بایگانی برچسب: s

تجربه من و الوپیک

دیروز می خواستم یه بار سبک رو از منطقه آذری بفرستم به سمت یوسف آباد. برای اولین بار گفتم از الوپیک استفاده کنم. به طرفی که ازش خرید کرده بودم گفتم منتظر بمونه تا من الو پیک بگیرم. خیلی سریع جواب داد و گفت یه وانت تا ۴ دقیقه دیگه می رسه. منم به طرف گفتم چهار دقیقه صبر کنه تا من چیزی که خریدم رو ببرم.

بیشتر از چهار دقیقه بعد تلفن زنگ زد. راننده وانت بود که می پرسید بار چیه و بعد می پرسید یوسف آباد در طرح است؟ گفتم نه و قطع کرد.

صبر کردیم و صبر کردیم.

ساعت ۱:۳۸ دقیقه یعنی ۲۳ دقیقه بعد از پذیرش درخواست از طرف وانتی که سیستم می گفت ۴ دقیقه با من فاصله داره حوصله ام سر رفت و بهش زنگ زدم. بازم پرسید که آیا یوسف آباد در طرح است؟ گفتم در طرح زوج و فرد هست ولی در طرح اصلی نیست. راننده بهم گفت که پس باید کنسل کنم چون پلاکش مناسب طرح نیست. منم گفتم ۲۵ دقیقه است منو معطل کرده در حالی که سر کوچه می تونستم یه وانت بگیرم و برم و سریعتر باشه و اصلا کنسل کنه. اونم گفت باشه.

معامله ام رو کنسل کردم و گفتم شب با ماشین خودم میام میگیرم و اعصاب خوردی توش خیلی کمتره. مشغول همین صحبت بودم که پشتیبانی الوپیک زنگ زد و گفت راننده گفته من گفته ام مقصد در طرح نیست ولی بوده و در نتیجه اون الان به من نزدیک است و من کنسل کرده ام و باید ۷ هزار تومن جریمه بدم!‌ با پشیتبانی بحث کردم و گفتم که راننده باید بدونه چی طرح است و چی نیست و بنا بر این قبول کنه و مقصد هم در طرح زوج و فرد است و طرح ترافیک اصلی نیست و باشه هم راننده نباید قبول کنه و بعد زنگ بزنه که نمی تونه. در نهایت مودب ولی با اکراه قبول کرد و قطع کردیم.

شب ساعت ۱۰ که خلوت تر شد دوباره تا اونجا رفتم تا بسته ام رو تحویل بگیرم. تجربه بدی از الوپیک بود. انتظاره می ره:

  • راننده بسته ای که نمی تونه تحویل بگیره یا تحویل بده رو قبول نکنه؛‌ نه اینکه قبول کن بعد به من زنگ بزنه که نمی تونه بره اونجا
  • انتظار می ره راننده مسیرها رو بلد باشه یا با اپلکیشن و غیره آشنا باشه. من مسوول مسیریابی نیستم
  • انتظار می ره راننده طرح زوج و فرد و محدوده های ترافیک و غیره رو بلد باشه
  • وقتی سیستم می گه راننده ۴ دقیقه فاصله داره ولی ۲۳ دقیقه منو منتظر می ذاره و هنوزم ۴ دقیقه فاصله داره، پشتیبانی تیکت بگیره و مساله رو دنبال کنه
  • مشکل گاه گداری ممکنه پیش بیاد ولی یک تجربه بد هم می تونه باعث بشه من دیگه به سیستم اعتماد نکنم و همون وانت گرفتن از سر کوچه یا ماشین خودم رو بردن رو راحتتر بدونم

مفصل و دقیق نوشتم چون پشتیبانی الو پیک و بقیه خواسته بودن بدونن ماجرای توییت صبح چیه.

اطلاعات من، مسوولیت شماست

امروز شاهد یک اتفاق عجیب بودم که البته بی سابقه نیست. یک نفر از یک بانک کاری شخصی با کسی داشته که توی اون بانک حساب داره و به سادگی به خودش اجازه داده اطلاعات حساب اون فرد رو چک کنه، تلفش رو برداره و بهش زنگ بزنه.

ظاهرا این بانک با اینهمه ادعا دو نکته بدیهی رو نمی دونه:

1. در یک سازمان باید سطح دسترسی به اطلاعات تعریف بشه. افراد مختلف باید به بخش های مختلف دسترسی داشته باشن و هر کس باید فقط به بخشی از اطلاعات دسترسی داشته باشه که بهش مربوطه. این مساله به طور خیلی خاص تر در مورد اطلاعات شخصی افراد هم معتبره. سازمان های مدرن تر شاید تصمیم بگیرن بخش عظیمی از اطلاعاتشون رو برای تمام کارمندان یا حتی عموم مردم باز کنن ولی بازم این باز کردن نباید باعث زیر سوال رفتن پرایوسی آدم ها بشه. مثلا ممکنه فیسبوک با ایده دسترسی مسطح به اطلاعات، به همه کارمندانش اجازه بده به میزان چت ها دسترسی داشته باشن ولی نباید اجازه بده هر کسی بتونه چت افرادی که می خواد رو بخونه.

2. اگر من اطلاعاتی به سازمانی می دم، فقط در محدوده های مرتبط اجازه استفاده از اونها وجود داره. اگر من تلفنم رو به بانک می دم برای اینه که در صورت مشکلی در حسابم بهم زنگ بزنه یا بتونه موقع برداشت و پرداخت بهم اسمس بده. تبلیغ کردن یک سرویس همون بانک شاید در محدوده خاکستری باشه ولی دادن شماره من به یکی دیگه برای تبلیغ یا قرارداد متقابل و تبلیغ کردن یک سرویس دیگه مطمئنا محدوده قرمز است و تماس تلفنی یکی از کارمندهاش برای کارهای شخصی شون مطمئنا منطقه بنفش.

درک این موضوعات و برخورد جدی با این موارد است که اعتبار یک موسسه و سازمان رو حفظ می کنه و ما هم باید در موردش هشیار باشیم. هم به عنوان تولید کننده و مشاور سرویس ها و هم به عنوان مصرف کننده و کاربر.

بازم جنس دست دوم از دیجی‌کالا و حرف‌های همراهش

شاید تو خیلی سخت گیری؟!

این رو پدرام می‌پرسه. واقعا هم عجیبه که در کل ده بیست تا خرید من، چهار بار جنس دست دوم از دیجی‌کالا گرفته باشم. ولی واقعا سخت‌گیر نیستم. قبلا هم گفتم که تبلتی که به وضوح باز و استفاده شده بود رو پس ندادم چون حوصله اش رو نداشتم ولی خب مثلا در مورد میکروفونی که جعبه اش پارگی داشت دیگه منطقی بود که حتما پس بدم. همین اتفاق چند روز قبل در مورد یک مانیتور افتاد. جعبه کاملا باز شده بود و من تا وسط های آنباکس کردن هم ایده ام این بود که «فدای سرم بر می‌دارمش» ولی خب وقتی کابل هم توی مانیتور نباشه و صفحه کثیف باشه و .. دیگه امکان «فدای سرم» نیست.

به دیجی کالا زنگ زدم و توییت کردم. دلیلش هم اینه که بحث فقط عوض کردن نیست بلکه مشکل اصلی یک روش کار یا نگرش است. دیجی کالا بسیار سریع عکس العمل نشون داد و یک روز نگذشته بود که مانیتور نو روی میز کارم بود و کلی با تلفن پیگیری شده بود و پیک منتظر بود که حتما مطمئن بشم این مانیتور رو می خوام تا بالاخره دفتر رو ترک کنه و بره سراغش ماشینش که پایین پارک کرده.

اینجا چند تا چیز هست:

  • در مورد من که خیلی هم خرید نمی کنم، چهار بار جنس دست دوم تحویل گرفتن خیلی آمار زیادی است. کمی بعیده که یک اشتباه باعثش بشه.
  • یک نفر که جعبه ها رو نگاه کنه می تونه تشخیص بده یکسری از این جنس ها واقعا نباید تحویل مشتری داده بشه
  • باید مشخص باشه هر جعبه از کجا اومده، منطقا الان دیجیکالا باید اون مونیتور دست دوم که من پس دادم رو پس بده به فروشنده و حداقل جریمه ای چیزی هم قایل بشه. حالا تخصص من نیست ولی هر طوری که متخصصین بگن باید حتما روشی باشه که یک فروشنده دائما سر دیجیکالا کلاه نذاره
  • برخورد با من فوق العاده خوب بود و دیجیکالا همه تلاشش رو کرد که سریعا جنس رو عوض کنه. می شه پذیرفت که گاهی اشتباه بشه ولی خب مهمه که ۱) این اشتباه برای همه با همین سرعت و قدرت حل بشه و ۲)‌ پروسه شفاف باشه که چرا ممکنه چنین چیزهایی پیش بیاد و در سطح شرکتی جلوش گرفته بشه.
  • خوبه این حرف ها گفته بشه چون مشکل اگر قراره حل بشه باید دیده بشه.

به نظرم اینها چیزهایی هستن که دیجیکالا می تونه جواب بده تا اعتماد رو حفظ کنه. من هنوزم مشتری دیجیکالا هستم چون به هرحال بین گزینه های موجود اعصاب خوردی کمتری داره ولی به نظرم در شرایطی که بازارها دارن رقابتی تر می‌شن، باید بتونه مزیت اصلی اش که اعتماد است رو حفظ کنه. و البته من هر دو باری که جنس رو پس دادم از یک توصیه خوب استفاده کرده بودم: از باز کردن جعبه فیلم بگیرین که اگر ایرادی داشت خیلی راحت بتونین ثابت کنین.

پیشنهادهای ریز و کوچیک و بزرگ به یکی از دلایل قابل تحمل بودن تهران: تیوال


تهران شهر بدی است. کثیف، شلوغ، با کلی محدودیت و سرکوب. من ایران می مونم چون به نظرم انتخاب بهتری است برای من و خب متاسفانه تهران مرکزش. تو تهران شما حتی اگر یک مرد تهرانی شاغل از خانواده متوسط به بالا هم باشین جزو شهروندهای درجه دو و سه هستین (و احتمالا اگر یک زن مهاجر سرپرست خانوار غیرشاغل از خانواده ای فقیر باشین شهروند درجه ده) و غیره و غیره.. اما این شهر برای بعضی چیزهاش قابل تحمل تر است. مثلا در دید پیشروی سیاسی / اجتماعی خیلی از آدم هاش که در سیستم‌های حکومتی که حکومت جلوتر از مردم ایستاده، دیده نمی شه. یا مثلا در اینکه حس می کنین کار مفیدی توش می کنین یا اینکه می بینن آدم ها و گروه‌هایی هستن که پر تلاش و انرژی سعی می کنن شرایط رو بهتر کنن و موارد مشابه.

یکی از این پایگاه‌های چنین نگرشی برای من جایی مثل سایت تیوال است. جایی که فعالیت های هنری و فرهنگی رو کنار هم جمع می‌کنه. هم به من فرصتی می ده که وقت های آزادم رو در هوای فرهنگی / هنری / گروهی تر از کلیت تهران نفس بکشم و هم به گروه‌هایی که چنین نگرش‌هایی دارن فرصت می ده که دیده بشن، درآمد کسب کنن و زنده بمونن و بقیه رو هم به ادامه راه تشویق کنن.

من سایت تیوال رو دوست دارم و مشتری اش هستم و بخشی از زندگی فرهنگی‌ام بهش وابسته است. چیزی که تهرانر زمانی سعی می کرد باشه و من ازش خوشحال بودم حالا در تیوال تقویت شده.

اما تیوال اشکالاتی هم داره. مثلا فعلا بین سایتی برای فروش بلیت و سایت شبکه اجتماعی مصرف کنندگان کالاهای فرهنگی در رفت و آمده. من معمولا ازش بلیت می خرم و ترجیح می دم به جای دیدن دیواری از کامنت های آدم ها زیر چیزهای مختلف، با فهرست نمایش ها روبرو بشم. به هرحال.. جای اصلاح زیاده و چون مسیر رو خوب اومدن، امید به آینده هم زیاد.

در این شرایط من این سه تا پیشنهاد رو فعلا براشون دارم و امیدوارم ببینن و توجه کنن؛ حداقل بگن چرا مورد دو اینطوریه (:

پیشنهاد ریز و حساس

بودن برچسب مشخصی برای Spoil. مثلا اگر کامنتی می تونه باعث خراب شدن تجربه دیدن فیلم بشه یا چیز مهمی رو از داستان لو می ده، باید اولش بدونیم که نخونیمش.

پیشنهاد کوچیک و مهم

امکان خرید در روزهای دورتر هم فراهم باشه. به دلیلی که نمی‌دونم چیه در حال حاضر وقتی تئاتری در حال اجرا است در تیوال فقط می‌شه برای چند روز آینده بلیتش رو خرید در حالی که تئاتر تا مثلا آخر هفته بعدی هم اجرا داره. به قول هواپیمایی‌ها، روزهای آینده هنوز باز نشدن که بشه خرید. اما چرا؟ مخاطب های تئاتر و کنسرت و … معمولا دوست دارن بتونن برنامه ریزی دقیق بکنن و مثلا من می خوام بدونم که آیا دوشنبه آینده می تونم برم فلان تئاتر رو ببینم یا نه و منطقا ترجیح می دم از الان بلیتش رو بخرم و دوستانم رو دعوت کنم. برای من سخته به دوستام بگم «یه تئاتر خوب دوشنبه هست که من چند روز دیگه بهتون می گم دعوتین یا نه، لطفا برنامه رو خالی بذارین». امکان خرید برای تمام طول اجرا به نظرم بسیار مهم است و تجربه بسیار بهتری برای تیپ مخاطبین چنین سایتی ایجاد می کنه.

پیشنهاد بزرگ و ماندگار

استفاده از سیستم‌هایی مثل ریکامندر در چنین سایت‌هایی یک نیاز ضروری است. الان سیستم ریکامندر هم آماده است و هیچ نیازی به تلاش خاص از طرف سایت نداره تا بتونه بر اساس بلیت هایی که من قبلا خریدم دقیق ترین پیشنهادها برای خریدهای بعدی رو بهم بده. پیشنهاد می کنم باهاشون پیگیری کن یا با خودم حرف بزنن که معرفی کنم به همدیگه تا بهترین سرویس رو بگیرن (:


به هرحال.. حتی اگر اینها رو هم درست نکنن، به سایت تیوال سربزنین که امید بخشه در تهران (:

بازی شب یلدار ای نتورک، هک و شیوه های پاسخگویی به مشکلات امنیتی

امسال شب یلدای دیجیتال جالبی داشتیم. مشکلات جدی سایت دیجی‌کالا و تلاش فروشگاه‌ها برای راه انداختن چیزی مثل «جمعه سیاه» پر از خرید خارجی ها و پروموشن‌های همزمان با الکامپ. تقریبا هر کدوم از اینها کلی داستان همراهش هست ولی در این مورد خاص می‌خوام با اشاره ای به سایت تبلیغات ای نتورک، در مورد این بگم که ما هنوز برامون جا نیافتاده که چطوری باید به خبرهایی که در مورد مشکلات امنتیی سایتمون می‌دن، عکس العمل نشون بدیم.

مساله اینه که بازی شب یلدای ای نتورک هم دقیقا اشتباه بازی سنگ کاغذ قیچی دلیون رو داره. این بازی هم کلاینت ساید است با متغیری به بامزگی winnings که مشخصه می‌کنه چند بار برنده شدین و ریکوئست هایی که بعد از یک تابع encrypt به سرور خبر می‌دن شما چی برنده شدین. این مساله رو سه چهار نفر از دوستان با ایمیل بهم گفتن و به شکل‌های مختلفی هم تونسته بودن مساله رو حل کنن.

خب دفعه قبل که دقیقا روش رو نشون داده بودم و به نظرم اینبار کار جالبتر این بود سعی کنیم تماس بگیریم و مساله امنیتی رو توضیح بدیم. من شب به پشتیبانی ایمیل زدم و گفتم مشکل امنیتی هست و اگر خودشون خبر ندارن بگن که فردا صبح اطلاعات بیشتری بفرستم. امروز صبح ایمیلی داشتم که درخواست کرده بود اطلاعات بیشتر بدم. دو شیوه حمله به این اسکریپت رو نوشتم و اضافه کردم که برام جالبه که علاوه بر کاربر پشتیبانی، یکی از مدیرها هم به ایمیل اضافه بشه چون برام جالبه که بدونم آیا اگر کسی چنین مشکلاتی رو به ای.نتورک اطلاع بده می تونه انتظار مثلا یکی از جوایز همون بازی رو داشته باشه یا نه.

بعد از مدتی جواب ساده ای گرفتم که تشکر کرده بود از ایمیلم و می گفت «اگر در مسابقه شرکت کنید و برنده یکی از جوایز باشید خوشحال خواهیم شد». امیدوارم که حداقل در پشت صحنه به یک مدیر خبر داده باشن. در واقع اصلی ترین دلیل پیگیری من این بود که ببینم آیا پشتیبانی در یک مدیر رو به این رفت و آمد ایمیلی اضافه می کنه یا نه.

تجربه مشابه زیاد هست – بخصوص موارد حادتر. مثلا یکی از دوستان اخیرا یکی از این به اصطلاح فایروال‌های وطنی رو هک کرده بود. این فایروال‌ها معمولا یک کامپیوتر هستن که یک لینوکس دارن و کمی تنظیم شدن و توی یک جعبه گذاشته شدن و [معمولا] به زور به عنوان فایروال ساخت کشور به شرکت ها فروخته می‌شن. این دوستمون تونسته بود از راه دور با استفاده از یک حفره امنیتی شناخته شده از فایروال رد بشه و وقتی فیلم این کار رو به شکل خصوصی برای اون شرکت فرستاده بود تهدیدش کرده بودن به شکایت به جرم نفوذ غیرمجاز و آموزش هک و غیره و غیره.

شاید تنها تجربه‌های مثبت من در این موارد دوبار بوده. دفعه اول دلیون که اجازه داد فیلمش رو منتشر کنم و جایزه ها رو هم داد و دفعه دوم کسی که یک با هک یک دیتابیس قدیمی به ایمیل من رسیده بود و بهم خبر داد که اون سرویس که من نوشته ام هک شده (:

این در حالیه که توی دنیا شرکت های بزرگ برنامه هایی باگ باونتی برگزار می کنن که توش اگر بتونین به سیستمشون نفوذ کنین،‌جایزه‌های بزرگ می‌دن یا حتی اگر خارج از این مسابقات هم باگی رو پیدا و ریپورت کنین، جایزه دارین. امن بودن از طریق باز بودن نسبت به گزارش ها و علاقمندی به دیدن اشکالات پیش می‌یاد. سیستم های بگیر و ببند و «هیچ کس حرف نزنه تا کسی چیزی نفهمه» و … در نهایت با مشکلات بزرگ روبرو هستن و نتایج خوبی هم نمی دن.

اگر شرکت دارین خیلی خوبه اگر مکانیزمی برای دریافت مشکلات امنتیی داشته باشین و با دادن جایزه به هکرها، اونها رو از آدم های خطرناک پر دردسر به دوست های باحالی که بی دردسر مشکلات شما رو کشف و حل می کنن، تبدیل کنین. امنیت از طریق باسوادی عمومی ارزشمنده و ماندگار وگرنه اگر هر تلاشی برای هر کاری مجازات مرگ و تهدید و دستگیری داشته باشه که نمی شه مدعی امنیت بود (:

عکس العمل بد هاست ایران به مشکل احتمالی امنیتی‌اش

چندین نفر از دوستان من از هاست ایران ایمیلی به این شکل گرفتن:

hostiran

من تقریبا سه سال پیش یکبار از هاست ایران استفاده کردم و شرکت‌ها معمولا وقتی بعد از سه سال با این استرس پسوردها رو عوض می کنن که به شکلی جدی از امنیت پسوردهای قبلی‌شون مطمئن نباشن، مثلا در موردی مثل هک اخیر دراپ باکس. حالا اشکال اینجاست که من منی دونم اون پسورد که در هاست ایران استفاده کرده بودم رو همه جا باید عوض کنم یا نه. باید ۱- بگن که مشکلشون در چه حدی بوده که اینجوری ایمیل زدن و ۲- من باید بتونم بفهمم پسوردم در اون زمان چی بوده که جای دیگه استفاده اش نکنم.

حالا مستقل از اینکه واقعا چه اتفاقی افتاده و این تجربه بد که هاست ایران با من شفاف نبوده، اشکال اختصاص دادن پسورد جدید این شکلی به آدم‌ها اینه که من که نمی‌تونم این پسورد رو حفظ کنم و مجبورم جایی اونو بنویسم (حداقل اینکه کپی اش کنم). این انتخاب خوبی نیست. این روزها می گن داشتن یک پسورد غیرقابل حفظ کردن فقط برای کسایی مناسبه که از یک برنامه خوب مدیریت پسورد استفاده می کنن. این ترکیب رندم به هیچ دردی نمی خوره چون من نمی تونم یادش بگیرم و باید برم عوضش کنم سریعا!

و وقتی می گم «باید عوضش کنم» مشکل بعدی خودنمایی می کنه: هیچ شرکت درست و حسابی هیچ وقت نباید پسوردهاش رو به شکل متنی ذخیره کنه، منتقل کنه، دست به دست کنه یا توی ایمیل برای کسی بفرسته. اگر به پشت این مکانیزم نگاه کنیم، جایی برنامه ای عبارتی اتفاقی تولید کرده که هم به عنوان پسورد من ذخیره شده هم ایمیل شده! در واقع یعنی کلی سیستم میانی الان پسورد من رو دیدن و بهش دست زدن (: مکانیزم صحیح باید این می بود که ایمیلی برای من بیاد که توش بگه «به دلایل فلان و فلان که صادقانه بهتون می گیم لطفا پسوردتون رو از طریق لینک زیر تغییر بدین» و اگر می‌خواستن دیگه مثل این مورد جوری رفتار کنن انگار پسوردهای قبلی جایی روی اینترنت آپلود شده، می‌شد بگن «لطفا با مراجعه به این لینک پسورد جدید رو ست کنین. در صورتی که اینکار انجام نشه، در اولین لاگین بعدی باید احراز هویت بشین و پسورد ست بشه». در این پروسه درست می‌بود که پسورد قبلی من هم ازم خواسته بشه تا هم یک لایه اطمینان بیشتری در احراز هویت ایجاد بشه و هم من بدونم پسوردی که اینجا بوده چی بوده؛ شوخی نیست؛ اون پسورد و ایمیل الان از نظر من امن نیستن.

اوه.. و بعد از اینکه روی لینکی که داده بودن کلیک کردم و یوزر نیم پسوردی که با من (و بقیه اینترنت و سیستم‌های داخلی شون شر شده بود) بود رو وارد کردم، این صفحه اومد:

hostiran403

و مطمئن شدم که هاست ایران در برخورد با این شرایط، از سطح انتظارم پایینتر بوده.