Результаты поиска потегуhabrahabr

Дополнительные фильтры

Теги:

habrahabrновый тег

Автор поста

Рейтинг поста:

-∞050100150200300400+

Найдено: 16

Сортировка:

рейтингдата

Kasyan666

ИгрывидеоигрыРазработчики игрBethesda SoftworksStarfieldhabr

Пользователи сообщили, что в "Starfield" нельзя исследовать всю планету, а только её часть в одном определённом регионе

Пользователи. кому посчастливилось первыми получить версии долгожданного тайтла от "Bethesda", сообщили, что в "Starfield" нельзя исследовать всю планету, а только её часть в одном определённом регионе, а до другого нужно перелетать на корабле или туда нет доступа.

,Игры,видеоигры,Разработчики игр,Bethesda Softworks,Starfield,habr

Ранее создатели игры утверждали, что обитаемые планеты будут доступны для исследований без ограничений.

Jeff Threat (Synthwave Lord) @JeffThreat • 22 aBr.
Ummm @bethesda @DCDeacon @StarfieldGame when I land on a planet-will I be able to explore that whole entire planet? rS *C|
0 4 ХЛ 8 О 157 il,| 29,4 тыс.
t
©Pete Hines
@DCDeacon
Yup, if you want.
Walk on, brave explorer.
Перевести пост

По факту оказалось, чтобы достигнуть границ доступной зоны на планете нужно около 40 минут пешком. Далее у игрока есть три варианта действий: либо переместиться к кораблю, либо исследовать доступный регион в зоне границ карты, либо выбрать другой регион на карте. Вероятно, пройти по планете по кругу в "Starfield" игроку не получится из-за того, что в первоначальной версии нет транспортных средств для быстрого передвижения по поверхности.

Пользователи считают, что доступные для исследований планеты в "Starfield" состоят из набора не связанных друг с другом регионов. Им непонятно, почему при достижении границы региона нельзя переместиться в начало другой области, а нужно возвращаться на корабль или оставаться в текущей зоне без возможности её покидания пешком.

Релиз "Starfield" состоится 6 сентября 2023 года на PC и Xbox Series X/S. Игра будет доступна в "Xbox Game Pass". "Starfield" станет первой крупной ролевой игрой" Bethesda Game Studios" со времён "Fallout 4", вышедшей в 2015 году.

Источник: "habr", @denis-19.

Отличный комментарий!

Можно ли исследовать всю планету?
-Да.
Почему я не могу исследовать всю планету?
-Ты ненормалньый чтоли? нафига тебе вся планета? Побегал, лети к 999 другим таким же.

NoOne<3Me

26.08.2023, 18:22

ссылка

+116,2

Kasyan666

КанадаСеверная АмериказаконодательствосудкурьёзкурьезыhabrЭмодзисмайлик

Канадский судья признал эмоджи с большим пальцем вверх контрактным соглашением

Канадский судья постановил, что смайлик "большой палец вверх" не только может использоваться в качестве контрактного соглашения, но и равноценен настоящей подписи.

,страны,Канада,Canada,Северная Америка,законодательство,суд,курьёз,курьезы,habr,Эмодзи,смайлик

Такое решение было принято в Саскачеване, провинции в центральной части Канады. В деле участвовал покупатель зерна, рассылавший массовые текстовые сообщения, чтобы привлечь клиентов, и фермер, согласившийся продать 86 тонн льна примерно по $13 долларов за бушель (38,7 кг). Покупатель прислал фермеру текстовое соглашение с контрактом и попросил его подтвердить получение. В качестве подтверждения тот ответил смайликом с поднятым большим пальцем, но отказался от сделки после того, как цены на лён выросли. Покупатель подал в суд на фермера, утверждая, что большой палец вверх представляет собой нечто большее, чем подтверждение получения сообщения. Судья согласился, обязав фермера выплатить почти $62 тысячи.

Фермер Крис Ахтер заявил в письме под присягой, что у него «не было времени просмотреть» контракт, и поднятый вверх большой палец был просто подтверждением получения самого сообщения. Однако судья Тимоти Кин опирался на определение смайлика от "Dictionary.com", в котором отмечается, что изображение используется для «выражения согласия, одобрения или поощрения в цифровых коммуникациях, особенно в западных культурах». Он отметил, что суды должны адаптироваться к «новой реальности» в сфере того, как общаются люди.

«Этот суд с готовностью признает, что смайлик является нетрадиционным средством подписать документ, но, тем не менее, в данных обстоятельствах это был допустимый способ подтвердить сразу две цели», — написал судья Кин.

Защита утверждала, что наделение эмодзи такой силой в правовом поле откроет «шлюзы» для расширенных интерпретаций других смайликов.

Источник: "habr", @maybe_elf.

Отличный комментарий!

Topec

09.07.2023, 13:57

ссылка

+64,5

Kasyan666

Игрывидеоигрыигры на ПКтехнологииAIИскусственный Интеллектнейронные сетиправоторговцыValveРазработчики игр...

"Valve" стала проверять новые игры в "Steam" на наличие сгенерированного ИИ контента без авторских прав на обучающие базы

"Valve" стала проверять новые игры в "Steam" на наличие сгенерированного ИИ контента. Компания начала блокировать тайтлы без получения от разработчиков подтверждения прав на библиотеки, на которых обучался используемый ИИ для создания элементов игр.

After reviewing, we have identified intellectual property in [Game Name Here] which appears to belongs to one or more third parties. In particular, [Game Name Here] contains art assets generated by artificial intelligence that appears to be relying on copyrighted material owned by third parties. As

Разработчик под ником "potterharry97", у которого есть нескольких игр на "Steam", рассказал, что "Valve" отказалась выпустить в "Steam" его новую игру из-за наличия там ассетов, сгенерированных ИИ.

"Valve" потребовала от "potterharry97" доказать, что он владеет необходимыми правами на весь контент, на котором обучался используемый для игры ИИ. Разработчик не имел таких прав. Он вручную доработал ассеты, чтобы они не были похожи на ранее созданные с помощью ИИ. После этого процесса "potterharry97" ещё раз подал игру на проверку, но модераторы спустя неделю проверки ответили ему отказом. Ранее модераторы игровой площадки проверяли его игры за пару дней.

Профильные эксперты пояснили в комментариях к публикации разработчика, что в письме с отказом "Valve" подчеркнула, что не будет выпускать проекты с материалами от ИИ, которые явно основываются на контенте, защищённом авторским правом. По их мнению, компания, вероятно, опасается исков от правообладателей библиотек и ей проще сразу отказывать в выпуске игры, чем потом разбираться с исками из-за использования такого контента от ИИ.

В январе 2023 года банк изображений "Getty Images" подал в суд на "Stability AI", создателя популярного AI-инструмента "Stable Diffusion" из-за нарушения авторских прав. В иске указано, что "Stability A"I незаконно скопировала и обработала миллионы изображений, защищённых авторским правом, для обучения своего ПО, в коммерческих интересах "Stability AI" и в ущерб самим создателям контента. "Getty Images" утверждает, что "Stability AI" использовала более 12 млн. изображений из фотобанка "Getty" без разрешения и финансовой компенсации, построив на этом конкурентоспособный бизнес.

Источник: "habr", @denis-19.

Отличный комментарий!

нихуя не понял, как сгенеренное ИИ может быть под авторским правом кого либо?

Iragami

29.06.2023, 21:28

ссылка

-0,4

Так а обучается-то она на чём? Не на духе же святом.

BattleJuice

29.06.2023, 21:40

ссылка

+44,9

Kasyan666

alphabetGoogleYouTubeрекламанужно больше золотаhabrдно пробито

"YouTube" тестирует ограничение доступа к видеоплееру за три просмотра видео с активными блокировщиками рекламы

Видеохостинг "YouTube" начал в тестовом режиме рассылать пользователям предупреждение о том, что на их устройствах будет заблокирован видеоплеер после просмотра трёх роликов без подписки с включёнными блокировщиками рекламы.

► YouTube
x
Video player will be blocked after 3 videos
• It looks like you may be using an ad blocker. Video playback will be blocked unless YouTube is allowlisted or the ad blocker is disabled.
• Ads allow YouTube to stay free for billions of users worldwide.
• You can go ad-free with

Об этом сообщил пользователь "Reddit" под ником "Reddit_n_Me". он опубликовал скриншот всплывающего окна, в котором видеохостинг заявляет, что подозревает пользователя в использовании блокировщика рекламы. "YouTube" угрожает, что ограничит доступ к видеоплееру, если блокировщик рекламы не будет отключён, поскольку «реклама позволяет "YouTube" оставаться бесплатным для миллиардов пользователей по всему миру».

Такое всплывающее окно пользователи видеохостинга уже получали ранее: около месяца назад "YouTube" начал показывать его при использовании площадки с блокировщиками рекламы. Теперь же к тексту о том, что реклама позволяет "YouTube" оставаться на плаву, и предложению присоединиться к "YouTube Premium" прибавилась угроза блокировки видеоплеера.

Судя по всему, пока что "YouTube" тестирует такие меры с ограниченным числом зрителей – в ветке "Reddit" пользователи пишут, что пока не сталкивались с подобными всплывающими окнами.

В мае "YouTube" сообщила, что добавит одну 30-секундную рекламу вместо двух 15-секундных без возможности пропуска на телевизорах и умных устройствах.

Источник: "habr", @avouner.

Отличный комментарий!

Ютуб сам отключил мне рекламу.

,интернет,alphabet,Google,YouTube,реклама,рекламные фото приколы,нужно больше золота,habr,дно пробито

RobotWaifuForU

29.06.2023, 17:19

ссылка

+116,8

Kasyan666

амазонумный домрасизмcustomer experienceблокировкипластмассовый мир победилhabrMediumЦифровой ГУЛАГ

Из-за "расизма" умного дверного звонка "Amazon" заблокировала умный дом своего пользователя

Один из пользователей "Amazon" Брэндон Джексон рассказал в своём блоге на "Medium", как несколько жизненно важных функций его умного дома были заблокированы, после того как курьер Amazon пожаловался на "расизм" Джексона. Компания почти неделю расследовала инцидент и на это время закрыла своему клиенту с 10-летним стажем доступ к домашним устройствам… из-за неверно расслышанной фразы дверного звонка "Eufy".

,амазон,умный дом,расизм,customer experience,блокировки,пластмассовый мир победил,habr,Medium,Цифровой ГУЛАГ

Умное устройство произнесло формальную фразу «Могу ли я вам помочь?», так как ни самого Джексона, ни его домочадцев не было на месте. Но курьер, который в этот момент использовал наушники, услышал «расистское замечание» и пожаловался работодателю. На следующий день учётная запись Джексона в Amazon и домашние устройства оказались заблокированы:

«Я обнаружил, что мой "Echo Show" вышел из строя, и я не могу взаимодействовать со своими умными домашними устройствами. Моё первоначальное предположение заключалось в том, что кто-то мог неоднократно пытаться получить доступ к моей учётной записи, что привело к блокировке».

Джексон перепроверил все свои учётные записи в других сервисах и соцсетях, подозревая, что его данные могли быть скомпрометированы, но они были в порядке. Тогда он связался с "Amazon" и узнал об обвинении в расизме, причём тон представителя компании показался ему «обвинительным».

Брэндон Джексон пытался помочь следствию "Amazon", которое продолжалось около недели, и предоставлял видеодоказательства своей невиновности (камера слежения записала инцидент с "расистским высказыванием" звонка). В конце концов "Amazon" разблокировала учётку и устройства Джексона, но не извинилась и даже не отправила ему уведомление об окончании расследования.

Джексон поделился своей историей с популярным "YouTube"-блогером Луи Россманном, и тот привлёк к ней внимание широкой аудитории. А раздосадованный Джексон призвал "Amazon" реформировать и переосмыслить свой подход к решению подобных деликатных ситуаций в будущем: «После почти десяти лет лояльности я получил жёсткое напоминание, что недоразумение может привести к таким радикальным мерам». Пострадавший пользователь компании теперь считает, что этот инцидент «заставил поставить под сомнение мои отношения с "Amazon"».

Источник: "habr", @Markaty.

Отличный комментарий!

Из за расизма оборудования амазона и доставщика пострадал пользователь, может подать в суд на клевету и расизм амазона в его сторону, и моральный ущерб еще обязательно.

gamambler

16.06.2023, 12:49

ссылка

+63,9

Kasyan666

РоссиясанкцииИгрыигры на ПКфоллачEpicEpic Games StoreмошенникиУличная магияhabr...

"Epic Games Store" забирает "Fallout" у пользователей из РФ после бесплатной раздачи

Пользователи в РФ начали получать письма о возврате средств за первую часть "Fallout", которая участвовала в раздаче в прошлом году. Такие же письма приходят и игрокам в Беларуси.

EPIC
GAMES
Спасибо!
Здравствуйте,
Мы рады что смогли помочь вам вернуть средства за вашу покупку На счет вашей учетной записи будет возвращена указанная ниже сумма
Идентификатор счета:
(Советуем сохранить копию данного чеха для отчетносп ИНФОРМАЦИЯ О ВАШЕМ ЗАКАЗЕ:
Идентификатор заказа:

В декабре прошлого года "Epic Games Store" раздавал подарки в рамках предновогодней недели. 22 декабря в течение суток у пользователей была возможность забрать классические части "Fallout" от "Interplay Entertainment", в том числе "Fallout" 1997 года, "Fallout 2" 1998 года и тактический спин-офф "Fallout Tactics: Brotherhood of Steel" 2001 года.

Недавно у геймеров из РФ и Беларуси начали забирать обратно первую игру этой серии, сообщает "VGTimes". Некоторые игроки получают соответствующее письмо, в котором говорится о возврате средств за "Fallout: A Post Nuclear Role Playing Game" в размере 0,00 руб.

В январе в "Epic Games Store" для российских и белорусских игроков пропал космический симулятор "Kerbal Space Program", который бесплатно раздавали в начале года. Игроки пожаловались, что игра исчезла из библиотеки, а им на почту пришло письмо с возвратом средств.

Ранее "Epic Games Store" по ошибке раздала более дорогое издание "Death Stranding" от Хидео Кодзимы и его студии "Kojima Productions", но позже заменила её обычной версией. Компания объяснила раздачу ошибкой «временного сотрудника».

Источник: "Хабр", @AnnieBronson.

Отличный комментарий!

А ведь уже не раз всплывали новости о том, что цифровые копии игр стараются сдвинуть от "Купленное имущество которым управляет владелец" к "Взятая в аренду собственность компании которой управляет компания". Вот эта хуйня скорее всего полностью легальна благодаря такому подходу.

Hello

03.04.2023, 20:32

ссылка

+38,6

Да-да, "все, что в облаке - все ваше", "купленный цифровой продукт у вас никто не отберет", "лаунчеры - очень удобно" и остальной бред.

You’ll own nothing. And you’ll be happ,Россия,санкции,Игры,игры на ПК,фоллач,Epic,Epic Games Store,мошенники,Уличная магия,habr,политика,политические новости, шутки и мемы

Ko3bMa

03.04.2023, 20:36

ссылка

+40,9

y4uxa

хабрintelitпесочницаГордон МурRIP

Ушёл из жизни сооснователь Intel Гордон Мур

24 марта 2023 года ушёл из жизни сооснователь Fairchild Semiconductor и Intel Гордон Мур. Ему было 94 года. Intel сообщила, что Мур мирно умер в окружении семьи в своем доме на Гавайях.

Мур родился в Сан-Франциско 3 января 1929 года. Он получил образование в Университете в Сан-Хосе, Калифорнийском университете в Беркли и Калифорнийском технологическом институте. В 1954 году в Калтехе Мур защитил диссертацию и получил степень доктора по химии.

В 1957 году Мур стал одним из основателей компании Fairchild Semiconductor. Эта компания впервые в мире создала интегральную схему, пригодную для массового производства.

Гордон Мур и Роберт Нойс в 1968 году основали компанию NM Electronics, которая позже была переименована в Intel. Мур проработал в ней 38 лет, в том числе в должностях исполнительного президента, CEO, председателя совета директоров. Мур вышел на пенсию в 2006 году. Forbes в марте 2023 года оценивала его состояние в $7,2 млрд.

Вместе с супругой сооснователь Intel создал Фонд Гордона и Бетти Мур в 2000 году, пожертвовав за это время более $5,1 млрд на благотворительность.

«Количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца», — это закон Мура от 1965 года.

Kasyan666

технологиицензураблокировкиблокировка сайтовVPNhabrhowtohow toдлиннопостдлиннотекст...

"VPN Gate", или – неубиваемая Великим Китайским Фаерволом распределённая сеть VPN

Сегодня речь пойдёт о технологии распределённой сети "VPN Gate", своего рода недруга Поднебесной в области интернет цензуры. На "Хабре" много статей на тему "SoftEther" VPN (нижележащий слой "VPN Gate"), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли.

"VPN Gate" – академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний "Глобальных распределенных открытых ретрансляторов VPN".

,технологии,интернет,цензура,блокировки,блокировка сайтов,VPN,habr,howto,how to,длиннопост,длиннотекст

Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может поделиться своей пропускной способностью с другими. Я знаю, что вы подумали, очередной неудачный "dVPN" пиар на основе блокчейна.

Однако это не так, данный проект уже насчитывает 8634 узлов и 534 петабайта трафика за всё время существования. К примеру даже у TOR-а узлов – 7 тысяч.

Основными пользователями являются китайцы, в связи с успешной архитектурой борьбы против активных пробов Великого Китайского Фаервола.

Установка GUI клиента, сервера со встроенным плагином осуществляется через собственный сайт "VPN Gate". Каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри. Также в него записываются рандомные адреса VPN серверов, если изначальные сервера VPN Gate для получения списков будут заблокированы.

Но как по мне самым большим успехом команды проекта было прикручивание "NAT Hole Punching", где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью. Никакой регистрации.

Борьба с Фаерволом.

Спросите вы, почему Китайский Фаервол (GFW – "Great Firewall of China") ещё его не заблокировал, здесь же начинается хронология борьбы между силами добра и зла/

Сразу после начала проекта, первые 4 дня наплыв большинства пользователей был именно из Китая, 5к пользователей разом нахлынули на сервис.

На пятый день GFW заблокировал основной сайт "VPN Gate". Пользователи начали делиться установщиками на порталах таких, как "Weibo".

Тогда GFW начал блокировать сервера VPN, получая их с главной страницы проекта, только они сделали ошибку, они не проверяли IP адреса на легитимность, и тогда команда проекта бросает на стол.

Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW, они ломают внутренние сайты Китая.

GFW видит свою ошибку и прежде чем блокировать всё подряд, начинает проверять каждый IP адрес путём мощной технологии DPI, которая называется active probing. Это когда на каждый запрошенный пользователем удалённый IP адрес сначала отправляется рандомный GFW бот (с рандомного IP) с тестовым запросом, и если в полученном ответе содержатся запрещённые фильтром слова, удалённый IP адрес блокируется.

Но так как количество серверов "VPN Gate" большое, то у сети преимущество, что если клиенты будут отправлять на проверку логи каждых кратковременных запросов от узлов, которые пытались к ним подключиться?

VPN Gate List Server
Server list
IPi
IP2
IP3
IPn : The IP address of VPN Gate Server £n.
: A verified IP address.
It can be safely put into the blocking list of the firewall.
* : A non-verified IP address. Since it can be an innocent IP address, the authority cannot put it into the bloc

Ребята автоматически начали обрабатывать такие логи у себя на сервере. Так как у провайдеров поднебесной большой пул адресов, одиночным серверам не всегда удаётся узнать айпишник бота который их просканил и выдал на казнь GFW. Вдобавок даже с обфускацией VPN протокола к ним подключаются много людей, что эвристически обнаруживается.

Но если учитывать статистику со всех узлов, к которым одновременно в коротком интервале подключаются и отключаются айпишники, то их можно отсеять и заблокировать. Таким образом сеть отражает попытки GFW ботов их найти. К тому же она выдаёт лишь ограниченный список серверов пользователям, даже если одновременно с 16 миллионов (по некоторым данным, есть даже иностранные пулы) IP адресов GFW попытаются просканировать сеть, у них это не получится. Итог — чем больше участников, тем сильнее оборона.

Динамичные IP адреса участников за NAT также сыграли положительную роль в доступности сети.

VPN сервера оперируют на четырёх протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.

Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера, настраивается за 5-6 кликов. Также можно указать свое сообщение пользователям при подключении, оставить адрес почты для связи – есть некоторая подстраховка от silovikov, клиент хранит пакеты подключений две недели (можете обрадовать Яровую и поставить на 30 дней, шучу), скорость также можно настроить, есть настраиваемый встроенный фаервол с политиками безопасности, т.е. ваши локальные адреса в безопасности, установка без прав администратора.

Тем, кто хочет подключиться можно скачать пакет клиента. Есть возможность выбирать страны с лучшим пингом и пропускной способностью.

Д SoftEther VPN Client Manager
Connect Edit View Virtual Adapter Smart Card Tools Help
VPN Connection Setting Name
zj Add VPN Connection
¿VPN Gate Public VPN Relay Servers
Virtual Network Adapter Name Я* VPN Client Adapter-VPN
Status VPN Server Hostname
Virtual Hub Virtual Network A...
VPN

Источник: "Хабр", @penetration.

Отличный комментарий!

Shagiev

07.01.2023, 15:22

ссылка

-50,9

А еще на джое частенько встречаются полные копии изображений с onlyfans. И чо?

SeKaNoBaka

07.01.2023, 15:26

ссылка

+26,5

Предлагаю реакторчанам переснимать кадры с онлифанса заменяя собой камвхор, тогда такие не доебутся!

SoBoJId

07.01.2023, 15:27

ссылка

+43,1

Kasyan666

наука и техникатехнологиитехнологии будущегонейронные сетиChatGPThabrAndroidразработкапрограммированиеgeek

ИИ ChatGTP самостоятельно написал полностью компилируемое приложение под ОС Android

Пользователь платформы Habr @maxkachinkin использовал ИИ ChatGPT для написания приложения под ОС Android. Приложение было написано "с нуля", оно полностью компилируемо. Так же стоит добавить, что ИИ проинструктировал пользователя как использовать IDE для компиляции и дал пример исходного кода на другом языке программирования.

,наука и техника,технологии,технологии будущего,нейронные сети,ChatGPT,habr,Android,разработка,программирование,geek,Прикольные гаджеты. Научный, инженерный и айтишный юмор

Выводы разработчика.

Я считаю, что можно уверенно говорить, что ChatGPT написал Андроид приложение! Оно компилируется, запускается и даже работает. Если вы ждали чуда, написание кода без ошибок, разделение на слои, архитектуру и прочее по списку - увы, пока еще AI не на таком уровне. Бот пихает всё в MainActivity, норовит писать на Java, предлагает использовать AsyncTask и далее по списку. Но за это я на него не в обиде. Думаю, что дело не за горами.

Давайте проверим, выполнили ли мы все условия:

■ Лично я не пишу ни строчки кода — ☑️;

■ Все что я делаю, это копи-паст того, что мне скажет чат-бот — ☑️;

■ Я выполняю различные настройки по указанию чат-бота — ☑️;

■ Если появляются любые ошибки или баги, я спрашиваю у чат-бота и исправляю так, как он ответит — ☑️, но с поправкой, что 2 раза я сам сильно подсказал боту. Поэтому здесь может быть половинчатая галочка.

Лично я был приятно поражен и удивлен результатом. Бот рассказал, как написать приложение, дал все нужные куски кода, помнит про контекст в течение разговора, реагирует за ответные замечания и вообще очень вежливый.

После этого, другой пользователь сайта с ником @TimReset успешно использовал бота для решения более сложной задачи.

Ранее проект Riffusion сообщил о том, что разработал нейросетевую модель для создания музыки.

Отличный комментарий!

ну что програмисты, сжалось очко?)

777Nagibator777

29.12.2022, 15:19

ссылка

+9,0

вообще похуй

Karorate

29.12.2022, 15:27

ссылка

+78,1

Good_Man

информационная небезопасностьдырауязвимостьновостиhabrahabrдлинопостинформационная безопасностьitмопед не мойhabr...

Как я нашел в публичном доступе исходники нескольких сервисов ФНС

Предыстория

Возьмём приложение «Проверка чека» и разберемся что оно делает и зачем ваще кому-то понадобилось проверять чеки с помощью приложения.

ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
Хранение чеков в одном месте
Мои чеки — §
М ООО "Максидом' В
232,60 Р 29.06 2020 Пол>**м
ЖО Аптека ИП Жукова О.Н. О
518,50 Р 3006 2020 С жалобой
М ООО "МВМ" О
2 990 Р 0607.2020 С жалобой
<Ф ООО <ОБИ ФЦ> О
961,40 Р 09072020 С жалобой
ДИ ООО "ДОМАШНИЙ

Суть приложения «Проверка чеков»

Я не помню как это работало раньше, но с 2016-2017 годов, благодаря 54-ФЗ «О применении ККТ» появились некие ОФД с целью «...осуществления операций по приёму, обработке, хранению и передаче фискальных данных в ФНС», а всех кого только можно обязали использовать кассовое оборудование, генерирующее те самые фискальные данные и что немаловажно, обязали эти данные посредством ОФД передавать в ФНС.

Если у вас тоже немного припекает от всех этих аббревиатур, то вот вам терминальная стадия аббревиатуринга в лице названия организации которая отвечает за приложение «Проверка чека» — ФГУП ГНИИВЦ ФНС РФ.

К этому моменту — мы еще вернёмся, кстати.

Проверка чеков ФНС России («3
ФГУП ГНИВЦ ФНС России
Покупки: № 143 в этой категории
★ ★ ★ ★ ★ 4,8 • Оценок: 608
Бесплатно,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста

Страница приложения «Проверка чеков» в App Store

Прикладной смысл вышеописанного очень лёгко понять на примере сервиса заказа еды.

После заказа вы получаете на почту электронный чек, это и есть те самые фискальные данные. Отправляет их в ваш адрес, однако, не сервис заказа еды, а именно ОФД, которое используется сервисом, в данном случае — Яндекс

Яндекс ОФД
кассовый чек / приход 19.03.2021 23:28
Общество с ограниченной ответственностью "ЯНДЕКС.ЕДА"
https://eda.yandex.ru
127410, Москва г, Алтуфьевское ш 9, дом № ЗЗГ
ИНН 9705114405
Налогообложение ОСН
№ Наименование Сумма
1. Сэндвич Сабвэй Мелт 354.00Р х 2 = 708.00Р
Сумма с НДС 0%

Любой подобный чек всегда содержит несколько обязательных идентификаторов в натуральном виде и в виде QR-кода, который можно отсканировать с помощью исследуемого нами приложения «Проверка чека».

18Ю5
.11 К>
уЗ ПРОВЕРКА ЧЕКА сейчас
ФНС. Проверка чека
Чек на сумму 1378.00 р. получен
Торговая точка ООО "ЯНДЕКС.ЕДА"
Дата и время покупки 19.03.2021 23:28
1. Сэндвич Сабвэй Мелт 354,00 9 2 шт 708,00 Р
2. Сэндвич Итальянский Бмт 335,00 9 1 шт 335,00 Р
3. Сэндвич Острый Итальянский 335,00

В итоге, в приложении «Проверка чека», появляется электронная копия данного чека и тут я хочу обратить ваше внимание на атрибутивный состав кортежа с данными, а именно, на полный и детальный список чего и когда и за сколько денег моя персона приобрела, это — важно.

Но всё бы ничего, если бы не один недавний апдейт данного поделия, который и привёл меня в ужас. До недавних пор приложение оперировало лишь теми данными которые ты сам соизволил туда засунуть путём сканирования QR-кодов и не представляло, ни особого интереса, ни особой угрозы личной безопасности.

Всё изменилось две недели назад после обновления 2.15.0 в рамках которого был выкачен функционал «отображение чеков из сервиса Мои Чеки Онлайн».

История версий приложения «Проверка чека»Обновление 2.15.0

ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА

Авторизация любым удобным
способом

Добро пожаловать!
Авторизуйтесь, чтобы продолжить
Номер телефона
Личный кабинет налогоплательщика Портал Госуслуг,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед

Если пройти аутентификацию в приложении «Проверка чека» указав номер телефона, который вы так же используете в популярных сервисах, например, в Яндекс.Еде, Яндекс.Такси, Самокате, Ситимобиле и других, то в разделе «Мои чеки» автомагически будут отображены все ваши чеки по всем операциям в этих сервисах за «всё время».

В моём случае, это порядка 400 чеков, каждый из которых содержит детальный набор «сколько, за что, когда и куда».

18Ю6
,.|| ДО
Мои чеки ” §
Я ООО "ЯНДЕКС.ТАКСИ"
Сумма Дата Статус
1 378 Р 22.02.2021 Получен
Я ООО "ЯНДЕКС.ЕДА"
Сумма Дата Статус
1 378 Р 19.03.2021 Получен
УР ООО "УМНЫЙ РИТЕЙЛ"
Сумма Дата Статус
1 161 Р 23.02.2021 Получен
УР ООО "УМНЫЙ РИТЕЙЛ"
Сумма Дата Статус
1153 Р 11.01.2021

Мне сразу же стало интересно насколько хорошо подобный массив данных защищен и может ли предполагаемый злоумышленник получить несанкционированный доступ к нему.

Для исследования я поставил в разрыв между интернетом и приложением «Проверка чека» простой прокси и записывая сетевую активность приложения потыкал в кнопки.

Довольно быстро выяснилось, что эндпойнт с данными находится по адресу irkkt-mobile.nalog.ru:8888 на котором живёт простейшее приложение на NodeJS с применением фреймворка Express, а механизм аутентификации пользователя пускает тебя к данным, если ты верно указал заголовок «sessionId» значение которого представляет из себя какой-то самопальный токен генерирующийся на стороне сервера.

При этом, если нажать кнопку «Выйти» в приложении «Проверка чека», то как оказалось, инвалидации данного токена не происходит. Так же нет функционала просмотра всех своих сесссий и нет кнопки «Выйти на всех устройствах».

Таким образом даже если вы каким-то образом поняли что токен доступа был скомпрометирован, то нет никакой возможности его сбросить и тем самым гарантировать с этого момента отсутствие у предполагаемого злоумышленника доступа к вашим данным.

Крайне безответственно, но не фатально.

Sentry

В процессе просмотра «улова» на промежуточном прокси я обратил внимание, что в случае крэша приложения оно отправляет диагностические данные в Sentry располагающийся по адресу не связанному, ни с ФНС, ни с ФГУП ГНИИВЦ ФНС РФ, а на домен зарегистрированный на физическое лицо — sentry.studiotg.ru.

Studio TG
Sign in with your Gitlab account to continue.
Login with Gitlab,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста

Страница входа в Sentry команды Studio TG

Рядом сразу же был обнаружен gitlab.studiotg.ru.

V
GitLab
A complete DevOps platform
GitLab is a single application for the entire software development lifecycle. From project planning and source code management to CI/CD, monitoring, and security.
This is a self-managed instance of GitLab.
Remember me,информационная небезопасность,дыра

Страница входа в GitLab команды Studio TG

Дальнейшее исследование эндпойнта привело к ссылками на публичные репозитории в этом Гитлабе находящиеся в индексе Гугла уже более года.

Google
site:gitlab.studiotg.ru
X
Q.
Q Все (3 Картинки (Ц) Новости <•) Покупки ф Карты ; Ещё Настройки Инструменты Результатов: примерно 1180 (0,35 сек.)
Ссыпки Google
Попробуйте Google Search Console
www.google.com/webmasters/
Вы являетесь владельцем gitlab.studlotg.ru? Получите данные

Содержимое публичных репозиториевзаставило меня биться в истерике.

-» G Л
0 A https://gitlab.studiotg.rU/smarkin/ansible_conf/-/tree/master/install_geo
St* GitLab Projects Groups Snippets Help A Ansible_conf
Hr Project overview 0 Repository Files
Commits
Branches
Tags
Contributors
Graph
Compare
D Issues o
I4! Merge Requests 0
Cl /CD
<$> Operations 0

Публично доступный репозиторий ansible_conf/install_geo

■ instalLgeo ft ansible.cfg ft hosts.txt ft install_crypto.retry ft install_crypto.yml ft install_geo.retry ft install_geo.yml ft instalLsoft.retry ft ¡nstall_soft.yml v ■ soft
ED .gitignore > ■ config ft config.zip D CROSS.cer ft httpd.conf S license B Iinux-amd64.tgz
> ■ LK3LK3.000
> ■

Содержимое архивов из репозитория ansible_conf/install_geo

Пояснение к скриншоту выше: папки содержащие подстроки «lkio», «lkip», «lkul» напрямую относятся к одноименным сервисам ФНС на домене nalog.ru.

— lkio.nalog.ru

— lkip.nalog.ru

— lkul.nalog.ru

Имя
^ Дата изменения
Размер
Тип
to env
■ app
to .htaccess
> ■ config
> ■ fake
> ■ migrations
> ■ resources
> ■ soap
> ■ storage
> ■ template
> ■ xsd
to console.php to install to portal-install
■ src
> ■ Api
to ApplicationVersions.php
> ■ Console
> ■ Events
> ■ Library >■ Web
■

Содержимое папки lkip-web-login, это — исходный код сервиса lkip2.nalog.ru

Для сверки, что обнаруженные исходники действительно относятся к сервисам ФНС, проведена простая проверка наличия на боевом веб-сервере файла uppod-styles.txt, который не мог там оказаться по случайному совпадению.

¡(SJ https://lkip2.nalog.ru/uppod-i X +
<- -> C i Ik¡p2.nalog.ru/uppod-styles.txt

uppod-styles.txt на сайте lkip2.nalog.ru

Имя Дата изменения Размер Тип
В env 11 июня 2019 г., 13:21 2 КБ Документ
B .htaccess
> ■ config
> ■ fake
> H migrations
> ■ resources
> B soap
> ■ storage
> B template
> B xsd
i console.php B install B portal-install v B src
> B Api
B ApplicationVersions.php
> B Console
> B Events
>

Содержимое файла .env судя по всему прямиком с боевых серверов В итоге

Фактический разработчик мобильного приложения «Проверка чека» некая studiotg.ru.

Вероятно есть нарушение соглашений об обработке персональных данных в силу передачи диагностических сведений со стороны ФГУП ГНИИВЦ ФНС РФ в адрес третьих лиц.

Данные ребята так же причастны к разработке сервисов lkip.nalog.ru, lkul.nalog.ru и lkio.nalog.ru.

По их вине исходный код данных сервисов находится в публичном доступе уже около года.

Исходя из общей картины, предположу, что данные о ваших покупках попадающие в ОФД путём информационного обмена фискальными данными с ФНС, на текущий момент, находятся под угрозой утечки.

,информационная небезопасность,дыра,уязвимость,новости,habrahabr,длинопост,информационная безопасность,it,мопед не мой,habr,Российская федерация,страны,копипаста

Как-то так.

Здесь мы собираем самые интересные картинки, арты, комиксы, мемасики по теме (+16 постов - )