Web of Trust (WOT)

[spw 190]

Я так понял здесь беседу уже можно сворачивать. Все, что полагал нужным mywot сказать мне, сказал уже вчера, теперь успешно все игнорирует

Кстати, напоследок, расскажу вот такой фантастичекий сценарий (еще вчера хотел написать, но ждал, вдруг нормальный ответ все-таки получу, вдруг я ошибся в оценках этой компании).

В общем, представляете такую картину... На сайте WoT в каждом углу написано "можно ли накрутить? не, нельзя!" (и тут на форуме постоянно об этом пишут, что, естественно, не соответствует действительности, если копнуть глубже и технологически). А тут происходит нечто. Некий неизвестный анонимный хакер из интернета, который очень сильно не любит компании, неуважительно относящиеся к людям через наплевательское отношение к false positive, или распространение технологий, которые изначально подразумевает огромное число false positive, и отсутствие какой-либо реакции от компании или прямое наплевательство на это (извините, что так длинно, нужно пояснить мотивы), так вот, некий никому неизвестный анонимный хакер из интернетиков, который обожает справедливость, неожиданно тратит 12 часов своего времени (если мотивация будет достаточной и если найдет все-таки это время, конечно, что не всегда возможно), а может больше, а может меньше, зависит от сложности задачи... И через некоторое время выкладывает исходный код модуля, позволяющего полностью эмулировать действие WoT-плагина в браузерах. Т.е. через разобранный протокол сего замечательного продукта, реализуется некое API, позволяющее репортовать те или иные оценки по любому URL'у. Кроме того, этот никому неизвестный анонимный хакер из интернетиков выкладывает эти исходники не просто так в паблик, а рекомендует разным людям использовать их в своих проектах и распространять как можно шире по специфическим форумам. Там люди их преобразуют и интегрируют в свои подмены выдачи, форм-грабберы, да черт знает еще что там у кого сделано и что делает; в то, что интегрировано с браузерами реальных пользователей. (В принципе, анонимный хакер из интернетиков может быть субъективно уверен, что и интеграции с браузером не нужно, достаточно просто слать определенного вида запросы якобы от браузера, а другие линки, чтобы это выглядело правдоподобно, собрать из history браузера). Оценки (как и в случае подмен выдачи) "выставляются" реальными пользователями, при реальных посещениях страниц, с реальных компьютеров, с как там было сказано - "реальным паттерном оценивания". Только неожиданно все это стадо баранов начинает лихорадить: появляются негативные оценки для хороших сайтов (не таких больших как youtube или facebook, чтобы не было возможности отфильтровать), и положительные оценки для плохих сайтов (ой как отлично, перед выводом каких-нибудь landing pages понавыставлять с десятка-сотни тысяч компьютеров отличных оценок). Систему начинает слегка лихорадить. Если пользователей этих не банить - то оценки сбиваются; если же банить - то там, где есть стойкое пересечение с реальным использованием WoT - теряется клиентская база. А как facebook или mail.ru будут довольны. (Особенно с проверкой тех самых внешних линков, ведущих на landing pages -- прямо смешно: facebook покупает заденьги сервис mywot; а, например, koobface, окучивающий facebook через внешние ссылки, на халяву из открытых источников получает модуль для нивелирования приобретений facebook ). В общем, со всех сторон хорошо. Все довольны, всем приятно. А эксперты WoT начинают уже на своей ниже-поясничной части ощущать и понимать, что false positive - это ничерта не ок, и это вполне серьезно.

В общем, это как с гопником на улице. Пока ему в морду не дашь, не успокоится. И не поймет что же не так он делает по жизни.

Да-да, бизнес, я знаю, деньги не пахнут.

Врачей, которые безответственны - отдают под суд.

Компании, которые безответственны - радуются жизни, стригут вкусный шекель.

[Сергей Ильин 1538]

Сергей, все 5 сайтов (странно, у меня открываются) - мошеннические. Они не дают тот товар или услугу, которую можно ожидать судя по контенту. Если покликать по ссылкам, то часть из них отправляет на скам "работа на дому", например.

Я думаю, что мошеннничество можно отнести к категории опасных для пользователя сайтов, разве нет?

Мы опять упираемся в проблему категоризации сайтов, которую я поднял здесь http://www.anti-malware.ru/forum/index.php?showtopic=23358

Опасность сайта, это когда на него вообще не стоит заходить. Вашей психике или вашему компьютеру будет нанесен вред. Мошеннические сайты при такой формулировке не являются опасными, это зона повышенного внимания, т.е. сайты нежелательные для посещения. Мы можете туда заходить, просматривать их, если хотите, но вред в данном случае не обязательно наступит.

Приведу пример из реальной жизни. Вы можете пойти на рынок за продуктами. Каждый знает, что на рынке обманывают, обвешивают и т.д. Риск быть обманутым есть, но опасности посещения рынка нет. Нет прямой угрозы вышей жизни, здоровью и вашему кошельку. Вы можете спокойно ходить по рынку и ничего с вами не будет. Можете покупать там продукты, необязательно вас там обманут. Но репутация у рынка может быть при этом сомнительная из-за рисков быть обманутым. Таким образом, рынок нельзя назвать опасным, но можно назвать местом повышенного риска. Понимаете разницу?

Вы же выдаете рейтинг WOT, который говорит о недобросовестности, нежелательности посещения и повышенном риске, за рейтинг опасности. Это неверное.

Антивирусная индустрия уже через все это прошла. Есть базы опасных объектов (black list), есть базы чистых объектов (white lits), а есть некоторая серая зоны объектов сомнительной репутации (gray zone). Так вот вердикты по отношению к сомнительным объектам другие, менее категоричные. Есть класс PUPs (Potentially Unwanted Programs) куда попадают сомнительные программы, но без явной вредоносной направленности.

С сайтами почему-то все не слава богу. Методика категоризации давно придумана, но все почему-то изобретают велосипед, придумывают какие-то свои критерии оценки, которые основаны на субъективных факторах. Управление безопасностью основано на понятиях риска, угроз, ущерба. По данным WOT эти вещи абсолютно не просматриваются. Блок Sp0Raw нельзя назвать опасным уж точно. Да и нежелательным для посещения его тоже нельзя назвать. Максимум можно его категоризировать как "16+"

[spw 190]

Блок Sp0Raw нельзя назвать опасным уж точно.

Паша Дуров, к черту твой блоК, верни стену !!

Извините, не удержался

[spw 190]

С сайтами почему-то все не слава богу. Методика категоризации давно придумана, но все почему-то изобретают велосипед, придумывают какие-то свои критерии оценки, которые основаны на субъективных факторах. Управление безопасностью основано на понятиях риска, угроз, ущерба. По данным WOT эти вещи абсолютно не просматриваются. Блок Sp0Raw нельзя назвать опасным уж точно. Да и нежелательным для посещения его тоже нельзя назвать. Максимум можно его категоризировать как "16+"

На самом деле все гораздо проще. Как я уже писал выше, с их подходом к "рейтингам сайтов" им нужно было сделать всего два возможности выбора:

кулачок вниз, кулачок вверх

И пользователь тупо голосует: мне нравится, мне не нравится.

Это реально бы отражало то, что они сделали.

И называлось бы тогда: "Массовая оценка сайтов по принципу нравится-не нравится".

[mywot 5]

Опасность сайта, это когда на него вообще не стоит заходить. Вашей психике или вашему компьютеру будет нанесен вред. Мошеннические сайты при такой формулировке не являются опасными, это зона повышенного внимания, т.е. сайты нежелательные для посещения. Мы можете туда заходить, просматривать их, если хотите, но вред в данном случае не обязательно наступит.

<cut>

Таким образом, рынок нельзя назвать опасным, но можно назвать местом повышенного риска. Понимаете разницу?

Сергей, спасибо за столь развернутое мнение. Это ценно. Я с вами согласен. Разница между опасностью и риском есть. Это отличное замечание.

Вы же выдаете рейтинг WOT, который говорит о недобросовестности, нежелательности посещения и повышенном риске, за рейтинг опасности. Это неверное.

Мне кажется, здесь уже вопрос о конкретных словах, которые мы употребили в продукте, и о том, как эти слова воспринимаются. Можете показать, где у нас вы увидели "рейтинг опасности"? Если мы так и правда где-то в продукте пишем, это конечно нужно исправить.

[_Stout 131]

Тут вы не правы, как раз часто работает, например сай заражен или там выложен зараженный файл и разу пойдут отрицательные отзывы и вот уже сайт считается опасным

Или например адрес сайта похож на настоящий а на самом деле в адресе изменена одна буква визуально ничего не видно но вы видите что сайт не желателен для посещения и вот вы уже и обошли опасность. А ведь можно и случайно ошибиться с вводом адреса и попасть ох как попасть

Сайт заражен? Неизвестной заразой? большинство пользователей не поймут этого. Про фишинг я уже писал. С другой стороны, если сайт заражен чем-то известным, то АВ компании уже заблокировали этот сайт. Но вопрос не в заражении или фишинге. Вопрос почему часто склоняемый здесь блог Спорава имеет низкую репутацию. Ни вирья, ни фишинга, ни фин пирамид там нет. Почему???

А я вам точную цифру скажу, которая впрочем, близка к вашей - в 78-80% случаях показа предупреждения, европейские и американские пользователи не открывают сайт. Пост-совесткие страны имеют совсем другой уровень "любопытства" - около 50-60% не пойдут на сайт после предупреждения.

И все таки я не согласен со словом "навязываем". Навязывать - это заставлять кого-либо делать что-то против воли. Вы же не этот смысл вкладываете? Но в целом я понимаю о чем вы говорите.

Вот это и навязывание. 70-80% людей не будут читать сайты, которые никак не считаются опасными а содержат точку зрения людей, которая не нравится вашим активистам. И они (и только они) оценивают с тз "Нравится -- не нравится", а не с тз опасности, законности. Что это если не цензура, пусть и не в явном виде

И да, спасибо вам за конструктивную критику и дискуссию.

Всегда пожалуйста.

[spw 190]

Сайт заражен? Неизвестной заразой? большинство пользователей не поймут этого. Про фишинг я уже писал. С другой стороны, если сайт заражен чем-то известным, то АВ компании уже заблокировали этот сайт. Но вопрос не в заражении или фишинге. Вопрос почему часто склоняемый здесь блог Спорава имеет низкую репутацию. Ни вирья, ни фишинга, ни фин пирамид там нет. Почему???

Он представляет серьезную опасность для мозга хомячка. Неожиданно у хомячка произойдет разрыв шаблона и окажется, что Алексей Н. не такой честный, как это представляет ))))

У кого-то может начаться депрессия после посещения этого сайта.

Так что опасность есть. Серьезная.

[_Stout 131]

Он представляет серьезную опасность для мозга хомячка. Неожиданно у хомячка произойдет разрыв шаблона и окажется, что Алексей Н. не такой честный, как это представляет ))))

У кого-то может начаться депрессия после посещения этого сайта.

Так что опасность есть. Серьезная.

Мне твой блог тоже не нравится, но это не значит, что ты не имеешь право на собственное мнение и я имею право запрещать кому-то (кроме моих детей) читать твои мысли.

[Milord 55]

часто склоняемый здесь блог Спорава имеет низкую репутацию

а я думаю, откуда вся эта истерия) теперь всё понятно))

Некий неизвестный анонимный хакер из интернета

например Sp0Raw?))

WOT на рынке уже лет пять, и зарекомендовал, у вменяемых пользователей, достойную репутацию, к чему этот балаган, не понятно)

[spw 190]

WOT на рынке уже лет пять, и зарекомендовал, у вменяемых пользователей, достойную репутацию, к чему этот балаган, не понятно)

Тут выше уже писали про эту "репутацию"

[alexgr 556]

WOT на рынке уже лет пять, и зарекомендовал, у вменяемых пользователей, достойную репутацию, к чему этот балаган, не понятно)

Внушает!!!!

то есть те, которые им не пользуются - невменяемые? ну-ну, резковато

похоже на - "все, кто не разделяет мои убеждения - невменяем"

[Milord 55]

Всё верно, невменяемых в сети полно, а где Вы увидели у меня в сообщении, что если не пользуются, значит невменяемые? А вот "внушением", как раз и занимаются многие на этом ресурсе, а то что резковато.... ну как бы я даже мягковато выразился) если что.

[alexgr 556]

у вменяемых -достойная репутация. Которые не пользуются - подразумевается, что не имеет репутации вообще. Таким образом - не пользуешься - невменяемый. Ну если идти путем простой формальной логики. И представитель меня не убедил

[mywot 5]

И представитель меня не убедил

Вот как бы знать ещё, в чём конкретно мне нужно было убеждать.

[spw 190]

Кто здесь??! ©

... и сделать у нас запрос на переоценку (с) mywot

[AlexxSun 150]

Почему мордакнига и мой мир тянутся за этой фигнёй этим сервисом — мне более или менее ясно, потому, что вся идеология этих мордакниг, вконтакте, моего мира, одноклассников сейчас построена по принципу "лайкни меня" Именно поэтому мне обрыдли соц.сети, заходишь туда, а там сплошные "лайки" или "мне нравится" стоит на том, что мне абсолютно не нравится ))

Хорошо то, что хоть в некоторых из них можно отключить бесконечную ленту той фигни бесполезной инфы, которая понравилась твоим друзьям и знакомым. А ведь в некоторых соц.сетях это насильственное вынесение мозга, никак не отключаемое

[alamor 69]

... и сделать у нас запрос на переоценку (с) mywot

Sp0Raw, насколько понимаю если вам начнут делать переоценку то того результата о котором вы мечтаете всё равно не будет, никто вам разом репутацию не обелит и и даже не обнулит. Единственно что ваш сайт заново будет оценён как вы выражаетесь "хомячками" и снова получит туже оценку, так что имхо ваши старания счетны.

[AlexxSun 150]

Почему вы так уверены, что он зря старается? Ведь по результатам этого обсуждения вполне возможно специалистами портала будет написана статья, которая разойдётся по лентам RSS-новостей, и тогда широкие массы пользователей узнают об этом мошенническом сервисе плагине и больше пользоваться им не будут

[spw 190]

Sp0Raw, насколько понимаю если вам начнут делать переоценку то того результата о котором вы мечтаете всё равно не будет, никто вам разом репутацию не обелит и и даже не обнулит. Единственно что ваш сайт заново будет оценён как вы выражаетесь "хомячками" и снова получит туже оценку, так что имхо ваши старания счетны.

Как я уже писал в своем lj, мне это неважно.

Вопрос здесь чисто принципиальный, а это - наглядный пример всего. И того, как работает этот супер-рейтинг. И того, как компания реагирует на ситуацию. Например, последние 2 дня она тупо игнорирует все вопросы/комментарии от меня. Как будто их никто не задавал/не писал. Крайне показательно.

Ну ничего, анонимные хакеры из интернета помогут перенести ниже-поясничную боль с пользователей на создателей, которые загнали пользователей в такое положение

Мне даже в некотором роде жалко Сергея (mywot). С одной стороны, ему прекрасно все понятно. С другой стороны, он поставлен компанией, чтобы рассказывать о том, какой сервис замечательный, как он помогает людям и вообще как прекрасно и вкусно пахнут шекели от facebook, mail.ru и других компаний (в т.ч. будущих клиентов). А тут такой облом (все ведь по делу) и стена непонимания. И возразить, в общем-то, нечего. Кроме той же мантры: "Сервис замечательный, вы только попробуйте, он такой отличный, просто прелесть. Даже компании мирового уровня типа facebook выбирают его! А это говорит о многом! Ого-го!"

[alexgr 556]

Вот как бы знать ещё, в чём конкретно мне нужно было убеждать.

Что ваши рейтинги как то относятся к информационной безопасности

[mywot 5]

А я таки отвечу

Я намеренно не отвечаю на посты, основной посыл которых - троллинг. Уверен, каждый здесь присутствующий знает это правило. Впрочем, я мог не верно идентифицировать троллинг...

Да, Андрей, я услышал твою угрозу причинения нам вреда, и (прочитав твой блог и другие тематические форумы) я верю, что ты это можешь. Единственное, что я честно не понимаю - какая у тебя мотивация наносить вред другим, создавая malware, тратя время из своей жизни на это. Но это уже оффтопик. Если кто-то знает хорошую статью о психологии хакеров, буду признателен за ссылку.

Из всей дискуссии здесь (я ее внимательно перечитываю несколько раз в день целиком) я уже сделал выводы о наших недоработках в объяснении концепции. Это полезный результат от этой дискуссии.

Пожалуй, я бы попросил у всех задавших вопросы таймаут - для меня лично опыт общения с публикой является новым (я девелопер, не PR-специалист), и на Россию мы вышли в конце прошлого года. Понимаю, что сейчас кто-то набросит в духе "ха, хреново вышли, раз не готовы". Таки да, мы небольшой финский стартап, отнюдь не корпорация. Решаем поступающие проблемы по мере возникновения.

[OlegAndr 236]

Собственно по результатам дискуссии и так понятно что это репутационный сервис из серии "а чо вроде ничего".

Его можно использовать для всякой надобности - например для оценки достоверности контента либо уровня культуры сайтов. (здесь я соглашусь с оценкой жж спорава)

Одно большое НО:

Его абсолютно нельзя использовать для принятия решений о безопасности. А именно это вы и пытаетесь продавать.

[spw 190]

Я намеренно не отвечаю на посты, основной посыл которых - троллинг. Уверен, каждый здесь присутствующий знает это правило. Впрочем, я мог не верно идентифицировать троллинг...

Да, боюсь здесь ошибка.

Выглядит примерно так:

- Меня же клали на операцию по аппендициту, почему же мне удалили почку?!

- Хахаха, право вы троллите! Ну будет вам!

... Пациент уходит с больным аппендицитом и без почки...

Да, Андрей, я услышал твою угрозу причинения нам вреда, и (прочитав твой блог и другие тематические форумы) я верю, что ты это можешь.

Так и хочется вот прямо сейчас позвать сюда Matias по поводу его подписи! :-))

Единственное, что я честно не понимаю - какая у тебя мотивация наносить вред другим, создавая malware, тратя время из своей жизни на это. Но это уже оффтопик. Если кто-то знает хорошую статью о психологии хакеров, буду признателен за ссылку.

Мотивация? Знаете ли, не люблю несправедливость. Вот совсем не люблю. Когда сильные обижают слабых.

Вот когда компания реагирует так на false positive - это пример такой ситуации. Есть пользователи, которые страдают от подобных рейтингов (в данном случае это абстрактный пример пользователя в лице меня; но я уверен, что я - далеко не одинок в этом плане). Есть компания, которая не обращает внимание на это страдание, причиняемое ее действиями, и считает это нормой. Текущее мироустройство позволяет компании спокойно закрывать на это глаза: компания сильная, пользователи - слабые. (Никто никаким способом не может заставить компанию обратить внимание на это и что-то сделать с этим - нет никакого ни контролирующего, ни сертифицирующего, ни лицензирующего органа; если только компания не захочет в этом разбираться сама; а с учетом того, что в восприятии компании эта проблема не того масштаба, + на деньги не влияет = можно спокойно игнорировать). Пользователи ничего не могут сделать в сложившейся ситуации, никак не могут на нее повлиять. Ну а вот анонимные хакеры из интернета могут чуть-чуть помочь восстановить баланс в этом мире. Это когда "слабые" дают еще раз сигнал "сильным", чтобы те задумывались об ответственности своих действий, а не только купоны стригли. Считайте, что это что-то вроде кармического проявления (для тех кто верит во что-то подобное )

Вот примерно такая философия. Показанная уже несколько раз на практике.

Из всей дискуссии здесь (я ее внимательно перечитываю несколько раз в день целиком) я уже сделал выводы о наших недоработках в объяснении концепции. Это полезный результат от этой дискуссии.

Очень надеюсь, спасибо.

Хотелось бы, чтобы это объяснение концепции было бы и донесено и для будущих клиентов, которые покупают фильтр по безопасности (а думаю, им он так и продается, т.к. их проблемы связаны с этим - один koobface для facebook'а чего стоил). Или эта концепция была изменена.

Пожалуй, я бы попросил у всех задавших вопросы таймаут - для меня лично опыт общения с публикой является новым (я девелопер, не PR-специалист), и на Россию мы вышли в конце прошлого года. Понимаю, что сейчас кто-то набросит в духе "ха, хреново вышли, раз не готовы". Таки да, мы небольшой финский стартап, отнюдь не корпорация. Решаем поступающие проблемы по мере возникновения.

С учетом того, что вы разработчик - мне стало вас еще больше жаль (в положительном смысле). Т.к. вы в общем-то как бы и не при делах, а "отдуваться" здесь вам приходится. И, думаю, с вашей стороны имеется желание сделать что-то лучше. По крайней мере, я так себе представляю мотивацию большинства разработчиков. Правда, отдельные разработчики вряд ли что-то могут менять в стратегии работы компании. Это к сожалению.

[mywot 5]

Т.к. вы в общем-то как бы и не при делах, а "отдуваться" здесь вам приходится. И, думаю, с вашей стороны имеется желание сделать что-то лучше. По крайней мере, я так себе представляю мотивацию большинства разработчиков. Правда, отдельные разработчики вряд ли что-то могут менять в стратегии работы компании. Это к сожалению.

Да нет, Андрей. Мне все таки кажется что я при делах, и могу скорректировать направление (если я ошибаюсь, то это будет большой "ой").

Мне почему то показалось, что существует негативное восприятие образа "компания" вообще. Но ведь, как минимум, финские компании очень сильно отличаются от российских буквально во всем в положительную сторону. А еще правильные стартапы по духу своему нацелены на решение проблем людей (или это мое идеалистическое восприятие опять?).

В общем, я себе записал домашнее задание - посмотреть где конкретно мы заявляем о безопасности, и попробовать соединить то понятие о безопасности, которое всем привычно на этом форуме, с тем, что дает наш продукт.

[spw 190]

Мне почему то показалось, что существует негативное восприятие образа "компания" вообще. Но ведь, как минимум, финские компании очень сильно отличаются от российских буквально во всем в положительную сторону.

В эту сказку я не верю. Я уже видел "европейскую" компанию ESET, поворачивающуюся лицом в виде задницы к пользователям. (Подчеркну еще раз: eset.sk). В том смысле, что про этот аргумент можете забыть. Это зависит сугубо от людей и их личных ценностей (важных для них вещей в данный момент их социального развития), и совершенно неважно, русские они там, словаки, финны или еще кто.

А еще правильные стартапы по духу своему нацелены на решение проблем людей (или это мое идеалистическое восприятие опять?).

Идеалистическое, я тоже так думал. На практике: правильные стартапы нацелены на возврат инвестиций и получение бабла. А потом уже все остальное. Поэтому когда становится выбор: или контракт facebook по безопасности, или пользователи -- выбор таких стартапов очевиден ))

Отношение к компании как таковой всегда нейтрально-положительное. Далее корректируется на основе, собственно, дел и реакций. Какого-то негативизма к каким-либо компаниям "просто так", "без дела" - нет и никогда не было.