Комментарии 72
90% видны всем (значение по умолчанию при регистрации)
Приватность профилей:
90% видны всем (значение по умолчанию при регистрации)
6% видны авторизованным
1% видны друзьям и кураторам вакансий с откликом
3% скрыты ото всех
Эффект ленивого пользователя — настройки по умолчанию стоят у 90% пользователей.
Ну сделать максимально скрытые по дефолту, и при регистрации запускайте мастер настройки. Чтобы пользователь осознанно выбирал степень видимости. А у любителей прощелкивать «далее >» настройки оставались приватными.
Скорее поможет всплывающая плашка сверху — типа — у вас не настроены профили безопасности ))) это и даст регистрацию простую и подтолкнет пользователя разбираться в сервисе
Мой комментарий относится непосредственно к предложению мастера настройки.
Учитывая сервис, который предполагает распространение информации пользователя, то делать жесткие настройки приватности — это не рационально. Давать такие возможности надо, они и даются. И да, регистрируются на таких сервисах люди, которые заинтересованы или в поиске работы или распространении информации о себе, что в обоих случаях подразумевает не скрытие данных.
И как раз некоторым пользователям интересно себя скрыть. Не для них этот сервис. Я могу ошибаться, этого не отрицаю. Поправьте меня, но будьте добры предоставить цифры
Потому, если человек не пошел ничего настраивать, то либо настройки его уже устраивают, либо ему пофиг.
Если эти 10% вопят громче — то да.
"ему проще дать, чем объяснить, что не хочу".
Я бы посмотрел в сторону скрытия личной информации и раскрытия ее по отдельному действию, возможно, с большой вычислительной сложностью. Еще есть вариант, хотя и более дорогой для компании, маскировки реальных телефонных номеров через voip прокси. Хотя с моей точки зрения это все выглядит скорее защитой солонки. Люди, размещающие резюме, должны быть готовы к такому.
Реализовать еще возможность посмотреть на свой профиль при текущих настройках приватности "со стороны" как гость, бот, работодатель...
Приватность — это круто, и хорошо что в последнее время этим занимаются. Однако, я ещё в 2002 году студентам рассказывал: если вы закачали информацию в сеть, однажды она может стать публичной.
Бессмысленно и излишне раздражающе. Согласен, что HR должен страдать )) Но парсер это не остановит: оптическое распознавание творит чудеса.
То студентам, которые учат Python, придется учить OpenCV...
Разве что база нужна для автопрозвона, но даже тогда можно нанять задешево человека, который эти телефоны переведет в текстовый вид.
Вот многие, если не все, защищаются от автоматического скачивания данных, пресловутого web scraping. Если не учитывать увеличенную нагрузку на сервер, то почему этому нужно сопротивляться? Ведь Раз уж случилась такая оказия, то было бы интересно услышать ваше мнение.
Вася вдруг захотел себе такой же магазин, и с тем же наполнением, но не стал заморачиваться с уникальностью, собственными фотками и прочим, а напросто спарсил за копейки весь ваш контент… ну как минимум — обидно, да и +1 конкурент.
спарсил за копейки весь ваш контент
ИМХО, но с этим должны бороться с другой стороны. Т.е. мы должны быть защищены законом. если я увидел сграбленный мой сайт, тогда владелец должен мне будет заплатить n*2 денег по решению суда.
Я сейчас выскажу противоположную точку зрения.
Я хочу, чтобы все онлайн магазины работали на одинаковом движке и предоставляли пользователю одинаковый интерфейс. Картинки товара, если он не собственного производства, поставлялись производителем. Описание (характеристики) тоже от производителя, а не переписанные руками с этикетки и с ошибками.
Магазины с оптимизацией производительности, без индивидуальных глюков и с привычной навигацией.
Клиента не перделками и свистелками заманивать надо, а ассортиментом, доставкой, ценовой политикой и прочими оффлайн-добавками к процессу покупки.
Я вот понимаю условные пятерочки, которые в силу конфигурации помещений вынуждены располагать стеллажи в каждом магазине уникально (что задалбывает, когда быстро надо закупиться не в своем магазине). Но, блин, интернет прилавки, где нужно обеспечить максимально эффективный механизм общения покупателя с базой товара…
Немного отклонились от темы, но подытоживая — я за то, чтобы и движки и не авторский контент свободно распространялся. За унификацию.
База анкет — да, я сам хочу, чтобы моя контактная информация, которую я разместил, распространилась. Я же для этого ее и выложил. Но есть жирный минус — я не властен управлять временем ее жизни. После утечки она становится вечной, в отличие от анкеты, которую я могу закрыть. Выход — виртуальный телефонно-почтовый номер (чисто входящий, без заморочек с идентификацией личности, сервис оператора связи), уникальный за все время, с ограниченным или управляемым временем жизни. Это отдельный вид продукта, может уже на эту тему и есть подвижки.
Поэтому и хочется "народную базу товаров". Для товара данного производителя "самозарождается" его фотография и магазины на нее ссылаются. Понимаю, что с нуля такой сервис раскручивать коммерчески тяжело. Ну и надо преодолеть этот барьер "эти базы неудобные, сделаем свою, лучше".
Википедия тоже поначалу была народным творчеством, а сейчас на нее диссертации ссылаются. Получится товаропедия, простите… Типа отзовика в своем сухом техническом остатке.
Это я сейчас не теоретизирую, это многолетний опыт покупок.
Соглашусь. Но на условную половину.
Покупая стоковый товар из раза в раз одного и того же производителя (набираю крепеж в строительном, канцелярию, корм животным, радиодетали...) мне вобщем-то пофиг на его изображение. Часть позиций вообще в таблично-текстовом виде идет. Предпочтение отдается как раз магазину с быстрым и удобным сайтом, удобной доставкой и, при больших и частых заказах, низкой ценой.
Выбирая что-то в первый раз, подбирая по внешним характеристикам, я потрачу силы на ковыряние в разношерстных магазинах, чтобы познакомиться с товаром. Если он серийный, то дальше выливаю воду из чайника и этот же товар снова ищется в удобном, а не в красивом магазине.
Товар на складе и договорённости с поставщиками он тоже спарсит?
И представьте, что вы выложили данные "только для Хабра", по крайней мере в надежде, что они не попадут в поисковики. А те, кто данные спёр, спокойно выложат и в открытый доступ.
90% видны всем (значение по умолчанию при регистрации)
Думаю, апи будет возвращать как раз публичную информацию, которую можно и самому спарсить, как и случилось в сабже.
TL;DR (2): то не баг, а фича! :))
Лимит на количество запросов под авторизованным пользователем. На том же HH.ru такой лимит сейчас составляет 500 анкет в сутки, у нас он будет меньше.
я думаю более правильно делать рейтлимит с burst'ом, чем прямое ограничение на количество просмотров анкет. Кстати, кривая реализация этой возможности приводит к парадоксальным ситуациям, когда лимиты у незарегистрированных юзеров выше, чем у зареганных (WAT?)
Совет из разряда «Не можешь победить — возглавь»: предоставление платного API для легального парсинга базы.
Верный вариант. Всё же воевать с ботами дело конечно интересное, но очень неудобное для сервиса. На счёт изменения лимита не вижу особой необходимости так как боту даже если лимит будет 20 анкет в сутки это не как не помешает только увеличит время разработки бота.
На главной странице Хабр.Карьера указано, что там 148817 специалистов (этой информации не хватает в статье, кстати). Округлим до 150к и прикинем, во что обойдётся парсинг.
Смотреть будем для лимита 500 анкет / сутки. В статье сказано, что здесь он будет меньше, но совсем непонятно насколько меньше. Как достоверное известно — даже 499 будет меньше, чем 500.
150к / 500 = 300 дней при парсинге с одного аккаунта. Или 1 день при парсинге с 300 аккаунтов.
Не являюсь пользователем Хабр.Карьеры, не знаю является ли там обязательным телефон. Прямо сейчас в форме регистрации я его не увидел. Если он не обязательный — то зарегистрировать 300 аккаунтов проблемы вообще не составит.
Если телефон обязательный — это опять же ничем не поможет. Стоимость получения СМС будет около 3р. Итого за 900р получим полный набор аккаунтов для парсинга.
Ещё будут расходы на прокси и скрипты. Но если говорить о скрапперах — то у них уже есть прокси, а скрипты они как-нибудь напишут.
Не знаю какие будут цены на API, но полагаю адекватные. Мой вывод из этих цифр, что API может защитить от любительского скраппинга, т.к. он станет невыгоден (цена прокси + скриптов скорее всего будет выше 10 т.р.), но от профессиональных скрапперов не поможет от слова совсем.
Если нужно победить профессиональных скрапперов — как вариант цена запросов по API должна быть не только соизмерима с ценой скрапинга, но и API должна предоставлять больше полезных данных, если это допустимо пользовательским соглашением. Вообще от профи не поможет даже бесплатный API, как писали в статьях о скрапинге =)
Мне больше нравится подход, установленный на djinni.co — рекрутеры видят анонимизированные пользовательские резюме, и только когда пользователь хочет, он раскрывает контактные данные конкретному рекрутеру, который ему написал.
Но понятно, что цели у сервисов разные — Джинни чисто для поиска работы, в то время как Хабр Карьера пытается заменить собой заблокированный в России LinkedIn.
Вот тут вся информация, в конце приведено обещание «скоро всё объяснить»:
habr.com/ru/company/itsumma/news/t/487982
На хабре произошла утечка емейлов, телефонов, личных переписок и т.д. Ответ администрации: пользователи не поменяли какую-то там настройку.
Что я ожидал увидеть в статье:
1. признание фейла
2. меры по исправлению
3. меры, чтобы такого не было в будущем
Что я увидел в статье:
1. утечки не было
2. пользователи сами виноваты
3. менять ничего не будем
Я бы мог представить такую ситуацию лет 10-15 назад, но точно не сегодня.
Что будет если кто-то из пользователей пожалуется, что без прямого разрешения пользователя слили его персональные данные?
Вы можете сказать, что вы на Кипре и вас не касаются Российские законы, но здесь ещё более суровый GDPR, согласно которому вы можете предоставлять персональные данные, только участникам программы GDPR.
Т.е. если я сейчас сделаю GDPR-запрос на удаление моих персональных данных с career.habr.com, то вы должны удалить их и передать мой GDPR-запрос остальным своим партнёрам, которым вы передали мои персональные данные. Но вы не сможете этого сделать потому что, вы уже не контролируете данные, ведь произошла «утечка».
Тогда вам останется только одно — заплатить штраф. И возможно тогда вы поменяете ваши дефолтные настройки приватности, ну или опять заплатите штраф.
На случай если вы думаете, что законы работают только против очень крупнейших сайтов мира:
За период действия GDPR по данным на январь 2020 года зафиксировано регуляторами 160 тысяч нарушений.
Что-то мне подсказывает, что хабр — достаточно крупный, чтобы оказаться в этом списке.
Итак, вы что-то будет делать с утечкой персональных данных? Оповестите пользователей, что их персональные данные утекли? Поменяете дефолтные настройки? Примете меры, чтобы такого не повторилось в будщем?
Ключевые отличия GDPR от 152 ФЗ:
Ну это я так вижу что из себя предоставляет GDRP(пока нет явного API к данным), буду рад любым дополнениям и исправлением в логике.
Чисто формально это не является утечкой.
Пользователь в любой момент имеет право сделать запрос в сервис для удаления своих ПД и сервис должен их удалить, а также проследить, что все его партнёры также удалили. Для этого сервис имеет право делиться только с теми представителями третьей стороны, которые подтвердили, что они работают согласно GDPR.
Приведу, пару примеров:
1. фейсбук передаёт ПД компании, которая соответствует GDPR. пользователь запрашивает удаление информации, фейсбук удаляет сам и передаёт реквест своим партнёрам — всё ок.
2. фейсбук передаёт ПД компании, которая не соответствует GDPR и находится в канаде. пользователь запрашивает удаление информации, фейсбук удаляет, но третья сторона, которая также владеет ПД пользователя отказывается.
фейсбук получает штраф, потому что он не имел права передавать данные пользователя третьей стороне, которые не работает по GDPR. также фейсбук должен оповестить пользователей, что их ПД теперь за пределами GDPR, т.е. произошла «утечка».
Хабр не только не соответствует GDPR, но что гораздо хуже слишком легкомысленно относится к ПД, предоставляя к ним доступ по дефолту и ничего не видит в этом плохого.
Что сейчас происходит в европе: если вы передаёте ПД какой-нибудь рекламной сети, рекрутинговому агентству, скидочной организации и прочим партнёрам, то вы предварительно запрашиваете от них документ, что они подтверждают работу с ПД согласно GDPR. Если они не подтверждают, то ищете другого партнёра. Если они подтверждают, но по факту по GDPR не работают, тогда уже проблемы у них, а не у вас.
Но вот в плане работы парсеров ситуация иная ибо пользователь хоть и соглашается с требования сервиса, но не имеет прямого отношения к GDRP, так как, если мой парсер(я пишу их но не для европы, да и не для персональных данных) формально если я получаю и агрегирую пользовательские данные, то я делаю это с 200-400 аккаунтов, и формально нет никаких претензий к сервису, так как каждый из зарегистрированных аккаунтов не является партнёром. Как следствие компания пользующаяся парсером тоже не является партнёром, но формально является агрегатом персональных данных(без явного источника их получения) понятия public domain не существует в разрезе GDRP, что скорее есть просто ошибка.
Как быть в данном случае? Мы не имеем реального сервиса который имеет возможность сделать явный запрос на удаление.
Мне спама и так хватает
То есть волшебный GDPR от спама вас не спас?
Как же так, ведь европопулисты так старались!?
Я когда ходил по ирл собесам это только помогало, и настраивало на непринужденную беседу когда я объяснял что зовут меня не так как в анкете, потому что это псевдоним и я за анонимность в сети.
Вот какое может иметь значение для работы как тебя зовут, как это влияет на рабочие обязанности.
С одной стороны люди хотят быть защищены от злоупотреблений сведениями о них, с другой часто ищут иные способы рассказать о себе другим и установить контакты. И это не взаимоисключающие потребности: вопрос может быть решён только настоящей анонимностью и защитой сведений пользователя. Главный принцип — только сам человек должен иметь возможность раскрыть кому-либо определённые сведения о себе ну уровне всей среды (а не отдельного сайта), как и закрыть. Эта задача не решается на уровне отдельно взятой системы — только на уровне всей среды. Т.е. должен быть некий протокол, позволяющий всё это, и поддерживаемый сайтами. Понятно, что всегда можно поднять сайт, на который не будут распространяться действия такого протокола. Это отдельная история.
Тогда отпадут и сами истории типа «напарсили анкет»: человек, открывший в них сведения для всех для того это и сделал. С точки зрения среды и результата не должно быть разницы в посредниках передачи сведений. Просто не нужно пытаться зарабатывать на таком грязном посредничестве, т.е. ставить успешность бизнеса в зависимость от эксклюзивного обладания данными. Другой подход аналогичен зарабатыванию вокруг проектов с открытым кодом: данные открыты в той степени, как этим управляет пользователь, а вот возможности работы с ними — это уникальный сервис сайта.
Как раз 27 апреля 2020 мой аккаунт там появился :) Наконец-то найду работу!!!
Если вдруг моего емайла в базе нет, то вот:
engine-design@yandex.ru
Ищу любую работу, IT-related.
Пишите все, отвечу всем (если прочту и не прямо вот сегодня).
«Утечка» базы специалистов Хабр Карьеры