Как сломать яндекс переводчик читать

Как взломать двухфакторную аутентификацию Яндекса

Наконец-то Яндекс запилил двухфакторную аутентификацию. Я не ждал подвоха, но, похоже, зря.

Как работает двухфакторная аутентификация Яндекса?

В браузере отображается QR-код, юзер сканирует его специальным приложением, браузер сразу это чувствует и авторизует пользователя.

QR-код расшифровывается в ссылку вот такого вида:

Внутри всего этого веб-страничка с QR-кодом постоянно опрашивает сервер в ожидании авторизации:

POST /auth/magic/status/ HTTP/1.1 Host: passport.yandex.ru track_id=38e701d0bb5abaf50d381c3f95e0f341a8 

Как только пользователь отсканирует приложением Яндекса QR-код, следующий такой запрос отдаст браузеру куку.

В чем здесь проблема?

Для получения куки используется тот же ID, что закодирован в QR-коде.
Обратите внимание на параметр track_id в ссылке и такой же параметр в POST-запросе.
Это значит, что злоумышленник может подсмотреть из-за плеча пользователя его QR-код, достать из него ID сессии, и, притворившись браузером, выполнять часто-часто такой же запрос.

И если хакер раньше жертвы успеет получить сессию — он сразу окажется в аккаунте пользователя.

Я написал на коленке простенькое приложение под Android, которое демонстрирует эту уязвимость.
Достаточно встать за спиной жертвы и успеть отсканировать qr-код раньше нее, пока жертва запускает приложение и вводит пин-код.

После того, как она авторизуется, приложение покажет вам почтовый ящик жертвы.

Приложение декодирует QR-код с помощью библиотеки github.com/dm77/barcodescanner, быстро-быстро делает POST запросы к Яндексу, получает куки, подставляет их в WebView и открывает в нем Яндекс.Почту.

Для успешной атаки требуется относительно быстрый интернет на смартфоне (чтобы успеть получить cookie раньше жертвы) и желательна хорошая камера на устройстве. У меня код успешно распознавался с расстояния до метра, при этом мои подопытные друзья ничего не замечали и очень удивлялись этому фокусу, когда я им показывал их почту на своем телефоне.

• Яндекс
• информационная безопасность
• двухфакторная аутентификация

• Информационная безопасность
• Веб-разработка
• Разработка под Android

Переводим книги с помощью Яндекс.API

Однажды мне пришло в голову прочитать одну книгу на родном языке автора, английском. После прочтения нескольких страниц стало понятно, что читать придется долго, так как за каждым незнакомым словом приходилось тянуться за словарем, искать нужную страницу, ломать глаза о множество других слов, похожих на искомое… Да еще и таскать с собой лишних полтысячи страниц. Вот и вздумалось собрать небольшой словарик, именно под эту книгу, в который можно было бы заглянуть в любой ситуации — даже когда нет доступа в Интернет.

Что из этого получится

На выходе мы получим самый обычный .txt — файл, в котором на каждой строчке по алфавиту будут размещены редкие слова из книги и их перевод. Такой словарик можно легко встроить, например, в MIDlet для мобильного телефона, или же непосредственно на сайт.

Почему именно Яндекс.API

В Яндексе все просто: отправил слово — пришел перевод. Не надо регистрировать уникальный ключ, как на Google.translate, да и на большое количество запросов он не жалуется.

Реализация

• handler.php — скрипт, который будет делать всю черную работу
• index.html — служит для отображения состояния перевода, а также для управления самим процессом
• stop.php — скрипт, который остановит выполнение handler.php

handler.php

 $val = strtolower($val); if(array_key_exists($val, $words))< # Если такое слово уже есть в массиве, увеличим счетчик $words[$val]++; >else < # Если нет - создадим $words[$val] = 1; >> ksort($words); # Сортируем все уникальные слова по алфавиту foreach($words as $w=>$v) < # Вынесем в отдельный массив только редкие слова (которых в книге 1-5) if($v<=5)< $rare_words[$w]=$v; >> $w_total = sizeof($rare_words); # Посчитаем количество редких слов и запишем его в файл $src = fopen('total.txt','w'); fwrite($src, $w_total); fclose($src); $src_trns = fopen('translated.txt','a'); # Создадим файл, куда будут помещаться переведенные слова $cnt=0; foreach($w_a as $w=>$v) < # Начнем перебирать слова if(!file_exists('flag'))< die(); # Если "файл - выключатель" не существует - прекратим исполнение скрипта >/* Следующая строка отправляет запрос на translate.yandex в виде обычного GET-запроса, где lang - языки перевода (с английского на русский), text - текст, который нуждается в переводе. */ $arr = json_decode(file_get_contents('http://translate.yandex.net/api/v1/tr.json/translate?lang=en-ru&text='.$w,3), true); if($w!=$arr['text'][0]) < # Если Яндекс не вернул нам в точности то, что мы отправили ему fwrite($src_trns, $w.'|'.$arr['text'][0]."\n"); # Запишем строку в файл словаря >$cnt++; # Увеличим счетчик переведенных слов на единицу $src = fopen('current.txt','w'); # И запишем количество переведенных слов в файл fwrite($src, $cnt); fclose($src); > fclose($src_trns); unlink('flag'); # После перевода всех слов уберем "выключатель" - это будет свидетельствовать о завершении ?> 

stop.php

index.html

Результаты

С помощью такого детского велосипеда перевел 5982 слов за 1033 секунды ( в среднем 5.78 слов в секунду ). Это относительно долго, отчасти потому, что я не выдумывал методы для ускорения перевода ( в идеале можно было отправлять несколько запросов одновременно, но мы ведь не хотим обидеть Яндекс ).

Данный пример можно использовать для перевода редких слов из книги или статьи, когда целью есть сам результат перевода, а не процесс. Если использовать в этих целях удаленный сервер, то процесс перевода будет происходить и при выключенном компьютере.

Как сломать яндекс переводчик читать

Яндекс.Переводчик. Поддержка . 2 года: «По. на вас всех»

Я вижу у вас тут все по доставке. Деньги забрали. Все курьеры лапочки.

Вон на YT у блогерши с Миллионом подписчиков. Чего то заказала. Курьер спионерил посылку. Курьер ! С телефоном ! Номером карты , паспортом и всей инфой, что ментам и не СНИЛась.

Деньги пропали, Яндекс посылает. И пох, что миллион подписчиков и такая реклама на весь инет.

Вот вам, курьеры, обратная сторона.

Я по мелочи , сорри.

Причина, может , хоть публичность их остановит. Это разные у них департаменты. В доставке на нас же давно положили. Может , в Я.Переводчике по-другому относятся, и кому вставят.

А то как ЗП сотни тыщ получать, это мы Я.Support . А как решить проблему «1 символа», нас тут не стояло, мы в бухгалтерии за ЗП стоим, нам некогда.

Все проблемы из-за безответственности: до руководства инфа не доходит. У них весь Яндекс завален тренингами и курсами . А как самой Suppot прочитать эти курсы , так у них там все неграмотные: Што это, о чем вы , вас не понять , пришлите нам скриншот , а лучше видео.

Мне кажется в ВК вообще бот 4 раза говорит » пришли видео и скриншот». Он говорит ровно 4 раза, разными словами, все ему непонятно. Потому все, спасибо, мы ответим.

Новость где ? Ну все понятно. Смешно, что они пока не могут справиться с переводом с английского на английский. Так они скоро и Porn Award выиграют.

Как-то, лежа на диване, я с телефона им написал, пока текст, потом пару картинок.

серьезная проблема на 2 года

И текст «уберите пробел в отрицательных предложениях, также I’m и прочая подобная хрень из 6 класса. Орфография каждый раз затыкается.»

Когда я получаю ответ ( что действительно правда, они читают и отвечают), я так же отвечаю, неспешно. В основном с дивана, постепенно переходя на ругательства. И вот переписка.

Просто несколько писем об 1 символе.

Прошло 2 года назад, или около того —

Я не понимаю кого они держат в этом Support ? Нафига им платить ЗП ? Там за 2 года, наверное, миллиард ЗП уплочено на всю эту шоблу бездельников.

Проблема интересна своей мелочностью. Даже 1 байта нет. Зато байтов в совместной переписке — выше крыши. Я перекрыл объем самой проблемы в 10 000 раз.

А если проблема массой в 1 байт, то трафиком перекрыто в 10-20 миллионов раз (легко считать) больше.

И переходит в сферу спортивных состязаний с тупостью и упорством, даже не знаю у кого что.

Тема на Пикабу, как последней надежде. Т.к. у всех модераторов и админов наблюдается скрытое тайное врожденное единство. На одном форуме снизу написано 500 000 членов. А по юзерам около 1000, кто хоть что-то написал. На 2 форумах меня за это заблокировали. Хотя, казалось бы . , какая связь.

Для чего тема ? Буду давать ссылку, на правду Пикабу, может это остановит безделье Яндекс.Переводчик. Поддержка. И уже даже интересно, когда это закончится.

Поиск смыслов. В гостях у Яндекс Переводчика

Сходить в гости в офис большой компании в условиях пандемии — не простая задача. Многие из них ограничили доступ гостей в свои офисы либо ввели дополнительные требования для визита, например, справку с негативным тестом на COVID. Но я не собираюсь прерывать свой цикл ПокаВсеВОфисе! В этот раз у меня получилось пообщаться с ребятами из команды Яндекс.Переводчика — продукта, который помогает миллионам клиентов стирать языковые барьеры и неплохо монетизируется за счёт B2B направления. Хотите узнать, как в Яндексе решили заняться переводом и как работают команды, главный продукт которых — модели машинного обучения? Читайте дальше!

Переводчик родился в Яндексе как пет-проект одного из разработчиков. Ведь поиск перевода — это тоже поиск. И если использовать умение хорошо искать тексты с пониманием их смысла, то может получиться полезный продукт для всех, кому нужен перевод с иностранного языка, — такой была гипотеза на старте. Запустили продукт в 2011 году на базе команды, которая занималась поисковыми подсказками и исправлением опечаток в поисковых запросах. В те времена поиск ещё не был семантическим и качество выдачи сильно зависело от грамотности заданного запроса. Поэтому в команде “опечаточника” были лучшие специалисты, достаточно ресурсов и крутые технологии работы с текстом.

У меня получилось пообщаться с Еленой Чернышевой, продакт менеджером и Антоном Дворковичем, техлидом департамента машинного интеллекта и исследований. В департаменте работает около 80 человек. Большая часть ребят это датасайнтисты и аналитики, которые занимаются развитием технологий машинного перевода, распознавания голоса, синтеза речи в Алисе и так далее. Раз в полгода ребята формулируют для себя цели и проекты и собирают команды вокруг них. Основной акцент команды делают на развитие технологий, поэтому нередко в роли продакта, который отвечает за цель, выступает аналитик или разработчик. Для того, чтобы понимать, в какую сторону развивать технологии, команды делают совместные запуски с другими сервисами Яндекса и регулярно общаются с клиентами Я.Облака, именно через него можно получить доступ к API Переводчика. И еще внутри департамента есть несколько продуктов, которые также помогают лучше понять потребности рынка и пользователей: Яндекс.Переводчик, Клавиатура, Опечаточник и другие.

В основном мы говорили о Яндекс.Переводчике и особенностях управления продуктом, полностью построенном на технологиях машинного обучения. За него отвечает Лена. В продукте есть два направления: B2C и B2B. В B2C части команда Лены фокусируется на росте аудитории и частоты использования Переводчика. Также здесь есть свои особенности, которые влияют на выбор метрик:

• Нет однозначного сигнала о том, что пользователь решил свою задачу. Пользователь не совершает покупку, не делает звонок и тд. Он получает перевод, а дальше по косвенным признакам нужно понять, насколько успешной была сессия и/или полезным перевод. Можно измерять NPS, что ребята и делают, но для того, чтобы лучше понимать, насколько успешно продукт решает задачу пользователя, также разрабатывают и свои внутренние метрики.
• Большая и разнородная аудитория. Часть пользователей использует переводчик практически каждый день для работы и для учебы, часть — время от времени для решения бытовых задач (перевести этикетку на товаре, письмо от китайского продавца и тд). Помимо этого, очень различаются сценарии использования продукта в зависимости от уровня знания языка пользователя и используемых языковых пар. Поэтому перед аналитиками стоит непростая задача понять, к какому сегменту относится пользователь, а перед продактом — определить, какие сегменты наиболее важны.
• Перевод — это давно уже не только перевод текста. Люди все чаще получают информацию совсем другими способами. Команда Переводчика стремится сделать так, чтобы пользователь мог быстро понять смысл вне зависимости от того, каким образом он получил информацию. Продукт умеет переводить документы, фотографии, сайты, аудио. Для каждой такой вертикали используется свой набор технологий и метрик.

Из последнего пункта вытекает самое большое отличие в работе продакт-менеджера, который развивает продукты, построенные на базе ML-технологий. В таких продуктах очень важно качество технологий. Если Переводчик будет отдавать перевод плохого качества, то пользователи не будут им пользоваться. Продукт не спасет идеальный UX и дополнительная функциональность. Продакт менеджер должен уметь ответить на вопрос “Что такое хороший перевод?” и иметь представление, как это можно оценить.

Другой пример — фотоперевод. Для того, чтобы он заработал, необходимо использовать целую серию разных алгоритмов: для распознавания текста, для определения языка текста, перевода, рендеринга текста и так далее. Каждый из этих алгоритмов имеет свою точность и полноту, качество каждого алгоритма влияет на качество другого. Если на этапе распознавания текст получили с ошибками, то и хороший перевод будет сделать невозможно. В таких случаях приходится придумывать метрики качества, которые бы отражали тот факт, что продукт решает задачу пользователя, и далее разбить ее на подметрики, чтобы понимать качество на каждом шаге.

Для B2C-направления на российском рынке основной конкурент Переводчика — это Google Translate и бумажный словарь. Да, бумажные словари всё ещё советуют преподаватели в школах! Google Translate ребята воспринимают как полезного конкурента, соревнование с которым помогает сделать качество продукта лучше. Делают регулярные сверки по качеству, смотрят долю рынка. Сейчас он поделен примерно 50 на 50. Особенно сложно было вначале, когда пользователи воспринимали продукт от Google как единственный доступный онлайн-сервис машинного перевода. Здесь ребятам пришлось догонять, ведь Google Translate запустили в 2006 году. Росту аудитории в основном способствуют качество перевода и экосистема Яндекса — интеграции с другими продуктами. Сейчас сайтом и приложением Яндекс.Переводчика пользуются десятки миллионов человек в месяц.

У Яндекс.Переводчика есть и второе большое направление — это B2B продукты. Рынок машинного перевода и необходимость в нем растет, так как растет общее количество производимого контента в мире, в основном за счет UGC. Всё большее количество компаний стремятся выйти на новые рынки. Появляется много новых сегментов, в которых необходим машинный перевод. К примеру, не так давно появился новый сегмент компаний, которые помогают мониторить появление отзывов или новостей. Часто клиентами таких компаний являются международные компании, которые хотят понимать, что пишут о них их пользователи из разных стран.

Кстати, для меня стало сюрпризом, что большинство B2B клиентов у Переводчика не из России. Видимо, сработал шаблон, что Яндекс лучше всех умеет работать с русским языком и многим компаниям интересен рынок России. Оказалось, что Яндекс.Переводчик поддерживает более 90 языков и клиенты часто используют B2B продукт для работы на рынках Китая, Японии и других стран.

В B2B у Переводчика другие конкуренты. Это не только Google. Свои решения делают многие крупные компании такие, как Alibaba, Baidu, Amazon, Microsoft, DeepL и другие игроки. Рынок машинного перевода быстро растет, появляется много новых игроков, так как разработка технологий становится все доступнее, но нет еще явных лидеров и есть большое количество ниш.

“Мы хотим стереть языковые барьеры”

Так звучит миссия команды. И это далеко не только про удобный интерфейс и качество перевода. Команде Переводчика важно, чтобы пользователю не нужно было делать лишних действий для понимания информации на другом языке. Поэтому необходимо, чтобы перевод был доступен сразу в том месте, где пользователь потребляет контент. Для этого Переводчик развивает B2B направление, API которого, могут использовать другие разработчики. Замечание из моего собственного опыта — было бы круто иметь встроенный в Slack перевод, ведь копипастить каждую фразу, чтобы понимать что пишут коллеги из разных офисов, когда им не хочется или “не можется” использовать официальный в OLX Group английский, не очень удобно!

Сейчас машинный перевод также активно используют сами переводчики. Мало кто переводит текст от и до. В программных средах для работы над текстами (cat-программах) встроен сервис машинного перевода, например от Яндекса, который формирует первую версию документа. Уровень качества машинного перевода уже часто не уступает обычным людям, знающим иностранный язык. Поэтому профессиональному переводчику-человеку достаточно его только отредактировать.

К сожалению, в сам офис, где сидит команда Яндекс.Переводчика, попасть не получилось. Посещение гостями большого и красивого кампуса Яндекса сейчас закрыто. Пускают только сотрудников, у которых наличие отрицательного COVID теста или прививки привязано к пропуску. Так что фотографии из офиса, которые вы видите в посте, сделаны самими сотрудниками. Также вы можете посмотреть мой давний пост, где описан процесс онбординга новых яндексоидов глазами новичка. Там много фото из всех уголков офиса Яндекса на улице Льва Толстого.

Но Музей Яндекса оказался открытым! Мы заглянули туда вместе с Леной и я сделал много интересных фото, а также прикупил себе и своим близким несколько сувениров. Отличное место! Будете в районе Парка Культуры в Москве, обязательно загляните.

Блиц с Леной Чернышевой, менеджером продукта в Яндекс

Назови 3 сайта или приложения, которыми ты часто пользуешься?

У меня есть любимые сервисы, а не сайты или приложения. Для меня сайт или мобильное приложение — это только инструменты, которые помогают либо с привлечением пользователей, либо помогают улучшить опыт использования продукта.

Из любимых сервисов:
— Госуслуги и сервисы от налоговой
— Самокат и Яндекс.Лавка
— Airbnb

Я сильно расстроюсь, если этих сервисов не станет в моей жизни.

Что нравится в работе на рынке России и что раздражает?

Нет таких вещей. У любого рынка есть свои ограничения и обычно они создают новые возможности.

Чем порадуете аудиторию в ближайшее время?

У нас планируется большой запуск, который поможет еще больше стереть языковые границы и потреблять контент из первоисточников. К сожалению, запуск под NDA.

Яндекс или Google? Почему? (Дурацкий вопрос в данном контексте!)

Последние 7 лет я работаю в Яндексе. Яндекс не такой большой, как Google и ты можешь отвечать за большие вещи. У Яндекса есть разные направления бизнеса и есть возможность создавать совершенно разные продукты. Я занималась развитием продуктов про сбор и обработку данных, потом маркетплейсом, дальше производством еды, а теперь продуктом полностью построенном на ML технологиях. Для меня ценно, что можно делать такие переходы. Каждый такой переход дает большой толчок для профессионального развития и помогает быстрее расти продуктам. Из минусов Яндекса — это сильный фокус на русскоязычном рынке, но это постепенно меняется.

Что бы ты сказала Марку Цукербергу если бы оказалась перед ним?

Показала бы один из наших последних прототипов. Попробовала бы договориться о сотрудничестве или попросила посоветовать людей, которым это могло бы быть интересно. — Настоящий продакт! Использует любую возможность для поиска точек роста своего продукта (примечание автора ;))