Get best of the week

专业人才基地“泄漏”

首先,在电报频道中,然后在Habré上,信息出现在从Habr Career站点泄漏的用户数据上。我们认为有必要给出更详细的评论,并讨论如何安排服务的隐私设置。

TL; DR
,

泄漏

立即采取镇静剂:我们没有发现渗透到服务数据库中的任何痕迹。 

然后发生了什么?在任何情况下,都不要将责任归咎于用户自己,但是尽管如此,“泄漏”中出现的信息仍然可以在网络上获得。只是有人决定收集它,并且从站点的侧面很难抵抗。

因此,我们决定告知我们当前和将来的用户Haber Career如何安排隐私。因此,首先,每个人都清楚解析有关信息的种类。其次,因此,每个人都知道这一点,就可以更有意识地控制他们在网络上的隐私。

Habr Career如何保护隐私?


服务上有两个主要的隐私设置:整个个人资料和联系信息。 

用户可以选择向谁显示他的个人资料:

  • 每个人,包括访客和机器人(注册期间的默认值)
  • 仅授权用户
  • 空缺的朋友和策展人对我的回应
  • 不要显示任何人

用户的联系人是其个人资料的一部分,并且还有其他隐私设置。用户可以选择向谁显示他们的联系信息:

  • 仅授权用户
  • 给我的空缺的朋友和策展人(我注册时的默认值)
  • 不要显示任何人

为了设置联系人的隐私,我们特意删除了“每个人,包括来宾和机器人”设置,以使搜索引擎不会为联系人信息建立索引。毕竟,如果发生后者,则用户无法快速从网络中删除其联系信息。他将它们隐藏在职业生涯中,但是它们仍然在搜索引擎索引中保留了相当长的时间。

同样,用户不能将联系信息放到比其个人资料总体上宽松的隐私条件上。例如,如果个人资料具有“朋友和策展人”的隐私,则联系人不再可以设置为“仅授权”。


用户可以在其主配置文件的左栏中看到其个人资料和联系人的隐私设置。可以单击带有每个设置描述的文本-链接将用户带到一个页面,您可以在其中更改相应的设置。


当前,我们具有以下有关用户隐私的统计信息:

个人资料隐私

  • 每个人都可以看到90%(注册时的默认值)
  • 6%是可见的已授权
  • 职位空缺的朋友和策展人可以看到1%的回复
  • 每个人都隐藏了3%

联系人隐私:

  • 25%可见授权
  • 职位空缺的朋友和策展人可以看到75%的回复(注册时的默认值)
  • 所有人隐藏的<1%

如您所见,一般来说,有10%的用户希望在注册后为自己的个人资料选择更严格的隐私设置,而有25%的用户更喜欢为自己的联系方式选择较弱的隐私设置。

因此,任何登录到该站点的用户都可以查看(并保存)几乎所有用户的个人资料以及四分之一用户的联系信息。实际上,这是发生了的。

档案中有什么


我们没有获得在其中一个论坛上发布的档案内容。但是从提供的附带信息来看,它仅包含用户配置文件中可供该服务的其他注册用户使用的信息。我们有一个专用的API来处理我们在第三方网站上的职位空缺和响应,但是发布的存档中的数据不是来自该API-漫游器只是浏览页面,将页面解析并将其放入文件中。从记录数量来看,该数据库已随时间进行了编译(以免引起注意)。

具体的例子:


这是该网站上的个人资料:


我们会怎样做


最初,很明显,保护自己免受解析在技术上非常困难(有时这是不切实际的)。关于哈伯的文章只证实了这一点


但是,我们仍然与一些人进行了协商,他们并不是出于业余爱好,而是以工业规模进行协商。格言马卡辛4ik来自xmldatafeed.com的消息说,现在一切都被解析了,但是我们一起想出了将要完成的几个细微差别。这里是其中的一些:

  • 限制授权用户的请求数。在同一HH.ru上,这样的限制现在每天多达500个配置文件,而对于我们来说,这个限制会更少。
  • 来自“您赢不了-潜在客户”类别的建议:提供用于合法数据库解析的付费API。 
  • 此外,还应定期通知那些已表明很多关于他们自己的公共联系信息的用户。


我真的不希望我们的服务受到真正的技术威胁,因此我们还计划尽快启动赏金计划。同时,如果您发现漏洞,请在反馈表中告知我们-我们将找到一种通用语言并修复所有问题。 

感谢您的关注!

More articles:


All Articles