Черное зеркало S05E02, Осколки

Два момента, которые меня особенно зацепили. Профессиональная деформация?

Блокировка аккаунта на сутки после трёх неверных попыток входа

В чистом виде — очень сомнительное решение. Таким образом можно очень просто блокировать аккаунты неугодных людей (так называемая DoS-атака).  В реальной жизни такое можно встретить только во внутренних корпоративных системах, потому что источник атаки легко локализуется в локальной сети.

Но в сети Интернет атакующего найти гораздо сложнее. Разумная практика — блокировать IP-адрес на сутки, но тогда по сюжету героиня могла бы подбирать пароли с десятков устройств плюс подключить VPN-сервисы. Но вот это было бы уже не так интересно для развития сюжета, потому что у человека не было бы Проблемы.

Восстановление пароля в открытом виде

В конце сюжетной линии героине присылают пароль от аккаунта в открытом виде.

Разумная практика — не хранить пароли в открытом виде, использовать только солёные хеши и всё такое. В реальной жизни администратор может сбросить пароль, то есть просто установить новый, но старый пароль никто узнать не может.

Но по сюжету героине прислали «значащий» пароль для владельца аккаунта, следовательно совершенно очевидно, что это реальный старый пароль.

Для завершения сюжетной линии — красивый штрих, но IRL такого не бывает.

Бонус — запись звука с мобильного телефона

Администратор социальной сети активирует закладку в мобильном приложении и запускает трансляцию звука с устройства преступника на терминал администратора.

А вот это уже более реальный сценарий. Очевидно, что приложение скорее всего запросило права на запись звука при установке, так как запись звука нужна для отправки звуковых сообщений — обычная практика в мессенджерах/социальных сетях.

Реально ли такие закладки встретить в реальной жизни — вопрос непростой. Об этом открыто никто никогда  не расскажет, а болтовне анонимов в интернете верить нельзя. Разве что умные парни сделают реверс-инжиниринг и вскроют фичу доказательно.

Могу только утверждать следующее. Звук не записывается и не передаётся в сколько-нибудь значимых объёмах. Ограничивает авторов приложений и связывает руки примерно следующее:

  • вероятность публичного скандала может нанести значительный ущерб репутации
  • постоянная запись звука сказывается на ресурсе аккумулятора
  • постоянная отправка данных легко детектируется
  • звук требует расшифровки speech-to-text, а это дорогое удовольствие
  • запись звука требует разрешений на уровне операционной системы, что сразу вызывает вопросы к приложениям, которым незачем это делать
  • известны случаи, когда приложения записывали действия рандомных пользователей (экран и звуки); сообщалось, что это проводилось только в рамках системы качества

LOOP AT SCREEN, работа с экраном — новая идея

Устав от простыней в стиле:

я решил обкатать новый подход.

Первым делом декларативное определение, например:

Применение на практике сводится к следующему:

Пробую пока покатать-проверить, насколько такой подход применим в условиях, приближенным к боевым. Нужно больше мест применения, чтобы определить какой подход даст лучшую читаемость, компактность и проверяемость. И потихотньку можно добавить мяса.

(далее…)