Основатель Maxthon ответил на некоторые вопросы об отчёте Exatel и сборе пользовательских данных через UEIP


Джефф Чен, основатель и генеральный директор Maxthon, ответил на некоторые вопросы об отчёте Exatel



Какие дела, народ? Сегодня у меня для вас хорошие новости. Не настолько хорошие, как хотелось бы, но и не настолько плохие, какими могли бы быть. Джефф Чен, основатель и бессменный руководитель Maxthon, недавно прокомментировал сообщения о том, что Opera не смогла защитить пароли своих пользователей. Я с такой формулировкой, как вы уже знаете, не согласен: Opera сообщили только о "возможной" утечке паролей от самой системы Opera Sync, и раз эти пароли были немедленно сброшены, то и воспользоваться ими злоумышленники уже не смогут. И, кстати, именно специалисты их Opera Software первыми сообщили о произошедшем. Так что я думаю, что Opera поступила достойно, рассказав обо всём миру. Об этом я и написал Джеффу и напрямую спросил: "Если я объясню, почему официальные комментарии Maxthon мало пересекаются с самим докладом Exatel, я получу официальный ответ?". Джефф согласился... и... Он действительно ответил, ответил, спустя всего пару часов.Это довольно быстро, учитывая, что на то, чтобы опубликовать хоть какой-то официальный комментарий после самого доклада поляков, у него ушла почти неделя. Так что это повод считать эти ответы вполне искренними и честными.

1. Слишком много данных для программы улучшения качества


Программа улучшения качества продукта - обычное дело. Разработчикам, например, было бы полезно знать, как мы настраиваем их программу, чтобы они могли сделать настройки по умолчанию максимально удобными для новичков. Это нормально, но:
  • Участие в программе должна быть добровольной, но пользователи Maxthon не имели (или до сих пор не имеют) никакого выбора. Нормально ли это?
  • Maxthon собирал слишком много информации. Причём с 2007 года. И всё это время они не замечали этого?
Сотрудники Maxthon, кстати, знали, что браузер собирает информацию абсолютно обо всех пользователях (независимо от участия в программе улучшения качества) как минимум с января 2016:
Существует два типа данных, которые собирает Программа улучшения качества:
  • Данные, которые браузер собирает, если вы согласились принять участие в программе.
  • Данные, которые браузер будет собирать независимо от того, согласились вы принять участие в программе или нет: если вы отказались присоединиться к программе, мы не будем собирать ваши личные данные, а ограничимся лишь основной информацией о настройках браузера, не касаясь конфиденциальных данных пользователя.
Если я зачем-то согласился принять участие в программе улучшения качества, Maxthon собирает всю информацию обо мне. Но если я отказался, Maxthon собирает лишь ту информацию, которую должен бы собирать по этой программе. Честно ли это по отношению к пользователям?

Джефф ответил:
Мы уже признали, что это было вызвано скрытым багом. Но тот факт, что баг датируется 2007 годом, не означает, что он срабатывал всё это время. Если бы он проявлял себя всегда, мы бы давно его исправили. Но он срабатывал только при определенном стечении обстоятельств: некоторых настройках ПО и некоторых конфигурациях сети. Так как у нас нет доступа к сети и компьютерам Expal (возможно, это опечатка, и Джефф имен в виду Exetel, - прим.), мы не можем провести глубоких тестов. Поэтому пока мы ищем пути исправления этой ошибки, от Программы улучшения качества лучше отказаться.
Но:
Exatel писали о трех компьютерах в их сети. Да, сеть одна, но компьютеры то разные, с разными настройками. Причём не думаю, что для последующих тестов они использовали те же ПК. Значит ли это, Exatel - дикие везунчики, раз смогли поймать этот "скрытый баг"?

2. Программа улучшения качества и "баг 2007"


MX3 вышел в 2010, MX4 - в 2012. После публикации отчета Exatel представители Maxthon назвали причиной произошедшего "баг в библиотеке 2007". 2007 года? Это уже MX2 или всё ещё первый MX? В MX всё это время был какой-то "баг", который разработчики всё это время не могли заметить, хотя несколько раз полностью переписывали браузер? Как такое возможно?

Ладно, допустим, возможно. Но представьте: вам нужна какая-то информация (о том, как ваши пользователи используют ваш браузер) и вы запускаете Программу улучшения качества. Вы используете её на протяжении 9 лет. Всё это время вы получаете совсем не ту информацию, которая вам нужна, но почему-то не замечаете этого. Почему? Вы либо в курсе происходящего (и тогда все официальные комментарии от MX - это лишь попытка скрыть истинные мотивы), либо вам вообще не нужна эта информация. Тогда зачем вообще её собирать?

Джефф ответил:
Как уже сказано выше.


3. Программа улучшения качества и список установленных программ


Зачем разработчикам Maxthon вдруг понадобился список установленных у меня программ? Этим вопросом задаются все пользователи MX, и почти никто так и не нашёл на него ответа. А между тем было время, когда Maxthon не просто не отрицали факт сбора пользовательских данных, но и объясняли, зачем это нужно:
Программа улучшения качества продукта (UEIP)Пользователи, согласившиеся принять участие в программе будут отправлять нам следующие данные:
  • системную информацию (информацию о железе, операционной системе и т.д.)
  • информацию об использовании продукта (какие кнопки чаще всего нажимаются и какие функции используются)
  • настройки продукта (чтобы улучшить настройки по умолчанию)
  • информация об ошибках и сбоях (какая ошибка произошла, сколько раз она уже происходила и т.д.)
UEIP собирает информацию только о продуктах Maxthon. Но так как некоторое ПО может влиять и на Maxthon, мы можем собирать информацию и о нём. 
Может... Можем... Но Maxthon собирал эту информацию регулярно и довольно часто (пользователи говорят, что обновление архива с собранными данными произошло около 7 раз за 20 минут). И ещё раз: Maxthon знали об этом как минимум с января 2016. Нормально ли это? Если кто-то ответит: "Да. Все браузеры это делают. Потому что всем браузерам нужно как минимум знать причины вылетов", - подумайте вот о чём: остальные браузеры собирают это информацию только после вылетов! Список установленных у меня программ так важен для Maxthon? Честно ли это по отношению к пользователям? Я могу поверить в то, что разработчикам Maxthon действительно нужно знать, какие программы у меня установлены, чтобы исправить какие-то проблемы. Но даже если MX не хотели ничего плохого, они выбрали максимально неверный путь. MX может собирать конкретную информацию о моей системе, но только если у меня какие-то проблемы с браузером. А противном случае, это не их дело! И уж тем более, они не должны собирать эти данные каждые пять минут!

Джефф ответил:
Поверьте, нам не нужно получать информацию так часто, потому что это вполне может обернуться DDOS атакой на наши серверы. Это баг, а не преднамеренное действие.
Но:
Я тоже думал об этом. Ведь согласно новым законам все российские операторы связи и интернет-провайдеры должны хранить данные о звонках и переписки своих абонентов в течении 6 месяцев. Но выполнить это они не могут физически. А маленькая китайская компания может? Звучит странно...

4. История сёрфинга и "облачная защита" - разные вещи


Exatel писали, что MX отправляет на сервер в Китай и данные о посещаемых страницах. Представители Maxthon заявили, что "поляки нашли в архиве UEIP и историю сёрфинга, потому что так работает сканер облачной защиты". Поэтому у меня всего два вопроса:
  • Почему MX проверяет не каждый каждый сайт каждый раз, как я его открываю, а отправляет для проверки список из нескольких сайтов время от времени? Как работает эта "облачная защита"? Потому что это настоящее чудо! Я отрываю сайт, и браузер должен немедленно проверить его. Но MX не делает этого. Вместо этого MX проверят список из нескольких сайтов. MX настолько продвинутый браузер, что знает, какие сайты я открою через 5 минут? Или MX зачем-то проверяет сайты, которые я открывал 5 минут назад? Ведь тогда это бесполезно!
  • Если это действительно "облачная защита", почему эти данные хранятся и передаются через Программу улучшения качества?
Джефф ответил:
Сайты не нужно проверять каждый раз, если вы слышали о кэше. Это не часть Программы улучшения качества, но мы отправляем их вместе, чтобы сэкономить ресурсы.
Но:
Сказал "но", ибо собирался возразить: "Но Exatel писали именно о списке. Значит ли это, что они впервые открыли все эти сайты, если MX отправил все эти данные в одном списке?". Но, да, значит: Exatel использовали чистый Maxthon. Так что конкретно в этом браузере они открывали все эти сайты впервые. Значит ли это, что если вы будете использовать Maxthon в течении нескольких дней, MX перестанет пересылать всю вашу историю? Понятия не имею. Кто-то должен это проверить! Но Exatel писали именно о списке! Хорошо, допустим, после нескольких дней работы MX уже не будет проверять сайты, которые я уже посещал. Но как эта "облачная защита" работает в первый раз? Она проверят список уже посещенных сайтов (и тогда она бесполезна) или она всё равно проверят только новые сайты, которые я только собираюсь открыть (и тогда MX научили браузер видеть будущее)?

5. История сёрфинга в данных Программы улучшения качества не может быть частью синхронизации

Maxthon этого и не утверждали, но многие пользователи именно этим и объясняют слухи о шпионаже: "MX отправляет данные в Китай, потому что это тупо синхронизация. Всё нормально!". Но это не может быть правдой. Exatel сообщили только о проблемах с Программой улучшения качества. Программа улучшения качества и синхронизация - абсолютно разные вещи. Синхронизация не может работать через Программу улучшения качества. Так что все данные в архивах UEIP - это проблема с самой программой сбора данных и ни с чем другим!

Это не может быть синхронизация ещё и потому, что Exatel проверяли работу браузера на трёх компьютерах. Но:
  • Как уверяет Карл Мэттсон (вице-президент Maxthon): "MX шифрует все пользовательские данные, а затем уже зашифрованные данные распределяются между разными серверами".
  • Как сообщил Джефф Чен после публикации отчета Exatel: "MX - действительно международная компания с серверами, расположенными в США, Европе и Азии".
  • Как Джефф Чен уверил сотрудников PCWorld: "Maxthon первоначально был китайской компанией и располагался в Пекине. Но сейчас компания расположена в Сан-Франциско. Там же расположены и все сервера. Так что ваши данные в Китай мы не отправляем".
Так как это возможно? Maxthon забыли о каком-то сервере в Китае и все 3 из 3 случайных компьютера Exatel в Польше разбили пользовательские данные на части, отправили все эти "куски" на случайные серверы MX, и так уж вышло, что в качестве случайных серверов все  эти данные отправились как раз на забытый в Китае сервер. Фантастическое совпадение!

Так что история сёрфинга в данных Программы по улучшению качества никак не может быть ни синхронизацией, ни облачной защитой. Так что это, если не банальный шпионаж?

Джефф ответил:
  • Мы используем сервер, расположенный в Китае, чтобы технические специалисты быстрее получали эти данные. Я не думаю, что здесь что-то не так. 
  • Exatel говорили о Программе улучшения качества, но не все данные, которые расположены в её архивах, относятся именно к ней. У нас свои подходы к организации / шифрованию данных.
Но:
В интервью об MX5 для сайта PCWorld глава Maxthon заявляет, что "серверы компании расположены в Сан-Франциско" и "данные не отправляют в Китай", а теперь вдруг говорит, что у них есть сервер в Китае, который они используют для передаче данных по Программе улучшения качества. Если вам кажется, что всё в порядке... Вам кажется!

6. Это уже не первый скандал вокруг Maxthon

Уже был скандал из-за накрутки результатов HTML5-теста. Тогда Maxthon объяснили это ошибкой разработчиков: мол, они не закончили пилить код, но уже залили его в релизную версию. Уже был скандал вокруг постоянного соединения с китайским сайтом Baidu. Тогда Maxthon свалили всё на баг страницы быстрого доступа. Слишком часто Maxthon рассказывает о том, какой у них крутой браузер, начисто лишённый каких-либо проблем, и о том, что за все эти годы у них не было ни одной утечки. Но слишком редко они говорят о проблемах, а если и говорят, то сваливают всё на "баги". Макстоновцы не при чём, это всё баг! Почему разработчики раньше не видели этот баг и почему не сообщили о нём до того, как это сделает кто-то другой? Есть ли хоть одна причина, по которой пользователи должны доверять разработчикам, которые не могут найти и исправить серьёзные баги в течении многих лет и вместо этого тупо их скрывают?

Джефф ответил:
Покажите компанию, которая может исправить "все баги" до того, как их найдёт кто-то другой. Это зависит от того, с какой стороны смотреть. Взгляните на Google, Facebook, IBM, Microsoft или любую другую компанию с долгой историей. У них были проблемы и посерьёзнее. Но у них хорошие PR-щики, и они всё равно выглядят хорошо. Но это дорого. В нашей команде работают обычные люди, они не идеальны, они совершают ошибки, как и все люди. И нам нужна научиться учиться на ошибках.

И последнее...

7. Что там с расширением Search?

Что это? Почему нет официальных объяснений? Не просто: "Расширение Search нужно нам, чтобы исправить некоторые проблемы с Google". Потому что это не объяснение. Это не очень похоже на правду, скорее на попытку что-то скрыть.

MX безо всяких объяснений добавили расширение Search. И что пользователи должны были об этом подумать? Неудаляемое вшитое расширение, которое не дает изменить поисковик по умолчанию, это вирус! И что по этому поводу должны были думать партнёры Maxthon, тот же Яндекс, например. Вряд ли их обрадовало отсутствие использовать их поисковик. Я говорю о ранних версиях расширения Search, ещё во времена MX 4.4.x.

Потом MX добавили возможность удалять вшитые расширения. Круто! Но где эта возможность сейчас? В MX5 расширение Search снова нельзя удалить. Его можно только отключить или тупо спрятать со страницы расширений, чтобы лишний раз не напоминать себе о нём. И мы по-прежнему не знаем, что это вообще такое и зачем это нужно разработчикам Maxthon. Я говорю "разработчикам", потому что пользователи давно не верят, что это нужно нам всем.

Джефф ответил: 
Расширение Search используется для корректирования некоторых проблем с поисковиком (Google CSE), такими как неправильное отображение страницы из-за обилия рекламы. Мы не можем рассказывать подробнее из-за соглашения, подписанного с Google. Мы могли сделать это и без расширения, но хотели дать пользователям выбор. Поэтому мы и добавили это в виде расширения.
Но:
Это не ответ. Это просто констатация факта + "мы не можем об этом говорить".


Пока этого достаточно. Может быть, позже мы продолжим.
Нам действительно нравится Maxthon. Но сейчас его разработчики делают всё, чтобы мы от него отказались.

Джефф ответил:
Возвращаясь о основной теме обсуждения... Opera позволила хакерам украсти миллионы паролей, и это реальная угроза для пользователей. Но у Оперы хорошие PR-щики, и они с этим справятся. У Maxthon же было лишь несколько багов и абсолютно никакого реального ущерба для пользователей. И это за 13 лет вообще без рекламы. Что бы вы выбрали?

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via GoogleYandexBing or Promt

Комментарии

Популярные сообщения из этого блога

Расширяем функционал браузера без расширений

Почему браузер закрывается без причины? Советы от разработчиков Maxthon

Быстрый перевод без установки дополнительных расширений