А как вы представляете пруфы на эту тему?
Вот, например,
(Новая газета) «К нам поступает ежедневно порядка 20–30 обращений. Где-то около 70 % из них — это люди, которые пишут, что работодатель либо заставляет писать заявление по собственному желанию, либо отправляет в неоплачиваемые отпуска.»
(Сноб) «Конечно, нет никакой статистики популярности применения перечисленных сценариев, но, по нашим наблюдениям, чаще всего просят уйти по собственному желанию. Как правило, незнание прав и законов, а также психологический фактор вроде страха, синдрома самозванца или нежелания ругаться делают свое дело, и сотрудник просто уходит.»
Мне кажется, отличный повод для исследования и сбора статистики.
А если у меня нет карты Сбербанка?
Разве кто-то запрещает работать удалённо на следующей неделе?
Закон про нерабочие дни для всех, без уточнения "кроме удаленных сотрудников" (при этом уточнение про, например, аптеки или продовольственные есть). Будь уточнение — полагаю, и негативный отклик не был бы таким сильным.
Юридически, выходит, нельзя работать удаленно.
Проблема не в этом. Проблема в том, что вещи, непригодные для носки, должны были отправляться на переработку, а по факту, судя по всему, отправлялись просто в мусорку.
Неправда. У re-store есть опция страховки от accidental damage от Adjusters. Я даже ей успешно пользовался для iPad, как раз после того как уронил его на бетон.
+ растет период использования смартфонов, люди не меняют телефоны так часто как ранее.
Цитируя последний Apple Earnings Call 2019Q3: «Our active, installed base of iPhone reached a new all-time high and was up year-over-year in each of our top 20 markets, underscoring the quality of our products and the satisfaction and loyalty of iPhone customers around the world.»
Т.е. несмотря на заметное падение продаже в шт. и в %, объем пользовательской базы растет как минимум в шт.
А какие именно минусы перевешивают плюсы?
Да, Тинькофф использует Теле2. И покрытие у Теле2 очень так себе, по крайней мере, в Москве. Но там, где оно есть — работает быстро.
Взял Безлимитище для iPad пару месяцев назад, и что же — спустя некоторое время вижу, что мне подключили платный Гудок. На планшет. На iPad, который не то что звонить — SMS принимать не умеет.
Ну и скорость по сравнению с теми же Мегафоном и Теле2 (у которого, правда, покрытие грустное очень) очень низкая. Надеялся, что услуга «Интернет в Московском метро» будет полезна — и тут печаль: к фемтосотам подключается, но Интернет часто не появляется.
Из плюсов — зато у МТС единственных есть IPv6, это круто. Теоретически у них есть Wi-Fi Calling, но на практике, поскольку использую МТС для iPad, не пробовал.
Он же не говорит, что все должны отказаться от ноутбуков. Для его рабочих задач смартфона хватает.
Опасения по этому закону обычно касаются того, что срочников могут принуждать к заключению контрактов. Как показывает эксперимент Милгрема[1], большинство людей не могут противостоять приказам авторитетной фигуры. А ведь у Милгрема был мягкий вариант, когда приказывал «профессор», который при этом не кричал, не угрожал и не выглядел опасным. К тому же испытуемые были одни и не были подвержены еще и эффекту конформизма[2], которому могут быть подвержены срочники, наблюдающие, как часть их сослуживцев соглашается подписать все что надо.
[1] https://ru.wikipedia.org/wiki/Эксперимент_Милгрэма — 65% людей по указанию «профессора» убивали невинного человека, пуская смертельный ток, несмотря на мольбы о помощи и крики
[2] https://ru.wikipedia.org/wiki/Эксперимент_Аша — 75% испытуемых давали очевидно неправильный ответ на вопрос, вслед за другими, «подсадными» людьми
Здесь уже нужен Павел, чтобы описать свою позицию.
На мой взгляд, позиция о том, что надо передавать ключи дешфировки — некорректна. А вот позиция по дешифрованной переписке отдельных людей на основании решения суда — было бы интересно, чтобы Павел скоммуницировал свое мнение и подебатировал бы по поводу этой темы.
От политического преследования в такой ситуации, на мой взгляд, можно защититься за счет:
1) секретных чатов;
2) требования публиковать — пусть даже отложенно — список людей, по которым запрашивались данные.
Я правда не знаю "как и где". Вы более компетентны в правовых вопросах и уверяете меня, что такой возможности не существует?Если вы это заявляете, как юрист, я склонен вам верить.
Если же ваши знания в этом вопросе столь же глубоки, как мои, ну давайте подождём юриста, или спросим у Агоры
Мои знания здесь так же глубоки, как и ваши, замечу только, что изначально это был не суд, но обращение ФСБ, соответственно, запрашивать данные на основании приведенных цитат было невозможно. Если грамотный юрист скоммуницирует и обоснует позицию, отличную от позиции Агоры — буду благодарен.
ok.
А я так не считаю. Способ гарантировать, что госслужащие не будут по личному желанию читать переписку (или, по крайней мере, сильно усложнить им реализацию желания) — есть, это закон, прописывающий всё же не такую уж простую процедуру, задействующую суд. А вот доверия к неизвестному админу с доступом к панельке управления у меня нет от слова совсем.
Вы правда считаете, что ситуация, когда ФСБ (суперважная организация с кучей автономий, секретностей и привелегий), имея ключи дешифровки, не будучи сдерживаема ничем, кроме закона (нарушение которого еще надо поймать, атрибутировать виновнику и доказать!), будет употреблять их не только с разрешения суда — маловероятна?
Стоит почитать про Эдварда Хувера из FBI США, например (хотя бы https://www.theguardian.com/world/2012/oct/24/how-fbi-bosses-us-presidents для начала: «When the Supreme Court outlawed telephone wiretaps, Roosevelt told Hoover, in so many words, to hell with the court.»), который имел огромное влияние.
Я считаю, что у государства не должно быть больше информации, чем необходимый для функционирования минимум.
А по сути так и есть. Только вы говорите о белом списке, а государство ввело чёрный. И этот способ, я считаю, как раз гуманнее и честнее.
Я считаю, что тогда это нужно в таком виде честно и открыто скоммуницировать. Многим, включая меня, такая политика не понравится, как мы будем на это реагировать (ничего не делать, уезжать, идти в политику, возмущаться в Интернетах) — уже другой вопрос.
Сейчас государство то детьми прикрывается, то вот теперь — террористами, вместо того, чтобы открыто и предметно поговорить, обсудить за и против и т.д..
и выдача ключей, которым зашифрованы чаты одного пользователя, не компрометирует безопасность переписки других пользователей.
Моя позиция здесь — мы не знаем (известен только протокол коммуникации клиент-сервера, а то, как эти кусочки где размазаны и насколько дискретно — неизвестно), но смысла передавать ключи, если можно передать переписку — нет.
> предоставление расшифрованной переписки А это бы не нарушило тайну переписки сотрудниками Telegrama?Хороший момент! Организация должна обеспечить организационные меры так, чтобы сотрудники не имели возможности читать переписку, не будучи санкционированы на это решением суда. Но — действительно — способа гарантировать, что сотрудники мессенджера (или бумажной почты, электронной почты и т.д.) не будут читать переписку нет.
Тем не менее, я считаю, что эта ситуация все равно лучше, чем когда аналогичный риск есть связанный с государством. Потому что, если подобный акт вскроется, или я просто не доверяю мессенджеру, я могу перейти к конкуренту.
Сменить страну в этом плане намного дороже и сложнее, для большинства просто невозможно.
Если вы говорите, "как сделать так, чтобы переданные сообщения прочитали только в ФСБ", ответ — например, в одной "транзакции" расшифровать их и зашифровать одноразовым ключом. Или по SSL передать на FSB API.
Это неправда. Ключи от одних чатиков не подходят к другим.
Неправда ваша. Есть сессионные ключи, которые используются для обмена данными с серверами Telegram. Есть ключи, которыми шифруются данные для хранения на серверах Telegram. Мы не знаем ничего про последние, возможно, там один ключ. Можно было бы спорить, доверяем мы Telegram или нет, но требование в любом случае избыточно.
Это номера судебных санкций. Подскажите мне, как я по номеру судебной санкции могу истребовать содержимое санкции и связанное судебное решение с текстом?
Возможно, я неправ, и это легко делается. Тогда с удовольствием признаю неправоту и переведу вопрос к Агоре.
Это вопрос переговоров уже. Изначально требование избыточно, предоставлять в этом случае часть данных или не предоставлять ничего и начинать спорить — вопрос Телеграма и РКН-а.
Я могу сказать только то, что если Telegram по публичному решению суда (пусть даже может стать публичным не сразу — в течение года после вынесения) предоставит расшифрованную переписку по конкретному списку людей — я буду не против.
Но требование ключей дешифровки необосновано, избыточно и ставит под удар права третьих лиц. Нельзя требовать от мессенджера передавать эти ключи, достаточно потребовать передать переписку.
Отдельный момент — если переписку передать технически невозможно (секретные чаты Telegram, любые чаты Whatsapp).
Ради протокола замечу, что это не проблема самого оконечного шифрования в WhatsApp, это проблема вышестоящей инфраструктуры — можно инициировать пересоздание ключей с фальшивым аккаунтом. Это же можно сделать в Telegram, если выключена двухфакторная авторизация.
То, что двухфакторной нет в WhatsApp печально, но отсутствие облака с историей делает эту печаль менее критичной, чем если бы аналогичная ситуация была в Telegram.
Также, если оценивать вероятность эксплуатации уязвимости — она мала, эффекта от эксплуатации — тоже крайне мал.
Как это выглядит. Если я отправил сообщение собеседнику, И СООБЩЕНИЕ НЕ ДОСТАВИЛОСЬ (потому что собеседник был offline), то в этот момент можно инициировать пересоздание ключа (на самом деле, можно просто перезалогиниться, перехватив SMS у оператора), после чего я получу ПРЕДУПРЕЖДЕНИЕ, что у моего собеседника сменился ключ шифрования, но сообщение (ТОЛЬКО НЕДОСТАВЛЕННОЕ) все равно ему будет передано. При этом к истории он доступ не получит, конечно, а к новым сообщениям получит только если я забью на предупреждение.
Факт предупреждения не позволяет использовать уязвимость скрытно — это сразу будет заметно. То, что будет передано только недоставленное сообщение, и не будет передана история — практически убивает полезность эксплуатации.
Собственно, там же есть комментарий:
После публикации статьи в The Guardian разработчики протокола Signal заявили, что в WhatsApp все работает нормально: приложение уведомляет пользователей о смене ключа шифрования. Как говорится в посте разработчиков, WhatsApp уведомляет о смене ключа после повторной отправки сообщений, поскольку так удобнее самим пользователям. В Signal заверяют: подменив ключ, злоумышленники смогут прочитать только недоставленные сообщения.
Агора жаловались на то, что а) копия судебного решения не приложена, указан только номер санкции, б) требование ключей дешфировки избыточны, достаточно истребовать расшифрованные сообщения, при этом предоставленные ключи дешифровки позволят потенциально нарушить право на тайну переписки третьих лиц, в) не были соблюдены должные процессуальные нормы.
Согласно документу Агоры, Telegram не выступал против предоставления расшифрованной переписки по требованию суда с соблюдением процессуальных норм взаимодействия с компанией, на находящейся в Российской юрисдикции.
А как вы предлагаете проверить? Ключи хранения не дадут гарантии достоверности хранимой информации. Имея ключи, легко подделать переписку.
Посмотреть код? Вы согласны в обратную отдать код Vk и Yandex на аудит в США или Германию, например?
готовы дать расшифрованную переписку?> Нет ли попытки сотрудниками Telegram нарушить конституционные права указанных шести пользователей и прочесть их расшифрованную переписку (как минимум, для того, чтобы убедиться, что она расшифровалась же), не обладая соответствующим разрешением от суда?
Хороший момент! Организация должна обеспечить организационные меры так, чтобы сотрудники не имели возможности читать переписку, не будучи санкционированы на это решением суда. Но — действительно — способа гарантировать, что сотрудники мессенджера (или бумажной почты, электронной почты и т.д.) не будут читать переписку нет.
Тем не менее, я считаю, что эта ситуация все равно лучше, чем когда аналогичный риск есть связанный с государством. Потому что, если подобный акт вскроется, или я просто не доверяю мессенджеру, я могу перейти к конкуренту.
Сменить страну в этом плане намного дороже и сложнее, для большинства просто невозможно.
По-моему, это проблема разработчика — соответствовать законам страны, в которой он ведёт деятельность (в данном случае — выступает, с точки зрения закона, организатором распространения информации).
И снова вопрос IT-юрисдикции. Юридически, насколько я знаю, Telegram не ведет коммерческой или некоммерческой деятельности в РФ и даже не имеет юридического лица. Но у пользователей есть возможность самостоятельно использовать его услуги.
Тогда давайте говорить так, что мы вводим IT-таможню и теперь закрываем для наших пользователей доступ к «неавторизованным» IT-услугам, разрешая только те, что нами одобрены, соответствуют законодательству и могут быть «растаможенны». Опять же — это понятная позиция. Я с ней не согласен, но она более честная чем то, как это выглядит сейчас.
Ничто не мешает шифровать всё разными ключами, которые и так, по слухам, разные и хранятся кусочками на разных серверах.
Так и есть для облачных чатов.
вы серьезно считаете, что фсб в принципе и тем более в конкретной скандальной ситуации будет рисовать номера решений?
Это неважно. Если в этой ситуации эти решения существуют, и не потребовать подтверждения этого, то в следующий раз их просто нарисуют. Если эти решения есть, также вопрос — почему их не предоставить, учитывая, что на них все основывается?
Сама по себе переписка без подтверждения подлинности - просто текст, который не будет иметь юридической силы.
Если у меня есть ключи (которыми шифруются хранимые на серверах данные) и желание, я могу легко подделать подлинность даже с предоставлением ключей. Это вообще никак не влияет.
Опять таки, у Агоры или у вас есть подтверждения того что фсб так уже делало?
Опять таки, а ФСБ или у вас есть подтверждения того что Telegram так уже делал (подделывал переписки)?
Вам ниже уже указали на то, что техническая возможность есть.
Если вы про секретные чаты — где? Я, возможно, пропустил это сообщение. (не ирония)
Про публичные — я сам здесь много раз писал, что возможность их предоставить есть. И я согласен, что по конкретным людям их нужно предоставлять, но не согласен, что ключи нужно предоставлять.
Даже если нет, хоть какую то инфу из затребованной телеграмм выдал? Ну, если уж телеграмм заявляет, что действительно хотят разрулить вопрос.
А это вопрос уже переговоров. Telegram не заявлял, что готов выдать эту информацию, он не высказывал возражений против ее выдачи.
Ну, если уж РКН заявляет, что действительно хочет разрулить вопрос, он пытался затребовать у телеграмм хотя бы такую информацию?
ПОтребность в ключах затем, чтобы была уверенность, что предоставленная копия переписки не подделка. Может и другие технические моменты есть. Дело не в этом, дело в том, что есть закон, есть решение суда. Все остальное досужие разговоры.
Я понял, в чем одно из наших расхождений. Есть 2 вида ключей: 1) те, которыми шифруются сообщения на сервере, 2) сессионные ключи, при помощи которых передаются данные на сервер.
Ключи типа (2) создаются каждую сессию и, скорее всего, за пределами сессии не хранятся — потому что являются временными с точки зрения протокола.
Предоставить ключи типа (1) — дать возможность расшифровать данные разных пользователей при наличии доступа к оборудованию, а значит скомпрометировать безопасность. При этом их предоставление в отсутствие доступа к оборудованию никак не позволит проверить достоверность данных (да и с доступом — при желании данные подделать и подписать несложно).
Ключи типа (2) нет смысла хранить для публичных чатов (информация и так в облаке) и, скорее всего, они и не хранятся. Также, если я правильно понимаю протокол, для секретных чатов они все равно бесполезны без той части ключа, которая хранится только на устройствах.
Дело не в этом, дело в том, что есть закон, есть решение суда. Все остальное досужие разговоры.
Чтобы выполнить заявленную цель — достаточно предоставить расшифрованную переписку. Возможностей проверить ее достоверность, если Telegram не хранит ключи типа (2), нет.
Предоставить ключи типа (1) — дать доступ к переписке большого числа пользователей, а значит ограничить их конституционные права.
Запрос ФСБ либо неисполним, если речь о ключах вида (2), либо избыточен, если речь о ключах вида (1).
А зачем передавать ключи, если готовы дать расшифрованную переписку? Уникальный ключ генерируется при обмене данными с сервером, вполне возможно, что на сервере все хранится шифрованное одиним ключом, или ограниченным набором.
У нас там ниже переписка по этой теме, искать по слову "Агора". :) Коротко — не были приложены решения суда, только номер, а также ФСБ требовали ключи дешифровки, что избыточно для заявленных целей, Telegram при этом не возражал при соблюдении процессуальных норм предоставить расшифрованную переписку (кроме секретных чатов, где это сделать технически невозможно).
Если бы Telegram отказался бы вообще сотрудничать — я бы с вами согласился. Но коллеги приводят вполне разумные доводы — обоснования потребности в ключах шифрования для заявленных целей нет.
Решения суда указаны.
Не приложены копии решений.
А то, что "предоставление именно этой информации создавало реальную угрозу для неопределенного круга лиц по контролю их переписки." - это ничем не подкрепленное заявление частной компании.
В чем потребность ключей дешифровки, если компания согласна предоставить расшифрованную копию переписки? Требование избыточно, эта избыточность необоснована для заявленных целей, и может быть обоснована только потребностью самим расшифровывать поток сообщений в реальном времени.
Для заявленных целей достаточно расшифрованной копии сообщений, против предоставления которой при соблюдении процессуальных норм Telegram не возражал.
Да, я видел этот скриншот, но Агора аргументирует, что а) не было предоставлено копии самих судебных решений, по такому принципу можно поставить рандомные номера, главное, чтобы на веру приняли, б) цитата с Агоры «запрос не предполагал альтернативного способа контроля переговоров, интересующих ФСБ лиц, например, предоставление расшифрованной переписки».
Соответственно, я читаю это так, что при соблюдении процессуальных норм (подробнее о них по ссылке Агоры) и истребовании только расшифрованного содержимого переписки, Telegram готов предоставлять потребные сведения.
В такой формулировке — как уже писал выше — я также поддержал бы такое решение. По конкретным лицам с публичным судебным решением (а не только его номером! если судебное решение становится публичным позже в разумные сроки до года — ОК) предоставление расшифрованной переписки (но не ключей дешифровки!) — это вполне разумно и корректно.
А насчет "ну никак" у вас есть пруфы того, что не серверной стороне телеграмма это невозможно?
Это должно быть возможно для обычных чатов, для секретных невозможно — это следует из протокола. На серверах Telegram не хранятся ключи (де)шифровки, только на оконченых устройствах. Если меня память не подводит (могу быть неправ здесь), ключи даже не проходят через сервера Telegram, если это не требуется для обхода NAT.
Я не говорю — или-или. Пример предпринимателя — Дуров, который нашел компромисс, который — в принципе — всех устраивает. Единственное, секретные группы не сделал.
Но:
а) нужно понимать ограничение этого подхода, и не пиарить, что якобы вся переписка в Телеграме никем не может быть прочитана, кроме адресатов — это относится только к секретным чатам;
б) неплохо бы добавить "секретные группы" по аналогии с WhatsApp, если мы говорим о безопасности;
в) нужно понимать с точки зрения потребителя при сравнении продуктов компромиссы, которые они предлагают.
Почему вы так думаете? На мой взгляд, это вопрос грамотного целеполагания. Не думаю, что нахождение в офисе или на удаленнее играет решающую роль. Если у менеджера стоит горящая цель, он найдёт, как каскадировать ее на подчиненных.