Pull to refresh

Comments 102

Интересно, когда у бывших стартаперов происходит этот мгновенный фазовый переход?
пацифист->минигитлер
Когда мешает зарабатывать деньги
Это же очевидно
Вот кстати, мне кажется или Google это касается в меньшей степени, не припомню за ними ярых репрессий…
У них все прозрачней. Из подобного, но кажущегося логичным — блокировка видео в ютубе по просьбам правообладателей.
Ладно бы это. У меня и нескольких знакомых забанили видео с различных мероприятий, типа кафешек, где на заднем плане почти несылшно играла какая-то музыка.

Ну как же, весь мир ринется смотреть ролик с моего ДР, ради того, чтобы сквозь пьяные вопли услышать пару аккордов бесплатно. Надо банить!
Вы думаете для копирастов есть разница? :)
У роботов слух очень хороший.
В смысле, вряд ли стоит в таких случаях искать Особо Злой Умысел. Дали ролик роботу, тот опознал трек из охраняемой коллекции — ролик удалили. Людей на такую работу посылать глупо; хотя и алгоритмы подправить не мешает.
Я это хорошо понимаю. Просто это сводит на нет вообще смысл существования видеохостинга — если даже каждый второй любительский домашний ролик без претензий начинает «нарушать» авторские права.

робота не научили отличать громкость фона от основной громкости в видео?

Вы не поняли — это они так с рекламой алкоголизма борятся! Банят видео, где пьяным людям хорошо под музыку!)
Скорее, они так борятся со всеми вредными привычками!
ага, они банят за использование всяких сторонних сервисов превращающих гмэйл в виртуальный диск… (я сейчас не говорю о контенте) т.е. банят просто за то что ты это делаешь…
мм, не знал, благодарю за инфу, значит точно кажется. Минусы показывают количество народу с залоченными аккаунтами :)
ИМХО управляй я компанией, производящей Феррарри, я бы негативно относился к людям, перевозящим на них картошку.
Перевозить картошку — не плохо, так же, как и использование виртуальных дисков. Но для этого лучше использовать специализированные для этого сервисы, нежели засорять почту и загружать нецелевой работой датацентры почтовика, усложняя работу остальным его пользователям.
Надеюсь, поймете правильно.
Надо было пошарить паре человек содержимое NAS при неизвестной скорости опустошения (скачивание/удаление ненужного). Размер — ~2.5ТБ, снять более чем на несколько дней нельзя, интернета в помещении, где оный должен стоять — нет.

Ну ладно, за выходные можно всё это скачать. Но реципиентам банально негде хранить архив, ибо харды по 80гиг (во зажрались-то мы… еще семь лет назад этого было много), а им нужно именно все его содержимое и в непредсказуемый срок :D поэтому тащить NAS на колокейшн на пару дней — бесполезно.

Условием, по которому искал хостера, было — оплата помесячная, менее $30. Иначе проще было бы купить 2-3 HDD в кредит и отправить их по почте. Или, как в итоге и было решено — превращаться в бородатого пирата, покупать деревянную ногу и кучу bulk-упаковок болванок.

Так вот, благодаря столь уважаемому Вами «нецелевому использованию», за драгоценные хостерские терабайты не заплатил ни копейки — cлава DVD, DS DL…

но это не повод забирать у меня феррари за это или запирать у неё двери

С Феррари все еще сложнее чем с John Deer, обслуживание только на оф сервисе, в случае вмешательства в конструкцию — машину изымают. По крайней мере прецедент с тем что у ферраривода забрали машину после установки на нее ГБО — был.
Ну а картошка… дело владельца конечно, но если у тебя есть 30k$ на ежегодное ТО то картошку наверно тоже есть на чем возить.
UFO just landed and posted this here
И как ниже справедливо заметили от будущих наездов правообладателей.
Насколько я понял, это не ударит напрямую на их прибыли. Еще 1 удобный способ работы с их продуктом.
Другое дело, возможно это подстегнет распространение пиратского контента, ну и повышенная нагрузка
1. Увеличение нагрузки на сервера. А так как они на амазоне это прямые убытки.
2. Если придет RIAA и подаст тоже убытки.
UFO just landed and posted this here
Если кратко — если заливаете себе в папку к примеру популярный фильм (в данном случае распространеннй avi файл), то весь файл заливаться не будет, dropbox подсчитает хэш сумму файла, найдет идентичный у других пользователей и тут же этот файл появится на вашем аккаунте.
UFO just landed and posted this here
Вася залил фильм Аватар, Петя захотел посмотреть этот фильм. Петя в подобном сервисе нашел хэш выложенный Васей и скачал уже с своего аккаунта фильм.
Те почти торрент.

то есть фактически получается, подбирая хеши можно устроить рыбалку в коробке?..

Именно так, только не брутфорсом. Это фактически как торрент, если кто-то будет публиковать такие хэши, остальные смогут их «найти»
Так в этом весь смысл дропбокса, считайте, что вы с другого клиента залили файл, он тут же синхронизируется на ваш комп.
UFO just landed and posted this here
UFO just landed and posted this here
Все очень просто, все файлы при добавлении в Dropbox хэшируются самими Dropbox, и если этот файл уже был загружен на сервер, то он не будет скачивать с клиента на сервер, а возьмет с сервера.
Dropship отправляет запрос на поиск файла по хешу и в ответ получает файл.
Наверное это и не понравилось Dropbox.
UFO just landed and posted this here
Если с одного компьютера залить в Dropbox, то файл окажется на всех подключенных компьютерах :)
Dropship просто может вытащить файл по его хешу.
UFO just landed and posted this here
Программа вскрывает их проприетарный клиент-серверный протокол и передаёт этот хэш в качестве хэша желаемого файла.
Получается SkyGrabber для файлообменника?
История развивается по спирали: в 2000 году уже были майки с напечатанным кодом DeCSS. Ни к чему хорошему это не приведёт, напротив, вот мне стало интересно, что за сервис такой, скачал себе программу, посмотрю.
Главное отличие от DeCSS в том что с апдейтом клиента Dropbox может сменить протокол. У авторов Content Scramble такой возможности в принципе не было.
скажите, а без ализара вы бы узнали про эту новость?
пишет конечно он не на 5+, но инфа у него местами интересная!
UFO just landed and posted this here
Без желтизны?! Ваш колориметр сломался, выкиньте его.

«позволяет обмениваться файлами через Dropbox хешами в формате JSON» — не поймешь, кто чем обменивается через кого.

«Основанием для санкций стало то, что они сохранили копию программы в своих папках Dropbox» — вообще чушь, не вяжущаяся с остальной статьей.

И, конечно, Dropbox абсолютно прав в желании прикрыть дырку. Конечно, они бы могли сделать это техническими средствами (и наверняка в итоге сделают), но это невозможно без насильственного апгрейда всех клиентов.
Интересно за что минусуют хабрагражданина. Всё по делу, мне эти вещи в статье тоже показались странными.
UFO just landed and posted this here
Эти вещи не «странные», они вполне предсказуемые, если понять, что желание автора — не разобраться в вопросе и рассказать об этом другим, а срубить плюсиков на нездоровой сенсации.

Один заголовок чего стоит — «Dropbox попытался уничтожить Open Source проект». RGB = FFFF00. «Милиционер застрелил беременную женщину!» (срок беременности 2 недели, женщина с оружием грабила магазин)
> Конечно, они бы могли сделать это техническими средствами (и наверняка в итоге сделают), но это невозможно без насильственного апгрейда всех клиентов.
А по-моему вполне таки возможно, ведь клиент запрашивает наличие файла с хешем на сервере? И информация о принадлежности реального файла пользователям (участвующих в таком «файлообмне»), а также наличие/отсутствие у них общих папок тоже на сервере есть.
«Информация о принадлежности файла пользователю» как раз и подделывается в описанной программе. А что несколько пользователей выложили одинаковый файл в закрытые папки — так это вполне нормально. Может, все они скачали бесплатный видеоролик с одного сайта.

В принципе, одно возможное изменение сервера без патча клиента без я вижу… Если клиент сначала говорит, что у него появился файл с таким-то хэшем, а вскоре пытается этот же файл скачать, сервер может его отшить. Не будет ли ложных срабатываний, вот в чем вопрос.

Но такой дополнительный заборчик легко обойти — если поставить db с одной учеткой на два компьютера и на одном из них поправить базу, то другой получит файл совершенно законно.
С желтизной, но по делу, я бы сказал.
хуже только наше ФСБ которое хочет запретить работу gmail, hotmail и skype на территории России, большой брат смотрит за тобой, и за тобой, и за тобой, и за ними…
Да никто ничего не запретит, успокойтесь уже. Реальней на вещи смотреть нужно.
Даже если и запретят, то всегда есть иностранные прокси.
так я и не говорил что ЗАПРЕТЯТ, просто сама бредовость заявления поражает
А какое отношение к топику имеет бредовость заявлений?
Причем я не совсем уловил чьих.
Cсыль на интерфакс, прочитайте пожалуйста, а потом критикуйте, если я не прав.
epic fail ссыль не добавилась, карму мне заминусовали так что пришлось ждать 5 минут))

interfax.ru/society/txt.asp?id=184857&sw=skype&bd=27&bm=3&by=2011&ed=27&em=4&ey=2011&secid=0&mp=2&p=1

а отношение имеет такое, что и в том и в другом случае компания/правительство хочет иметь прямой доступ к информации, чужой информации. И если на уровне компании это отражается на репутации и пользователи лишний раз подумают стоит ли через dporbox передавать например важные документы, то на уровне гос-ва это звучит идиотически с примесью паранойи и пахнет детской беспомощностью.
Если реально взглянуть на вещи то вон в соседнем Казахстане и ЖЖ и половина сервисов гугла закрыты.
А на недавних выборах кричали про демократию громче всех)
Я знаю что закрыты — у меня родители там живут.
Но учитывая монополию в предоставлении услуг связи а именно старый ламповый Казактелеком — это сделать очень просто.
а у нас по вашему сложно?
большинство продвинутых юзеров полезет через проксю, но это большинство продвинутых,
обычные юзеры просто забьют.
Не получится закрыть разве что спутниковый интернет, но он очень дорогой и мало у кого есть.
UFO just landed and posted this here
Они и так смотрят, если вы не в курсе.
И Яндекс.почты ;-) (они усиленно переходят на https)
Смеюсь, не могу остановиться. Контент на серверах ЯПы — нешифрован ниразу.

А https при наличии копии серверного сертификата в черном ящике сорма очень даже прозрачен, к тому же этот черный ящик не будет декодировать get /index.html, ему важнее post, get /viewmail/323232&how=encrypted
Ходила ж новость с заголовком вида «ФСБ хочет запретить https». Ес-сно, это была гипербола.
Да-да, помню. Ту новость я трагично пытался откомментировать через Opera Turbo, все комменты ушли в void (может, еще найдется новый повод поругаться на тему).

В чем гипербола-то? ФСБ по умолчанию должно хотеть запретить! ограничить! не пущать!, и так далее.

Вот перестанут пилить бюджет на новые джипы для младлеев и поставят SSL proxy на входе в яндекс, великий и национальный. Который будет перехватывать все соединения к яндексу, переподписывая их для вас сертификатом Yandex & KGB Computers Ltd.

Также, ФСБ никто не мешает уже который год пользоваться яндексовским сертификатом на свое усмотрение. В конце концов, «коробке» можно просто сказать писать ВЕСЬ трафик подозреваемого гражданина по 443 порту, а расшифруют его (с сертификатом) студенты — маленьким плагином для Wireshark. А еще проще забрать данные прямо у Яндекса. И никакой https не нужен :D
Как бы логично бороться против раскрытия собственного проприетароного протокола.
Например, появится возможность сторонним программам заливать файлы на дропбокс в обход официального клиента, что не очень радует их.
Интересно, чем это может быть плохо? Официальный клиент баннеры показывает? Ограничения по месту на диске всё те же, абонентская плата никуда не делась. Нет бы — радуйся — бесплатная реклама, так нет — давят.
Они просто понимают, что если в зародыше не убьют паразитарный файлообмен сегодня, то завтра весь дропбокс будет расстрелян артиллерией RiAA, или как их там…
Пипец — это когда вместо программистов подключают юристов.

Интересно, кто им мешает добавить проверку — откуда взялся хэш? Т.е. если этот юзер не имеет этого файла на диске в одном из аккаунтов, то и скачать он его не может. Так нет, надо налетать и травить разработчиков, нашедших прикольную багофичу.
Согласен, не вижу никаких проблем, чтобы просто на стороне сервера не запрашивать у клиента несколько случайных байт из файла для проверки, что файл действительно у него есть, перед тем как распространять файл между остальными клиентами этого пользователя.
Ну считать хэш файла — это и есть один из способов «просто на стороне сервера не запрашивать у клиента несколько случайных байт из файла для проверки».

Алгоритм взломали — время придумывать новый.
Эм, а вариант загрузки файла через веб-морду Вы не рассматривали?
Файл загружается _юзером_ в _его аккаунт_, в этот момент к нему и привязывается хэш.
Ну вот эта странная программа и говорит серверу дропбокса, что файл имеется на диске в одном из аккаунтов.

Сервер дропбокса таким образом экономит трафик (заливка файла от клиента) и место (фильм «Аватар» хранится всего один раз в облаке, хотя он есть у многих тысяч клиентов в их аккаунтах).

Это же какой простор для файлообмена! Кинул фильм один раз в свою папку, дропбокс утянул его к себе, ты посчитал хэш файла и опубликовал в бложике. Другой человек скопировал хэш себе, и вот у него уже скачивается фильм с дропбокса. И не нужно сидеть на раздаче, опасаться детективов MPAA.

А дропбоксу от этого сплошные расходы на трафик.
> Ну вот эта странная программа и говорит серверу дропбокса, что файл имеется на диске в одном из аккаунтов.

Ага, значит фатально.
Т.е. подбирая хэш, можно получать различные файлы других пользователей?

Странная система. Ведь таким образом можно утянуть какие-либо приватные документы. (Случайно конечно, но всё же..)
Это почти невозможно. Если посмотреть пример в репозитории программы, то на 14.6 мб файл получается 4 хэша 32 байта каждый, т.е. нужно знать хэш каждой части файла и, возможно, порядок этих хэшей. С большей вероятностью вы подберете пароль аккаунта с какими-либо приватными документами, чем эти хеши =)
рандомные хеши генерировать и смотреть, вдруг приватные данные есть =)
Вероятность попасть — N*2^-128, где N — число пользователей дропбокса. Это число заведомо меньше 2^32.

если кто попробует — сообщите, дропбокс пресекает попытки подобрать хэш?
А теперь, для заинтересованных, но не желающих читать длинный английский оригинал, о том как все было на самом деле.

Wladimir van der Laan написал программу и выложил ее на github. После чего ее распиарили в блоге hackernews и несколько человек сделали копии проекта на github'e или выложили у себя в публичной папке дропбокса.

Создатель дропбокса всеобщего счастья по ряду причин не испытал (см. ниже мою версию о том, почему данная программа полезна в основном для нелегального файлообмена, а для обычных пользователей особого смысла не имеет) и связался с автором программы и поста в блоге. Он вежливо попросил («requested in a really civil way») убрать проект, что те сделали без возражений. Заметьте, не совершил атаку и не заставил удалить, а попросил и те согласились («Dropbox never made threats, legal or otherwise»).

Одному из пользователей (автору оригинала статьи, никак не связанному с автором программы или блога hackernews) пришла DMCA notice о том, что у него в публичной папке дропбокса находился и был удален незаконный файл (архив с исходниками проекта), и публичное расшаривание файлов (не весь аккаунт) для него заблокировано на 3 дня. Он написал в дропбокс с возражениями что код распространяется под MIT лицензией и ничего не нарушает (кстати, какая связь вообще между лицензией и DMCA?). После этого, с ним на связь вышел создатель дропбокса, объяснил что блокировка аккаунта была ошибкой, все разблокировал и попросил удалить файл.

Пользователь файл не удалил, а раззеркалил где только смог и написал в свой блог о произошедшем. Блог прочитал ализар и творчески пересказал для хабра.

Почему ссылка на DMCA, скорее всего, была ошибкой? Во-первых, владелец дропбокса сразу же отключил блокировку аккаунта и очевидно в суд ни на кого подавать не собирался. Во-вторых, скорее всего, дропбокс занес хэш архива с исходниками в свой блэк-лист, после чего всем пользователям у кого файл выложен в публичной папке пришло автоматическое уведомление.

Почему польза от программы только для нелегального обмена? В текущий момент, дропбокс запрещает выкладывать нелегальный контент в публичные папки, но в приватных можно держать что угодно. Данная программа обходит ограничение, позволяя массово распространять файлы, не выкладывая их в паблик.
Для других сценариев использвования есть куча альтернатив. Если вам надо распространить легальные файлы, вы можете просто выложить их в публичную папку. Если вам нужно приватно передать файлы другу, есть расшаренные папки. Если вам нужно передать файлы другу один раз и нет желания возиться с расшариванием, есть куча других сервисов чтобы сделать это по-быстрому.
То, что письмо со ссылкой на DMCA — ошибка, не вяжется с другими фактами и вряд ли является правдой. Возможно, владельцы Dropbox просто пытаются оправдаться.
С какими фактами оно не вяжется? С моей точки зрения, наиболее правдоподобным выглядит следующий сценарий:

1. Начальство ДБ говорит поддержке: чуваки, какой-то хрен мало того, что написал для нас эксплойт, так еще и разместил на наших же серверах. Уберите нах.
2. Поддержка находит аккаунт и жмет на кнопку «заблокировать по требованию правообладателя», в поле «правообладатель» вбивает Dropbox, ибо так в общем-то и есть.
3. Пользователю уходит стандартное письмо.

Альтернативная версия — что фирма Dropbox действительно послала письмо с предупреждением сама себе. Как еще до суда с собой дело не дошло?
Вот это уже похоже на правду. Идиотизм действий Dropbox'a в этой ситуации обсуждать не будем, ok?
Лично я особого идиотизма не вижу.

DB предлагает определенный сервис. Хочешь — пользуйся, хочешь нет. Кто-то придумал способ использовать его непредусмотренным образом. Это называется exploit, и в приличном обществе принято сначала присылать сведения об обнаруженных дырках авторам, а уж потом, после того, как те прикроют дырку, гордиться своей хакерской крутизной.

Польский кулхацкер этим этикетом пренебрег. Ну, вроде бы его никто засудить не пытался, просто попросили снести проекты. Может, через недельку по-тихому прикрыли бы дыру. А вот чувак с razorfast, не имеющий к созданию эксплойта никакого отношения, почему-то решил размножить скрипт и поднял крик, что Open Source опасносте. Уж кто главный идиот в этой истории, так именно он.
Во-первых, это не дырка и не эксплойт, а использование недокументированных возможностей протокола. Во-вторых, чувак «кричащий Open Source опасносте» просто был удивлён неадекватными действиями Dropbox. Кто-то раньше считал, что это крутая хакерская компания, а они повели себя как обычные бизнесмены. Бороться с опенсорсом (удалять проекты с гихаба и т.д.) — это явный неадекват, всё равно их сто раз выложат в других местах.
При чем здесь опен-сорс? Проект мог быть и закрытым, а код его, скажем, мог передаваться первоначальным автором другому и так далее. Разницы в реакции дропбокса от этого не было бы.

Кстати, новость действительно написана желтовато. Пока не прочитал комент MaximKat ничего не понял. Ализаром лишь написал, что «Дропбокс дропнул дропшип», а тот, видите ли, опен сорс, и, значит, парни покусились на святое (святое для ализара, конечно же). Ну и ализар, «не поняв» парней, которых он считал «крутой хакерской компанией, а не бизнесменами» (те, конечно же, бизнесмены), написал об этом в своем бложике. Вот и все.
Я вот тоже не понял причем тут open source. Если кто-то напишет вирус под gpl, сразу антивирусные компании в злодеев запишем?
Не обязательно это называется exploit, это может называться ещё и TOS violation и за это тоже можно банить.
В общем, да. За TOS Violation можно забанить пользователей, установивших утилиту.
Но оно компании надо? Только больше шума поднимется. А если будут ложные срабатывания (а они, конечно, будут) то имидж окажется подорван еще сильнее.

Так что придушить в зародыше — самый разумный подход. Другое дело, что придушить не вышло…
А весь ваш пересказ истории сильно субъективен, как будто Dropbox такой мягкий и пушистый, хотя ИМХО их действия достойны осуждения. Даже если они не заставили автора удалить программу с github и своего сайта, а попросили. Это так принципиально? Я исправил топик, чтобы какой-нибудь странный человек не упрекал меня в желтизне. Ещё замечания есть?
Вообще-то принципиально. Что плохого в том что они попросили? За спрос денег не берут, как говорится. Если я вас попрошу писать статьи в будущем внимательнее — я тоже достоен осуждения?

Вон некто не согласился с их требованиями. Если дропбокс удалит его аккаунт и подаст в суд — тогда будете осуждать. А пока что ничего собственно не произошло.
Если еще заметите неточность — пишите в личку, я быстро исправлю.
Спасибо за дополнение.

Из всего этого напрашивается такой интересный вывод. Правообладатели уже пользуются тем же способом, что и Dropship, ищут в Дропбоксе свои файлы по хешам, и рассылают уведомления, все автоматически. Дропбокс понимает, что с распространением Dropship небольшой ручеек абуз грозит превратиться в цунами и смыть из нафиг вслед за имиджем. Поэтому вполне логично, что она попросили удалить программу. И респект им за то, что попросили вежливо.
Всё, Макс, ты нашел свою золотую жилу :) поправляй статьи за ализаром — получай плюсы в карму.
Я хоть после твоего комента более-менее понял что к чему.
Теперь жалею, что этой зимой оплатил dropbox на год вперед. Благо появляются альтернативы.
а что плохого случилось именно для вас, что отношение к ДБ так изменилось?
предпочитаю когда сервис-провайдеры не лезут в дела клиентов и, в частности, не пытаются разделять хранимый пользователем контент на кошерный и приводящий к автоматической блокировке

следующим логичным шагом теперь является дать каким-нибудь правообладателям возможность банить пользователей по совпадению md5 сумм их файлов с суммами правообладённых mp3 треков и книг с либрусека

деньги дропбокс не возвращает, то есть пользоваться им буду до следующей зимы, потом найду вариант получше (или создам свой)
Sign up to leave a comment.

Articles