно

Я 2 раза уже отвечал на это.

А какая разница? Перелистывать папки с тысячей бумажек или просматривать на экране выборку с той же тысячей доков?

Да, действительно, никакой разницы, бумагаота на столе и такая же бумагота в компухторе. РСУБД это же так сложна.

Среди тысяч легитимных счетов на миллионы найти пару-тройку счетов «в карман бухгалтера» нереально, как и запомнить а действительно ли нужны были конторе стройматериалы, закупленные год назад?

Чтобы что-то запоминать как раз таки компухтеры и придумали. Только там развели бумаготу, пользуются как печатной машинкой и про это уже все забыли.

crutch_master ★★★★★ ()
Ответ на: комментарий от crutch_master

Я 2 раза уже отвечал на это. а старый просунуть невозможно, потому что много кто помнит какие документы кто делал.

Через двадцать лет тебя никто и не вспомнит.

Кто эти «много кто помнит»? Кто вспомнит что ты работал в двадцать лет назад в конторе, которая десять лет как уже не существует? Толку от архивов доков с ЭЦП если их можно подделать?

РСУБД это же так сложна.

Приведи пример использования СУБД для вскрытия многоходовочки по распилу бабла, где с валидными подписями хранятся доки от служебки по необходимости закупки до отпуска со склада/списания?

Это может сделать только человек - и насрать чем он будет пользоваться бумагой или СУБД с доками. И этому человеку глазками придётся перелопачивать те же тонны доков.

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от drfaust

Кто эти «много кто помнит»?

Контрагенты, налоговая, прокуратура, суды и прочие ответственные и заинтересованные лица. По всем инстанциям с коробкой дисков будешь ходить и заливать им исправленные бд со всеми подписями, старыми, новыми, переподписанными, etc. Конечно, устаревшие подписи же будут храниться на полочке строго в оригинальном виде, никто их дополнительно обновлять не будет.

Приведи пример использования СУБД для вскрытия многоходовочки по распилу бабла

Приведи схему распила бабла для начала.

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от crutch_master

Контрагенты, налоговая, прокуратура, суды и прочие ответственные и заинтересованные лица.

Никто из них не имеет документов, подтверждающих твой стаж. ПФРу на налоговые отчисления (которые уже давно проводятся по онлайн-банку) из ИФНС глубоко насрать (есть пример с недосчитанным стажем(2 года), потому что в 90е ПФР профукал сданную туда документацию, при этом выписки и справки из ИФНС по уплаченным соц-налогам и НДФЛ им пофиг, доказать не удалось) - им нужна трудовая и справка о том что ты работал в ОгОгО «Рога и Копыта», выданная при твоём увольнении, даже если этой ОгОгО уже не существует.

Приведи схему распила бабла для начала.

Уже приводил, но ты же не читаешь - ты писатель-онли.

  1. Ушлый бух с подписью и подельниками может запросто провести закупку к-либо хрени и никто нос не подточит, т.к. мало кому вздумается ехать в урюпинск и проверять реальность ремонта объекта. Объясни - как поможет твоя СУБД, ЭДО, ЭЦП и пр. хрень, если все заинтересованные лица в доле, кроме хозяина/дира и 90% работников, которые ни сном ни духом. Тут уже надо реально ехать в урюпинск, проверять количество реально затраченного материала и его качество на псевдоремонт. Но откомандируют туда только если кто-то стуканёт. Как ясно СУБД стукачом быть не сможет, т.к. по документации всё красиво.

  2. Самое простое - воровство прорабом цемента на стройке - просто увеличивает на 5-10% кол-во песка и щебня в растворе, а «сэкономленный» цемент себе на гараж/дачу. Да и работников туда же (з/п им капает, а на даче ещё халявная закуска с бухлом - будут молчатьб а если рот откроют - то именно прораб решает кто работает, кого набирать в строители, а кого увольнять).

Как тут твоя СУБД поможет? Может ЭЦП будет проводить контроль состава бетона при каждом замесе?

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 2)
Ответ на: комментарий от khrundel

Ты вообще иногда хотя бы думаешь перед тем как написать? Банковские карточки видел когда-нибудь? Ты реально хочешь, чтоб, например, терминал во фруктовом ларьке Ашота исполнял волю Ашота и не следил за тем, чтоб Ашот не нарушал договор с банком?

Хороший пример. Разумеется терминал должен волю Ашота исполнять и никак иначе. А безопасность работы для клиентов должна базироваться на правильном протоколе взаимодействия между картой, банком и терминалом, а не огораживанием от Ашота. Тем более, что гарантий Ашот не модифицировал чего или вообще весь терминал по спнцзаказу для него сделан, нет и быть не может.

anonymous ()
Ответ на: комментарий от arturianec100

И Артём хочет всем запретить работать больше 8 часов в день на предприятие, его не устраивает, что все работники в этом секторе рынка труда поставлены в ситуацию

Договора на работу со скотским отношением действительно запрещены. Запреты прописаны в трудовом кодексе, в том числе на время работы. То что его массово не соблюдают - другая история

anonymous ()
Ответ на: комментарий от anonymous

Тем более, что гарантий Ашот не модифицировал чего или вообще весь терминал по спнцзаказу для него сделан, нет и быть не может.

Сам процесс списания с карты (протокол) построен так, что «спецзаказ» не прокатит - он тупо не сможет подключиться к процессингу. Всё что там можно - пинкоды фальшклавой считать.

Для справки - в банк терминалах даже АКБ поменять не выйдет - датчики вскрытия стоят, которые тут же лочат терминал. Сталкивался(правда не с терминалами, а онлайн-кассами с возможностью работы с картами) - всё что можно сделать - сменить ФН, открыть крышку чек. ленты, протереть вал и ТПГ, протереть кнопки. АКБ под пломбой. Попытка вскрытия - получаешь кирпич, который придётся отправлять уже не в АСЦ, а на завод.

drfaust ★★★★★ ()
Ответ на: комментарий от drfaust

То что ты говоришь - это не спецзаказ, а модификация сделанного. Спецзаказ - это если весь девайс сразу был сделан особо. Только не надо про секреты, у нас чего только не втекает и в любом случае, если обычный человек не сможет даже аккумулятор поменять сам, то необычный с соответствующими знаниями и оборудованием по молекулам разберет и соберет

anonymous ()
Ответ на: комментарий от anonymous

правильном протоколе взаимодействия между картой, банком и терминалом, а не огораживанием от Ашота.

Ашот пробивает бананов на 93 рубля, терминал показывает 93 рубля, вводишь пинкод и получаешь снятие 96 рублей, например. Просто Ашоту племянник прошивку для терминала с 4pda скачал.

Как протоколом это решить? Не, ну можно на карточку собственный экранчик добавлять, и собственную клавиатуру, чтоб чип из карточки отдавал подписанную транзакцию со всеми данными, либо нужен сторонний канал для подтверждения. Мобила разрядилась - бананов не купить.

Тем более, что гарантий Ашот не модифицировал чего или вообще весь терминал по спнцзаказу для него сделан, нет и быть не может.

То-то мобильные карманники одолели, проехался в автобусе, а они все деньги по бесконтактке своими кастомными терминалами сняли.

Вполне себе решается, криптография всякая, с прошитыми ключами и с проверкой подписи фирмвари, в общем со всем тем, что Кроко не любит.

khrundel ★★ ()
Ответ на: комментарий от anonymous

Спецзаказ - это если весь девайс сразу был сделан особо.

В этом случае только утечка банковских криптоключей для связи с процессинговым центром, а значит и на терминал тратится не надо - можно опустошить счета людей не выходя из дома.

Ашот пробивает бананов на 93 рубля, терминал показывает 93 рубля, вводишь пинкод и получаешь снятие 96 рублей, например. Просто Ашоту племянник прошивку для терминала с 4pda скачал.

Так что и на 4pda лазить не надо - зачем тратить время племяннику Ашота, рискуя подставить его из-за 3% прибыли? когда можно напрямую в офшор бабло вывести от случайного клЫента банка.

З.Ы. Про лоченные прошивки/бутлодыри слыхали? Я их в обычных кассах встречал(без банкинга). Про бескорпусные МС залитые компаудом, которые фиг перепаяешь? Про K5004ВЕ1 и им подобные слыхали?

Всё не так просто, как кажется, иначе подобные терминалы или просто ключи можно было бы купить на Сторожовке, Митино и т.п., как и обычные «глушилки» GPRS.

drfaust ★★★★★ ()
Последнее исправление: drfaust (всего исправлений: 1)
Ответ на: комментарий от khrundel

Ашот пробивает бананов на 93 рубля, терминал показывает 93 рубля, вводишь пинкод и получаешь снятие 96 рублей, например. Просто Ашоту племянник прошивку для терминала с 4pda скачал.

Для этого даже не надо ничего модифицировать. Левые снятия и сейчас есть.

либо нужен сторонний канал для подтверждения. Мобила разрядилась - бананов не купить.

Интернет лёг - тоже не купить. Или только сервисы онлайн-касс и в перспективе маркировочные.

То-то мобильные карманники одолели, проехался в автобусе, а они все деньги по бесконтактке своими кастомными терминалами сняли.

Нет гарантии, что не снимут, просто видимо нет большой финансовой заинтересованности в сочетании с карами за такие взломы.

anonymous ()
Ответ на: комментарий от drfaust

В этом случае только утечка банковских криптоключей для связи с процессинговым центром, а значит и на терминал тратится не надо - можно опустошить счета людей не выходя из дома.

Они что сейчас в терминалах где-то зашиты? Это уже маразм, если так. В браузере же ничего такого, а онлайн-банком пользоваться можно.

З.Ы. Про лоченные прошивки/бутлодыри слыхали? Я их в обычных кассах встречал(без банкинга). Про бескорпусные МС залитые компаудом, которые фиг перепаяешь? Про K5004ВЕ1 и им подобные слыхали?

Да на каждый газ есть свой противогаз. Если вещь можно взять в полный физический доступ, то её взлом - это вопрос больше денег и мозгов. Дай студентам физфака поиграться, доступ к оборудованию и премии за взлом - от зачета до дипломной работы по взломы плюс деньги и крякнутся все эти защиты. Это если безопасность через незнание, это же базовый принцип - правило киркгофа

anonymous ()
Ответ на: комментарий от drfaust

Про бескорпусные МС залитые компаудом, которые фиг перепаяешь?

Какие кампаунды? Речь изначально шла о принципе по которому железо должно принадлежать пользователю, а софт сам предлагать всё что возможно сделать в принципе, а если какой функции не хватает, то пользователь имеет право её потребовать. В качестве примера была игра, клиент которой должен содержать в себе читы, потому что работает на компьютере пользователя и желания пользователя закон.

Тут не до кампаунда, чувак купивший терминал может позвонить в техподдержку банка и попросить, чтоб ему добавили возможность отобразить одну сумму, а снять другую, и банк должен ему такую возможность предоставить. И не собачье дело банка интересоваться зачем такая функция нужна.

khrundel ★★ ()
Ответ на: комментарий от khrundel

возможность отобразить одну сумму, а снять другую

Кассовый чек, выписанный покупателю, это такой же юридически значимый документ, как кассовый журнал (или как там правильно). Интересно кого поимеют при такой махинации?

anonymous ()
Ответ на: комментарий от anonymous

Кассовый чек, выписанный покупателю, это такой же юридически значимый документ,

Всё это вопросы честности владельца. Идея товарища была в том, что софт должен всегда делать то, что хочет владелец железа. Это такой должен быть непреложный принцип. Никаких закладок от производителя софта и железа там быть не должно, даже если условия оговорены в 3х еулах и покупатель расписался. Его принудили, поэтому нещитово. Так что в чеке терминал тоже должен печатать то что скажет владелец терминала, хоть неверную сумму, хоть голых баб.

khrundel ★★ ()
Ответ на: комментарий от khrundel

Всё это вопросы честности владельца.

Ну так по уголовке пойдут все (со)участники: и владелец, и сервис-центр банка. Нужно ли это фирме(банку), имеющий сертификат на такой сервис?

anonymous ()
Ответ на: комментарий от khrundel

Ты видимо реально не понимаешь о чем пишешь. Кассовый аппарат НЕ ПРИНАДЛЕЖИТ продавцу. Это собственность налоговой. Продавцу Ашоту кассовый аппарат не нужен. Ему нужно продать товар и получить за это свою выгоду. Без кассы Ашоту даже лучше. Кассовый аппарат НАВЯЗАН продавцу налоговой службой. Принтер, а также домашний компьютер - это собственность человека. И он как собственник вправе ожидать от принадлежащей ему вещи, как минимум, чтобы эта вещь не выполняла дистанционно хотелки третьих лиц.

anonymous ()