News of Great Evil

[vitus_wagner]

Что-то сегодня слэшдот так и полнится радостными новостями от гугля:

1. Google To Restrict Modern Ad Blocking Chrome Extensions To Enterprise Users. Тут правда, ограничить собираются только API, позволяющий блокировать запросы. Я давно говорю, что блокировать запросы - не самая лучшая схема блокирования рекламы - слишком легко детектится на том конце. Запросы надо выполнять, рендиринг производить, графические элементы докачивать. И ничего юзеру не показывать. Узкие каналы сейчас скорее исключение, чем правило, поэтому беречь надо не канал, а внимание пользователя. Если гугль заставит разработчиков блокеров так и поступить, то нанесет рекламной модели бизнеса куда больший урон, чем если бы ничего там не трогал.

2. https://tech.slashdot.org/story/19/05/29/2240231/gmails-confidential-mode-will-be-on-by-default-for-g-suite-users-starting-june-25th.
Тут тоже все не так страшно. Это не письма отправляемые ничего не подозревающими юзерами по умолчанию, будут в confidential mode, это на корпоративных доменах, обслуживаемых gmail-ом у юзеров по умолчанию появится кнопка "отправить в confidential mode" да еще и с возможностью для корпоративного админа отключить.

Напоминаю, что confidential mode это когда в письме посылается не информация, которую вы хотите сообщить адресату, а только ссылка на страничку на серверах гугля, содержащую эту информацию, причем так чтобы работать с ней было максимально неудобно - ни распечатать, ни скопировать, ни переслать. И можно выставить этой страничке Expiration Date, после которой она не будет доступна ни вам, ни адресату - только NSA или американскому суду. То есть это возможность послать письмо от содержания которого потом можно будет отнекиваться, при условии что вы уверены, что адресат не подаст в американский суд.

Comments

[kouzdra]

А интересно почему (2) не поддержать в обычном мейлере - ну в смысле настраиваешь данные своего сервера, транспортный протокол и он делает тоже самое - но уже на подконтрольном тебе сервере, с которого при правильно проведенном уничтожении информации выдачи в принципе быть не может

[vitus_wagner]

Вообще у нас Мосэнерго примерно так рассылает счета за электричество.
Какой ублюдок им эту схему дизайнил... При этом ссылки-то идут на вполне нормальные pdf-файлы безо всяких DRM. Но если вовремя не выкачаешь, хрен он у тебя в архиве останется.

[yurikhan]

Вот ссылки на контент, считающийся частью письма, нужно показывать так, чтобы было ясно видно, что это внешняя ссылка, (1) запрос контента по которой отслеживается; и (2) контент по которой может быть в любой момент изменён или уничтожен. Потому что метафора письма не предусматривает ни того, ни другого. Бумажное письмо, которое я получил, — моя собственность, я могу его перечитывать, копировать, цитировать, уничтожать; ожидать, что никто другой не может его уничтожить.

[vitus_wagner]

Полностью согласен. И вообще для кого url-схема cid: придумана?
То есть любой почтовый клиент, котолрый загружает при визуализации письма что-то по ссылкам со схемами, отличными от cid и data - это троян. Ньюсовый клиент имеет еще право на работу со схемой news (но почему-то ни один из мне известных этим правом не пользуется).

[mikerrr]

adnauseam же - прекрасная штука. Пользователю ничего не показывает, но по всем рекламным объявлениям "кликает", то есть следует по ссылке. Биг даты сходят с ума, гугл экстеншн в хроме выпилил из своего магазина, поставить можно только в ручную.
Не прятаться от рекламы, а создавать шум, в котором невозможно выделить полезный сигнал! Так победим!)

[vlad_suh]

ни распечатать, ни скопировать, ни переслать.
Интересно, как они запретят пользователю копировать или печатать страницу, которую они ему уже показали?

[vitus_wagner]

Пользователю придется либо делать скриншот, который, возможно, потом OCR-ить, либо гнусно хакать браузер, который google же и контролирует.

[yurikhan]

Ну, в принципе, в браузере есть developer tools, которые по долгу службы обязаны показывать действительное DOM-дерево и позволять пользователю делать с ним всякие штуки, несовместимые с попытками защитить контент от использования по назначению.

[vitus_wagner]

Ну у Мозиллы уже чтобы отключить проверку подписи под расширением, требуется не просто tools, а отдельный developer build.

[vlad_suh]

Не только же гугл браузеры производит. И что гнусного в чтении кода страницы / отключении JavaScript?

[fhunter]

Мне вот интересно про вторую часть - то есть по IMAP такое письмо будет недоступно, если оно мне придёт на gmail-аккаунт?

[vitus_wagner]

По IMAP придет по-моему, только письмо со ссылкой. А текст будет доступен только по https, да еще и (по желанию отправителя) с SMS-кодом.

[fhunter]

Понятно. А что тогда мешает эту самую ссылку сохранить? (Ну в смысле - всё что может быть показано в браузере, может быть скачано).

PS. Ну и я бы лично для себя настроил автоответ на такое с текстом - "вы не доверяете мне, я не доверяю вам. шлите нормально".

[vitus_wagner]

Сохранить ссылку мешает javascript, встроенный в страничку. И, видимо, приняты меры, чтобы без этого джаваскрипта страничка не показывалась.

Я вот тоже подумываю, сделать такой автоответчик на уровне своего postfix-а.

[fhunter]

По результатам краткого эксперимента:
1. попытка сохранить провалилась, сохраняется ~300кб javascript-а, без явно видимого текста.
2. попытка напечатать в файл привела к "печать вам запретили"
3. вырезание оттуда всех css и javascript в режиме веб-разработки у firefox приводит к тому, что всё вполне печатается, с потерей стилей. Текст из документа вполне копируется. Выяснять какой именно css нужно удалить а какой оставить, чтобы сохранились стили, но исчезло "печать запрещена" - было лень.

PS. А нет, нашёл кусок где после сохранения - открытый текст. Просто браузер это сходу не открывал. Но всё равно код подтверждения нужен.

[vlad_suh]

А дождаться полной загрузи страницы и потом выключить скрипты не помогло?

[yurikhan]

Зачем автоответ? «Если заголовок X-Gm-Locker присутствует, то скормить письмо спаморезке». А людям говорить — «нет, не получал… наверно в спам свалилось».

[vitus_wagner]

Зачем спаморезке, может сразу в /dev/null?

[livelight]

Следует ли считать такое письмо фишинговым (Т9 предложил: "фиговым", что тоже неплохо), направленным на выуживание мобильного номера? Или отправитель такого письма на негугловый домен сам указывает, к какому номеру привязать?

[fhunter]

Если не указан запрос кода в SMS - подтверждение присылается на почту, на тот адрес, куда идёт письмо.

[filin]

> Узкие каналы сейчас скорее исключение, чем правило, поэтому беречь надо не канал, а внимание пользователя

Это, к сожалению, неправда. В смысле, да, внимание пользователя надо беречь, но узкие или критично перегруженные каналы сейчас как раз правило. Да, в Москве ситуация довольно хорошая. Но за пределами Москвы...

Я даже как-то оставлял в плей-маркете коммент к Я-электричкам: ребята, может, сначала расписание грузить, и потом уже рекламу, а не наоборот? А то в 50 км от Москвы можно и не дождаться, пока расписание загрузится ПОСЛЕ рекламы.

Сходная ситуация в деревне у мамы (Рязанская область; там, правда, накладывается еще плохая видимость соты и немного помогает вынести телефон из дома) и практически с любым отельным вайфаем по всему миру. С отельными вайфаями в последние год-два в норме хуже всего, порой только телеграм и пробивается. Их, я так понимаю, забивают телефонные приложения соцсетей в попытках засосать и сразу прокрутить HD-видео из ленты...

Так что уменьшить размер загружаемого на страницу барахла тоже важно.

[livelight]

Так прокручивание HD-видео из ленты - это не про рекламу даже обычно. Просто инстаграмм, фейсбук и ещё какие-то столь же богомерзкие сайты и приложения сочли, что автоматически проигрываемые видео (почерпнутые, судя по всему, из книжек в фильмах о Гарри Поттере) - это хорошая идея.

И ещё концепция "грузить рекламу, но не показывать её" немного спотыкается об видео-рекламу, которая втыкается прямо в тайм-слот до/внутри целевого видео, как на том же ютубе. Глушитель этого дерьма (даже при очень толстом канале) должен ещё суметь убедить сайт, что реклама показывалась столько времени, сколько он хотел её показывать.

[vlad_suh]

AdBlock (не AdBlock Plus) как-то режет рекламу на ютубе - то есть, видео воспроизводится без всяких рекламных пауз и перерывов целиком. Ну и качать видео с ютуба, выковыряв прямую ссылку на файл, тоже вполне реально.

[vitus_wagner]

По-моему ты начал смешивать сайты и мобильные приложения. Мобильные приложения в общем и целом ведут себя много хуже сайтов.

[filin]

Не начал. Неважно, кто отжирает канал. Важно, что канал у МОЕГО браузера в результате узкий, и лишнего грузить по нему не надо.

Ну, в принципе, можно было бы грузить лишнее после того, как загрузится нужное, но я думаю, что API порядка загрузки гугл никогда и не предоставлял...

[vitus_wagner]

Ну на то на fdroid-е есть NetGuard, который позволяет выключить доступ к интернету у некоторых прлиложений, чтобы не отжирали канал.

[filin]

Спасибо, тоже может быть полезно. Но увы, несовместимо с моими устройствами. У меня сейчас 5.0 и 4.4, у Галенэль 4.2, а он с 5.1.

Но главное — он не поможет отключить фейсбук соседям по отелю.