Мы ни на секунду не забываем про вопросы информационной безопасности и не относимся к ним пренебрежительно. Леонид Волков
Первая часть вышла более двух месяцев назад. После второй с сайта убрали Яндекс.Метрику, правда не без говна длинного ответа про «доморощенных экспертов по информационной безопасности и шапочки из фольги». Может после третьей приведут инфраструктуру в порядок.
Сайт Умного Голосования использует API по адресу https://votesmart.appspot.com/api/v1/fiasco
у которого не выключен режим отладки, благодаря чему мы видим ироничный адрес бекэнда http://fiasco.navalny-team.org и список маршрутов.
Помимо возможности листинга директорий на сервере протух SSL-сертификат, но это уж точно не имеет значения: запросы туда и так идут по HTTP.
Берем адрес https://fiasco.navalny-team.org/address/suggest/ из списка маршрутов и получаем ошибку c traceback-ом и настройками сервера.
К слову последняя версия Django - 3.2.6, а под используемую на сайте 2.2.8 есть CVE. Видим настройки подключения к базам данных:
База данных доступна для внешних подключений на порту 5432 для пользователя test. Это PostgreSQL 10.11 (Debian 10.11-1.pgdg90+1).
Судя по таблице cmd_exec с полем cmd_output кто-то уже использовал её для выполнения системных команд. Благо в Metasploit для этого даже есть модуль. Дальше мы можем оказаться внутри контейнера. Информацию по всем контейнерам нам заботливо оставили тут: http://fiasco.navalny-team.org:8888/docker/.
И даже чуть больше тут: http://fiasco.navalny-team.org:9100/metrics
Правда релиз используемой версии был в 2019 году, потому могут сработать многие методики по повышению привилегий и получению контроля за всей системой.
На этом шаге хочется остановиться, ведь не стоит цель навредить, скорее проанализировать, изменилось ли что-нибудь за два прошедших месяца, и обратить внимание на проблемы, которые видны невооруженным глазом.
Мы всегда читаем и слушаем все, что нам пишут, признаем ошибки и стараемся работать лучше. Леонид Волков
Вместо заключения хочется оставить цитату Алексея Пивоварова:
«Выводы делайте сами».
Комментарии (561)
anonymous
00.00.0000 00:00
lain8dono
23.08.2021 21:38+42
Некоторые тут иногда спрашивают, а кто это там минусы ставит и молчит. Вот я например. Мне лично не нравится ваша деятельность. Вы поддерживаете те штуки, которые я считаю плохими. Вы публикуете уязвимости до их устранения. Вы плохо относитесь к тем, кто борется в том числе с яровыми, милоновыми и роскомнадзором (разрешённая террористическая организация).
Из этого следует, что деятельность вашей компании в данном случае можно рассматривать как вредную для всей IT индустрии на территории РФ. Мне совершенно не интересны детали и нюансы всего этого.
itsoft
23.08.2021 21:44+12Вы хоть не молчите. Смело. Кстати, а кто спрашивает? Вроде и так понятно.
И с такими фанатично верующими пионерами-комсомольцами лично я считаю надо тоже бороться именно потому, что вам не интересны детали, и вы готовы развязывать охоту на ведьм.
Kvakosavrus
23.08.2021 21:45+21То есть вы полагаете что сайты должны и дальше изобиловать дырами, на радость коллективному милонову?
Ну ОК.
andreyverbin
23.08.2021 23:14-11Вы полагаете, что оригинальный комментарий предполагал потворство дырам в безопасности? Ну ОК. Кажется тут даже ребенку понятно, что дыры это плохо, а комментатор говорит о том, что действительно важно.
Этот пост очевидная атака на проект Навального и Волкова лично. У кого-то есть нездоровое желание публиковать проблемы сайта, ну пожалуйста. Форма подачи и попытка завуалировать все это под "помощь" выглядят максимально отвратительно. Я бы автору порекомендовал переключиться на kremlin.ru.
sunki
24.08.2021 01:32+21Максимально отвратительно выглядит реакция владельцев ресурса в стиле "вы все врети" в предыдущих кейсах, а также лицемерие некоторых комментаторов, полагающих что пентест Волкова это плохо, а kremlin.ru это ок.
andreyverbin
24.08.2021 02:44+8Вы, кажется, не прочитали мой комментарий и отвечаете на что-то придуманной вами. Я повторюсь
Форма подачи и попытка завуалировать все это под "помощь" выглядят максимально отвратительно.
Про то, что пентест это плохо или хорошо я ничего не писал. А вот о том, что раскрытие уязвимостей без какой-либо внятной попытки связаться, это да, об этом я писал.
sunki
24.08.2021 12:39По-моему ребята ясно дали ранее понять, что помощь им не нужна. Из текста статьи у меня не сложилось впечатления, что автор этого не понимает.
itsoft
24.08.2021 07:59+16Да вот 8 лет уже атакуем проекты Навального и Волкова лично.
Основная проблема в отсутствии нормальной обратной связи. Нет ни самой связи, ни желания спрашивать и слушать людей.
novoselov
24.08.2021 08:42+10Тут как минимум 2 момента:
технический отдел состоит из волонтеров у которых не хватает опыта, а с другой стороны баррикад есть группировки хакеров, которые способны взломать даже защищенные сети. В такой ситуации хотелось бы конечно увидеть независимый аудит
Волков из всей команды наименее компетентен как руководитель и тем более некомпетентен как технарь, не вижу смысла дожидаться от него адекватного ответа, нужен быстрый способ обратной связи с разработчиками, а не этой говорящей головой.
kasthack_phoenix
24.08.2021 08:56+9технический отдел состоит из волонтеров у которых не хватает опыта
У штабов за прошедшие годы были десятки и сотни миллионов донатов из которых можно было выделить хотя бы часть на квалифицированных специалистов для главного продукта.
Из всех сторонников не нашлось ни одного с прямыми руками? Рассылку сделать сложно, чтоб очередь желающих бесплатно помочь выстроилась?
tyomitch
24.08.2021 09:02+4- У вас с ними разное понимание того, что для ФБК главный продукт.
- Это не тот проект, который доверят человеку с улицы, называющему себя сторонником.
pehat
24.08.2021 10:37+3Вы не в курсе, что Волков много лет работал в Яндексе и вообще олимпиадник в прошлом? За это время можно было завести нормального безопасника в штате из числа офанатевших знакомых, благо в десятых годах пол-Яндекса ходило в этом мерче.
tyomitch
24.08.2021 10:50+5Наверное, у них и были нормальные безопасники в штате, до самого недавнего времени? По-моему, за предыдущие девять лет существования ФБК у них не находили столько дыр, сколько одним этим летом.
tbl
24.08.2021 14:03-1Судя по свежести используемых компонентов, безопасники у них закончились в 2018
symbix
24.08.2021 11:21+8В этом, мне кажется, и проблема. Часто такое встречаю, когда человек - хороший алгоритмист, но имеет очень смутное представление о современной инфраструктуре. При этом и отбирает в свою команду людей такого же толка - которые могут щёлкать задачки с hackerrank, но легко сделают sql-запрос, который кладёт всю базу, или кладут приватный ключ с продакшена прямо в репозиторий проекта. Если к этому добавить такое же часто встречающееся у олимпиадников непомерное ЧСВ, результат неудивителен.
chilicoder
24.08.2021 13:11+3что Волков много лет работал в Яндексе
Откуда вы это взяли?
pehat
24.08.2021 15:12-1Из интранета. Пруфов не будет, потому что я уже как два года там не работаю, да и вообще такое скринить - NDA.
kasthack_phoenix
24.08.2021 13:34+1У вас с ними разное понимание того, что для ФБК главный продукт.
Они идут на выборы и через эту систему координируют голосование за своих / не едросовских кандидатов. Куда главнее-то?
Это не тот проект, который доверят человеку с улицы, называющему себя сторонником
Бэкграунд-чек отменили? Код-ревью запретили? Т.е. можно взять и применить стандартные практики, вместо того, чтоб сидеть с данными наружу, играя в осадное положение.
Status quo ещё хуже — у них сейчас утекают данные. Дальше особо некуда падать, даже если к ним внедренец проберётся.
Больше того, они уже находили внедренца у себя и показывали, что слил данные он — их система безопасности уже не работает.
Наконец, я сейчас работу менял и мне те же ВТБ делали оффер "с улицы", хотя у банков требования к безопасности прописаны гораздо выше, чем у относительно неформального объединения.
MrRitm
26.08.2021 10:14-4Рискуя навлечь на себя минусаторов всё-же выскажу предположение: а может цель то не выборы\смена власти и прочее декларируемое? Может цель то просто шум на который поведётся народ и задонатит на хорошую жизнь? Ведь все эти люди (Навальный, Волков и прочие с ними) на что-то живут, оплачивают ЖКХ, еду, транспорт, учёбу детям. Про проект антикоррупционный я слышал, а вот про то где и кем работает главный борец за справедливость - нет. Я бы с радостью признал ошибку, если бы выяснил, что помимо организатора шумихи, главный опозиционер является высокооплачиваемым юристом и часть своих гонораров тратит на не самых лучших (но уж каких нашёл) специалистов по web-разработке, чтобы сделать полезный проект про выборы, а ещё строит детские площадки и спорт-комплексы. Но нет. Гугление показало, что он по профессии юрист но деньги явно не этим зарабатывает.
Да и кстати, вопрос "откуда у вас деньги на красивую жизнь" хочется задать не только обсуждаемому опозиционеру, но и остальным гражданам, чьи фото с обещаниями висят по всему городу последний месяц. К единоросам такого вопроса нет - там и так понятно
tyomitch
26.08.2021 10:25+3Про проект антикоррупционный я слышал, а вот про то где и кем работает главный борец за справедливость — нет.
Серьёзно? meduza.io/news/2020/07/28/aleksey-navalnyy-opublikoval-nalogovuyu-deklaratsiyu-on-zarabatyvaet-450-tysyach-rubley-v-mesyatsЯ бы с радостью признал ошибку, если бы выяснил, что помимо организатора шумихи, главный опозиционер является высокооплачиваемым юристом
Признаете?
MrRitm
26.08.2021 11:05-3Серьёзно. Вот специально перед тем, как писать свой предыдущий коментарий загуглил. Конкретно этого не нашёл. Простите пожалуйста, я немного вне политики и по запросу "Алексей Навальный" нашёл статью на вики и кучу желтухи в которой его в чём только не обвиняют. А на вики про доходы всё заканчивается так:
После вступления в законную силу приговора по делу «Кировлеса» 16 ноября 2013 года Адвокатская палата Москвы лишила Навального статуса адвоката[63].
По Вашей ссылке действительно сказано, что он опубликовал налоговую декларацию. Вот только вопрос: статуса адвоката у него нет (в РФ как я понимаю - это обязательное требование если хочешь в суде представлять интересы кого угодно), времени между "ходками" тоже. Это правда заработанные на оказании юридических услуг деньги?
Главным источником своего дохода он назвал предпринимателя Бориса Зимина.
Это безналичные выплаты, которые делают граждане РФ со своих счетов в российских банках
Т.е. если я правильно понимаю, донаты оформляются как плата за юридические услуги.
Признаете?
Признаю. Полностью. Формально - высокооплаичваемый юрист.
Но при этом вопрос "что является целью? Шумиха ради донатов или таки реальные дела?" остался открытым.
И ещё, 450к\мес - это очень неплохие деньги. В регионах за <100к\мес можно найти весьма толковых разработчиков. Знаю потому, что работал с такими.
Была бы шумиха, найди они 2-3 человека из регионов которые сделали бы сайт как положено? Нет. Там бы просто ничего не нашли и ничего не слили.
Уверен, если спросить любого с плаката рвущегося во власть сейчас с лозунгами "справедливый базовый доход!", "Резульат будет" и пр.: "сколько и КАК ты зарабатываешь?", найдутся примерно такие-же белые и честыне трудовые доходы. А по факту, не видел ни одного достойного человека стремящегося во власть.
tyomitch
26.08.2021 11:32+3Вот только вопрос: статуса адвоката у него нет (в РФ как я понимаю — это обязательное требование если хочешь в суде представлять интересы кого угодно)
Очевидно, что после лишения статуса адвоката он представлял интересы кого угодно не в РФ: navalny.com/p/5120Т.е. если я правильно понимаю, донаты оформляются как плата за юридические услуги.
Нет, это не так. Донаты шли юрлицу ФБК, и на счёт Навальному не попадали вообще. Отчёты ФБК о расходовании донатов сами нагуглите, или помочь?
MrRitm
26.08.2021 12:21-2Спасибо, воздержусь как от принятия Вашей помощи, так и от гугления. Мне это не очень интересно. Копать ни под кого (или за кого-то) не планирую. Я лишь высказал своё мнение о том, что люди рвущиеся во власть как правило рвутся туда удовлетворять личные корыстные интересы. Если я ошибаюсь в Навальном видя в нём такого-же рвущегося как и все остальные - отлично. Возможно он единственный - исключение. Но это никоим образом не отвечает на вопрос "какова цель на самом деле?".
Ещё раз:
Цель - интернет-ресурс помогающий достигнуть требуемых результатов голосования.
Средства: с запасом 100.000р./мес/чел. в регионе и у тебя в команде специалист который не оставит таких дыр и вообще минимальными средствами сделает закрытый контур тестирования (чтобы включенный дебаг в проде не оказался).
Его (опозиционера) личный доход 450.000р./мес. (исходя из инфы по ссылке на медузу). Так почему Волков? Почему пентестеру говорят про шапочку из фольги? Ну даже если вы считаете инфу не достойной защиты, перс.данные надо охранять по закону! Да и стыдно должно быть перед донатерами. Они ведь наверняка надеялись на хоть какую-то анонимность, когда поддерживали опозиционера.
С другой стороны
Цель: Шум ради донатов.
Средства: Один не специалист с раздутым ЧСВ который наберёт бесплатно студентов, которые свояют непойми что. Это непойми что будут регулярно ломать (не важно кто, главное, чтобы ломали почаще). Мы будем посыпать голову пеплом при каждом взломе, петь про кремль который нанял суперхакеров и поднимать вокруг этого бурные дебаты. Шуму будет много, а значит будет много новых сочувствующих, которые занесут на борьбу с ЖиВ.
Где-то что-то не так понимаю? Ошибаюсь?
tyomitch
26.08.2021 12:51+4Обращу ваше внимание, что за последний год Навальный провёл один месяц в коме; четыре месяца на реабилитации за рубежом, когда заново учился ходить; и затем семь месяцев в тюрьме. Всё это время его возможность руководить деятельностью его организации была сильно ограничена, не говоря о возможности зарабатывать деньги юридической деятельностью.
До вывода Навального из строя — таких дыр в IT-проектах ФБК не находили.
Вы уверены, что Навальный — тот, с кого стоит спрашивать за эти дыры?
MrRitm
26.08.2021 14:07-2Не находили != небыло. Понимаю, что врядли Алексей лично собеседует каждого админа, верстальщика, разработчика. Но он же - брэнд и это он нанял людей руководить процессами в том числе и разработки ПО. Жарову (который с телегой боролся) нормально так прилетало за некомпетентность исполнителей. Да и не спрашиваю я с Навального за дыры. Я просто обратил внимание на то, что у людей есть возможность сделать продукт надёжным, но его сделали супер дырявым. И это странно если исходить из предположения "хотел сделать хорошо". Зато если исходить из "во власть идут, чтобы пилить в личных интересах" и\или "хотели пошуметь", то вроде всё логично. Сваяли, оставили дыры и закрывать не торопятся, а когда будет очередной слив, будут кричать про КГБ в подвалах которого сидят прикованные к батарее хацкеры.
tyomitch
26.08.2021 14:25+2Я просто обратил внимание на то, что у людей есть возможность сделать продукт надёжным, но его сделали супер дырявым.
Весьма вероятно, что в этом году такой возможности не было — в том числе и потому, что Навальный вместо своих обычных 5М рублей личного заработка в этом году заработал ноль, и вложить в работу своей организации мог лишь этот же ноль.Зато если исходить из «во власть идут, чтобы пилить в личных интересах»
Кто из сторонников Навального в 2021 году идёт во власть?
MrRitm
26.08.2021 14:50-2Кто из сторонников Навального в 2021 году идёт во власть?
Без понятия. Имелось в виду не "прямо сейчас идёт", а "систематически предпринимает активные действия для того, чтобы оказаться во власти". Сам Алексей в выборах участвовал неоднократно (и в мэры Москвы и в президентских вроде был замечен). Кто там сторонник, а кто противник - не знаю. Знаю, что среди моих знакомых были разные люди. Кто-то без всяких денег брал лопату и кидал снег во дворе дет.сада потому, что дворник не справляется, а детям надо гулять. Кто-то митинговал, организовывал движения и сбор средств. Вот мне первые больше нравятся. Я бы за таких голосовал. Но таких нет в списках кандидатов.
areht
26.08.2021 16:35+2Его (опозиционера) личный доход 450.000р./мес. (исходя из инфы по ссылке на медузу). Так почему Волков? Почему пентестеру говорят про шапочку из фольги? .
Для начала, вы опять путаете личный доход гражданина с деятельностью фонда ФБК, штабов и других юрлиц. Навальный не оплачивает деятельность Волкова, а волков не оплачивает деятельность Навального.
А вообще, вы вот теорию выдвигаете, а сами бы пошли 450к по больницам и уголовкам зарабатывать? Потом на лекарства же больше потратите. У нас вон на RT зарплаты больше и здоровье целее - может туда лучше идти?
Кто-то без всяких денег брал лопату и кидал снег во дворе дет.сада потому, что дворник не справляется, а детям надо гулять. Кто-то митинговал, организовывал движения и сбор средств. Вот мне первые больше нравятся. Я бы за таких голосовал. Но таких нет в списках кандидатов.
Потому, что дворник - это не политик.
Кстати, а уверены, что не видели? Ну среди десятков безымянных в бюллетене точно дворника не нашлось, или просто вы не озаботились уточнить, а на плакаты по городу - это не дорожку убирать и деньги нужны?
MrRitm
27.08.2021 09:08Для начала, вы опять путаете личный доход гражданина с деятельностью фонда ФБК
Тут видимо стоит уточнить: я не считаю деньги в кармане Навального или Волкова. Сколько Алексей лично зарабатывает и на что тратит свои деньги - не моё дело. НО! Есть ресурс - время. В моём мире если ты прямо сейчас делаешь дело А, то прямо сейчас ты не можешь делать дело Б и наоборот. Т.е. если ты постоянно на митингах, ведешь блог, проводишь расследования, координируешь работу крупной организации (создаётся впечатление, что у Навального организация крупная) и не вылезаешь из судов\изоляторов\тюрем, то зарабатывать деньги в привычном смысле слова (ходить на работу в свой офис своей юридической компании и там решать поставленные клиентами задачи) некогда. Если некогда, значит источник дохода - донаты. И вот тут то как раз мы и подходим к тому, с чего начали.
Так вот вопрос: неделю назад у нас было 7607 подписок на ежемесячное пожертвование (средний размер 615 рублей). Как думаете, сколько их сейчас? 15 626 человек со средним пожертвованием 485 рублей.
Или 7578610 р/мес... Я понимаю, надо офисы содержать, канцтовары покупать, компьютеры и проч. Но неужели при донатах в 7,5 млн. в месяц нельзя найти специалистов чтобы сделали всё как надо? Там ведь функционал (как я понял из описания) даже не интернет-магазина, а скорее лэндинг с формой обратной связи. Так почему переусложнённый проект на Python вместо примитивнейших 50 строк кода на PHP? Почему дебаг в проде? Какие нахрен порты postgresql?! В россии население 144млн человек. Сколько из них подпишется? Пусть все. Что, для обработки (и оповещении в почту) 144 миллионов нужен постгрес? MySQL или SQLite не прокатит?
Итого: Организация получает 7,5 млн в месяц. Берёт на работу некоего человека которому ставит задачу по разработке проекта и выделяет бюджет. Человек что-то делает и в итоге получается какая-то вундервафля на Django+Postgres + "наверняка_дохрена_смузихлёбных_моднейших_решений". А когда ему указывают на то, что система не надёжна и надо бы поправить, отвечает в стиле Новодворской с плакатом и в белом пальто.
Вопрос: почему ТАК?! Ведь проблема то формировалась в течение какого-то времени. Ведь подход людей к работе и разработке проекта виден с первой недели (говорю как бывший руководитель отдела разработки). Может целью была не разработка хорошего решения, а что-то другое? И если это так, то всё логично. Разработали, взломали, хайпанули.
tyomitch
27.08.2021 11:54+3Или 7578610 р/мес… Я понимаю, надо офисы содержать, канцтовары покупать, компьютеры и проч.
report2019.fbk.info/media/report_2019_finance.pdf
За год ФБК получил 82,3 млн рублей. Расходы ФБК в 2019 году составили 63,5 млн рублей. Расходы на офис, оргтехнику и канцтовары составили 10,8 млн рублей, или 17% от общей суммы расходов. Всё это открытая информация.
MrRitm
27.08.2021 12:21-1Т.е. исходя из представленной Вами таблицы, организация тратит на менеджеров проектов и других специалистов от 1,6 до 3,3 миллиона в квартал (от 0,5 в месяц!). За эти деньги я бы "в лепёшку расшибся", но сделал бы сайт который так просто не сломать и уж тем более инфу не угнать. Где своих знаний не хватает - нашёл бы более компетентных, заплатил и компенсировал недостаток своих знаний знаниями нанятых. Ещё раз: Регионы! Для толкового разраба даже 100к\мес - очень хорошо! Так какова была цель?
tyomitch
24.08.2021 08:57+2Предложите какой-нибудь способ обратной связи с разработчиками, который противники ФБК не забьют мусором.
garehtnineth
24.08.2021 09:06+5донат 1000 рублей с комментарием
skygames_us
24.08.2021 11:35-15Ну да, так и есть. Все что ФБК сделали для безопасности своего манямирка, это заблокировали чат на youtube, для недонатеров. Окуклились, и дожимают последние донаты, с оставшихся фанатов. Шоу на стадии завершения.
kasthack_phoenix
24.08.2021 13:43Во-первых, они же не совсем окуклившиеся:
Капча + спамфильтр?
LinkedIn? Все крупные компании на раз людей там хантят, хотя туда очереди из желающих попасть стоят.
Хоть коммент с донатом, как написали ниже.
Во-вторых, они не могут посмотреть просто по тусовочке? У меня есть, например, контакты бывших участников, с которыми работали в других проектах. Клич по внутренним каналам кинуть "нам нужен нормальный айтишник", не? Это автоматически отсечёт 99% мусора и даст возможность проинтервьюировать людей.
Наконец, если у них нет каналов фидбека, то, возможно, они в каком-то своём воображаемом мирке живут, как Путин?
itsoft
24.08.2021 09:44+12Вы по ссылке мой пост прочитали? Поняли? По-моему нет. Почему техотдел состоит из волонтёров, которым не хватаем опыта?! Может потому, что в 2011-2013 году Навальный и Волков игнорировали то, что говорил, например, я. И не только я. Другие тоже говорили. То есть людей с опытом игнорировали. А теперь опыта не хватает.
Ну так тогда простите путину всё. У него тоже кадров не хватает. 2 000 000 человек эмигрировали и работают на страны потенциального противника.
euroUK
24.08.2021 17:59-1Насколько я знаю, волонтеров там не было. Получали деньги и деньги неплохие.
andreyverbin
24.08.2021 15:23-5Прислушиваться к сообществу в интересах ФБК и они это делают. Но ФБК и тем более Волков лично, не обязаны вас слушать, а проблему обратной связи можно обсуждать без нанесения прямого ущерба. ФБК не может физически слушать всех и каждого, а если это вас оскорбляет настолько, что вы начинаете вендетту, то это говорит не о проблемах ФБК, а о необходимости сходить к психологу и разобраться с своими тараканами.
Пост в ЖЖ довольно показательный. Прямо манифест обиженного волонтера, требования и сопли по поводу несоответствия реальности ожиданиям. Вы же в бизнесе и должны прекрасно понимать, что такое организация построенная на волонтерах-студентах, с бешеной текучкой, с низкими зарплатами и насколько хорошо она управляется.
Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.
itsoft
24.08.2021 16:11Обратите внимание на количество людей с которыми у Волкова не сложилось. Обратите внимание на то, кто эти люди — независимые, самостоятельно зарабатывают, имеют своё мнение.
ФБК не может физически слушать всех и каждого
Ну так и власть не слышит никого точно также.
Не надо втирать, что мы песчинки! Это большевизм напоминает. Какой-то абстрактный народ. Народ вполне конкретный — это конкретные люди. И каждого надо слушать, а не банить.andreyverbin
24.08.2021 18:33-3Я «втираю» не про песчинки, про песчинки вы выдумываете и игнорируете смысл моего комментария. Я повторю, мне не сложно
Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.
itsoft
24.08.2021 18:45-1Ага, делать нам больше нечего, все 8 лет под них и копаем. С утра и до вечера. Не, все 10 лет. Когда ещё с Навальным сидел, уже копал под его шконку. Берите больше, с 1999 года, специально ради этого компанию открыл, чтобы копать под несогласных.
Вам это ничего не напоминает? Посмотрите обвинения Ягоды, Ежова, Берии. Там они признаются в работе на все разведки мира прям начиная с 1917 года.andreyverbin
24.08.2021 19:42-2Потрясающее умение отвечать на выдуманные комментарии. Но я повторю в третий раз, это не сложно
Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.
Тут ни про песчинки, ни про 8 и 10 лет ничего нет. Все по делу и конкретно про этот единичный инцидент.
nukler
24.08.2021 13:10-1Боюсь что если человек переключится на kremlin.ru (или подобные сайты), то на него переключатся компетентные органы (которые быстры на расправу и поиски) и на хабре мы в ближайшие 2/5 лет (зависит от судьи) такого рода статей не увидим.
Vilgelm
24.08.2021 03:42+8По хорошему их конечно сначала нужно отправить команде, а после фикса уже раскрывать. Но если они эти данные получили, а на фикс забили, то публикация вполне оправдана чтобы подстегнуть на устранение уязвимостей.
Moskus
24.08.2021 00:04+59Много-много раз это объясняли до меня (потому что проблема стара как сами уязвимости в софте, а то и как критика чего-либо вообще), но мне не сложно повторить.
Действительно, публикация уязвимостей может быть безответственным действием, независимо от намерений публикующего. Но существует два фактора, которые вы игнорируете, которые принципиально меняют ситуацию.
Во-первых, если сторона, ответственная за проблему, ранее продемонстрировала не только нежелание слышать о проблеме, но и высокомерную агрессивную позицию в духе "вы все - идиоты, я лучше знаю, заткнитесь" (это, правда, не худший вариант - в истории есть случаи, когда люди, обращавшиеся в компании, чтобы сообщить об уязвимостях, оказывались под судом, как "хакеры"), нет ни одной внятной причины позволять этому продолжаться в том же духе. В этом случае, проблемой является уже не только уязвимость, но и эти самые люди, безответственно ее игнорирующие и позволяющие ей существовать. А это связано со вторым фактором.
Во-вторых, если уязвимость существует уже какое-то время, а также существует вероятность, что есть третья сторона, заинтересованная в ее эксплуатации, ситуацию следует рассматривать так, будто уязвимость уже эксплуатируется, если не существует надежного свидетельства обратного. В этом случае, под угрозой уже не только функционирование сервиса, об уязвимости в котором идет речь, но и благополучие пользователей, доверившихся этому сервису (и, возможно, людям, которые из-за большого самомнения позволяют этой ситуации затянуться). Пользователи, в свою очередь, имеют право знать о проблеме ровно в той же, если не в большей степени, чем администрация/разработчики сервиса.
Так что давайте вы прекратите проповедовать security through obscurity.
garehtnineth
24.08.2021 00:39-15нет ни одной внятной причины позволять этому продолжаться в том же духе
Это зависит от того, с чем конкретно вы воюете? Злой корпорации, экономящей на безопасности и набивающей миллиарды в карманы тут нет.
рассматривать так, будто уязвимость уже эксплуатируется, если не существует надежного свидетельства обратного
Значит миллионы почт уже утекли. Правда их владельцев и таки и СОРМ знает, и владелец их почты мейлру. Так что в чем именно в этот раз эксплуатация уязвимости заключается?
Пока эксплуатация уязвимостей и опасность для пользователей ограничивается рассказами из каждого утюга, что сайт уязвимый и пользователи в опасности. Причем, не без денег АПшечки, за которую вы, получается, играете.
Moskus
24.08.2021 01:57+21Начнём с того, что я не имею понятия, кто такая "АПшечка", а за кого я играю и играю ли за кого-то вообще, вы знать не можете, потому это ваши домыслы.
Подход, который я описываю в комментарии выше, не зависит от того, что делает сервис, какую политическую или экономическую позицию он занимает.
garehtnineth
24.08.2021 02:01-18Начнем с того, что если вы играете за кого-то вслепую, то это не моя проблема.
Вы не ответили против чего воюете то. Или так, чисто по привычке?
Moskus
24.08.2021 05:11+15Интересно, как вы оперативно перешли с дискуссии о принципах безопасности на обсуждение меня (чем я заслужил такую честь - не знаю), граничащее с "ты с какого района?"
garehtnineth
24.08.2021 06:30-8Я вообще то вопрос про принцип безопасности и задал.
Но вы предпочитаете обсуждать что угодно, кроме него.
Moskus
24.08.2021 07:54+5Где конкретно вы задали вопрос про принцип? Процитируйте себя, пожалуйста.
garehtnineth
24.08.2021 08:00-5Вопрос - это который заканчивается закорючкой ¿. Не сложно найти
Moskus
24.08.2021 09:13+3Я вижу вопрос о том, "с чем вы воюете". Во-первых, из его формулировки и дальнейших комментариев, не очень следует что он не адресован мне лично. Во-вторых, это вопрос о контексте, а контекст - это конкретика, дополняющая общий принцип, но не входящая в него. Так что я всё ещё не вижу вопроса о принципе, даже если допустить, что "вы" в том, что вы задали, не означает лично меня.
Moskus
24.08.2021 09:42+3Как быстро из вас полезли привычки шпаны. Ни с чем я не "воюю", не имею такой привычки.
garehtnineth
24.08.2021 11:00-6Вы решили подхватить упавшее знамя демагога? Слово "абстрактное" тут даже не упоминалось.
kogemrka
24.08.2021 11:03А зачем мне его подхватывать? Вы что, его уронили?)
Хорошо. Слоло абстрактное не упоминалось. Это моя ошибка, простите меня за неё. Повторяю предыдущий вопрос дословно, вычёркивая слово абстрактное:
Вы утверждатете, что вопрос "Ты с кем воюешь, кроме нежелания отвечать" - это был не вопрос про @Moskus , а вопрос про
абстрактноеобсуждение безопасности?
utoplenick
24.08.2021 12:37Вы когда из дома уходите, дверь в квартиру запираете? Если да то зачем? Заодно кстати можете сюда прислать данные своей кредитки, ну так, почему нет?
garehtnineth
24.08.2021 13:05Спросите лучше "на сколько замков вы запираете квартиру". А то толсто и скучно.
kogemrka
24.08.2021 09:22+4Это зависит от того, с чем конкретно вы воюете? Злой корпорации, экономящей на безопасности и набивающей миллиарды в карманы тут нет.
А вы считаете, что с корпорацией, набивающей миллиарды в корман воевать таки нужно, а здесь - нет? (под воевать, видимо, предполагается исследование безопасности, но если я вас неправильно понял - дико извиняюсь, исправьте меня пожалуйста и я смогу лучше понять вашу мысль).
А со корпорацией, набивающей корманы, зачем, по вашему, стоит "воевать"?)
garehtnineth
24.08.2021 09:31-2Воевать можно с чем угодно. Но неплохо бы понимать, для начала, с чем и зачем. А потом уже можно думать "как".
С корпорациями из спортивного интереса воюют все, от коммунистов до анархистов.
kogemrka
24.08.2021 09:36+2С корпорациями из спортивного интереса воюют все, от коммунистов до анархистов.
Ну вот, вы взяли из спектра политических воззрений вычеркнули всех правых, в том числе и либертрианцев (хотя тот Светов и ЛПР, если мне не изменяет память, даже поддерживают умное голосование).
Воевать можно с чем угодно. Но неплохо бы понимать, для начала, с чем и зачем. А потом уже можно думать "как".
Пентестом можно тоже заниматься из спортивного интереса. Если в результате работы пентестера мои данные (в перспективе) находятся в большей безопасности, а команда, за которую я вроде как болею - получила информацию о наличии у них проблемы и научилась исправлять её - не всё ли равно, какие у пентестера политические взгляды и отношение к корпорациям? Вроде бы win-win ситуация.
garehtnineth
24.08.2021 10:38+1Я не спрашивал про политические взгляды. Чёловек нанес репутационный урон УГ, какой к черту win-win?
kogemrka
24.08.2021 10:53+1Хм, кажется, я понимаю, в чём проблема. Возможно, я не понимаю вас потому что я не понимаю, в чём, по вашему, заключается репутационный урон, которого автор мог бы не наносить?
Репутационный урон, по вашему, заключается в открытии отчёта об уязвимости до получения реакции от Волкова и команды? В открытии отчёта до факта исправления? Или в открытии отчёта вообще?
garehtnineth
24.08.2021 11:06-1Пересчитайте тут комментарии про то, что у УГ нельзя регистрироваться. Это оно.
Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.
kogemrka
24.08.2021 11:17+2Понимаете, в чём проблема, я (как и большинство комментаторов) нахожусь со стороны "пользователи", а не со стороны "организаторы".
По-моему, регистрирующиеся в УГ имеют право знать, как утекают их данные. И точно заинтересованы в том, чтобы знать о факте утечки.
Это совершенно нормально, что совокупность интересов организаторов не целиком (особено, в таких мелочах) совпадает с совокупностью интересов участников - это справедливо про абсолютно каждую политическую партию и движение на протяжение человеческой истории. Тем не менее, не вижу ни одной причины, зачем мне стоило бы делать вид, что не-знать-про утечку - это мой интерес, наоборот - в моих интересах про утечку знать, знать как можно раньше и как можно подробнее. Особенно если я планирую зарегистрироваться или уже зарегистрировался - и буду голосовать по представленному списку.
---
Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.
"до, после или вместо" - кажется, всё-таки важно.
Стандартная (и поощряемая сообществом) практика работы с уязвимостью (который автор неэтично нарушил, не буду с этим спорить) - сообщить, дать время исправить, опубликовать публичный отчёт. В некоторых случаях корпорации (эти самые, которые злые и набирают деньги в карманы) платят большие деньги, чтобы отчёт не публиковался - и это довольно неэтично, я бы предпочёл, чтобы подобные отчёты публиковались всегда.
В некоторых случаях, регуляторы обязуют делать пресс релизы об особо серьёзных утечках.
В некоторых случаях, компании скрывают утечки от регуляторов или используют корупцию. Это, опять же, по моему мнению, неэтично.
В этичном сценарии статья всё равно была бы написана, в ней всё ещё было написано, как и в каком объёме ошиблись админы умного голосования и какие данные могли через него утечь. Так же было бы написано, сколько времени прошло между уведомлением команды пентестером и исправлением, то есть сколько конкретно часов данные были доступны для любого желающего, обладающего тем же инструментарием, что и пентестер.
---
Возвращаясь к теме
Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.
Возможно, вас устроила бы "публикация позже". Желательно - намного позже, после голосования.
Для этого нужно было бы, чтобы автор сначала написал организатором и подождал хоть какого-то ответа какой-то срок.
Автор, насколько я понимаю, этого не сделал - нехорошо поступил, согласен.
Но в общем-то не факт, что если бы и сделал, получил бы адекватный ответ (а в отсутствии ответа / в случае посалния нахер - публикация должна быть, имхо, однозначно).
Варианта "никому не рассказывать об утечке" в принципе нет. Конечно, есть, если поступиться профессиональной этикой, но этически это не сильно лучше пойти и продать данные товарищу майору.
garehtnineth
24.08.2021 11:28-3в моих интересах про утечку знать, знать как можно раньше и как можно подробнее.
Это факт? Спать же плохо будете, вредно это.
Вы пытаетесь некую этику (которая субъективна в принципе) считать эквивалентом абсолютной пользы. Так в сказках бывает.
kogemrka
24.08.2021 11:35+1Это факт?
Ну да, факт. А ваши интересы для вас определяете не лично вы, а кто-то ещё?
Спать же плохо будете, вредно это.
Ценю вашу заботу.
Вы пытаетесь некую этику (которая субъективна в принципе) считать эквивалентом абсолютной пользы. Так в сказках бывает.
Я объясняю свою позицию. Вы, я так понимаю, предлагаете жертвовать выбранной этикой и своими интересами ради успешного достижения целей конкретными политиками? Звучит как хорошая идея, точно не из сказок.
garehtnineth
24.08.2021 11:39+1успешного достижения целей конкретными политиками?
На митингах, выходит, так.
Хотя формулировка у вас странная
kogemrka
24.08.2021 11:55+2Хотя формулировка у вас странная
Поясню формулировку. Мне показалось, что мысль, которую вы пытаетесь донести - это, утрируя, "если надо положить на собственные интересы / этику / whatever и промолчать ради победы моей любимой партии - значит надо было промолчать! For the Greater Good!"
Очевидно, умное голосование - это стороны добра, партия ж и в - это силы зла с орками и всем причитающимся. Твои действия (раскрытие уязвимости) нанесло мистический репутационый вред силам добра? Ну всё, на вилы тебя, негодяй. Эй, вы что, его оправдываете? Ну вы наверное злые какие-то или глупые.
Извините за иронизирование.
Возможно, ошибаюсь. На самом деле мне очень не нравится вот такая форма ведения диалога (когда задаются какие-то вопросы в духе "А против кого вы боретесь?! Чтоооо, уходите от ответа?"). Невольно, начинаешь за собеседника додумывать всякое нехорошее.
Я свою позицию вроде бы изложил (см. выше https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23406964, даже стыдно за такое количество букв трёпа). Буду рад ознакомиться с вашей, если она не совпадает с утрированием выше.
bak
24.08.2021 13:12+1Понимаете, в чём проблема, я (как и большинство комментаторов) нахожусь со стороны "пользователи"
1) Какую проблему вы пытаетесь решить являясь "пользователем" данной системой? Какой результат хотите получить?
2) Влияет ли количество участников данной системы на эффективность результата? Нужно больше пользователей, или наоборот меньше?
3) Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть существующих?
kogemrka
24.08.2021 15:22+51) Какую проблему вы пытаетесь решить являясь "пользователем" данной системой? Какой результат хотите получить?
Чуть ниже я уже писал вещи, которые приблизительно отвечают на ваш вопрос.
https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23407288
Есть уровень участия в политической жизни, который меня устраивает. Этот уровень может не совпадать с вашим и это, как мне кажется, совершенно нормально.
Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников.
2) Влияет ли количество участников данной системы на эффективность результата? Нужно больше пользователей, или наоборот меньше?
Нужно больше. В моей картине мира риторика вида "а надо быть готовым, что вас уволят или ноги сломают" (это относится скорее к комментарию, на который я отвечал по ссылке, приложенному в первом пункте) гарантировано уменьшает количество пользоваталей. Посылание пентестеров - тоже.
Замалчивание уязвимостей просто невозможно - подобная уязвимость гарантировано будет обнаружена (см. ниже). Любая попытка скрыть косяк точно будет использована политическими оппонентами -> можно полагаться только на открытость и сотрудничество.
3) Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть существующих?
Вы хотите какой ответ, что я бы ответил, если бы это меня спрашивали на работе, или что я бы ответил, если бы это был разговор на кухне и я сидел в тельняжке, стуча воблой по столу?)
По-хорошему, надо проводить A/B Тест и само его проведение организовать безумно сложно (хотя бы потому что огромное значение на эффект имеет пропаганда третьих лиц).
В рамках кухонного разговора, как мне кажется, умалчивание приводит к отталкиванию. Попробую пояснить, но, конечно, всё написанное ниже - домыслы и я не расчитываю, что смогу вас убедить.
---
Про пользу открытости (вернее про то, что открытость не обязательно приводит к ужасным последствиям):
Мне в голову приходит ситуация, когда инженер стёр продовую базу в гитлабе с данными пользователей, и они написали детальный постмортем. Разные видел комментарии, но, в основном, их хвалили за открытость. Впрочем, мб это эффект выборочного внимания и комментарии вида "о ужас, больше никогда не буду покупать их сервис" я просто не запомнил.
---
Про невозможность сокрытия:
Автор не сделал ничего сверхгениального, он нашёл джангу с включёным дебагом.
Не хочу преуменьшать его заслуги, но подобные косяки ищут широким сканированием в автоматическом режиме в каком-нибудь shodan'е.
То есть буквально прямо сейчас, пока вы читаете это сообщение, сотни человек из одной только россии (и тысячи во всём мире) сканируют роботами тысячи сайтов на наличие подобных косяков.
Это буквально не преркащающийся ни на секунду массовый поиск - ищем монгу с открытым портом и настройками по умолчанию. Ищем urlы, с подстрокой из следующего множества, запрос по которому не отдаёт ошибку. Не берусь утверждать, что джанго с включёным дебагом входит в набор поиска самых-самых начинающих скрипт-киддис. Мне кажется, кто-то по ней да ищет. Включённый дебаг мод в популярных движках и фреймворках - одна из первых вещей, которые приходят в голову. Если ошибаюсь, поправьте меня.
Часть из этих сайтов вообще никто заранее не выбирал целью, люди каждый день находят десятки-сотни таких, а потом собирают в списочек и вечером за чашкой чаю пытаются понять, какие из них интересно поковырять с точки зрения потенциальной уязвимости или ценности для потенциального покупателя.
Нельзя даже предполагать, что автор вообще - первый, кто наткнулся на уязвимость. Уж тем более на то, что если он о ней промолчит, её не найдёт ещё десять человек в недели или суток. А может быть и не найдёт. А может быть её найдёт ещё 100 человек, 99 из которых окажутся оппозиционерами, искренне верящими в то, что об уязвимости надо умолчать, а оставшийся 1 - сторонником кремля. В конце концов, с течением времени нашедших уязвимость будет всё больше и больше, а решивший использовать её худшим образом рано или поздно найдётся чисто из закона больших чисел.
---
tl;dr: я буквально не вижу сценариев, в которых умалчивание и посылание пентестеров к чёрту - это хорошо. Не знаю, как вы их представляете, мб я глупенький, а у вас картина мира более полная и вы обладаете более полным представлением о том, как устроена индустрия поиска уязвимостей. Я тут, действительно, профан, буду рад услышать ваше экспертное мнение, если это так.
Возвращаясь к вопросу:
Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть
существующих?Распространение такой информации работе организации не помогает - конечно.
Проблема в том, что скрыть её, как мне кажется, просто невозможно. Единственное, что можно сделать - damage control. Либо ты работаешь с пентестерами так, чтобы они вели себя хорошо и этично и рассказываешь, какой ты молодец, как замечательно и быстро среагировал на сигнал об уязвимости, как хитро исправил, и что сделал, чтобы больше никогда в такой ситуации не оказываться.
Либо эту уязвимость и информацию используют против тебя.Других вариантов, вроде как, не завезли.
garehtnineth
24.08.2021 16:42Невольно, начинаешь за собеседника додумывать всякое нехорошее.
Вы поменьше додумывайте и читайте первоисточники. А то то у вас УГ, почему-то, не нужно когда ЕР имеет рейтинг меньше половины (то естьв сегда), то собеседник на вилы предлагает поднимать кого-то, а победа политика становится чем-то плохим.
For the Greater Good!"
Вы тут в комментариях уже раз шесть написали, что автор поступил неэтично. Но его неэтичность вас не заботит, вы только за неэтичность Волкова готовы на вилы поднимать. Интересная у вас этика.
И это не "For the Greater Good"? А почему, потому что что слитая Горожанко база оказалось вдруг под угрозой, опять?
Да, For the Greater Good люди даже на танк с гранатой бросаются. "Ради любимой партии". И едва ли их спрашивали это ли их уровень комфорта.
Так и в чем ваша позиция, что нет никакого "For the Greater Good", только ваш комфорт?
При этом не забывайте, что танки не волков послал, его и коллег танк уже переехал. И даже если вы распнете Волкова, то танки это не остановит. Так что нет, моя позиция не про "For the Greater Good", а что вы в принципе не в у сторону воюете.
хотя бы потому что огромное значение на эффект имеет пропаганда третьих лиц
И после этого вы приводите ванильный пример гитлаба (вместо A/B тестирования). Очень корректная аналогия, ага.
решивший использовать её худшим образом рано или поздно найдётся
Так в том то и дело, что Горожанко давно нашелся. И да, волков очень очень плохой, что это допустил. Но теперь все эти упражнения в пантестинге и виктимблейминге - бег на месте.
Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников
А я думаю это ложь. Или самообман. Условия поменялись вовсе не от реакции Волкова, а от, собственно, дыры. Впрочем, судя по тому, что "это что-то меняет" - вы до сих пор не зарегистрировались (зарегистрированным то уже поздно что-то менять), так что теперь просто есть повод и не регистрироваться.
И самое главное, что заявленная вами проблема "посылание пантестеров и замалчивание задним числом", которая все меняет, публикацией не уже не исправить в принципе, так что заявленная вами цель ещё и недостижима.
И в чистом остатке лично я вижу 1) закрытую втихую дыру, не очень понятно чем угрожающую и 2) ущерб репутации. 3) все показали как они за этику с бревном в глазу.
Ну, такое себе мероприятие, можно было и не организовать.
kogemrka
24.08.2021 20:49+2Вы поменьше додумывайте и читайте первоисточники.
Извините. Абсолютно серьёзно не имею никакого желания вас обидеть. Если я где-то понял ваши слова не так - я буду благодарен, если вы укажате на это, и напишете, что же вы на самом деле имели в виду.
А то то у вас УГ, почему-то, не нужно когда ЕР имеет рейтинг меньше половины (то естьв сегда)
В данный конкретный момент УГ нужно, замечательный инструмент, всем советую.
Почему УГ станет не нужным, когда наступит прекрасная россия будущего - хороший ответ вот тут
https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23408210
С чего вы решили, почему за ЕР или за Путина голосует меньшинство - спрашиваю буквально в каждом треде - пока не получил ни одного ответа. inb4: было бы круто, если бы действительно было так. Но почему вы решили, что это так?
Вы тут в комментариях уже раз шесть написали, что автор поступил неэтично. Но его неэтичность вас не заботит, вы только за неэтичность Волкова готовы на вилы поднимать. Интересная у вас этика.
Так, погодите.
Вы буквально в одном абзаце пишете, что я поступок автора назвал неэтичным шесть раз. Шесть раз. И утверждаете, что его неэтичность меня не заботит.
Шесть раз, карл! Шесть раз! (по вашим словам, конечно, я им верю и пересчитывать не буду).
Хотите ещё несколько раз повторю. Неэтично, неэтично, неэтично. Осуждаю. Уууу, автор негодяй! !!!! !!!111. И ещё три восклицательных знака.
Достаточно? Вы скажите, если получившееся количество раз - мало - мне не жалко, я ещё раз повторю.
Вы хотите, чтобы я торжественно выписал автора из числа этичных пентестеров? Увы, у меня такой кнопки нет, не завезли.
вы только за неэтичность Волкова готовы на вилы поднимать.
Подскажите, пожалуйста, где я поднимаю Волкова на вилы?
Я в соседней ветке комментариев буквально защищаю его право банить несогласных направо и налево. Там его ещё из либералов выписывают.
Да, For the Greater Good люди даже на танк с гранатой бросаются. "Ради любимой партии". И едва ли их спрашивали это ли их уровень комфорта.
Да, бросаются, это факт. Я более чем уверен, что практически все бросающиеся на танк с гранатой делают это for the greater good. Как, впрочем, и едущие на танке.
Более того, я более чем уверен, что это даже чертовски полезное убеждение с точки зрения эффективности бросания на танк или управления танком - знаете ли, водители танков, верящие, что с ними бог, и кидатели гранат, верящие в коммунизм перформят в деле вождения танков и кидаюния гранат гараздо лучше, нежели те, у кого подобные убеждения отсутствуют.
Так и в чем ваша позиция, что нет никакого "For the Greater Good", только ваш комфорт?
Вы рилли хотите на мировоззренческие темы и взгляды на демократию порассуждать или просто так спросили?
И даже если вы распнете Волкова, то танки это не остановит.
Ну что же вы, я выписанного из либералов Волкову приют среди коммунистов предложил, а вы намекаете, что я его распнуть пытаюсь.
Так что нет, моя позиция не про "For the Greater Good", а что вы в принципе не в у сторону воюете.
Тогда зачем все эти образы про бросание на танк с гранатой ради добра и партии?
И после этого вы приводите ванильный пример гитлаба (вместо A/B тестирования). Очень корректная аналогия, ага.
Извините, если вам показалось, что пример с гитлабом призван как-то заменить A/B тестирование. Это не так, это никогда нигде и не утверждалось, и если вдруг кому-то, читающему комментарию, показалось, что это связанные вещи - прошу простить меня за эту путаницу.
Нет, это не так.
Если вдруг кто-то сомневается, вдруг всё-таки так - призываю обратить внимание на структуру комментария. Там прямо разграничивается. Буквально написано "дальше - чисто домыслы". "В рамках кухонного разговора". И после этого идёт про гитлаб.
Рилли, если вы мне подскажете, как мне стоило структурировать тот комментарий так, чтобы у вас не возникло такой ошибке при прочтении - я буду благодарен.
(мои слова): Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников
(ваши слова): А я думаю это ложь. Или самообман.
Резонно. Я думаю - отпугнёт и меня отпугивает. Вы думаете - не отпугнёт и вас не отпугивает. Оба мнения имеют право на жизнь. Мне не стоило ставить здесь слова "гарантировано".
Условия поменялись вовсе не от реакции Волкова, а от, собственно, дыры.
Ну дык, это.
Случай А: компания продолбалась и говорит "Блин, вот, короч, инфа о том, что случилось, вот как мы это исправили"
Случай Б: компания продолбалась и говорит "Да и пофиг, задолбали нам про дыры писать, ну дыра и дыра, специалисты доморощенные, шапочку из фольги оденьте".
Вы целиком и полностью имеете право считать, что в обоих случаях относиться следует одинаково. Действительно, в обоих случаях произошла уязвимость.
Я так не считаю, и это озвучиваю.
Ну, допустим, вы подобное убеждение называете "самообманом", ок, хоть сепулькой назовите.
Впрочем, судя по тому, что "это что-то меняет" - вы до сих пор не зарегистрировались (зарегистрированным то уже поздно что-то менять), так что теперь просто есть повод и не регистрироваться.
Этот пассаж вообще не понял.
публикацией не уже не исправить в принципе, так что заявленная вами цель ещё и недостижима.
Так, стоп, я заявлял какую-то цель "публикации" или "комментариев"? О какой цели вы говорите?
И в чистом остатке лично я вижу 1) закрытую втихую дыру, не очень понятно чем угрожающую и 2) ущерб репутации. 3) все показали как они за этику с бревном в глазу.
В смысле, втихую? Закрыли же после публикации.
См. выше.
Эээ, это вообще какая-то аргументация в духе путинской пропаганды.
В духе "А вот Навальный коррупционеров обличает, а сам-то он!".
Это так не работает, извините.
Не знаю, где вы увидели нарушение этики с моей стороны (бревно в глазу). Буду благодарен, если сообщите. Впрочем, я уверен, что это не должно менять ничего в моих словах. Если вам угодно, можете считать в рамках комментариев к данному треду - что конкретно я самолично ем детей и совершаю военные преступления. Если бы я ел детей - я бы сказал то же самое.
garehtnineth
24.08.2021 22:34Если вам угодно, можете считать в рамках комментариев к данному треду - что конкретно я самолично ем детей и совершаю военные преступления.
Тогда можно я не буду заниматься фигнёй и тратить время на объяснения вам ваших передёргиваний?
С чего вы решили, почему за ЕР или за Путина голосует меньшинство
Это моя цитата?
kogemrka
24.08.2021 23:02-1Тогда можно я не буду заниматься фигнёй и тратить время на объяснения вам ваших передёргиваний?
А вам для этого разрешение нужно? Надеюсь, что нет. Если таки нужно - конечно, можно.
Абсолютно каждое сообщение в этом треде было написано вами полностью добровольно. У вас была есть и будет полная свобода не читать мои комментарии или не отвечать мне.
Если в действительности вас кто-то принуждает, наденьте жёлтую рубашку в следующем видео.
kogemrka
25.08.2021 00:42+2Сочувствую, что вам пришлось с этим столкнуться.
Должно быть, это очень обидно - у вас такие блистательные аргументы про бросание на танк с гранатой, остроумные вопросы к собеседникам,
с какого района он будетза кого он воюет, а у вашего собеседника такая глупость. Бывает же. Вот занимаешься, понимаешь ли, в диалоге важным и ответственным делом, а собеседник - бессмысленным флудом и демогогией. По-моему, мне должно быть стыдно.
nukler
24.08.2021 13:17-1Вы как то потеряли слова которые в корне меняют фразу, я возвращаю их Вам
>> экономящей на безопасности
lain8dono
24.08.2021 01:43-10Security through obscurity это единственное, что защищает от момента нахождения уязвимости до момента полного устранения уязвимости.
Moskus
24.08.2021 02:00+14Оно ни от чего не защищает. Принцип сообщения ответственным за устранение основан на том, что им, при прочих равных, легче и быстрее устранить уязвимость. В случае, если нет надёжного доказательства того, что она не была использована третьими лицами, они всё равно обязаны признаться, что она могла быть использована.
Nikoobraz
24.08.2021 09:44+6Вопросы безопасности в целом не моя специальность, но рискну предположить, что даже если Security through obscurity и может работать, то только в случае с компаниями, которые не привлекают особого внимания, и к которым злоумышленники могут забрести разве что случайно. В данном же случае имеется мишень за которой злоумышленники пристальнейшим образом следят. Так что любая уязвимость скорее всего находится и эксплуатируется с первых же дней, а through obscurity только поддерживается стабильный источник утечки ценной информации к злоумышленнику.
dd84ai
24.08.2021 09:47+1https://habr.com/ru/company/oleg-bunin/blog/571440/
Действительно. Поэтому мне так понравилась эта статейка про культуру открытости к ошибкам и их исправления. Глоток свежего воздуха буквально.garehtnineth
24.08.2021 11:44А как думаете, почему это глоток воздуха? Если все так хорошо, то почему коммерческие компании так не делают?
dd84ai
24.08.2021 17:37+1глоток воздуха, потому что показывает пример наиболее быстрого реаригирования и устранения ошибок, с честностью на всех этапах, с определенностью кто как должен действовать для решения проблемы.
часть компаний наверно делает, а другим принять сложно из за того что это должно поддерживаться в первую очередь руководством. А руководство понимающие техническую сторону и почему это надо так делать, я так полагаю не всегда встречается. Куда проще скатиться в токсичную атмосферу с указанием на козлов отпущения, или свестись к начальству которое предпочтет заметать под ковер чтобы не разрушить свою мифическую репутацию вместо реальных действий.
dd84ai
24.08.2021 17:55И еще глоток воздуха потому что, такая открытая стратегия обеспечивает уровень безопасности намного выше чем альтернативы.
Но приличная часть компаний наверно банально не имеет ресурсов для найма людей понимающих в безопасности. Либо не осознают необходимости в уровне безопасности в соответствии со своим ростом.garehtnineth
25.08.2021 01:03обеспечивает уровень безопасности намного выше чем альтернативы.
Это факт?
Тогда получается что тысячи руководителей с миллионными зарплатами, консультантами и прочим, скажем так, не так умны как вы, что бы это знать. И скатываются в токсичность и вот это всё.
А коммерческие компании им деньги зря платят.
Немножко не тот случай, когда достаточно объяснить глупостью.
kogemrka
24.08.2021 21:59-1Почему не делают?
Некоторые вещи (например, публичное раскрытие информации об утечках данных) - прямое требование SEC и GDPR.
Я могу, конечно, ошибаться, но SEC вроде как как-то даже работают и докапываются.
More than a year later, the SEC brought an action against another issuer for allegedly misleading investors and delaying disclosure about a third party misusing the company’s user data.
In this case, a third party had gained access to, and misused, the company’s user data. The SEC alleged that for two years after finding this out, the company described in its SEC filings the misuse of personal data as a potential risk. According to the SEC’s allegations, at the time each of these filings was made, the company knew the misuse had occurred.
Впрочем, я не инвестор и подобные отчёты не читаю, может быть придёт кто-то богатый и умный и поправит меня.
TCPpoPochte
24.08.2021 08:08+11Проблема в том что если эти проблемы не озвучивать то для безопасности сторонниок не будет ничего делаться.
Учитывая что сейчас есть прямая угроза сесть и лишиться имущества, к безопасности надо относиться максимально серьезно. По Волкову этого не видно.
Была бы адекватная реакция, то писали бы по приватным каналам, а не выкладывали в паблик.garehtnineth
24.08.2021 08:10-7Учитывая что сейчас есть прямая угроза сесть и лишиться имущества
В чем "прямота" заключается?
tyomitch
24.08.2021 09:11+7В статье УК 282.1 п.2 «Участие в экстремистском сообществе»
Хотя она ещё не применялась против сторонников ФБК, такая угроза стала реальнее чем когда-либо.garehtnineth
24.08.2021 09:38-1А "лишиться имущества" - это штраф, получается?
Прямая угроза и "реальнее" - это очень разные вещи. Натянуть неверефицированную почту на участие в сообществе - это достаточно смело даже по нынешним временам, когда даже до "финансирования" не добрались.
kogemrka
24.08.2021 09:53+1Натянуть неверефицированную почту на участие в сообществе - это достаточно смело даже по нынешним временам
Что значит "неверифицированную" почту? Вы таки думаете, что для уголовного дела нужно, чтобы аккаунт был подверждён смской на телефон, к которому привязан паспорт человека?)
garehtnineth
24.08.2021 10:04+2Я напомню, что сейчас полиция вежливо стучится и спрашивает не желают ли написать заявление о разглашении персональных данных ФБК, а не выламывают дверь и увозят. Что им нужно можно спорить, но по факту результат какой есть.
kogemrka
24.08.2021 10:11+4Ну да. Потому что они решают другую задачу. И тех, кто напишет заявление о разглашений персональных данных ФБК вроде как увозить не планируют - во всяком случае о таких случаях я не слышал.
В тех случаях, когда человеку нужно сделать статью, вполне себе делают статью по факту в духе "В 2014-ом году человек выложил на свою страничку в видеозаписи клип группы Раммштайн и поэтому сегодня мы решили завести на него дело".
---
На самом деле, если кто-то даст комментарий на тему актуальной практики работы наших органов - я буду очень благодарен. С моей точки зрения "верификация" страниц в соцсетях, да и привязка паспортов к номерам телефонов - это довольно свежие "изобретения" и дела вполне себе успешно шились до них.
Более чем 10 лет назад в уголовных делах вполне себе фигурировала переписка из ICQ (видел своими глазами), который тогда ещё рамблеру не принадлежал и серверов в рф, если я ничего не путаю, не имел. Маловероятно, что по всякой ерунде прямо-таки брало и сливало переписку милиции в провинциальные ебеня. Верифицирован ли аккаунт? А не было ли на компухтере вируса, который строил из себя прокси? Вообще пофиг.
Предположу, конечно, что такие дела скорее всего легче развалить.
Йеп, скорее всего если не сделать других ошибок (например, в дополнение к почте никогда и ни в коем случае не упоминать в разговорах по телефону или в сообщениях в контакте тот факт, что вы участвуете в деятельности ФБК, никогда не посылать ни одного сатоши без предварительного прогона своих биткоинов через нескомпрометированные миксер) - можно будет даже доказать свою невиновность в суде.
Ещё потребуется выдержать давление следователя. Вы-то умный и справитесь. Но кроме вас есть десятки тысяч людей менее готовые к такой сиутации.
А ещё даже выиграв суд (или добившись того, что дело до суда и не дойдёт) можно радостно потерять кучу денег, нервов, проблемы в отношении с родственниками и работу.
tyomitch
24.08.2021 10:18+2www.facebook.com/yashin.ilya/posts/4176818172371796
«Ну понятно, — говорит, — А доказать-то можете, что это не ваш канал?»
«Это же очевидно», — отвечаю. И поясняю: канал не верифицирован, на других мои страницах в соцсетях от 200 до 400 тысяч подписчиков, а здесь всего несколько сотен, любой человек может зарегистрировать такой канал хоть от моего имени, хоть от имени самой судьи Михалевой.
«Ну фотография-то ваша, правда? — улыбается судья. — Позиция ваша понятна, но суд считает доказательство приемлемым».kogemrka
24.08.2021 10:28-1А чем дело кончилось, если не секрет? Отсутствие верификации помогло оправдаться?
btw, а канал действительно не имеет к нему отношения де факто, или только де юре?
tyomitch
24.08.2021 10:40+1А чем дело кончилось, если не секрет? Отсутствие верификации помогло оправдаться?
Не помогло. О том и речь.btw, а канал действительно не имеет к нему отношения де факто, или только де юре?
Понятия не имею. Никаких аргументов, кроме «там стоит ваше имя и ваше фото», прокуратура не предъявляла, а суд не требовал.
garehtnineth
24.08.2021 10:27+1Потому что они решают другую задачу.
И дальше будут решать свои проблемы, а не бегать непонятно за кем. Получить палку гораздо проще с "В 2014-ом году человек выложил на свою страничку", чем думать как почту к паспорту привязать.
Там ведь даже фотки нет.
kogemrka
24.08.2021 10:34-1Там ведь даже фотки нет.
Вы исходите из допущения, что используемая почта - одноразовый аккаунт на выброс?
kogemrka
24.08.2021 10:58-1А зачем?
Ну, типа, ок, допустим значимая доля пользователей ввела чужую почту. В таком случае они в безопасности и за ними "не придут". Но в таком случае сервис сбора данных не выполнит свою задачу (значимая доля пользователей не получит уведомлений, а цель существования этого конкретного взломанного сервиса - собрать почты и отправить по ним уведомления). В чём тогда причина беспокоиться, что сервис дискредитирован и в него придёт оставлять почты меньше людей?
garehtnineth
24.08.2021 11:11Попробуйте цифры подставлять в рассуждения, а то "если будет меньше, чем больше, то какой смысл беспокоится что будет меньше"
vitiok78
24.08.2021 11:21Мы публикуем их уязвимости до устранения, а они увеличивают нам пенсионный возраст до нашей кончины. По-моему, всё честно.
itsoft
24.08.2021 15:20-5
geirby
24.08.2021 15:58-3Время реакции у нас пара минут. Я от клиентов не прячусь. Видите я тут. Любой мне может написать. (Игорь Тарасов, генеральный директор компании itsoft).
*Жалуется по тарасовски
Игорь, я тебя тегнул два часа назад, где обратная связь? Почему ты игнорируешь мое предложение? Это потому что ты генеральный директор, а я простой разработчик, да? Ты зазнался, Игорь, вот что.
И цель этого пинания Волкова и Ко, чтобы они сделали обратную связь, о которой я им говорил и предлагал сделать 8 лет назад. И такая обратная связь должна быть у всех организаций.
Они все достали! Я хочу, чтобы все общались с людьми как это делают хостинговые компании и в частности наша. (он же)
Выводы о генеральном директоре IT-компании Игоре Тарасове делайте сами. Равно и о его публикациях.
Am0ralist
25.08.2021 14:55У 2naive 121 голос и карма 13.7 — Это наверное рекорд.
Не очень понял ваш аргумент…
У меня 286 и карма 33.5 :)))
Типа чем больше голосов при небольшой карме, тем типа круче?
Ну, тогда вам ещё далеко до рекордов...
Cougar-03
25.08.2021 17:43+1вот уж реально, как кораблик назовешь, так он и поплывет
а фиаско, оно везде - фиаско )))
vmkazakoff
23.08.2021 20:22+10А вы же направляли им самим эту информацию заблаговременно?
Хотя с учётом количества ошибок детских не факт что им это помогло бы.
itsoft
23.08.2021 20:30+29Пока 50 лайков и 20 000 просмотров на Хабре статья не наберёт они всё равно реагировать не будут. Какой в этом смысл? Не раз писал в ФБК и прочие проекты на общие контакты и ни разу не получил ответ.
mikhailian
23.08.2021 22:04+19Эту конкретную инфрмацию вы им отправили заблоговременно, или нет?
Существуют общепринятые протоколы для исследователей безопасности. Хотелось бы узнать, какому следовали вы.
Lexicon
23.08.2021 22:25-2Кстати интересно, а почему ТС и другие должны следовать каким-то протоколам в принципе?
Неужели "публичная платформа" следует протоколам? Аудит там, выплаты за утечки, признание вины в конце-концов
garehtnineth
23.08.2021 22:53+5выплаты за утечки
Представляю как на стриме "привет, сегодня четверг, это не Навальный. А сегодня мы собираем на bugbounty нашим друзьям из itsoft".
Vilgelm
24.08.2021 03:46+5Ну если вы найдете уязвимость в Google и вместо того чтобы направить им информацию опубликуете ее онлайн, то скорее всего ничем хорошим это для вас не кончится.
С другой стороны если данные были отправлены, а адресат их проигнорил, тогда публичное информирование о наличии уязвимости заставит владельца пошевелиться и тогда это благо.
Cereliusep
23.08.2021 22:54+22Общепринятые протоколы для исследователей безопасности не включают в себя вместо благодарности за нахождение уязвимости получение ответа про "доморощенных экспертов по информационной безопасности и шапочки из фольги".
trak
24.08.2021 09:03+6Это кстати просто омерзительно. "Доморощенные". А каким бы он поверил? Из техотдела ФБР/ФСБ?
CherryPah
23.08.2021 20:52+53Реакция будет примерно такая.
В конце концов Волков просто забанил человека задающего неудобные вопросы
Kovu
23.08.2021 21:43+14Если бы он только банил тех, кто задает неудобные вопросы. Он (и не только он) банят и тех, кто поддерживает (например, ретвитом или комментарием) тех, кто задает неудобные вопросы. Я так в бан Милову и Волкову попал.
itsoft
23.08.2021 22:12+21Я в бане у Коха, Милова, Чичваркина, Доброхотова, Адагамова, Бабченко, Фейгина, Сотника и ещё дофига у кого. Боровой в нулевых угрожал меня на счётчик поставить. Мало кто терпит людей, задающих неудобные вопросы. Вот такой зоопарк либерально-демократический у нас, который про свободу вещает.
garehtnineth
23.08.2021 22:23+10Вот такой зоопарк либерально-демократический у нас, который про свободу вещает.
Либералы банят, коммунисты расстреливают, автократы травят. В чем недовольство?
Areso
23.08.2021 23:26-8Это просто у либералов пока власти нет.
Вот (если) будет, тогда и посмотрим, кто есть кто.
garehtnineth
23.08.2021 23:31+1Точно. Знаю я этих либералов, построят как обычно страшную либеральную страну с концлагерями и без блекджека.
Hector76
24.08.2021 12:34-5Хочешь узнать человека - дай ему маленькую власть. Да и не либералы они никакие вовсе. Также как современные коммунисты - не коммунисты, патриоты - не патриоты, РПЦшнки - не христиане.
Тот кто в интернете банит - будучи у власти будет сажать по тюрьмам. Ну и цензуру врубать на полную. Впрочем, власть этим товарищам не светит. Все что им надо - немножко донатов и продать кандидатам в муниципальные думы место в списке УГ.
kogemrka
24.08.2021 12:36Тот кто в интернете банит - будучи у власти будет сажать по тюрьмам. Ну и цензуру врубать на полную
Не согласен.
Hector76
24.08.2021 12:52Волков это "слушателИ"?
kogemrka
24.08.2021 13:00+1Если ко мне в квартиру пришёл человек, который мне не нравится, я имею право закрыть дверь.
Если ко мне на страницу пришёл человек, с которым я не хочу общаться, я имею право послать его к чёрту и закрыть доступ.
У вас разве не так? Разве вы считаете, что лично вы такого права не имеете?
---
Насколько я знаю, Волков имеет те же права, что и я, вроде как в правах его никто не поражал.
При этом вы можете считать, что он ведёт себя как мудак. И я могу считать, что он ведёт себя в этой ситуации, как мудак. И тот факт, что он - публичное лицо, да ещё и политик может заставлять нас считать его ещё большим мудаком.
(вообще, в подавляющем большинстве случаев мудаки действуют именно в рамках законодательства, внезапно. Поэтому у нас в языке есть отдельные слова для неодобряемого поведения и недобропорядочности - мы называем разных людей словами "мудак", "лицемер" и т.д., а не "преступник").
Однако быть плохим человеком (неважно, с чьей-то точки зрения или как-то объективно) - это совершенно не то же самое, что ограничение чьих-то прав или механизм репрессий. (Более того, подозреваю, что некоторые диктаторы - совершенно замечательные и душевные люди).
Hector76
24.08.2021 13:31-2Если я говорю что я либерал, то не могу вести себя как диктатор. Даже в мелочах. Я не могу банить людей потому что они мне задают неудобные вопросы. И тем более, делать вид что это не мое лично решение, а просто это и остальные так считают. Да даже если большинство тоже так считает (хотя какая разница что оно считают, ведь они могут ошибаться), свобода слова один из главных принципов либерализма. Где-то у себя в семье пусть закрывает двери кому хочет. В его личное пространство никто не лезет. На публичной площадке для обсуждения так себя вести нельзя.
То есть, резюмируем: Волков - вообще не либерал.
kogemrka
24.08.2021 13:44+2свобода слова один из главных принципов либерализма
Конечно. Послать собеседника к чёрту - никак не связано со свободой слова. Не встречал ни одной формулировки свободы слова, которая обязывала бы меня общаться с неприятными мне людьми, например. Вы уверены, что она хоть где-то в истории встречается? Было бы любопытно почитать подобный источник.
На публичной площадке для обсуждения так себя вести нельзя.
То есть если я сейчас пойду на вашу страницу в контакте и начну критиковать ваши выставленные фотки, вы будете старательно себя ограничивать в праве закрыть страничку или добавить меня в чс?
То есть, резюмируем: Волков - вообще не либерал.
Допустим) С этим не вижу смысла спорить.
Я по-прежнему не согласен, что "либерал не имеет право банить людей на своей страничке", но мне, в общем-то совершенно совершенно всё равно, куда Волкова относите вы (или куда Волкова относит он сам).
В 2019-ом, 33 из 45 человек в списках умного голосования заняли коммунисты, да и программа Навального, по мнению некоторых людей, довольно левая (насколько я понимаю, из-за некоторых пунктов, собеседование в ЛПР, к примеру, он бы принципиально бы не прошёл), думаю, на основании этого вы можете смело называть Волкова коммунистом).
А что это меняет? "Либерал" - не значит "хороший" и тем более не значит "топящий за те же интересы, что и вы". Ну не либерал и не либерал, какая разница.
Hector76
24.08.2021 13:59-2Это одно:
На публичной площадке
А это другое:
если я сейчас пойду на вашу страницу в контакте
не надо путать. А то получится, что предположим, в какой-то альтернативной вселенной, Волков вдруг становится президентом. Тогда что получается, это его личная страна что ли?
tyomitch
24.08.2021 14:01+1Вы так говорите, как будто Волков кому-то запретил пользоваться всем Твитром целиком, а не только писать сообщения лично ему?
kogemrka
24.08.2021 14:15На публичной площадке
Ну да. На публичной площадке.
Волков может написать на публичной площадке "Я - хороший человек"
Вы можете на этой же площадке написать "Неправда, Волков - негодяй".
Публичная площадка покажет мне оба ваших сообщения.
В чём проблема?
Hector76
24.08.2021 14:18-2У нас наверное разное представление о том что такое публичная площадка, а что нет.
Судя по вашим словам, вы наверное считаете что публичная площадка в случае Волкова это такая, где он не может никого банить. Все остальное - его личная вотчина. Где можно банить за мнение вместо аргументированного ответа, и еще предварительно нахамить.
Ок, у нас разные понятия просто. Не вижу смысла продолжать диалог.
kogemrka
24.08.2021 14:58+1и еще предварительно нахамить.
Хамство никак не связано со свободой слова.
Все остальное - его личная вотчина. Где можно банить за мнение вместо аргументированного ответа
Как свобода слова связана с аргументированностью ответа?
Ок, отобрали вы у твиттера Волкова кнопочку бана.
Представим, что он на каждое ваше сообщение отвечает "бебебе". Или "я даже читать это не буду, потому что %username% - идиот". Это тоже будет нарушением свободы слова?
У нас наверное разное представление о том что такое публичная площадка, а что нет.
Мне кажется, корень различий у нас не в определении того, какая площадка публичная, а в отделении личного и государственного.
Например, я считаю, что государство должно одинаково относиться к двум гражданам, если предположить, что один из них верит в коммунизм, а другой верит в либертрианство.
Но каждый отдельный человек вполне себе имеет право считать того или иного человека идиотом. В том числе на основании убеждений. Это никак не противоречит свободе слова.
itsoft
24.08.2021 11:47Почитайте внимательно мои комментарии. У нашей компании тысячи клиентов. Полагаю, что их реально больше, чем обращений в ФБК.
Время реакции у нас пара минут.
Я от клиентов не прячусь. Видите я тут. Любой мне может написать.
На сайте есть мои контакты и порядок направления обращений.
И ко мне обращаются крайне редко. Потому что тысячи обращений разруливаются до меня. Ко мне можно обратиться, если сотрудники не разрулили.
Ранее я уже писал в комментах, что много раз обращался в проекты Навального по открытым контактм и ни разу не получил ответа.
И цель этого пинания Волкова и Ко, чтобы они сделали обратную связь, о которой я им говорил и предлагал сделать 8 лет назад.
И такая обратная связь должна быть у всех организаций. Потому что есть у меня депутат Митрохин и депутат Гончар. У Митрозина есть аккаунты в соцсетях. Но его высочество не может снизойти и пообщаться со мной нормально. Он общался со мной сканами писем через помощницу. Написал хрень. Гончар тоже сканами, но хоть что-то пообещал.
Они все достали! Я хочу, чтобы все общались с людьми как это делают хостинговые компании и в частности наша.
Хостинговые компании жопы рвут за клиентов. Потому что конкуренция дикая. А во многих остальных сферах на человека кладут с прибором.garehtnineth
24.08.2021 11:54+1Хостинговые компании жопы рвут за клиентов. Потому что конкуренция дикая.
Это потому, что все хотят денег. А уголовку мало кто хочет. И вы вот, почему-то, не хотите.
Vilgelm
24.08.2021 03:48+2Я надеюсь вы так же в бане у Соловьева, Шейнина, Потупчик и прочих из другого лагеря?
itsoft
24.08.2021 08:14+11Да я с этим дерьмом вообще как-то не пересекался. Зайдите на страницу того же Соловьёва и посмотрите кто его читает. Меня там нет. Мне не о чем с ним говорить, спорить.
И никогда н понимал любителей смаковать дерьмо. «О, посмотрите, какое дерьмо я нашёл сегодня.»
У меня вопросы к Навальному и Волкову, так как они претендуют на политическую силу, которая хочет представлять мои интересы. А за путинских я никогда не голосовал начиная с их прихода. Мне как-то было понятно кто и ради чего дома взрывал, и почему Басаев вдруг так внезапно начал Вторую Чеченскую. В своё время были вопросы к Явлинскому.
Кстати, я с Борисом Немцовым немного общался. Вот это был человек — очень открытый и доступный. Всем надо с него пример брать.garehtnineth
26.08.2021 18:31Если что, в России ФБК баннеры никто давно не продает. Так что только гугл. Плюс баннерорезки: 2/3 аудитории сразу в минус.
Ну и потом это дохрена дорого
dartraiden
23.08.2021 20:29+3Кстати, "приложение Умного Голосования, которое нельзя заблокировать" уже прекрасно блокируется с помощью ТСПУ.
Areso
23.08.2021 21:05+3Можно обновить приложение и доставлять кандидатов пушами.
Вряд ли они рубанут все пуши в стране заради списка из 400 имен, за которые кому-то еще и проголосовать надо.
dartraiden
23.08.2021 21:09+2На один день, например (или сколько там нынче голосуют), ну, может и рубанут... но я подозреваю, что рубануть конкретно пуши трудно/невозможно и это также заденет все прочие сервисы Google/Apple.
garehtnineth
23.08.2021 22:20+3Рубануть надо на неделю. Иначе смысла нет.
garehtnineth
24.08.2021 14:24Мое мнение, на сайт УГ простые домохозяйки не попадают.
Может проще подготовить 100500 статичных сайтов страничек.
Кажется у вас что-то сломалось
dartraiden
23.08.2021 21:34Справедливости ради, IP-адрес там, конечно, с богатой историей, возможно, она влияет. Там и казино раньше висело, и Росздравнадзор к нему прикапывался...
donkeystep
24.08.2021 23:21Население справится - самиздат появился давно, копировать текст все умеют.
sakontwist
23.08.2021 20:49-41Такие детали можно считать подтверждением версии, согласно которой ФБК сотоварищи - контролируемая оппозиция для составления списка недовольных и выпуска пара....
MAXH0
24.08.2021 06:53-3Скорее то, что они не агента ГосДепа. Госдеп то своим агентам нормальные сайты может сделать, а не любительство на коленке.
lain8dono
23.08.2021 21:05+17Парочка багов, парочка утечек. Кого сегодня можно этим удивить?
Тем более это ведь сервис уровня "подпишись, получи новость". Достаточно забавно, что к такому кто-то вообще предъявляет претензии, будто это банк какой-нибудь. Или там РЖД.
Вот я лично зарегистрирован там и всем советую (и приложение я тоже поставил). Мыльце можете угадать с трёх раз и чекнуть по этим базам. Мне нужно что-то там такое, кроме как ответить хрестоматийно "И чо?"?
Ну ладно, боитесь этого всего (необосновано). Берите Tor, регайте анонимные мыльца. Алё, у нас тут хабр.
itsoft
23.08.2021 21:11+20И да и нет. Простой проект можно сделать без откровенных дырок и без бекэнда торчащего голой жопой в интернет да ещё с типовым паролем.
Но действительно, с кем не бывает. Только не надо врать и повторять, что всё безопасно, а тех, кто не согласен оскорблять и банить. Если бы товарищ Волков не был бы столь высокомерным, а прислушивался, то не было бы и такого позора.lain8dono
23.08.2021 21:21-2Простой проект можно сделать без откровенных дырок и без бекэнда торчащего голой жопой в интернет да ещё с типовым паролем.
Это всё можно требовать от IT компании. Или по крайней мере от людей, которая хоть как-то хоть чем-то близка к IT. При этом у нас IT старается быть от политики настолько далеко, настолько вообще возможно. Ну и вы потом требуете чего-то от людей, к которым жопой повернулись.
itsoft
23.08.2021 21:26+14Волков ИТ-специалист. Ему говорили в твиттере. Он в ответ оскорбил и забанил.
Поэтому никто от него ничего не требует. Но других вариантов кроме как показать проблемы в статье — нет. Обратная связь у ФБК отсутствует.
Я ему говорил в 2013 году её делать. Ему не надо как путину.lain8dono
23.08.2021 21:45-4Твиттер не очень похож на адекватный способ сообщения об уязвимости. Я бы тоже вас оскорбил и забанил.
raopheefah
23.08.2021 23:34+14Отлично. Какой способ адекватный? Назовите, мы используем.
Емейл на сайте игнорируют. Личные сообщения в твиттере, телеграмме, фейсбуке, вконтакте игнорируют. Всё игнорируют.
Остаются твиттер и хабр.
garehtnineth
23.08.2021 22:19+11Волков ИТ-специалист.
Волков максимум ИТ-менеджер. Был когда-то.
dartraiden
23.08.2021 21:21+2без бекэнда торчащего голой жопой в интернет
С докером это сложнее, т.к. ты настроил файерволл, сидишь такой довольный, а тут пришёл докер и повертел твои настройки на известном месте.
Xop
23.08.2021 22:00+7У всех достаточно крупных облачных провайдеров есть возможность настраивать внешние файрволы, которым пофиг на то, как именно там докер резвится внутри виртуалочки.
Lexicon
23.08.2021 22:44+5При всем уважении, технологий, и подходов, стремящихся обезопасить или упростить жизнь последователям 0.
Даже упоминания правил хорошего тона, типа не использовать известное гву мыло нигде не найти.
Не говоря о offline first, шифровании рекомендаций, координатной системы вместо адресов, pptp, оффлайн (nfc/qr) шаринге, слепках рекомендаций
Я бы стремился дать последователям всю информацию, пояснить, чем опасен подход УГ и почему важно рискнуть, как действовать по принципу УГ без использования портала, но в соответствии с его целями.
Подход с уведомлением в последний день требует доверия. А не то чувство, которое провоцирует Волков.
garehtnineth
23.08.2021 22:58Не говоря о offline first, шифровании рекомендаций, координатной системы вместо адресов, pptp, оффлайн (nfc/qr) шаринге
А кто моей бабушке эти слова объяснять будет?
Vilgelm
24.08.2021 04:33+2В хороших проектах это все работает незаметно для пользователя, пользователь только видит кнопку «сделать хорошо». Требовать от оппозиции в России такого уровня в IT с учетом всех гонений конечно странно, но приоритет на безопасность должен быть очень сильный, а не как сейчас.
garehtnineth
24.08.2021 04:50-1Я сам то не все слова понял, но мне кажется прозрачно работать не будет начиная с "оффлайн шаринга"
Vilgelm
24.08.2021 05:01+2Да легко, через NFC работает какой-нибудь Google Pay, с которым и ваша бабушка справится, по QR работает СБП. Это не мегатехнологии. Координатная система — это укажи точку на Google Maps, либо сохранение в базе не конкретного адреса, а координат района (хотя зачем вообще хранить адрес непонятно, достаточно хранить номер УИК). На кой черт там pptp я не знаю, но скорее всего автор имел ввиду не конкретные технологии, а общий концепт.
garehtnineth
24.08.2021 05:20Моя бабушка не знает что такое Google pay. И что такое QR, вероятно, тоже. И какое отношение это к шарингу имеет. Это все надо объяснять. Да и что в QR то складывать? Адрес заблокированного сайта? Базу из 225 депутатов с номерами тысяч УИКов?
Чем отличается точка на карте от дома я не очень понимаю, да и какое это значение имеет тоже. Привязка к человеку то по email идёт. А он не мейлру. И какая после этого секретность?
А адрес нужен потому, что в результате джерримендеринга УИК меняется.
Я вот вообще не понимаю концепции борьбы из под дивана. Без готовности после выборов выйти на улицу в этом смысла вообще никого.
Vilgelm
24.08.2021 05:53+4Если ваша бабушка не пользуется Google Pay, то и вот этим она вряд ли воспользуется. Насчет шаринга как я понял имеется ввиду оффлайн обмен данными. Что туда складывать не знаю, видимо базу (хотя для этого очень много QR понадобится).
Точка на карте с учетом плотности застройки в России равнозначна «найди иголку в стоге сена». А вот emailы вообще неплохо бы маскировать. Как знаете это работает во всяких whois protectorах. Так по крайней мере нужно будет либо вычислить алгоритм, по которому идет маскировка (а в случае использования криптографических функций это может быть затруднительно), либо взломать еще сервис маскировки, что уже посложнее.
Что касается нарезки округов, то на эти выборы она уже завершена. А чтобы понять что будет через 4 года нужно посмотреть на Беларусь. А там внезапно за то что ты скинул картинку не в тот чатик тебя вычислят довольно сложным образом (по точному размеру картинки переданной на сервера Телеги в это время), за тобой приедут и больше тебя никто не увидит. Да и лагеря для оппозиции там уже построили. Поэтому собирать базу на 4 года вперед в таких условиях довольно наивно.
Что касается улиц — УГ это все таки массовая затея и если вы хотите чтобы там регались не только активисты, которые готовы выйти на улицу (а это будет в районе 100к человек по стране, а в случае с УГ чем больше, тем лучше), надо думать и о тех, кто не готов на улицу выходить, в случае с конкретно этим проектом они тоже важны. Так какой-нибудь бюджетник может быть бы и вставил шпильку, а так его уволят или он почитает вот этот пост в пересказе завтра где-нибудь на Медузе и передумает.garehtnineth
24.08.2021 06:15-2найди иголку в стоге сена
А надо найти. И определить УИК. А выборы у нас каждый год, если что. И заново в УГ базу не собирают.
Ещё раз: письмо от УГ придет на сервер мейлру. Расшифрованным. Сотнями тысяч человек. Какая тут маскировка от палева спасёт?
а так его уволят или он почитает вот этот пост в пересказе завтра где-нибудь на Медузе и передумает.
Пост вредный, не вопрос. И повод его писать так себе. Но в целом все равно невозможо же побеждать пока большинство из меньшинства в ключевой момент "передумают". Чем их при этом будут пугать - не так важно, найдут.
Vilgelm
24.08.2021 06:44+1Если кто-то указывает почту мейл\яндекс, то он ССЗБ. Но те, кто указывают что-то другое то почему должны подвергаться утечкам?
Что касается большинства — если цель УГ победить чисто силами активистов, то она изначально провалена. Такие проекты нежизнеспособны без привлечения широкой аудитории.
garehtnineth
24.08.2021 06:54-1Если кто-то указывает почту мейл\яндекс, то он ССЗБ. Но те, кто указывают что-то другое то почему должны подвергаться утечкам?
Ну давайте в той же логике: кто на госуслугах регистрируется ты же почтой, что и на УГ, тот ССЗБ.
У вас широкая аудитория "передумала" при первом запахе жареного "в пересказе". О какой победе речь? Да, я тоже за то, что бы все были здоровыми и богатыми. Но невозможно же их как хрустальных донести до избирательной урны не испугав бедненьких. Ну просто не получается. Надо хоть немножко смелости для них у волшебника попросить.
Vilgelm
24.08.2021 07:01+4От широкой аудитории требуется только прийти и проголосовать. От активистов обеспечить наблюдение. От самых смелых уже защищать результаты. Если вы опираетесь только на последнюю прослойку, то у вас просто не будет результатов.
garehtnineth
24.08.2021 07:13-1Третий раз: У вас первая, по условию задачи, "передумала". Все, нет ее. Повесили им на мейлру над письмом УГ пересказ поста и обещание всех пришедших на участок отправить в окрестино и они кончились.
Vilgelm
25.08.2021 01:12+1Так именно поэтому важно чтобы пересказывать было нечего (не было уязвимостей) и при регистрации писать что давайте ка вы не будете использовать mail.ru, а будете использовать другой почтовик (я еще прекрасно помню такие надписи на сайтах, потому что на mail.ru письма не доходили).
garehtnineth
25.08.2021 13:46поэтому важно чтобы пересказывать было нечего (не было уязвимостей
И чтобы все были здоровы и богатые, а не бедные и больные.
при регистрации писать что давайте ка вы не будете использовать mail.ru
Надпись читать не будут, если нет запрета вводить mailru. К тому же, mailru тут проблема не ограничивается. Полный список почт где взять?
А вторым этапом - запретить регистрироваться без VPN, чтобы сорм не догадался? И проверять что бы был пустой referrer?
Так распугать первую категорию ещё на этапе регистрации вы можете, усложнить жизнь остальным можете. А вот обеспечить безопасность при массовости - нет.
Vilgelm
25.08.2021 13:50В России всего два крупных почтовика, сделать про них предупредительную надпись не сложно. Они так сделали на донатном сайте про PayPal, что если у вас российский PayPal, то не используйте этот способ платежа.
Регистрироваться через VPN там и так придется, сайт то заблокирован.
garehtnineth
25.08.2021 17:54Регистрироваться через VPN там и так придется, сайт то заблокирован.
Нет.
Они так сделали на донатном сайте про PayPal
Лично я бы на этот текст внимания не обратил.
nebulajazz
24.08.2021 12:01+1С учетом того, что у ФБК есть заметная поддержка в IT-сообществе, а также есть умение организовывать людей, не понимаю, почему нельзя было если не собрать нормальных специалистов для проекта УГ, то хотя бы провести закрытый аудит с помощью добровольцев - не сомневаюсь, такие нашлись бы.
garehtnineth
24.08.2021 12:08Я в этом месте не Копенгаген. А закрытый аудит непонятными добровольцами - это как?
Vilgelm
24.08.2021 04:31Вот именно что против тебя вся госмашина и поэтому уделять внимание безопасности очень и очень важно. Как собственной (весь проект провалится, если в день X уведомления разошлет не проект, а злоумышленник), так и пользователей (пока за регистрацию на таких сайтах только увольняют и это уже может отпугнуть часть пользователей, а лет через 5 будут отправлять валить тайгу лет на 8 с конфискацией и вообще никто регистрироваться не будет).
К сожалению они там слишком оптимистичные, как если бы они были оппозицией в какой-нибудь восточноевропейской стране (кроме РБ конечно), а не в России. Использование сервисов Яндекса (который уже раз сливал их данные нашистам) это наглядно показывает. Не хватает им в командепараноикабезопасника.
anonymous
00.00.0000 00:00
PsyDoc
23.08.2021 21:53+10Систему в большей мере характеризуют не ошибки, а реакция не ошибки. С этими ребятами я дел иметь больше не хочу, вот как-то накопилось и подгорело. Договор был на не врать и не воровать. С первым не задалось жестко. Хотя донил, и в СК ходил по донатам, и на акции выходил, и УГ делал... Пока Н. не выйдет – все, в топку этих клоунов, а там будем посмотреть.
Vilgelm
24.08.2021 04:35+6Хотя у меня схожие чувства, но такая политика играет на руку оппонентам, им выгодно чтобы кто-то испугался, кто-то разочаровался и никакой оппозиции больше не было. И Навальный скорее всего не выйдет ближайшие лет 10-20, к сожалению.
PsyDoc
24.08.2021 20:58Очень важно понимать, что оппозиции нет и быть не может, оппозиция – нечто, что может прийти к власти политическим путем, и такой опции тут давно нет. Тут нужно определиться, мы в электоральной демократии или у нас нечто иное. Если мы в электоральной демократии, то что-то можно рассуждать про оппозицию. Если нет, то давайте говорить о диссидентах. Правильные термины. И страдать на тему, что мало диссидентов, или они не там, где нужно, не очень стоит. Опыт СССР и многих иных стран показал, что не диссиденты меняют режимы, и не они потом приходят к власти.
Vilgelm
25.08.2021 01:13Первые президенты некоторых постсоветских республик как раз были из диссидентов. Так что может и так сложиться.
PsyDoc
25.08.2021 03:37-1РСФСР – Ельцин, партийная номенклатура.
Украинская ССР – Кравчук, партийная номенклатура.
Белорусская ССР – директор совхоза, член КПСС с 1979 года.
Узбекская ССР – Каримов, партийная номенклатура.
Казахская ССР – Назарбаев, партийная номенклатура.
Грузинская ССР – Гамсахурдия, диссидент, продержался один год, был свергнут, еще через год погиб в бегах. Далее – Шеварднадзе, партийная номенклатура.
Азербайджанская ССР – Муталибов, партийная номенклатура. Далее Гамбар и Эльчибей, формально что-то типа оппозиции на национальной почве, продержались год, далее Алиевы, партийная номенклатура.
Литовская ССР – Бразаускас, партийная номенклатура.
Молдавская ССР – Снегур, партийная номенклатура.
Латвийская ССР – Горбунов, партийная номенклатура.
Киргизская ССР – Акаев, академик, в финале карьеры ученого топовый республиканский чиновник от науки (президент Академии наук Киргизской ССР).
Таджикская ССР – Махкамов, партийная номенклатура.
Армянская ССР – Тер-Петросян, что-то типа оппозиции на национальной почве.
Туркменская ССР –Ниязов, партийная номенклатура.
Эстонская ССР – Мери, не диссидент точно, ближе к Акаеву и Тер-Петросяну трек.
Итого... один диссидент, и тот халиф на час, аномалия. Националистическая карта у нас не полетит уже, да и субстрата нет должного... итого, если считать, что истории времен распада СССР несут какую-то прогностическую ценность, то с высочайшей долей вероятности стоит ожидать кого-то из текущей номенклатуры.
Alexufo
23.08.2021 22:23+2дану, тут отлично бы зашел бы nocode подход, с каким-то сервисом, а понты со своей разработкой выливаются в критический момент в такие детские вещи как включенный дебаг на проде. Банальная гугл форма и проблем бы не было
Zalechi
23.08.2021 23:48+10Ага, fb, мегакорпорация с историей на рынке и парком разработчиков, но год-два назад у них утекли пароли которые хранились в открытом виде(plain text, Carl!).. Каждый день эти новости от крутых айти-компаний. Т-мобайл на днях.
А тут сайт рассылка. Конечно это не оправдание, но и не приговор. А поведение Волкова, могу предположить, как не опытное. По сути народ там из политики, в информационных системах не шарят. Им админы наплели, что у них все норм, контроль, ща все исправили, вот верхушка смело и транслирует их посыл, искренне уверовав в слова своих разработчиков. /предпологаю/
tyomitch
24.08.2021 00:08+9Волков достаточно опытный и как руководитель, и как айтишник. Скорее что нервы у него уже сдают от запредельного стресса последних месяцев. Ясно же, что IT-инфраструктура сейчас наименьшая из их забот.
Norgorn
24.08.2021 18:39+1Да как же наименьшая, если у них сейчас приложение Умного Голосования - самый важный инструмент. Идёт активная борьба именно в технической плоскости (потому что где ещё? юридически итак всё понятно).
Ну нет, IT инфраструктура и устойчивость - очень важный инструмент и единственный, где у команды Навального вообще есть шанс иметь преимущество.
А сейчас их подведение вместо "вот мы открытые, а с нами самые умные и светлые спецы, не то что пыльная нафталиновая гэбня" показывает совсем другое. И это маленькое, но важное поражение.
Alexufo
23.08.2021 22:14+3на сколько мне известно всех их каналы за дидосены, они не могут вообще разгребать что-то входящее. Это проблема любого популярного явления. Можно еще вспомнить историю с судьей Новиковым. Но сделать приватный канал для своих нужно было бы конечно. В том же коде ящик почтовый положи, в туже консоль.
Vilgelm
24.08.2021 04:37+1С дензнаками у них скорее всего сильный напряг. Но сообществу такие вещи как аудит вполне по силам, поэтому отмахиваться от помощи сообщества, да еще и с оскорблениями тоже как-то странно.
Potapych
24.08.2021 07:12+1Поведение очевидно неопытное, но ещё выглядит так, как будто чуваки стараются тупо дотянуть этот механизм до выборов и выбросить его на свалку.
В целом оно наверное и логично - инструмент своё сыграл и отлично. Так что я думаю они с грустью читают письма и надеются, что тс уймется, а остальные не успеют :)
nidalee
24.08.2021 21:23-1Мне нужно что-то там такое, кроме как ответить хрестоматийно «И чо?»?
Вам — нет, а кому-то не хотелось бы попасть в списки неугодных.Например, в городе Микунь (Коми) от школьного учителя истории требовали уволиться из-за одиночного пикета, в Москве уволили преподавателя театрального института и сотрудников ВГТРК, в Пензе — программиста, работавшего в МЧС.
Массовая волна увольнений прошла в «Московском метрополитене». Бывшие работники подземки рассказали «Медузе» и «Коммерсанту», что их вызывали к начальству и в ультимативной форме потребовали уволиться, не объясняя причину. Уволенных объединяет то, что они были зарегистрированы на сайте «Свободу Навальному!», откуда были украдены персональные данные и опубликованы в интернете.Alexufo
23.08.2021 21:56+7Что значит нанять? Вы себе представляете степень доверия кому вы ssh ключи даёте? Таких людей с улицы не возьмёшь.
gremlin244
23.08.2021 22:53Недавно был эфир Светова со Здольниковым. И последний там говорил что специалистов то готовых там работать было полно, только денег им платили слезы, все бабло уходило на смм и эффективных менеджеров, и в целом атмосфера в ФБК такая, что все нормальные специалисты приходя, через некоторое время оттуда сбегали куда подальше.
Не знаю уж насколько это правда, но как по мне вполне правдоподобно, судя по таким дырам.tyomitch
23.08.2021 23:02+11Учитывая профиль деятельности ФБК, им и надо тратить на SMM в 100500 раз больше, чем на IT: удвоение числа сторонников защищает от неприятностей намного эффективнее, чем идеально вылизанный сайт.
gremlin244
23.08.2021 23:16+1Ну как выяснилось экономия на IT может неплохо повлиять на репутацию, а следовательно количество сторонников. Время покажет конечно, но на мой взгляд их слишком, как бы это сказать, перекосило во фронтэнд)
Дело же даже не в том что они обосрались, от этого никто не застрахован. Дело в том как они на это реагируют. И ну раз они уж дофига вбухивают в пиар возможно какой-то дорогой человек занимающийся этим мог бы им подсказать, что хамить когда тебе пытаются помочь, и банить людей, это так себе тактика. Почему то этого не произошло.tyomitch
23.08.2021 23:27+5На репутацию среди IT-специалистов - согласен, повлияло сильно.
На репутацию в более широких кругах - не уверен, что повлияло. Моей маме совершенно без разницы, как у них фаервол настроен.
gremlin244
23.08.2021 23:37+4Дело в том что информация об этих косяках не только же на хабре появляется. О прошлой утечке писали, ну например на медузе, и ее, я подозреваю, читает множество НЕ IT-специалистов, сторонников умного голосования. Я практически уверен что они завтра выкатят статью и про этот пост.
Впрочем, я согласен что непонятно влияет или нет. Вменяемо это не оценить. Но когда у тебя и так поддержка меньшинства, наверное стоит все же бороться за каждый голос, пусть это и малочисленная аудитория хабра. Это условный Путин может отмахнуться и сделать вид что ничего не было, а когда ты заведомо в меньшинстве глупо ругаться с теми, кто мог бы помочь.
Vilgelm
24.08.2021 04:40+1Проблема в том, что когда вашу маму уволят с объяснением «не надо регистрироваться где не надо», или в дверь позвонят угрюмые ребята, или произойдет еще что-то такое, то люди просто перестанут регистрироваться в их проектах вообще и это ударит по репутации куда сильнее. Я уж не говорю что об этих утечках не только на Хабре пишут, но могут и по какому-нибудь Первому каналу показать.
kranid
23.08.2021 21:29+16Вывод можно сделать такой: они плохо умеют в разработку и ИБ и это неудивительно, учитывая, что это не IT компания с мировым именем, ресурсы их ограниченны, а сами они и их сотрудники находятся под постоянной угрозой тюремных сроков, что явно не облегчает хантинг разрабов.
anonymous
00.00.0000 00:00
evg_krsk
23.08.2021 21:46-5По заслуживающей доверия информации за 20 дней никакой реакции на резюме и тестовое задание от них не последовало. Выводы делайте сами.
garehtnineth
23.08.2021 22:16+4В первый раз собеседование не прошел? Какие тут выводы?
Alexeykii
23.08.2021 22:56+1Вроде речь не про собеседование, а про то что хорошим тоном для любой компании считается ответить на посланное резюме. В том числе и сообщить соискателю что он в данный момент не подходит для данной должности.
На мой взгляд письмо с резюме без ответа - это вид хамства.
garehtnineth
23.08.2021 23:08Ну, если комментарий про то, что там бывает не очень хороший тон - соглашусь.
Но любим мы их не за это.
0xd34df00d
24.08.2021 05:22Извините за глупый, но совершенно искренний вопрос от человека, последние годы ввиду места жительства следящего за политическим климатом совсем другой страны и видящего много новых имён и названий в тексте и комментариях, но, короче, а за что вы их любите?
garehtnineth
24.08.2021 05:35+5Провокационный вопрос задаёте, а мне потом карму чистить.
Каждый за своё. У нас не так много оппозиции вообще, так что одно это уже повод любить.
А ещё УГ, интересные расследования да и вообще не сталинисты какие-нибудь. Тут вон недостатки то какие выискивать приходится - на почту не и отвечают, да банят особо навязчивых.
0xd34df00d
25.08.2021 22:34+1банят особо навязчивых.
Вы ведь понимаете, что недопуск оппозиционных журналистов на какие-нибудь пресс-конференции можно точно так же обосновать? Они просто особо навязчивые.
garehtnineth
26.08.2021 07:10+1Можно. Только пресс-конференцию тогда надо переименовать в "мой уютный бложег"
tyomitch
26.08.2021 10:21Полное право политика фильтровать допускаемых на свои пресс-конференции.
Полное право избирателей оценивать, отвечает ли банный лист их избранника их предпочтениям.
interprise
23.08.2021 21:52+9Проблема еще в реакции, когда волкова буквально тыкали в морду тем что яндекс имеет доступ ко всему, да и вообще ставить я.метрику на подобный сайт, это верх непрофессионализма.
PsyDoc
23.08.2021 21:55-1По ресурсам все более или менее, насколько известно, все действующие лица уже за бугром, слава богу, а Алексей все еще сидит, и той же Медузе ничего не мешает хантить людей, а что мешает ФБК? Боюсь, что оно самое.
GamePad64
23.08.2021 22:06+6Но подождите, чтобы сделать лендинг с простейшей апишкой не нужно быть компанией с мировым именем. А чтобы оставить
DEBUG=Trueв джанге -- это кем надо быть, если во всех мануалах чёрным по белому написано "не использовать в продакшене".
evg_krsk
23.08.2021 21:38+3В прошлой серии ниасилили ингрессы, переключились на NodePort и тут такая засада — он всем открыт.
garehtnineth
23.08.2021 22:10+12Может после третьей приведут инфраструктуру в порядок
Месяц до выборов. Приложение УГ под блокировкой.
"Айтишники" продолжают усердно воевать против ветра.
Вот серьезно думаете Волкову заняться больше нечем?
tyomitch
23.08.2021 23:08+6Претензии в основном к его реакции: скажи он вчера, "ну да, сайт делался на коленке на бегу между обысками и допросами, не судите строго, работает и слава богу" - я уверен, сегодняшнего поста бы не было.
garehtnineth
23.08.2021 23:16+6Наносимый УГ вред несоразмерен этой претензии
Vilgelm
24.08.2021 04:43+3Куда больший вред УГ будет нанесен если кто-то воспользуется уязвимостями для слива базы, а потом поувольняет\позапугивает\посадит зарегистрировавшихся. И как мы видим по предыдущей истории со сливом базы сторонников это вполне реальный сценарий.
garehtnineth
24.08.2021 04:59+1А для этого слив базы не нужен. Миллион человек поувольнять нельзя, а 20 человек для образцово-показательного запугивания можно хоть тут в комментариях насобирать, и уволить сказав что базу слили. Подобные статьи это только легитимизируют.
(Тем временем уволенных по суду уже восстанавливают)
Vilgelm
24.08.2021 05:56Здесь в основном те, в увольнении которых не будет особого смысла. Программисты без особых проблем себе найдут другую работу, чего не скажешь об учителях и прочих бюджетниках.
Насчет того можно ли уволить миллион человек я не знаю, но тысяч 10 вполне можно. Это уже будет настолько большим, что будет звучать из каждого холодильника.garehtnineth
24.08.2021 06:24Тысяч 10 тоже не сложно насобирать. Вон зимой перепись в Сахарова делали, можно этих для начала.
Ну а вот уволить 10 тысяч учителей, допустим. А детей то кто учить будет? Это 300 тысяч недовольных родителей в самом скромном случае, а то и 3 млн. Ради чего?
У нас вон после прошлого слива уволили 40 человек что-ли, оказалось достаточно что бы тут все бегали и боялись миллионов в лагерях.
Vilgelm
24.08.2021 06:42В рамках оптимизации здравоохранения было закрыто довольно большое количество больниц (сужу по своему региону). В рамках оптимизации образования было закрыто большое количество сельских школ. Можно еще одну оптимизацию сделать, на этот раз идеологическую. Если вы думаете что там есть какие-то тормоза, то я сомневаюсь, посмотрите на Беларусь.
garehtnineth
24.08.2021 06:59+1Одни повторяют "вы что, хотите как на Украине", другие "посмотрите на Беларусь". Нет, так не работает.
В рамках оптимизации закрывали сельские школы, втихую. Там где 2 ученика. А репрессиями надо скорее в Москве заниматься и в открытую. Иначе какой смысл?
Vilgelm
24.08.2021 07:02Так и займутся. Что им помешает? Какой негативный эффект от этого можно получить, чтобы он перевесил позитивный? Ответьте себе честно на эти вопросы и все станет понятным.
garehtnineth
24.08.2021 07:05Я уже ответил: позитивный эффект достигается 40 уволенными и пересказом этого поста. Дальше только негатив
ky0
23.08.2021 22:11+3Действительно, фиаско. Фиаско высокоуровневого девопсячьего подхода к инфраструктуре, когда до наладки и проверки безопасности дело не доходит - оно всё само же, из коробки...
Зачем ограничивать доступ к продукционным сервисам из интернета? - мы же своевременно обновляем подтягиваемые из докерхаба образы контейнеров.
Но зато невероятно просто будет мигрировать в другое облако, да.
Лёня, найми ты уже нормального админа.
foxyrus
23.08.2021 22:48+4Нормального админа?
Их там мурыжат каждый месяц, кто нормальный пойдет работать.
ky0
23.08.2021 23:23+2Вот уж где максимально несложно навести конфиденциальности... Я же не в штат с белой зарплатой и полным фаршем соцпакета и бухгалтерии предлагаю человека взять.
Любой поддерживающий ФБК специалист наверняка согласится на некоторые неудобства вроде нетривиальных путей трудоустройства и оплаты - это, в конце концов, в его интересах в первую очередь, чтобы не "мурыжили".
garehtnineth
23.08.2021 23:34+2согласится на некоторые неудобства вроде нетривиальных путей трудоустройства и оплаты
Мне кажется признание экстремистом принесет несколько больше неудобств.
mokridze
24.08.2021 00:38Мне кажется это уде неактуально. Все значимые лица давно заграницей, часть тех кто делал (может и до сих пор делает) Навальный Лайв там же. В чём проблемы найти русского разработчика в Европе в 2021 году? Да чёт ваще никаких, по моему скромному мнению.
jarvis
24.08.2021 01:36+2Тут скорее проблема в доверии к этому разработчику, на такие штуки можно только по личному знакомству нанимать.
0xd34df00d
24.08.2021 05:24+1Условие давней жизни заграницей, возможно, с работой на известные фирмы, должно существенно повышать доверие.
jarvis
26.08.2021 17:17+2А много ли таких опытных людей готовы работать на зп ниже рынка + при этом подвергать себя риску уголовного преследования, что закрывает возможность бывать в России и навещать родственников? Выборка очень небольшая получается.
К тому же опыт жизни заграницей никак не защищает от ситуации, что человек начнет сливать информацию, когда кремлевские олигархи предложат ему за 1 млн долларов в биткоинах. Так что в данной ситуации моральные качества кандидата даже важнее профессиональных
tyomitch
27.08.2021 13:21Добавлю, что некто Роберто Фабио Монда Карденас ни дня не жил в России, не знаком ни с кем в России, и получил от «кремлёвских олигархов» не 1 млн долларов в биткойнах, а хорошо если тысячу.
Поэтому «давняя жизнь за границей» не гарантирует вообще ничего.
CherryPah
25.08.2021 22:00на такие штуки можно только по личному знакомству нанимать.
Это очень порочная идея.
Если во главе угла ставить не профессионализм, а лояльность - в итоге получится то же самое озеро, только в профиль. Еще и непрофессиональное.
Даже лично знакомому человеку могут сделать предложение от которого невозможно отказаться. Вот из ваших личных знакомых на скольких вы можете гарантированно положиться что они не предадут вас под прессингом. Хорошо если на 5. А сколько из этих 5 хорошо умеют в IT? 0? Полагаться на человеческий фактор в (И)Б - плохая затея. Подход должен быть системный - хороший бэкграунд чек (а у запрещенной организации опыт в расследованиях огромный, если уж они фсошников деанонят, то рядового разработчика пробить должно быть не очень сложной задачей) и архитектура приложения не должна позволять две недели как уволенному сотруднику заходить под своим логопассом и дампить боевую базу. И неуволенному кстати тоже - хочешь тесты погонять - вот тебе выборка на 5к строк с зарандомленными ФИО
Отсутствие внутрипартийной оппозиции - прямой путь к информационному пузырю. Если еще раз перечитать статью и комменты, то очевидно что основная претензия не к самой утечке как факту, а к реакции на нее, отсутствию обратной связи, а временами и банальному вранью. Банить троллей, ботов, провокаторов - нужно, иначе они задудосят шумом. Банить (а особенно превентивно) за неудобные вопросы и инакомыслие - прямой путь в пузырь, в котором 100% электората за Н, а значит мы здесь власть. Ситуация такая же как с интернетом, который в бункер в распечатанном виде приносят.
И вот эта система основанная на личном знакомстве и лоялизме уже прямо здесь и сейчас играет против них. Мне не очень нравился вождизм Н, но он работал на них со знаком плюс. Сейчас личнознакомый В, своим непрофессионализмом в роли лидера и опухшим ЧСВ просто в грязь втаптывает всю репутацию и идею их компании.
ky0
25.08.2021 23:11-1Это действительно порочная идея, и очень жаль, что в эту ловушку попал ФБК, так же, как и госструктуры - когда на руководящие посты попадают не по навыкам, а по лояльности.
Безотносительно того, как лично я отношусь к Волкову, с чисто технической стороны, как IT-менеджер он в последнее время выступает совершенно провально - сначала демонстрация отсутствия ротации секретов после увольнений сотрудников, имевших важные доступы, потом - два эпизода с явно кривыми и бездумными конфигурациями критических сервисов.
Если бы я или мои подчинённые так косячили - на первый раз, наверное, дело обошлось бы штрафом с серьёзным разговором, а при повторном эпизоде - вежливая просьба отвалить, уступив место нормальным специалистам. Но, к сожалению, так поговорить с нашим героем некому - он же теперь "вещь в себе, занявшая весь предоставленный Алексеем объём".
tyomitch
26.08.2021 10:51+1Ваши претензии к Волкову справедливы; но я совершенно не представляю, кем Навальный мог бы его заменить, будь он на свободе. Условный Здольников, при своём техническом профессионализме, быстро бы распугал своими истериками всех сотрудников. Условный Дуров отвечает требованиям позиции идеально, но она ему нафиг не нужна. Условный Лебедев уже занял позицию по другую сторону баррикад. Претендентов с одновременно профессиональным бэкграундом в IT, менеджерскими способностями, и политическими амбициями в России тупо нет, они все либо не дожили, либо уехали, либо продались. Остаётся выбор между не самой способной оппозицией, и вообще никакой; и даже этот выбор стремительно исчезает.
ky0
26.08.2021 13:00-1Если допустить, что для организации IT-процессов не обязательно светить лицом на Ютубе наряду с коллегами-политиками, задача существенно упрощается - предполагаю, что найти честного и квалифицированного айти-менеджера, который не в восторге от текущей власти РФ значительно проще, чем публичную персону "с политическими амбициями" и тем же набором профессиональных качеств.
Зачем, собственно, айтишнику быть известной политической фигурой? Была же до последнего времени непубличной глава отдела расследований - и ничего, на качестве работы это никак не отразилось.
tyomitch
26.08.2021 14:38+1Я не про публичность — названные мной люди тоже не «известные политические фигуры» — а про готовность к обыскам с конфискацией всего электронного, к админарестам и т.п. Чтобы предпочесть работу в таких условиях любой более спокойной — мало быть «не в восторге от текущей власти», нужна именно политическая мотивация.
ky0
26.08.2021 14:51-1Стало понятнее, спасибо. Но тогда, кстати, и Волков уже довольно давно (в каком году там он переехал за границу?) не подходит под ваше описание - до приезда в РФ ему не грозят ни обыски, ни аресты.
Странно, что приходится напоминать о том, что айти более, чем любая другая деятельность подвержена возможности находиться где угодно без особого ущерба качеству. Да и широко разглашать о факте работы над проектами ФБК совершенно необязательно - наверняка можно организовать процесс так, чтобы сильно затруднить идентификацию посторонними.
tyomitch
26.08.2021 15:43+1Волков уехал в августе 2019. Если, уже имея ВНЖ и дом в Люксембурге, он на протяжении шести лет предпочитал жить, работать и отбывать админаресты в Москве — значит, удалённая работа для этой позиции недостаточно эффективна.
jarvis
26.08.2021 17:11+1Вы конечно правильно пишите, но не учитываете, что структура Навального это не обычная компания. И нанимая кого-то со стороны есть большая вероятность, что нанятый профессионал может оказаться кротом от Кремля, который после найма будет сливать информацию и оставлять закладки в коде и инфраструктуре.
В итоге обычные методы для поиска специалистов не подходят - можно искать только через знакомых. Прибавьте к этому зп ниже среднего, уголовные риски и тд и получите, что поиск даже более менее хорошего it-специалиста непростое дело.
Sabubu
23.08.2021 22:20+15Ошибки — это плохо. Но надо ли публиковать их сразу вместо ответственного раскрытия?
Вот допустим, завтра я найду уязвимость в Windows или Linux. И не сообщая в Microsoft, выложу ее на Хабр. И у вас, автор, с ее помощью взломают компьютер, украдут ваши биткойны, выложат в паблик все ваши рабочие проекты и код, пароли/доступы, украдут вашу почту и что еще там можно украсть. Вы обрадуетесь?
ReinRaus
23.08.2021 22:37-9Несомненно надо, когда политика государства ставит под угрозу личность человека из-за того, что он хочет использовать "умное голосование".
Люди должны видеть, что этим сервисом нельзя пользоваться в том виде в котором он есть.
garehtnineth
23.08.2021 22:41+6когда политика государства ставит под угрозу личность человека из-за того, что он хочет использовать "умное голосование".
Чью личность поставили под угрозу?
batyrmastyr
24.08.2021 10:08-2Всех пользователей. Через сервис могут отправить людей по адресам, где сторонников Навального будет ждать в лучшем случае автозак, а в худшем - перо в бок.
foxyrus
23.08.2021 22:50+2Все что могло утечь с сайта УГ (список email и возможно адреса с точностью до дома), уже утекло.
selivanov_pavel
24.08.2021 05:33+6Автор писал выше в комментариях, достучаться до ФБК просто невозможно. Они реагируют только на статьи в медиа с высоким рейтингом и большим числом комментариев. И то, в основном реакция состоит в агрессивных наездах на задавших неудобные вопросы.
Если в Windows есть такие детские, простые в эксплуатации уязвимости, и Microsoft не реагирует на сообщения об ошибках - то лучшее, что вы можете сделать, это выложить их в открытый доступ. Так они либо будут вынуждены починить проблему, либо люди хотя бы будут предупреждены, что их Windows позволяет украсть их биткойны и пароли.
corvair
23.08.2021 22:20-1Вроде преследовать серьёзные цели и делать столь "детские" ошибки, мало того, по-детсадовски реагировать, когда грамотно указывают на них - странные вы ребята. ИТ это не серебряная пуля, нынче от их неграмотного использования больше вреда, чем пользы, причём в данном случае для неопределенного круга лиц, это почти как ядерная энергия - мощная штука, но полезная и безопасная только в квалифицированных руках. В таком случае уж лучше ограничиться роликами в ватсапе, пенсионеры проглотят и репостят что угодно. Хотя мне их уже жалко.
w3drt46523trc26
23.08.2021 22:22+8мне кажется, или это просто ханипот? домен fiasco кагбэ намекает...
Saiv46
24.08.2021 05:43+2Ага. Я вот развернул прокси на www.votesmart.workers.dev (хоститься на Cloudflare Workers), увидел в углу ошибку рекапчи (тут понятно - домен не совпадает) и ожидал что при регистрации будет ошибка. И каково же было моё удивление, когда fiasco прислал ответ об успешной регистрации.
ReinRaus
23.08.2021 22:24+5Вся суть умного голосования, как я понимаю: подсказать за какого конкретного кандидата на каком участке голосовать.
Так почему нельзя сделать карту участков на которой тыкаешь на участок и видишь за кого голосовать?
Зачем все эти регистрации и сборы персональных данных?
Из-за всего этого никто не будет особо его использовать, только самые бесстрашные.
garehtnineth
23.08.2021 22:28+8Так сайт заблокируют. А так, карта будет. Ну или поиск по адресу. Но потом, за неделю до выборов.
Bonio
23.08.2021 22:55Будет карта, за несколько дней до выборов, можно будет посмотреть не регистрируясь, обещали по крайней мере.
dimskiy
23.08.2021 22:35+5На таком незатейливом хайпе вы сильно рейтинг своего блога не поднимете :) Ну еще про иксолу вбросьте под соусом заботы о чем-нибудь там
andreyverbin
23.08.2021 23:03+6На этом шаге хочется остановиться, ведь не стоит цель навредить,
Как-то не похоже... Хватило ума и таланта найти дыру, но написать в твиттер Волкову что-то вроде "У вас дыра, я покажу, пишите в личку" нет?
Вот вам предложение - поковыряйте сайты типа kremlin.ru, ФСБ и т.п., а затем напишите тут о дырах. После этого посмотрим насколько круто изменится ваша жизнь. Если платформа Волкова имеет под собой основания, то мы о вас тут какое-то время не услышим. Я лично буду рад, если на хабре таких желчных постов будет меньше.
DevsStorm
24.08.2021 00:34+7"У вас дыра, я покажу, пишите в личку"
и после этого Волков забанит пользователя, который это написал.
Эти проблемы можно было бы давно исправить, если бы обратная связь у оппозиции работала не таким же образом, как у путинской системы. Когда человек проявляет агрессию и на комментарий с уязвимостью предлагает надеть шапочку из фольги... Я считаю правильно придать огласке ситуацию и потребовать от него такого же публичного извинения. Скрывая факты утечек, рассказывая только об успехах и прорывах, замалчивая проблемы, и повторяя по кругу одни и те же мантры, мы в конечном итоге получим отличных приёмников действующей власти.
garehtnineth
24.08.2021 01:06Скрывая факты утечек, рассказывая только об успехах и прорывах, замалчивая проблемы, и повторяя по кругу одни и те же мантры, мы в конечном итоге получим отличных приёмников действующей власти
Серьезно? Именно это вы считаете проблемой действующей власти?
Bonio
23.08.2021 23:06+18Чем ближе выборы, тем активнее разворачиваются программы по дискредитации идеи и реализации умного голосования. Ожидаемо.
Уязвимсоти — плохо, но существуют правила хорошего тона, когда первыми уведомляются владельцы сервиса, и лишь после исправления информация обнарудуется. Делать так, как сделал автор поста, как минимум не этично.
itsoft
23.08.2021 23:23-9Опять вы. Идею я не дискредитирую. Здольников тоже. Дима Зворыкин тоже. Наоборот, мы все внесли огромный вклад и приняли существенное участие в оппозиционной движухе. И мы бы хотели, чтобы дыр не было.
Лично я наверное готов проголосовать как подскажет УМГ, если только не предложат голосовать за кого-нибудь сталиниста. Между сталиным и путиным я выберу путина всё же.
Автор поста имеет к УМГ вопросы, но задавал их мне за неимением возможности задать их организаторам.
ПионЭры, расслабьтесь, ведьм нет, не надо искать врагов народа. Это очень опасное занятие. История это убедительно доказала.garehtnineth
23.08.2021 23:38-4голосовать за кого-нибудь сталиниста. Между сталиным
Вы сталиниста со Сталиным не путайте. Один - отец народов, а второй - относительно бесправный депутат.
А Путина в меню вообще нет
Areso
23.08.2021 23:38+6и лишь после исправления
можно ждать долго. Иногда - вечность.
Поэтому хорошим тоном является информирование и N дней форы на закрытие. А дальше - кто не спрятался, я не виноват.
Очень многие не почешутся, пока их в грязь лицом не макнут. Причем, как мы видим, такой подход отлично работает как с ДИТом Москвы в частности и подрядчиков госуслуг в целом, которые плоть от плоти исполнительной власти, так и ресурсами оппозиционеров.
Почему? Да потому что люди одинаковые, и там и там. Нашинские. Не злобные марсиане...
Aleksandr-JS-Developer
24.08.2021 01:00+2существуют правила хорошего тона
Да, например, хотя бы не пороть гордый бред, когда вам открыто пишут про уязвимости.
Если организаторы, простите, страдают хуйнёй, просаживают бюджеты на безопасность и оставляют служебные порты с голой жопой в интернет да ещё и неадекватно реагируют на отсчёты, то вы уж простите. Публикация привлечёт внимание вышестоящих властей и они прикажут то, что организатор мог сам исправить, но не хочет.
Я уже молчу про какое-нибудь "спасибо". И даже не вспоминаю на копеечку, которая будет сэкономлена с того, что в день выборов какой-нибудь школьник (террористы) не набрал заветное "drop database" прямо в самый, как обычно, не подходящий момент.
sirocco
23.08.2021 23:41+8Как-то не красиво автор поступил. А что с них взять? Они не it компания. Их постоянно пресуют. Постоянно перекрывают финансирование. Многие уже боятся на них работать, даже если хотят. Живут как могут, ни больше, ни меньше.
Areso
23.08.2021 23:44+3Тут и в других местах уже предлагали варианты: иностранцы (в т.ч. из Украины), оплата биткоинами, и т.п.
Но самое главное не это. И даже не то, что они используют инструменты, которыми не умеют пользоваться. А то, что они неадекватно реагируют на проблемы, которые до них доносят. Причем, реагируют по монгольскому обычаю: гонцу
голову с плечперманентный бан.elfdolls
24.08.2021 00:34А то, что они неадекватно реагируют на проблемы, которые до них доносят.
Эту проблему никто не доносил. ТС просто выложил в паблик и все...
Только Здольников им написал https://twitter.com/ShieldNav
NNikolay
24.08.2021 02:56+2Все ссылки уже не работают. Практика показала, что они оперативно реагируют, когда понимают уровень проблемы.
Я так понял, Волков в первой истории не сразу врубил про какой такой сервис Яндекса идёт речь и у него упало забрало. Нервы. Так начальный твит был прям крипто-языком написан. Было бы написано попроще - Яндекс метрика у вас, она такое вот может - может, была бы другая реакция. А так это оправдание. Ну обиделся автор на Волкова, ну поднасрал ему, ну сам Волков виноват. Ну и не надо самому делать вид, что белая шляпа.
kogemrka
24.08.2021 08:53+3Я так понял, Волков в первой истории не сразу врубил про какой такой сервис Яндекса идёт речь и у него упало забрало.
начальный твит был прям крипто-языком написан
Было бы написано попроще
Просто замечу, что это целиком можно применить в обратную сторону. Пентестер увидел твит Волкова с реакцией на уязвимость и у него упало забрало. Твит Волкова каким-то надменно-оскорбительным языком написан. Было бы написано помягче...
symbix
24.08.2021 11:58+2Да вообще вся эта переписка по тональности выглядит как «ты дурак - сам дурак». Думаю, тут есть взаимная личная неприязнь ее участников, которую ни одна из сторон не готова отбросить, хоть вроде и оба за одно дело.
mikhailian
24.08.2021 15:59+1Ага, в интервью Светову Здольников долго рассказывал, как работал с Волковым и как его не любит.
selivanov_pavel
24.08.2021 13:03не сразу врубил про какой такой сервис Яндекса идёт речь
Но когда врубил, то не извинился, а сразу забанил автора твита.
selivanov_pavel
24.08.2021 05:39+1Многие уже боятся на них работать
В России. В Европе они могут нанимать сколько угодно сочувствующих их идеям русских, белорусских, украинских программистов и админов. Думаю, найдутся и готовые работать за идею, а не за деньги.
tyomitch
24.08.2021 09:32+2Основная сложность — отличить готовых работать за идею от петровых, бошировых и хакер-хеллов.
selivanov_pavel
24.08.2021 12:50Зачем? Пусть сдадут готоый код и инструкцию по разворачиванию в одном из облаков(запишите credentials в файл, запустите скрипт, наслаждайтесь). Другие пусть проверят, да даже в open source выложить можно. А давать исполнителям доступ к боевой инфраструктуре совсем не обязательно, даже вредно.
Aleksandr-JS-Developer
24.08.2021 00:52+3Разработчики гос портала: вот вам сервис
Чувак, который решил потратить пять минут, чтобы потыкать новый сервис: проверю я служебные порты для отладкиСлужебные порты для отладки: Привет, как дела? Не хочешь тут по базам полазить? Ты не напрягайся, тут всё по дефолту настроено. Что? Нет не спеши, мы будем тут ещё несколько месяцев открыты.
Ответственный за ИБ на сервисе: Наденьте шапочки из фольги, мы взлетаем!Saiv46
24.08.2021 05:51Чувак, который решил потратить пять минут, чтобы потыкать новый сервис: проверю я служебные порты для отладки
Недавно где-то была новость про то что задержали чувака за это.
waisberg
24.08.2021 00:57+3Это вообще легально? Постить инструкцию по взлому серверов с актуальными базами данных, причём с весьма чувствительными данными.
Я правильно понимаю, что вы в своём корпоративном блоге открыто заявляете, что получаете неправомерный доступ к серверу и к тому же публикуете инструкцию по взлому?
ky0
24.08.2021 01:06+4Интересно было бы посмотреть, как российское правосудие грудью встаёт на защиту проекта ФБК. Парадоксальная бы загогулина получилась...
garehtnineth
24.08.2021 01:17+2После Шлосберга лаконично было бы itsoft объявить соучастниками ФБК.
Galsus
24.08.2021 09:17ФБК и пр. структуры Навального признаны экстремистскими. Выявление и публикация уязвимости в сайте экстремистской организации является участием в деятельности экстремистской организации Статья 281.1 п.2 N112-ФЗ . Штраф до 600тр или принудительные работы или лишение свободы до 1года.
strcpy
24.08.2021 01:36+1Дыра-то ладно. Волков убеждает сторонников делать донаты в Биткойнах и платить картами. Ни то ни другое не безопасно, все ходы пишутся, а за финансирование "террористической" организации по новым "законам" можно до 5 лет схлопотать.
Alexsey
24.08.2021 02:20Сам не пробовал, но карты я так понимаю идут через stripe на какие-то левые зарубежные юр. лица через которые проходят куча других платежей. Так что в этом плане все более-менее безопасно должно быть. Хотя черт его конечно знает...
AlexP11223
24.08.2021 09:42+1Судя по телеграммопостам Здольникова --- нет там никаких сильно левых юр. лиц + (по крайней мере какое-то время) было видно адрес сайта. Ну и лицо-то в любом случае одно и не меняется каждую минуту. Так что наверно товарищ кгбшник может задонатить рубль и узнать кого добавить в список юр. лиц ФБК (если это не ютуб, патреон и т.д.).
symbix
24.08.2021 11:00+2К сожалению, это не так.
Да, в выписке из банка вы действительно ничего особенного не увидите, и вам, как, вероятно, и Волкову с командой, кажется, что анонимность обеспечена. Но в межбанковской внутрянке всегда будет засвечен уникальный идентификатор терминала и /или продавца, и я очень сомневаюсь, что хоть один российский банк откажет в просьбе сделать такую выборку транзакций «в рамках борьбы с экстремизмом».
При этом уникальный идентификатор на каждый сайт - это не какая-то там прихоть Страйпа, а требования Visa и MasterCard. Всякие там методы типа «зарегистрировать один сайт, а принимать оплату с другого» активно используется мошенниками (те же фейковые антивирусы), потому строго запрещены правилами и караются крупными штрафами. У мошенников эти штрафы и расходы на ротацию юрлиц заложены в сверхдоходы с мошенничества, у ФБК же сверхдоходов, как сами понимаете, не особо. А Страйп вообще такое зарежет сразу же на корню, конечно.
NNikolay
24.08.2021 02:58+1Более безопасный метод знаете? Я серьёзно, мне интересно.
Vilgelm
24.08.2021 04:49-2Более безопасных методов полно, например Monero вместо Bitcoin. Но скорее всего они довольно непопулярны чтобы кто-то из донатящих с ними морочился.
AlexP11223
24.08.2021 09:33+1Патреон и т.п., так же как у них сейчас сделаны донаты через ютуб. Тогда не будет видно кому конкретно назначался перевод. Но больше комиссия.
strcpy
24.08.2021 18:05Monero, Patreon, Youtube.
kogemrka
24.08.2021 18:11-1Youtube
Гугл перестал сотрудничать с органами? Вроде ж буквально год назад они объявили, что что бы не говорили их сотрудники и на какие бы митинги не ходили - их официальная позиция удовлетворять запросы силовиков тех государств, где они работают?
AlexP11223
24.08.2021 19:35+1Ну это как минимум не то же самое, что запрос банку в РФ. Надо нормально составить. И запрос типа "дайте нам данные всех донатеров этого канала" звучит странно, тогда уж надо для начала забанить этот ужасный канал экстримистов, но гугл почему-то это не делает.
kogemrka
24.08.2021 19:56-1Ну это как минимум не то же самое, что запрос банку в РФ. Надо нормально составить.
Согласен.
тогда уж надо для начала забанить этот ужасный канал экстримистов, но гугл почему-то это не делает.
Пока не делает. Но в официальном письме от компании, направленном конкретно Волкову, и конкретно Милову гугл утверждает, что заблокирует их каналы, если видео не будут удалены.
«Если вы не удалите контент, компания Google может быть вынуждена его заблокировать».
Это не мешает, конечно, зафиксировать в переписке с Волковым "айай, мы слушаемся и точно-точно сейчас у тебя всё удалим", а потом по той или иной причине потянуть резину, подвигать сроки, подумать над вариантами, итд.
Но, насколько я понимаю, единственная озвученная позиция - причём озвученая в официальной переписке - "Мы официально уведомляем, что заблокируем твой канал, если ты не удалишь видео".
Кроме того, в прошлом гугл выполнял эээ, "странные" запросы от РКН. Допустим, когда от РКН приходят запросы с указанием на то, что на видео "оскорбляют государственную символику" (например, украинцы топчат и сжигают российский флаг), гугл выполняет требования и ограничивает доступ к видео на територии России.
Как бы, с одной стороны, вроде бы ни разу не резонирующие видео - совершенно не тот калибр, чтобы стоило ради него бодаться. С другой стороны - при предоставлении запроса, мол, смотри, гугл, у нас есть странный закон и по этому закону это видео крутить в нашей стране нельзя - гугл стабильно слушается.
Думаете, в этот раз будет бороться?
Vilgelm
24.08.2021 04:56-2Карты через зарубежный биллинг без крепких связей с Россией и Bitcoin это относительно безопасно. Первое — если биллинг — иностранная организация с небольшим количеством клиентов здесь, вряд ли они сольют данные даже под угрозой блокировки (хотя конечно спорно, лучше использовать оффшорные кошельки). Bitcoin можно отследить, но учитывая как большинство его покупает задача тоже довольно сложная (хотя лучше использовать Monero).
Другое дело что между безопасностью и юзабилити нужно выбирать что-то среднее. Потому что можно сделать все очень безопасно, но этим никто не будет пользоваться потому что сложно. Тут выглядит в целом оптимально (хотя что там внутри я не знаю, сужу только по их описанию, которое они выложили на сайте, может они там деньги через условную Яндекс.Кассу принимают, тогда это полный залет).
Но вот донаты через Youtube вещь максимально спорная, на Google в принципе могут и надавить.symbix
24.08.2021 11:42Нет, карты - это опасно.
Если вы возьмёте обычный POS-терминал (физический, который в магазине стоит), вы там увидите два набора цифр - merchant ID (идентификатор продавца) и terminal ID (идентификатор терминала). Оба этих идентификатора в ходе авторизации транзакции передаются в итоге банку, выпустившему карту, с которой происходит оплата.
При оплате онлайн все то же самое, только терминал «виртуальный». При этом любой агрегатор платежей обязан выделять каждому продавцу (то есть по сути каждому сайту) собственный идентификатор либо собственный терминал (а может, и оба, сейчас уже не вспомню) - это регулируется правилами visa и mastercard, нарушение называется «мисагрегация» и карается серьезными штрафами.
Так что в итоге товарищу майору достаточно сделать пожертвование и «В рамках борьбы с экстремизмом» запросить из банка выписку всех транзакций с таким же идентификаторами.
Короче, Монеро, да. Или карты, выпущенные зарубежными банками (если у кого после борьбы ЦБ с Payoneer и иже с ними такие ещё остались).
Донаты через YouTube я бы отнёс к низкому риску - если они что-то выдадут и это вскроется (а это неминуемо вскроется), репутационный ущерб для Гугла будет несопоставим с потенциальными неприятностями на российском рынке. Но, конечно, этот риск не нулевой, так что лучше Монеро.
Vilgelm
25.08.2021 01:20Интересно, не знал про такое. Карты зарубежных банков сейчас практически нереально достать в России.
А вот Гугл судя по всему в целом сотрудничает с властями. И если выбор будет между «мы вас забаним или вы выдадите данные» (а он такой и будет), то скорее всего они их выдадут. В конце концов хотели же они в Китай вернуться не так давно. Сейчас Гугл уже не тот, который don't be evil и все такое.symbix
25.08.2021 06:06Гугл — это бизнес, и будет при принятии решений руководствоваться бизнес-соображениями.
Если Гугл выдаст данные таким образом, что это будет всем очевидно (не представляю себе, как это сделать иначе, это ж материалы дела), в тех же американских СМИ на них выльют такой ушат помоев, что ничем не отмоются. Такой репутационный ущерб превысит любые штрафы любых российских судов.
А забанить Гугл нереально. На него завязано вообще всё у всех, в том числе и в госорганах (им, конечно, "не положено", но те же гугл-документы используют все подряд); да и личные данные полно у кого там, и андроиды с гугл-облаком, и мультики с youtube детям не включить. Протестный потенциал такого действия (ну реально же у всех и работа встанет, и телефоны заглючат) куда больше, чем у любого уголовного дела против оппозиции или фальсификации выборов, поскольку тут вот каждый на своей заднице ощутит моментально, а ведь первоочередная их задача — не допустить протестов.
Сейчас они там нащупали некоторое взаимодействие: роскомнадзор им шлет жалобы, они что-то там выборочно блокируют (то, что никому не нужно), роскомнадзор отчитывается, что вот диалог идет, все более-менее довольны, win-win. Понятно, что это может измениться, но сейчас оно вот так.
В какой-нибудь критической ситуации (скажем, миллионные массовые протесты и терять уже нечего) могут рубануть все подряд, но ненадолго — как в Беларуси.
Vilgelm
25.08.2021 14:01-1Если Гугл выдаст данные таким образом, что это будет всем очевидно (не представляю себе, как это сделать иначе, это ж материалы дела), в тех же американских СМИ на них выльют такой ушат помоев, что ничем не отмоются
Можно выдать неочевидно. В последние годы существуют дела за посты в мессенджерах, в том числе в Telegram (а еще есть Whatsapp и Twitter). Это тоже материалы дела и по идее там нужно доказывать, что аккаунт принадлежит человеку и все такое. Однако до сих пор непонятно выдал ли Telegram\Whatsapp\Twitter эти данные или там были какие-то другие источники. Никаких скандалов при этом не было.А забанить Гугл нереально
Забанить Гугл — это внести примерно 100 айпишников в реестр. До этого вносили миллионами айпишники AWS и тоже половина интернета не работала, кого-то это остановило? Ситуация с интернетом в России развивается по китайскому сценарию, именно оттуда власти берут пример, консультанты судя по всему тоже оттуда. Google (а точнее Youtube) вне рамок критической ситуации не забанят лишь до того момента, пока не будет хоть сколько либо популярной подконтрольной альтерантивы. Ну то есть взлетит какой-нибудь Яндекс.Эфир, прощай Youtube.
Хотя если он будет сильно мешать, то и альтернативу тоже вряд ли будут ждать. Но блокировка должна будет быть железной, т.е. популярные схемы обхода не должны будут работать. «Суверенный рунет» и то, что РКН сейчас занимается блокировкой VPN по сигнатурам говорит о том, что такие методы готовятся. Опять же все по китайскому сценарию.
andreyverbin
24.08.2021 11:26+3Ваш донат это 1001ая причина на вас наехать. Если наезд со стороны органов случится, то не потому, что вы донатили, а потому, что вы оказались в ненужном месте в ненужное время. А причина, по которой вас посадят может быть произвольной. Донат, неправильная расцветка одежды (привет Беларусь), оскорбление сотрудника мыслью, причинение испуга бумажным стаканчиком, участие в выдуманной майором организации, педофилия и так далее.
Если вы настолько обеспокоены безопасностью, то не смотрите youtube (продвижение экстремистской организации путём влияния на алгоритмы YouTube с помощью просмотра), не читайте посты где есть слова УГ, Навальный и т.п., не пишите ничего онлайн, станьте членом Единой России.
Vilgelm
25.08.2021 01:21-1Вообще-то за спонсирование экстремистских организаций есть вполне конкретная статья. И нет никаких причин чтобы ее не применять, в том числе не применять массово. Очевидно же что все идет в сторону РБ и далее, т.е. массовые репрессии, лагеря для политических и вот это все.
andreyverbin
25.08.2021 03:29+2Есть такая статья, но есть ещё много других статей, по которым вас или меня можно посадить на произвольное количество лет. Конкретно эта статья ничего не меняет, расстановка сил и вектор движения и так ясен. Она нужна чтобы напугать не более.
Несложно придумать много способов чтобы устроить массовую посадку сторонников Навального и ФБК. В нашей не очень далёкой истории есть куча примеров. Наличие 101го повода вас посадить никак ваши шансы сесть не увеличивает.
Я бы сказал наоборот, массовая поддержка ФБК, в том числе рублем, скорее уменьшает ваши и мои шансы присесть на n лет.
Vilgelm
25.08.2021 14:04-1Много других статей как правило более хлопотны, чем эта. Тут достаточно сделать простой grep по переводам и все, можно отправлять материалы в суд. Никаких причин не делать этого, хотя бы ради «палок», я не вижу.
Если у вас есть желание куда-нибудь донатить, то как минимум разумно это делать так, чтобы это было сложно обнаружить.andreyverbin
25.08.2021 18:28+1Многие другие статьи хлопотны для чего? Если стоит задача посадить 1 000 000 человек, то конкретно эта статья не нужна. Если стоит задача посадить 10 человек, чтобы напугать 1 000 000 человек, то эта статья тоже не нужна, есть другие не менее прекрасные. Она нужна только для того, чтобы вас испугать. Ваш реальный риск - оказаться в числе этих 10, которых выберут случайным образом.
А до того, как они смогут что-то выбрать, надо список транзакций получить у Stripe. А для этого надо запрос сделать - "дайте нам все транзакции всех юзеров из России", на который Stripe резонно скажет - идите в *опу. Поэтому надо делать запрос о персональных транзакциях, а значит, вас уже выбрали.
tyomitch
25.08.2021 21:43Получить все транзакции всех юзеров из России проще не у Страйпа, а у российских банков–эмитентов карт, использованных для транзакций.
CrushBy
24.08.2021 07:37+3Почему-то все забывают одну простую вещь. Если УГ действительно сработает и выберут не того, кого надо власти, то мало кто сомневается, что власти просто "нарисуют" какой им надо результат (привет Лукашенко). И тогда от людей, чтобы с этим бороться, потребуется гораздо больше действий, и нести гораздо большие риски.
Если люди будут боятся просто того, что вычислят их IP или email, то можно уже закрывать УГ, так как смысла в нем нет.
TCPpoPochte
24.08.2021 08:14+3Там несколько сложней. Сейчас задача поставить вопрос легитимности.
У всех властей у которых нет легитимности всегда конец один, вопрос во времени и последствиях.CrushBy
24.08.2021 08:31Да, я это все прекрасно понимаю. Сделать режим нелегитимным - это конечно же важно. Но даже после этого потребуются решительные действия.
mikhailian
24.08.2021 12:19+1А кто-то ещё сомневается в нелегитимности правления Путина?
kogemrka
24.08.2021 12:21Предполагаю, что от трети до более чем половины населения страны. Этого достаточно, чтобы выиграть во втором туре, например.
selivanov_pavel
24.08.2021 13:09-1Легитимность - это не формальный критерий, а "признание народом за властью права принимать обязательные к исполнению решения"(спасибо, википедия).
Так что правление Путина может быть сколько угодно незаконным(фальсификации выборов), неконституционным(обнуление), но он вполне себе легитимен.
mikhailian
24.08.2021 15:49+1Павел, мне Википедия говорит, что Легитимность — "согласие народа с властью, его добровольное признание за ней права принимать обязательные решения."
Если из определения выкинуть слово добровольное, то и Лукашенко можно будет назвать легитимным.
kogemrka
24.08.2021 15:57-1У нас буквально год назад примерно 65% (по оценкам Шпилькина) населения проголосовало за то, чтобы внести в конституцию изменение, позволяющее Путину пойти на ещё один срок.
Тонкий вопрос, насколько это безобразие можно считать подтверждением легитимности (например, конечно же, голосование за поправки пакетом - полнейшее безобразие), но не пока вижу особых причин предполагать, что большинство - против него.
inb4: Это не значит, что нужно сложить лапки и согласиться с большинством.
mikhailian
24.08.2021 16:19+3Да нет никакого большинства за Путина. Есть постепенно уничтожающий оппозицию диктатор, работа которого состоит в запугивании смелых, подкупе продажных и создании в обществе ощущения безысходности и отсутствия альтернатив.
В Беларуси тоже все считали, что они-то лично против Лукашенко, но вокруг все за. А на поверку вышло, что за Лукашенко всего около 150,000 так называемых бенефициаров режима: силовики, руководители среднего и высшего звена и их семьи.
kogemrka
24.08.2021 16:51-1Да нет никакого большинства за Путина. Есть постепенно уничтожающий оппозицию диктатор, работа которого состоит в запугивании смелых, подкупе продажных и создании в обществе ощущения безысходности и отсутствия альтернатив
А где здесь противоречие? Ни разу не было в истории, что большинство населения топит за хорошего человека, действительно.
В Беларуси тоже все считали, что они-то лично против Лукашенко, но вокруг все за.
Вы в этом уверены?
Я вам другой пример приведу - выборы в США в 2016 и 2020-ом.
Насколько я понимаю, в отношении тех же выборов с США общий консенсус на данный момент (если отбросить всяких сторонников теорий заговора) - вроде бы всё было честно, что в этот раз, что в прошлый.
Получается, большинство населения (но с ооооочень небольшим перекосом) (с поправками на приколы их избирательной системы, конечно) проголосовало один раз из двух за того, кого другая половина считает ужаснейшим человеком, рептилоидом и вообще.
Я такой вопрос задам - для вас вообще принципиально важно, что те, про кого вы боретесь, в меньшинстве?
tyomitch
24.08.2021 17:30(с поправками на приколы их избирательной системы, конечно)
В этом и фишка: Трамп в 2016 набрал на 2% меньше голосов, чем Клинтон, и всё равно победил.
Это к тому, что мало иметь большинство голосов — стратегия тоже важна.kogemrka
24.08.2021 18:01Конечно, целиком согласен, стратегия важна.
---
Мой пример к тому,что вот на наших глазах ситуация, когда половина половина население страны искренне голосует за рептилойда и негодяя и оценка в половину (+- пара процентов), какжется, не оспаривается ни мной, ни вами.
Мой собеседник говорит, "нет, оппозиции не может быть меньшинство! Смотрите, Лукашенко тоже убеждал всех, что он большинство, а вот как получилось".
Ну да. Там получилось так.
А тут оба игрока в выборах 2016-го и и оба игрока в выборах 2020-го убеждают всех, что за ними большинство, а за соперника - тупые какие-то голосуют. А вышло поровну. С перевесом в одну сторону в одном случае, в другую - в другом.
Я понимаю, что Лукашенко - это пример, который должен вызвать у читателя сильную эмоциональную реакцию, это жестоко, это неприятно, это случилось буквально вчера. Но было бы странно абсолютно серьёзно так именно рассуждать.
В этом и фишка: Трамп в 2016 набрал на 2% меньше голосов, чем Клинтон, и всё равно победил.
Мне кажется, в обсуждаемом контексте (см. выше), 2% - не очень важны.
Если вам кажется, что честными и правильными являются только выборы, в которых один гражданин = один голос и всё считается самым что ни на есть прямым образом - это замечательно и я целиком с вами согласен, что если бы эти игроки играли по этой системе, Трамп бы проиграл.
mikhailian
24.08.2021 18:37+2Мой собеседник говорит, "нет, оппозиции не может быть меньшинство!
Я так не говорил. Выборы в США похожи на выборы в России только названием. Давайте не будем gerrymanderить нашу дискуссию.
Представьте, что на следующих выборах президента РФ альтернативой престарелому Путину станет кто-то вменяемый, скажем Илья Новиков, Павел Дуров или Наталья Синдеева. Как вы думаете, будут ли у Путина шансы выиграть честно и мирным путём?
kogemrka
24.08.2021 19:23-1Я так не говорил.
Ну извиняюсь, значит я вас неправильно понял. Предлагаю исправить ситуацию. Попробую объяснить, почему я проинтерпретировал наш диалог именно так. Как я его прочитал:
Моё утверждение:
но не пока вижу особых причин предполагать, что большинство - против него.
Ваш ответ:
Да нет никакого большинства за Путина.
Есть постепенно уничтожающий оппозицию диктатор, работа которого состоит в запугивании смелых, подкупе продажных и создании в обществе ощущения безысходности и отсутствия альтернатив.
В Беларуси тоже все считали, что они-то лично против Лукашенко, но вокруг все за. А на поверку вышло, что за Лукашенко всего около 150,000 так называемых бенефициаров режима: силовики, руководители среднего и высшего звена и их семьи.
Я увидел тут утверждение "нет, за оппозицию - всё-таки большинство" и ровно два аргумента в поддержку утверждения.
Первое: - есть диктатор, уничтожающий смелых и оппозицию.
Второе: - в Белорусии тоже считали, что все за Лукашенко, а вот как получилось.
Про первый аргумент я ответил - из того, что есть диктатор уничтожающий смелых и оппозицию не следует, что против этого диктатора большинство.
---
Это то, как я ваше сообщение понял. Видимо, понял неправильно. Извините,и не обижайтесь, пожалуйста. Буду очень благодарен, если объясните, что же имелось в виду, впрочем, вы совершенно точно не обязаны это делать.
kogemrka
24.08.2021 19:28+1Соре, забыл в прошлом сообщении ответить на остальные части.
Выборы в США похожи на выборы в России только названием. Давайте не будем gerrymanderить нашу дискуссию.
С первым предложением - целиком согласен. Второе предложение - целиком не понял. Географическую карту на округа я вроде как не нарезаю ни в одном сообщении.
Представьте, что на следующих выборах президента РФ альтернативой престарелому Путину станет кто-то вменяемый, скажем Илья Новиков, Павел Дуров или Наталья Синдеева. Как вы думаете, будут ли у Путина шансы выиграть честно и мирным путём?
Интересный вопрос. Думаю, шансы будут, но очень сильно зависит от избирательной компании. Если вам интересно моё мнение - к двум настроен позитивно, к одному негативно, но на правах "да хоть кто-нибудь лишь бы не Путин", возможно, проголосовал бы.
Более чем уверен, что если я прямо сейчас выйду на улицу и спрошу у десяти человек, знают ли они, кто такой Илья новиков, ответит максимум один. Если вам интересно - я не знал. Впрочем, это совершенно нормально, если до избирательной компании лицо не находится на слуху и из этого не следует, что этот человек не наберёт подавляющее большинство.
mikhailian
24.08.2021 18:20Я такой вопрос задам - для вас вообще принципиально важно, что те, про кого вы боретесь, в меньшинстве?
Я борюсь за то, чтобы рядовой гражданин с трудом мог вспомнить, кто же сейчас у нас президент.
kogemrka
24.08.2021 19:10Это замечательно.Но это не отвечает на вопрос.
Я даже добавлю, боритесь вы за (с моей точки зрения) правое дело.
В этом вопросе правда никакого подвоха. Замечательно бороться за правое дело, если сторонников правого дела - меньшинство. Замечательно бороться за правое дело, если сторонников правого дела - большинство. Замечательно бороться за сменяемость власти, если сторонников сменяемости большинстов, замечательно бороться за сменяемость власти, если сторонников, меньшинство.
Я точно не буду использовать этот ответ в дискуссии, строить какую-то риторику на нём или как-то на этот ответ опираться. Обещаю. Мне просто интересно.
TCPpoPochte
30.08.2021 07:56+1Не была она легитимной.
Коммунисты захватили власть уничтожив «Всероссийский
демократический совет». Тот самый институт, который создавал условия для демократизации.
Далее недовольства людей были заглушены с помощью репрессий.
Потому оно всё так быстро и развалилось, так как ни кто не стал защищать.
DMGarikk
30.08.2021 10:37-1Потому оно всё так быстро и развалилось
в историческом масштабе — не особо и быстро для режимов подобного рода
Hector76
26.08.2021 10:56-1Если ты признаешь выборы проводимые властью, то вопрос о легитимности не стоит. Она есть, эта легитимность. Дальше ты можешь не признать результат. И отказаться подчиняться полиции и Росгвардии. Это тоже будет утрата легитимности. Но если ты признаешь результат, или на словах не признаешь, а на деле признаешь (подчиняешься требованиям полиции), то легитимность власти не страдает совершенно.
Выборы будут, как обычно, сфальсифицированы. Но на улицу никто не выйдет. Легитимность власти не только не пострадает, но и укрепится.
Только массовая неявка на выборы и отрицание их признания способны подорвать легитимность. Но на этом нельзя заработать...
areht
26.08.2021 17:50+1Если ты признаешь выборы ... результат. ... то легитимность власти не страдает совершенно
В общем, что ни делай - легитимность не страдает. Пока смерть не разлучит вас
Кстати, тут вон Путин 500 млрд руб пенсионерам решил раздать. У него просто лишние завалялось, складывать некуда? Это же вообще не потому, что нарисовать на самом то деле нихрена не получится и надо подкупать? Или он пенсионеров искренне полюбил на предвыборном съезде едра?
Hector76
26.08.2021 23:40-2Как ни странно, но для того чтобы легитимность власти пострадала, надо не что-то делать, а наоборот - чего-то не делать. а именно - не сотрудничать, не слушаться, не подчиняться.
Хождение на выборы является сотрудничеством.
Раздает Вовочка денюжки совсем не потому чтобы за него голосовали (хотя такая цель тоже есть - облегчить фальсификации). А чтобы пришли вообще. Хочет повторить трюк при обнулении, когда основной упор делался на слабо завуалированный шантаж пенсионеров, с угрозой перестать им повышать пенсию. Клюнут ли они и на этот раз, не знаю. Наверное, клюнут. Нищими управлять проще. Их можно подкупить и тыщей. А за 10 они на многое готовы.
Легитимность режима падает сама по себе. В имитационной демократии выборами она как раз поддерживается, и тут главное - явка. Сторонник режима, разочаровавшись в нем, не начинает голосовать за оппозицию. Он просто перестает ходить на выборы.
areht
28.08.2021 07:38облегчить фальсификации
О как. То есть ты даже догадываешься, что фальсификации можно облегчить или усложнить. И получить за это денежку. Причем чем больше усложняешь, тем больше получаешь.
Но называешь это сотрудничеством и подчинением.
Hector76
28.08.2021 13:01-2Можно, но это не основная цель. Выборы будут сфальсифицированы в любом случае, и как бы нагло они не были сфальсифицированы, никто на улицу не выйдет.
Не будет даже жалкого подобия 2011 года, понимаешь?
Не то что там, "мало" выйдет... Вообще никто не выйдет. Ни одного рыла на всю страну.
И кстати, почему ты думаешь, что люди с крайне сомнительной биографией, Волков и Милов (да и Навальный тоже, чего греха таить), производящие впечатление реальных дебилов, несущие лютый бред, умнее чем тот же Джин Шарп, который в своей книге про сопротивление диктатуре, посвятил выборам всего один короткий абзац, в котором написал что выборы проводящиеся в диктатуре, ничем не могут помочь либералам?
С чего ты взял, что эти ушлёпки внешне напоминающие даунов, Волков и Милов, боящиеся любой дискуссии как чёрт ладана, способные вещать исключительно в режиме монолога на крайне необразованную аудиторию офисного планктона, считающего что ему все должны, а он не может даже рискнуть получить по заднице дубинкой, вообще говорят какие-то истины?
Всё что они несут - лютая дичь, в корне противоречащая как социальной психологии, так и политологии. И даже истории.
Неужели до тебя до самого не доходит банальнейшая истина - явка на выборы будет тупо МЕНЬШЕ, сцуко, намного МЕНЬШЕ чем даже в 2016 году!
Всем давно НАСРАТЬ на выборы.
Не веришь? Ну жди 20 сентября. Если ты слепой как крот... Если ты живёшь в ютубе.
anonymous
00.00.0000 00:00kasthack_phoenix
24.08.2021 09:12+1Если УГ действительно сработает и выберут не того, кого надо власти, то мало кто сомневается, что власти просто "нарисуют" какой им надо результа
Сайт Умного Голосования помогает ещё и найти позицию в качестве наблюдателя / члена УИК на выборах. Я через него пока попал в резерв от Яблока и, скорее всего, войду в комиссию в сентябре.
Со сторонними наблюдателями рисовать немного сложнее.
CrushBy
24.08.2021 10:25+1Наблюдение, конечно же, важно с точки зрения легитимности. Но, очевидно же, что люди, которые травят оппонентов, просто так власть не отдадут, и в случае чего просто напишут 80%, и скажут что наблюдатели вроде Вас - иностранные агенты, которые хотят развалить страну.
Кроме того, могут фальсифицировать на уровне "сбора" данных наверх. То есть на каждом участке будут одни результаты, а в сумме совершенно другие. Я пока не видел, а в РФ есть уже что-то вроде вот такого ?
garehtnineth
24.08.2021 12:00+1Я пока не видел, а в РФ есть уже что-то вроде вот такого ?
У нас пока наблюдатели есть. И пересчёт с протоколом не секретный
CrushBy
24.08.2021 12:04-1Это конечно же хорошо, но в РФ - 97 тысяч избирательных участков. Данные надо собрать вместе и посчитать общий итог. Если сейчас это делает только ЦИК, то где гарантия, что они просто не "ошибутся" при суммировании данных ? Или ЦИК публикуют данные по каждому участку, и их можно вытянуть по API и самому посчитать ?
kasthack_phoenix
24.08.2021 13:54Или ЦИК публикуют данные по каждому участку, и их можно вытянуть по API и самому посчитать ?
Да, данные открыты.
Это конечно же хорошо, но в РФ - 97 тысяч избирательных участков.
В России много наблюдателей от разных партий. Ничего не мешало ФБК активнее звать своих сторонников наблюдать на выборах(в волонтёры избирательного штаба одного из питерских кандидатов попал как раз через такую их рассылку).
0wn3dg0d
24.08.2021 08:16Мы сможем создать прекрасную Россию будущего без коррупции и ошибок в системе.
Окей гугол, как создать сервис уровня "подпишись, получи новость" без дыр?
Green_hat
24.08.2021 09:16+3Навальный в целом и Волков в частности никому ничего не должны.
___________________Не-не-не! Он должен обеспечить безопасность, конфиденциальность, удобство, доступность и еще что-то там по сайту!
Точно?
А еще что они должны? Огласите весь список хотелок!
Вывести на митинг за ручку? Ставим крыжик. Предоставить удобные места с хорошим обзором? Записано. Автозак мягкий с плюшевым подбоем? Хм... поработаем. Адвоката? Не вопрос! Средний заработок на время отсидки админареста, вдруг все-таки...? Да обеспечим, фигня-война! Шлем защитный, бронежилет, зелёнку на ранку и подуть на "вавку" не желаете? Может быть сэйв-коды или дополнительную жизнь, вдруг все-таки совсем худо обернётся?
Они никому ничего не должны! Воюя против государства, будь готов к последствиям и переваливать свой страх на других - моветон. В какой момент они вам задолжали, не открутили метрику, не позатыкали дыры? Один в тюрьме, второй в бегах, остальные под кучей угроз и тут умник с дивана: "Эй, чел, ... у вас там ус отклеился, исправляй быстро, я предупредил, время пошло!"
Не, ну можно ж было сделать хотя бы элементарное... права, доступ, админка, ля-ля - тополя...? Я вот в телеграмчик ему катанул - хамит в ответ. Могли бы грамотных кодеров нанять или с ближнего забугорья привезти. А он отлаивается.
Что тут сказать. Когда вам вынесут дверь и толпа мордоворотов перевернёт дом и жизнь, тогда порассуждаете об оптимальных путях написания сайтов, а открыв соцсеть и прочтя очередного умника с хотелками, покроете его матом в три наката, схватите рюкзак и или суму и галопом за бугор или в тюрьму, вот тогда и подумаете на бегу о допущенных ошибках, обсудите, взвесите и дадите обстоятельный, эмоционально не окрашенный ответ.
Касательно сабджа.
Сражаясь против целого государства с неограниченным финансированием и армией касперских за пазухой, защититься невозможно. Боишься оставить адрес - не оставляй, трусишь выйти на митинг или пульнуть донат - сиди тихо. Проявился? Будь мужиком, не сцы, а уж предъявлять людям, положившим голову под топор, своих хотелки по не самому существенном вопросу да с теплого дивана - несколько несвоевременно.
Нет защиты. Сайт взломают, провайдера хлопнут, хостера прижмут, кодера купят, админа запугают. Я вообще удивлен, что до сих пор сайт УГ целиком не стырили.kogemrka
24.08.2021 12:13+2Навальный с Волковым, безусловно, никому ничего не должны.
Воюя против государства, будь готов к последствиям
У каждого свой комфортный уровень участия в политической жизни. Если бы человек хотел играть в игру "завтра его данные сливают товарищу майору, и его увольняют с работы", он бы может быть играл за отбитых анархистов, взрывающих проходные трёхбуквенных госучреждений, а не за попытки в мирные митинги и участие в выборах, используя согласованную стратегию.
Здесь могут быть рассуждения о возможности и эффективности мирных митингов, но это нерелеватно ситуации вообще.
Есть аудитория, которая готова к этому уровню участия и не готова к другому. Есть движения, которые декларируют "ну вообще-то вы должны быть готовы, что вам ноги сломают". Есть движения, которые такого не декларируют. Каждый волен решить, в каком участвовать. Если правила игры изменились - человек имеет право об этом узнать и поменять решение, если уровень стал неудобен.
Умное голосование - как раз тот проект, в котором участникам предлагается дойти ногами до ближайшего участка и поставить галочку.
Если за подписывание на умное голосование начинают сажать - вины Навального и Волкова в этом нет.
Но не вижу смысла обижаться на желающих учавствовать в голосовании, если проект из "изи-пизи exercising своих гражданских прав" превращается в ВОЙНУ ПРОТИВ ГОСУДАРСТВА.
Мне кажется, когда участников больше, работает лучше. Если Волков посылает к чёрту "доморощенных" безопасников, проект начинает посприниматься как что-то менее безопасное и доступное для участия. От этого мне грустно. Вины Волкова, конечно, в этом нет, если завтра он решит "И вообще мы решили, что теперь это проект не про выборы, а про прорывание оцеплений", он будет, безусловно, иметь на это полное право. Я же буду иметь полное право изменить мнение о проекте и желание участвовать. Имхо, всё справедливо.
Green_hat
24.08.2021 12:52+1ИМХО, Волков вообще в объяснялки зря застрял.
Человек что-то делать пытается. Как умеет. В стране советов советами замучают и оправдывать замучаешься перед людьми, которые сами не сделали ничегоAlexsey
24.08.2021 15:40-1Так проблема то в том что тут ситуация такая что за десять лет Волков и компания довели ситуацию до такой что кроме советов в твиттере/на хабре/еще где ничего и не остается. Как я понял @itsoft и многие другие достаточно долгое время предлагали им конкретную помощь на которую они успешно клали болт.
Green_hat
24.08.2021 21:30-1Я понял примерно так же. Но это со слов итсофта.
Если глянуть на факты, то Навальный в тюрьме, Волков в бегах, а Итсофт статью на Хабр двинул, обиженную. Не выслушали. Не оценили.
Судя по тому, что он на Хабре, а те двое отнюдь не на Хабре, труды не оценило и государство.То ли помощь предлагал вяло, то ли она менее ценна, чем описывается. Чуешь в себе силы, запили своё, ткни Волкова носом - "вот как надо, учись, рухлядь"! И жди оваций. Государство приедет, опиздюлит, технику изымет, статью выпишет, появится время почитать на Хабре чьи-нибудь умозаключения, как ты был не прав
kogemrka
24.08.2021 21:37а те двое отнюдь не на Хабре
Ну про Навального-то я понимаю, а Волкову что мешает на хабр зайти?) Зайти на хабр так же легко и просто, как и на твиттер. Там даже букв в адресную строку меньше вбивать надо.
Чуешь в себе силы, запили своё
В общем-то, с этим целиком согласен. Правда в случае с умным голосованием десять умных голосований точно не нужно ни вам, ни мне, ни Волкову.
Green_hat
24.08.2021 22:27+1Думаю у Волкова в приоритетах заход на Хабр далеко не на первом месте. Потому и не зашел.
Для ТС заход - в приоритете, зашел - молодец. А мог бы что-нибудь эдакое сбацать. Десять сайтов УГ не нужно, есть желание приложиться - найди нишу.
Искать ошибки в сайте - дело бестолковое. Думаю даже если весь Хабр вылизывал бы сайт на десять раз, все равно б хакнули. Силы несопоставимы. Может и хакнули десять раз, не каждый хак очевиден.
Касательно горячности Волкова, мне тоже черта подобная не нравится как и некоторый "вождизм" Навального, есть такое.
Но кабы не эти черты, возможно, они бы и сидели на диване как вы и я.
"Настоящих буйных мало, вот и нету вожаков" (с).
Появился вожак - а мы ему "а чё это ты такой с наездом и апломбом"?
Ну вот, какой есть. Травоядные вожаки будут в устоявшейся демократии.tyomitch
24.08.2021 22:53+1Думаю даже если весь Хабр вылизывал бы сайт на десять раз, все равно б хакнули. Силы несопоставимы. Может и хакнули десять раз, не каждый хак очевиден.
Сомневаюсь: вон Лукашенко ведь не хакал ни "Голос", ни "Нехту". Зачем атаковать сайты, если намного проще атаковать непосредственно оппозиционеров?
См.тж. https://xkcd.com/538/
garehtnineth
24.08.2021 12:54+2Если правила игры изменились - человек имеет право об этом узнать и поменять решение, если уровень стал неудобен.
А по телевизору разве недостаточно громко сообщили?
geirby
24.08.2021 14:10+1Я, наверное, вас удивлю, но вообще нет "комфортного уровня". Участвовать в политической жизни страны, разбираться в ней, защищать Конституцию является вашей обязанностью с того момента как вы стали гражданином. Это была обязанность ваших и моих родителей тоже и их родителей. Обязанность является борьба с узурпацией власти. Не прихотью Навального, а нашей прямой обязанностью. Обязанностью создать систему сдержек и противовесов, при которой любому представительству власти была бы оппонирующая группа. Обязанностью защищать свое представительство во власти. Даже с оружием в руках. Это и есть настоящая, подлинная гражданская сфера существования человека, а не инфантилизм "мой уровень комфорта", последствия которого -- узурпация, тоталитаризм, репрессии. Вы просто не реализуете права и обязанности гражданина как они есть, вы их имитируете.
kogemrka
24.08.2021 14:30О да!
Более того, бороться нужно не просто с узурпацией власти и даже не с кокретным кооперативом Озеро - бороться нужно с узурпацией средств производства! Не нужно становиться безмолвным рабом капитала, аморально стоять в стороне и подпитывать своей трудовой деятельностью клятых эксплуататоров.
Lexicon
24.08.2021 12:17-1А если, допустим, вы сам, как индивидум готовы положить все ради идеи о будущем, готовы рисковать свободой или жизнью?
Чем Волков лучше меня или вас?
Лишь потому, что у него больше ресурсов, все вопросы должны отпасть и появиться бесприкословное послушание?
garehtnineth
24.08.2021 12:25+1А о каком именно послушании речь? За кого голосовать 19 сентября? У вас по этому поводу вопросы, есть идеи лучше?
Просто других указаний в голову не приходит.
Green_hat
24.08.2021 12:35+3Волков лучше уже тем, что вот он стоит в рост и его поливают помоями со всех сторон и те, в том числе, чьи данные он не смог защитить. Ах ты... держи ушат дерьма! Надо было.... и пошли советы.
Человек в бегах, под прессингом. Очень удобно разбирать его ошибки, скрупулезно, дотошно. Советы раздавать бесплатные с вопросом "а ты кто такой?"
Потому в стране ничего и не идет, что народ хочет все сразу и без риска и кто-то должен это обеспечить. Америка - ввести санкции, Навальный - вывести за ручку, Волков - запилить сайт и так далееselivanov_pavel
24.08.2021 13:14Проблема не в ошибках, а в том, как он на них реагирует. И ещё в том, что единственный способ донести до него эти ошибки - это написать статью на рейтинговом ресурсе, а до этого он будет всех указывающих на ошибки банить во всех каналах связи.
народ хочет все сразу и без риска
Кто-то готов идти на баррикады? Пожалуйста. А кто-то готов только проголосовать за наименее выгодного власти кандидата, и если Волков обещает, что этот человек сможет получить уведомления, не засветившись перед товарищем майором - то Волков должен хотя бы стараться обеспечить обещанное, а не банить указывающих на ошибки.
Lexicon
24.08.2021 14:49Еще раз, а что насчет тех, кто готов к таким же последствиям, помоям, гонениям, риску присесть, а не только теплому диванчику? Что насчет тех кто готов на риск, на компромиссы между собственным видением и ФБК?
В стране ничего не идет, потому что сраное болото с детства в головах.
"Не спорь, тебе же будет хуже!", "Не лезь, тебе больше всех надо?!"
"Почему ты подставляешь нас, молчал бы или шел президенту писать!"
"Ну знаем мы, что подлог и ложь, и что? Ты в бюджет деньги положишь?"Со школ, институтов идет еще, в поликлиниках, на работе.
Одна и та же фигня, "сиди и не высовывайся"Мне не плевать на то, какая в России оппозиция, как она представляет интересы людей, насколько открыто делится информацией, как она работает над программой, позволяет ли людям осознать, причины и необходимость тех или иных ошибок или упущений, или затыкает рот информаторам и критикам, предполагая, что "серой массе" не обязательно пояснять.
Ну круто, мы на хабре, можно слить карму задающим лишние вопросы, только блин, неужели никто не заинтересован, действовать сообща? Если Волков расколет оппозицию, что будете делать? Если профессионалы, желающие изменений и готовые на жертвы не захотят поддерживать ФБК? Нам в одиночку на пикет топать и садиться, никому неизвестными и привнеся 0 эффекта?
Сбежать ведь хочется от болота в головах. Дать людям волю и знание, чтобы управлять своим будущим.
Это хабр, а не пикабу, здесь многие могут позволить себе уровень жизни, не снящийся среднему фину, мы не за себя боремся, думаем или критикуем, хотелось бы свалить с хабра, страны и окружения, сделать это можно без всякого Волкова и Навального. Если оппозиция ФБК и хабр превратится в "заткнись и сначала добейся", в задницу такую оппозицию. Но вот ресурсов построить новую у нас в стране нет.
Так что пусть Волков лучше заткнется, коль на стрессах весь и подумает, о том, как работать с людьми, желающими помочь
Green_hat
24.08.2021 21:06+2"Так что пусть Волков лучше заткнется, коль на стрессах весь и подумает, о том, как работать с людьми, желающими помочь "
Хорошо. Волков заткнулся. Полегчало?
Плюнул, ну его нафиг и все бросил. Бинго! Результат достигнут?
Несите другую оппозицию, эта оказалась не торт
RTFM13
24.08.2021 20:46+2Навальный в целом и Волков в частности никому ничего не должны.
"Должны" не правильное слово. От них этого ожидали, скажем так. Какая-то часть их аудитории, по крайней мере. Не хотите оправдывать ожидания аудитории - никто не заставляет.
В принципе, не критична ни утечка, ни то, что затыкать дыры не хотят или по какой-то причине не могут. А вот попытка замолчать, а если не вышло - хейтить тех, кто сообщает достоверную информацию, тут осадочек остается неприятный.
nicholas_k
24.08.2021 11:50-1Если бы не глупейшая (с точки зрения привлечения электората) реакция Волкова, я бы приоритетной версией считал, что Волков играет на две стороны.
Но теперь считаю, что это глупость, неорганизованность и в некоторой мере даже инфантильность. Без Навального ФБК скатился.
SteamEngine
24.08.2021 12:09+1Вот мне интересно, а как бы отреагировал Владимир Ильич, если бы узнал, что царской охранке могут попасть в руки адреса-пароли-явки?
Gryphon88
24.08.2021 17:54+1Учитывая, как оперативно сгорел архив охранки сразу после революции, то есть самые разные варианты :)
Frost-Bite
24.08.2021 12:09-1Будущее не за Умным голосованием, а за национальными параллельными цифровыми выборами, результаты которых признают во всем мире.
kogemrka
24.08.2021 12:27+2Умное голосование - не замена голосованию в участках.
В общем-то, даже если мы заменим выборы на что-то стопроцентнов защищённое, в которой каждый голос может быть одновременно анонимен и проверяем, вбросы и подлог - строго математически невозможны, умное голосование всё ещё может понадобится (а может и не понадобится, но это не точно).
Речь не о том, чтобы "выборы заменить", а о том, чтобы будучи в меньшинстве согласовать стратегию. Условно говоря, в тех же самых корпорациях миноритарии вполне себе иногда сталкиваются с подобной задачей - если согласовать стратегию, можно эффективнее побороться за кресла в совете директоров, чтобы они не достались держателю самой крупной доли. Вопрос "вбросов" и подлога в выборах, при этом, там обычно и не стоит.
garehtnineth
24.08.2021 12:37У единой России рейтинг 26%. Умное голосование - это "будучи в большинстве согласовать стратегию"
kogemrka
24.08.2021 12:46-1по Шпилькину, за недавние поправки в конституцию, к примеру, проголосовало 65%.
Я оценки Шпилькина считаю оптимистичными. Нет, ну можно, конечно, предположить, что Шпилькин работает на единую россию и путина и пририсовывает проценты в их пользу, но как-то слишком сложно, целая бондиана получается с двойными агентами и заговорами.
Впрочем, если вы правы и в умном голосовании учавствует большинство - я буду только рад.
Хотя для меня это значит, что в таком случае стоит переходить из режима "голосуем за кого угодно, лишь бы забрать место у единоросов" (нас и так большинство, заберём и так) в "голосуем за тех, кто представляет интересы более-менее похожие на твои".
garehtnineth
24.08.2021 12:59Голосование за конституцию, голосование Путина и голосование за ЕР - это разные вещи.
И от их рейтинга оно тоже отличается
kogemrka
24.08.2021 13:28Конечно.
Одномандатные округа вообще оценивать трудно.
Если мне не изменяет память, Шпильник какую-то цифру, в отношении того, сколько проголосовало за едро в выборах 2016го называл только про число кандидатов по партийным спискам, а про одномандатные сказал, что там как-то сложно что-то оценить.
Опять же, если оппозиция действительно займёт 74% мест - это будет просто замечательно.
А зачем вы пытаетесь доказать, что оппозиции большиство? Я рад, если оно так. Но мне казалось, чем больше голосов у оппозиции, тем меньше необходимости учавствовать в Умном Голосовании. Или я что-то неправильно понимаю?
Мне казалось, идея в том, чтобы пойти и проголосовать не за человека из своей партии, а за кого-то, кто пусть и топит за что-то совершенно противоположное твоим интересам (например, либертрианец пойдёт и проголосует за коммуниста) - зато больше мест займёт не-едро, а там уж понадеемся, что парламент с хоть каким-то разнообразием приведёт страну к более-менее честным выборам и не нужно будет играть в эти игры (ну и понадеемся, что в каком-то другом округе условный коммунист проголосует за кого-то правого и в среднем все будут довольны)
tyomitch
24.08.2021 13:39Вся суть одномандатных округов в том, что достаточно иметь 51% поддержки в каждом округе, чтобы получить 100% мандатов. Или, например, 51% поддержки в 51% округов, чтобы получить 51% мандатов и большинство в думе при фактическом рейтинге 51%²=26%.
УГ — это способ конвертировать большинство по голосам в большинство по мандатам.kogemrka
24.08.2021 16:38+1чтобы получить 51% мандатов и большинство в думе при фактическом рейтинге 51%²=26%.
Вроде бы по партийным спискам такое же число мандатов, что и по одномандатным округам в этом году? Тогда 26% поддерживающих едро + победа в 51% одномандатных округах даёт едру 38.5% процентов мест в думе. (26% от партийных списков, 51% - от отмандатных округов).
Одномандатные округа не какое-то зло само по себе, в прекрасной россии будущего, одномандатные округа вполне себе могут решать задачу "дать представительство малочисленной партии, деятельность которой, в основном, сконцентрирована в конкретном регионе".
Я просто не очень понимаю, зачем вы напираете на "большинство" и откуда вы это большинство оппозиции берёте) Кажется, УГ разумно использовать даже если нас не большинство - ну заберём больше мандатов, круть, хоть какой-то прогресс.
tyomitch
24.08.2021 17:21+1Если у ЕР в каком-то округе большинство, то она там получает мандат хоть без УГ, хоть с УГ. В ситуации, когда нас не большинство, УГ лишено всякого смысла.
На голосование по партийным спискам УГ не распространяется.
garehtnineth
24.08.2021 17:44даёт едру 38.5% процентов мест в думе
Только у них в 2 раза больше. Попробуйте погуглить "электральная математике" или хоть посмотреть что-нибудь по теме
kogemrka
24.08.2021 17:49+1Только у них в 2 раза больше.
Так и по оценкам Шпилькина, сторонников едра не 26%, максимально эффективным образом размазанных по региону, как в этой модельной задаче.
Hector76
25.08.2021 01:45-3УГ это способ помочь Вове сделать вид что в стране есть выборы, когда очевидно что их нет. И попутно на этом заработать.
Ничего больше...
selivanov_pavel
24.08.2021 13:17+1голосуем за тех, кто представляет интересы более-менее похожие на твои
Таких людей в выборных бюллетенях будет пара штук на всю страну. Законодательство сделано так, что появление не-провластного кандидата практически невозможно.
Mike_soft
24.08.2021 15:20+3«умное голосование» — это при нормальных условиях вообще вредный инструмент. В условиях нормального исполнения действующего законодательства (начиная от Конституции), когда любой дурак может зарегистрировать партию, пройти нормальную предвыборную политическую борьбу (заявить о себе, своей программе. найти тех, кто поддержит выдвижение. найти тех, кто профинансирует. пройти дебаты.) и выйти на выборы — оно просто не нужно. В текущем случае — это просто борьба с узурпацией власти (попытка делегитимизировать профсоюз чиновников «партию власти»). Просто сейчас других способов уже не осталось.
vitiok78
24.08.2021 12:33-5История успеха:
Получи государственное финансирование размером с космическую программу.
Найми индусов местного розлива за три копейки, которые сваяют нечто выглядящее рабочим на видеоконференции с Его Величеством.
На разницу купи немного недвижимости в Лондоне, обязательно с аквадискотекой.
Напиши камент в тему на Хабре о неэтичности раскрытия уязвимости до её устранения.
Объяви всех несогласных иностранными агентами.
Жди следующего проекта...
oxdef
24.08.2021 12:38+2Безотносительно опасности находки:
Странно видеть подобный пост в блоге компании
В посте нет упоминания о том, была ли коммуникация с заинтересованными лицами по вопросу исправления описанных уязвимостей
selivanov_pavel
24.08.2021 13:18+1нет упоминания о том, была ли коммуникация с заинтересованными лицами по вопросу исправления описанных уязвимостей
Волков и ФБК успешно игнорировали прошлые попытки коммуникации по поводу уязвимостей, их единственная реакция - бан в твиттере. Перечитайте статью, автор об этом говорит. Как показала практика, публикация в открытых источниках - единственный способ добиться от них хоть какой-то реакции.
oxdef
24.08.2021 13:36+1Как показала практика, публикация в открытых источниках - единственный способ добиться от них хоть какой-то реакции.
Это не противоречит и не доказывает обратного тому, что можно соблюсти хотя бы формально нормальный подход с таймлайном, а не сразу "full disclosure" делать. Или уже честно написать в посте, что никакой коммуникации по этим проблемам не было. Но это конечно же зависит от изначальной цели.
selivanov_pavel
24.08.2021 14:08-1В чём смысл формально стучаться в дверь, которую никогда не открывают?
oxdef
24.08.2021 14:41+4Смысл в том, чтобы следовать тому кодексу/этике, который сам выбрал + всегда иметь возможность сказать, что "я попытался постучаться в дверь и уведомить о проблеме". Иначе от недостатка информации может возникнуть подозрение, что и не собирался этого делать: как в этом случае, так и других. То, что дверь не открыли сразу или вообще не открыли, в комментариях вполне обосновано разнесут в более свободной манере речи.
BioHazzardt
24.08.2021 12:50-3ироничный адрес бекэнда http://fiasco.navalny-team.org и список маршрутов.
Вся эта эпопея с УГ уже больше похожа на толстый троллинг, однако
geirby
24.08.2021 13:42-3Когда директор IT компании обладая (предположительно) необходимыми ресурсами для решения подобных задач жалуется, что "обратная связь не работает" вместо того, чтобы правильно сделать (поставь кнопку донатов под это дело у себя на сайте, нам не жалко профинансировать эту работу), ПОКАЗАТЬ как надо, поделиться опытом, -- это вызывает чувство брезгливости. При том, что сам анализ уязвимостей имеет полные основания для существования. Да, сервис надо допиливать. Тут вопрос как ты сам при этом себя при этом ведешь.
Так вот, @itsoft ведет себя как ведут себя обычные граждане Российской Федерации в количестве 86% (так во всяком случае уверяют): жалуется навластьНавальногоВолкована кухнена хабре. Как дитятко малое, не самостоятельное. Быть самостоятельным значит стать сокамерником Навального, или в Словении/Cловакии за ручку не тем намазанным схватиться, не дай бог, конечно.
Критикуешь -- предлагай. Игорь, я предлагаю тебе создать полностью защищенный сервис УГ как ты его видишь. Чтобы работа была не бесплатной запроси деньги у комьюнити, обозначь цели, "научно-внедренческие" (почему нет), найми команду, руководи.
В качестве результата опубликуй здесь статью "Как строить безопасные для граждан и общества распределенные it-сервисы в условиях государственного терроризма и тотального беззакония", покажи нам КАК НАДО, а не как эти пионеры. Получи благодарность всего мира (и деньги), поскольку результат твоей работы будет нужен еще полвека как минимум (к сожалению).
Замечу, что я предлагаю поступить именно так, как поступил бы сам. Понимаю необходимость обратной связи, но я так же понимаю разницу между сервисом банка, куда я отнес деньги и сервисом оппозиции, который ничего мне по факту не должен и является долгим рисковым активом, который и обнулить могут при случае (как и меня), даже в этих ваших европах, -- кадыровцы/лукашисты теперь везде. Отсюда и дифференциация оценки/подхода. Своим надо помогать. Подержать велик, если падает. Подсказать, сколько места до соседней машины на парковке. Поучить английский вместе, даже если ты его знаешь. Занять очередь. Помогать. Не топить, Игорь. Надо научиться беречь то, что есть. Выращивать это. Селекционировать. Если это тебе вообще нужно.Оффтоп
На всякий случай, напомню, что оппозиция власти не является преступлением. Не была, не есть и не будет. Власть в стране узурпирована. Оппозиция преследуется. Преступниками издаются законы, которые рано или поздно придется отменять. Поэтому вопрос "it-безопасности" является ВТОРИЧНЫМ вопросом по отношению к происходящему, абсолютно техническим, не влияющим на существование оппозиции в стране и за ее пределами. Каждого из нас при тотальной системе беззакония при необходимости могут подвергнуть репрессиям, оппозиционер ты или нет. К этому надо быть готовым и против этого надо бороться. Это и является целью, а не "создать полностью анонимный сервис". Вся эта кутерьма (равно как и появление под выборы подобных публикаций) всего лишь последствия узурпации власти и сознательных преступлений против людей.
kogemrka
24.08.2021 16:04-1Поэтому вопрос "it-безопасности" является ВТОРИЧНЫМ вопросом по отношению к происходящему, абсолютно техническим, не влияющим на существование оппозиции в стране
Оппозиция преследуется.
И это буквально причина, почему безопасность данных - это важно.
Если бы за голосование против не преследовали - можно было бы вообще не беспокоиться за то, утекли данные или нет. Никому не было бы делf.
Ситуация имеет значение именно потому и только потому что за утечкой данных может следовать увольнение или того хуже.
geirby
24.08.2021 16:45+1Если вас за голосование преследуют, поверьте, что дело куда сквернее, чем сам процесс голосования, анонимность на сайте УГ и даже увольнение. Волков об этом, собственно, написал в FB, только несколько многобуквенно. Есть короткая пословица "снявши голову, по волосам не плачут". Мы (а не Волков или Навальный) в течение своей сознательной жизни (15-20 лет) допустили ситуацию, при которой открытая политическая конкуренция более не возможна, при которой оппозиция уничтожается физически, а за галочку "не там" человек может лишиться работы. Мы допустили этот гостерроризм. И нам теперь его фиксить.
Речь идет не о сервисе, в котором вы пользователь, поэтому ваши данные по условиям этого сервиса должны быть "обязательно анонимны и блаблабла". Речь идет о гражданской позиции. Гражданская позиция не может быть анонимна. Если вам дороже работа, подождите пяток лет, когда вы будете работать на них за бесплатно, как сейчас работают те, которым можно было выходить на пенсию, но случился крымнаш и упс.
Тарасов и вы подменяете понятия. Мы говорим о гражданах, а не пользователях. Пользователь может быть (должен быть) анонимен. Но УГ создавался для граждан. Так получилось, что добавили немного анонимности. Если бы не добавили, то вас бы там не было, правильно? Вот это вас и характеризует.
Гражданин не ждет, когда ему на блюдечке принесут оппозицию, анонимность, право голосовать без боязни быть уволенным "или того хуже", он как-то это "делает". Без подсказок.kogemrka
24.08.2021 17:08-1Гражданская позиция не может быть анонимна
А, погодите-ка.
Я думал, в этой фразе
Увы, после известных событий удалил учетную запись vk, а купить пустышку пока не озаботился.
Вы под "известными событиями" имеете в виду как раз-таки происходящие в политике. Разве нет?
geirby
24.08.2021 17:38+1Нет. Vk скомпрометировал себя выдачей личной переписки. Удаление аккаунта, кстати, еще не значит, что "тарарищ майор" дамп моих инвектив не получит за предыдущие годы. Я четко это осознаю. На митингах был, лица не прятал. Телефон не выключал. ФБК донатил со своей карты и вполне себе жду стука в дверь через год-полтора. "Враги народа" всегда востребованы. Надо же большинство в узде держать. Да и в целом, политический бэк, как и папочка в ФСБ на меня присутствует.
И с Тарасовым мы, возможно, на одном кубе когда-то стояли.
Подождите, кто-то в дверь стучит...
kudryavy
24.08.2021 19:43-1Своим надо помогать. Подержать велик, если падает. Подсказать, сколько места до соседней машины на парковке. Поучить английский вместе, даже если ты его знаешь. Занять очередь. Помогать. Не топить, Игорь.
Вот чисто имхо:
Волков сам себя топит.
Навальный и Ко сам помог Путину переизбраться через бойкот президентских выборов.
Судя по их поведению они не реальная оппозиция, а популисты. Мне с такими не по пути. Как они победят коррупцию, когда придут к власти? Похоже, что просто забанят тех, кто будет не согласен с ними. И зачем таким помогать?
А могли б помочь Грудинину сменить Путина, разве это была бы помощь чужим? Чем Грудинин хуже Тихановской?
garehtnineth
24.08.2021 19:57+1Тем, что Грудинин не набрал 97% )
Если вы в этом Навального считаете виноватым - у меня для вас плохие новости...
Hector76
25.08.2021 07:48-2Спорю на свои усы что наберу 15% (с) Грудинин.
Эмм... ему разве мог бы помочь даже сам господь Бог? Ну если он открыто заявлял что даже не собирается побеждать?
Боже, сколько же в нашей стране наивных людей...
Barma2012
24.08.2021 17:56-1Задал вопрос Волкову по этой статье, в комментах к его сегодняшнему видео.
Мой коммент удалили очень быстро ))
Ну, собстна, всё понятно стало — насрать им на безопасность своих же сторонников. Расходный материал, типа…
veldera
24.08.2021 20:23+6решились https://t.me/teamnavalny/7967
CherryPah
24.08.2021 22:42+2Обещать - не значит жениться (с)
На словах они и до этого прислушивались к коммьюнити и работали над ошибками. Конкретно в этом сообщении хорошо читается - не выносите сор из избы в паблик, не портите нам репутацию. Лучше пишите анонимки на почту, которую на практике неизвестно будут ли проверять.
symbix
24.08.2021 23:53А какой им смысл это делать, и не реагировать на почту? Не реагировать — это окончательно уничтожить и так уже сильно пострадавшую после сливов логов mailgun и торчащей голым задом в веб админки kubernetes репутацию, ведь при отсутствии адекватной реакции все равно вынесут в паблик.
Пока что это выглядит как признание ошибок и желание над ними работать, за что можно только похвалить.
CherryPah
25.08.2021 00:13+1Смысл делать - заработать классы. В комменте ниже им уже высказали респект и уважуху.
Смысл не реагировать - камон, они не реагировали даже когда обсуждение было вынесено на публичные платформы, бан неугодного - профит. С таким уровнем взаимодействия с коммьюнити - письма на деревню дедушке вообще идеальный вариант.
Я еще раз перечитал оригинальное сообщение в телеге - простите, но написанное там это "фиаско" в котором надо поменять 5 букв. "Сливов у нас не было, кроме одного раза, когда был засланный кремлевский казачок." Теперь еще раз перечитываю сам пост (и три предыдущих) - сливы оказывается далеко не один раз, и далеко не от засланных казачков. Извините меня конечно, но это выглядит не как "признание ошибок и желание над ними работать", а как очередное желание нассать мне в уши.
Мне тоже в конец надоел бог-император, но вот эти действия оппозиции в целом и крайне нелицеприятное поведение ее нынешнего "лидера" влияет на ее репутацию сильнее самих сливов
symbix
25.08.2021 07:09+1Пока получается так, что ссут в уши, но реагируют. Мне тоже неприятно, когда мне ссут в уши, не подумайте, что я мазохист. Всем понятно, что как минимум часть данных слили через торчащий задом в интернет kubewebview. Но пофиксили оперативно. В Яндекс-метрике запись полей тоже, вроде, убрали. Лучше бы ее вообще выпилить, конечно, но тут могу понять.
А что Н. набрал себе в "первые замы" таких людей, которые в его вынужденное отсутствие его позорят, это, конечно, правда. Но, видимо, больше некого было (на такое вообще яиц мало у кого хватит, выбор невелик). Ну что ж поделать. Других нет.
CherryPah
25.08.2021 23:52Всем понятно, что как минимум часть данных слили через торчащий задом в интернет kubewebview
Нет. Это понятно мне, Вам, хабраюзерам. А вот моей маме это непонятно. Несмотря на стойкое мнение что опора П это бюджетники и пенсионеры, она напрочь ломает все стереотипы ибо пенсионер, бюджетник (учитель в школе) и лютый сторонник фбк, регулярно присылающая мне в вотсап ссылки на дворцы.
Сегодня по телевизору ей расскажут про сливы бд, и куда она пойдет искать опровержения? Разумеется на Ютуб, где гражданин Волков уверит что это все бред, провокация и ничего никому не угрожает. В лучшем случае ее уволят (и слава богу ибо материально я родителей поддерживаю, и хватит им на самом деле работать, разве что для профилактики деменции), а в худшем что? А у кого эта работа единственная?
PS. На самом деле в этом случае я спокоен, ибо мама освоила лишь подписку на Ютуб, и ни в каких акциях не регистрировалась ибо е-мейл и регистрации для нее темный лес, но сам факт.
symbix
26.08.2021 04:39-1Под "всем" я имел в виду "всем здесь присутствующим".
Да, становится очень сложно поддерживать ФБК и УМГ, когда они откровенно ссут в уши, рассказывают об единственной утечке (сразу после признания второй в посте на хабре), рассказывают о том, как безопасно и анонимно донатить им российскими банковскими картами через Страйп (что вы несете, блин, банальный поиск со стороны банков по merchant id и terminal id сделает материалы уголовного дела по 282.3), не могут сделать приложение, защищенное от блокировки на DPI по SNI и не придумали ничего лучше ручной ротации ендпоинтов (комон, на вашем любимом appspot domain fronting работает, и это первая мысль, приходящая в голову сразу, а если чуть-чуть подумать..), при этом единственный смысл приложения — это обход блокировок...
Сложно, да. Но за неимением других приходится. Разъясняя, как при этом себя действительно обезопасить. И почему все же надо их поддерживать, хотя только что объяснил, в каком месте они врут. Ну вот так.
areht
26.08.2021 05:47+1рассказывают об единственной утечке (сразу после признания второй в посте на хабре),
А где признали вторую утечку? Кажется вы путаете утечку и дыру.
symbix
26.08.2021 06:29Вот тут: "В логах действительно можно было отследить регистрирующиеся почтовые адреса".
Согласен, что надо было сказать "потенциальную утечку". Была ли она там по факту, определить невозможно. Но учитывая относительную простоту нахождения этой дыры, вероятность именно утечки весьма немала. Как минимум абсолютно некорректно утверждать ее отсутствие — доказать это невозможно.
symbix
26.08.2021 17:50+1Разумеется. Вопрос в подходе к информированию.
Вариант 1. Мы облажались, в период с такого-то по такое-то число все логи были общедоступны, если вы регистрировались в это время, есть вероятность, что ваши данные утекли.
Вариант 2. Все нормально, никакой утечки не было, расходитесь, не на что здесь смотреть.
Хотелось бы видеть вариант 1.
symbix
26.08.2021 20:04+1Пропаганду и второй вариант абсолютно устраивает: «смотрите, они там врут, что ничего не утекло, а на самом деле, база-то вот она».
Тому, кто не будет разбираться, любой лапши на уши можно навешать в любом случае. Ну комон, если бы люди разбирались, а не верили пропаганде, за царя с едром проголосовали бы полтора процента. А тот, кто будет, задумается: а ведь действительно наврали.
Как по мне, если уж твой слоган «не врать и не воровать», врать не стоит даже в таких случаях. Иначе чем ты отличаешься от тех, кого обличаешь?
areht
26.08.2021 20:49-2Давайте ещё раз: или вы доказываете, что утечка была, или разговор о враньё тут ни о чём.
Отсюда второй пункт: пропаганда показывает базу. Доказали типа.
А "будут/не будут" разбираться - это не дискретное понятие. Правильно "на сколько глубоко люди будут разбираться". В среднем - не очень. Так и что они увидят?
Пропаганду - наверняка. Дойти до твита Волкова с "утечки не было" шансы ещё есть, а вот другой вариант требует более глубокого погружения, вероятности ещё какие-то.
И самый важный вопрос: можно ли там регистрироваться и голосовать. И тут между достоверно известным и не очень распространяемым "горожанко что-то унес и больше утечек не было" и формируемым из каждого утюга "у них одни дыры, они сами не знаю что сливают, уже вон пятая база всплыла" - огромная разница.
Так что, во-первых, против едра народ уже готов голосовать не особо разбираясь, просто из ненависти. Даже если остальные все такие же. Поэтому УГ работает.
Во-вторых, Волкова на выборах нет, так что "чем отличается" вопрос вообще неактуальный.
И в третьих, нет, волков не врал. Дыру признал. И имеет право не признавать чайник Рассела. Если он знает об утечке и скрывает - это было бы фуфуфу.
symbix
26.08.2021 22:42-1Доказывать должен Волков, проведя аудит аксесс-логов с момента деплоя KWV голым задом в интернет до момента его шатдауна.
Вместо этого мы видим рассуждения о том, что «контейнеры рестартятся и логи ротируются». Как будто это мешает вытягивать логи хоть раз в минуту.
В таких вопросах всегда надо предполагать худший сценарий, и действовать исходя из него. И честно рассказывать об этом. Крупные западные компании, которые ценят свою репутацию - так и делают: «мы зафиксировали несанкционированный доступ к базе, видим доступ к таблице пользователей, все пароли у нас захешированы sha256 с солью, но на всякий случай мы инициировали процедуру обязательной смены паролей, технические подробности вот в этой статье». А отмалчиваться и рассказывать, что все хорошо - это порочная практика большинства компаний в exUSSR.
Xaliuss
27.08.2021 00:20Волков приводит хороший аргумент в пользу отстуствия дополнительных утечек - нет нигде утекших баз, то с чем ходят не соответствует реальной базе УМГ. Другие действия не нужны в силу природы УМГ - необходимость одного контакта. Намного важнее основа УМГ, рекомендации, которые открывать заранее не стоит по многим причинам. И это защищено существенно лучше, как и материалы по расследованиям. Да и признались уже в одном несанкционированном доступе к базе, а сейчас была только возможность, которой судя по последствиям не воспользовались.
symbix
27.08.2021 01:29-1Ну а вот Здольников в интервью Светову (тут уже пару раз кидали ссылку, я посмотрел сегодня) говорит, что в опубликованных базах есть емейлы вида username+foo@gmail.com (многие после плюсика помечают, на каком сайте ввели емейл, Gmail такие суффиксы игнорирует) где foo явно указывает на другие проекты ФБК. Я сам эти базы не качал, но ему верю, иначе бы уже опровергли. Самое разумное предположение - что они как раз с того kubernetes-кластера, где крутится пачка проектов помимо УМГ.
Но это даже ладно. Поверим, допустим, что так совпало и утечек не было.
Куда более существенное враньё - про безопасность оплаты картой через Stripe. Помимо уже мной озвученного очевидного варианта с merchant ID и terminal ID, о котором сразу подумает любой, кто имеет опыт в банковском айти или онлайн-процессинге, оказалось, что есть ещё комбинация MCC и суффикса Thanks, которые уникальны для оплаты доната ФБК в рамках Страйпа, да ещё и пачке жертвователей после клиринга прямо в дескрипшен прилетело про ФБК прямым текстом. Это не шуточки, блин. И это в миллион раз опаснее емейлов, это, блин, прямая подстава под уголовное дело. До 8 лет. Допустим, не разобрались, добросовестно заблуждались. Но про это уже написали сто раз. Я бы сразу срубил Страйп нафиг. Или попросил бы Страйп сделать ограничение по гео (их антифрод такое позволяет), чтобы не принимались платежи с карт, выпущенных российскими банками. И отрефандил бы все поступления с российских карт. Но, похоже, это для них нормально: «всех не посадят». Ну да, всех не посадят. Посадят показательно человек 15. Для Волкова это, видимо, приемлемо, и он, уже обладая информацией, продолжает врать об анонимности. Политическая целесообразность, понимаю. Да пошел бы он на хрен со своей целесообразностью.
tyomitch
27.08.2021 13:33чтобы не принимались платежи с карт, выпущенных российскими банками
Это сразу же отсеет >90% жертвователей.
symbix
28.08.2021 00:35-1Конечно. Поэтому надо предложить что-то взамен.
Например, поискать платформу для донатов, которая, с одной стороны, достаточно распространена и прибыльна, чтобы иметь репутацию и их нельзя было скупить за копейки, с другой стороны, минимально заинтересована в ведении бизнеса в России и может легко подтираться любыми кляузами и угрозами от российских органов.
Да даже донаты на Ютубе лучше. Риск давления на Гугл есть, но тут появляется условие, что на Гугл получится надавить, и они сочтут угрозу их российскому бизнесу серьезнее, чем репутационный ущерб. Страйп-то безусловно всех палит, просто по принципу устройства.
Но даже если и не получится что-то предложить, выбирая между "гарантированно подставить жертвователей под статью УК" и "не получить денег", я бы выбрал второе. А в первом случае явно озвучил бы риски.
tyomitch
27.08.2021 13:59+1Позиция Волкова: «Если у вас почта на mail.ru и/или вы регистрировались на УГ без VPN, то ФСБ уже и так в курсе, и им незачем воровать базу УГ. (Этот случай покрывает подавляющее большинство зарегистрировавшихся.) Если же вы криптоманьяк и регистрировались на УГ через protonmail и VPN, то утечка вашего емейла ничего ФСБ не даст.» Тех, для кого утечка их емейла повышает их риски, по его словам, крайне мало. И самое главное — если им объявить об утечке, то что они смогут предпринять? Срочно эмигрировать? Попасть на карандаш к чекистам — это не утёкший пароль, который можно поменять, и на этом инцидент исчерпан.
Это не отменяет того, что защита данных нужна, а реакция Волкова на претензии к ней непрофессиональная и отталкивающая. Но это объясняет, почему Волков не считает эти претензии важной темой для обсуждения за месяц до голосования.
Я тоже хотел бы увидеть аудит аксесс-логов и подробную статью о том, какие меры приняты, чтобы такие инциденты не повторялись. Возможно, после голосования всё это будет опубликовано. Но в ближайший месяц, очевидно, у Волкова есть задачи намного приоритетнее.
areht
28.08.2021 06:17+1Можно что угодно предполагать, можно рассуждать что есть практики лучше, но это по сути не меняет ничего.
Да и ФБК - не крупная западная компания. Так что рассуждения про "должен" без предоставления чека не рассматриваю (а тот же Здольников за подобное просто банит)
symbix
28.08.2021 07:27-1Да, конечно, никто никому ничего тут не должен, это с моей стороны была риторика в ответ на такое же «должен», подразумевалось, конечно, «я считаю, что было бы правильно так сделать».
По сути же меня крайне расстраивает позиция Волкова в той части, что он ради достижения целей ФБК считает допустимым в своих публичных обращениях, призывая сторонников к определенным действиям, существенно занизить риски. И если с емейлами ещё не так страшно (уволят в худшем случае), то с «анонимностью» платежей через Страйп это просто откровенная подстава под уголовное дело. И вот это у меня вообще в голове не укладывается. Когда через полгода или год заведут очередное показательное уголовное дело о финансировании «экстремизма» на основании этих самых платежей, и посадят на годы людей, которые ему поверили про ‘анонимность’, ему как, нормально будет спаться по ночам?
Merkat0r
28.08.2021 08:03-2ему как, нормально будет спаться по ночам?
Да преспокойно будет спать xDDD
symbix
28.08.2021 08:25-1Вот, да, риск появления таких, как вы, каждый раз заставляет меня задумываться, а стоит ли вообще в публичном месте критиковать ФБК.
В данном случае все же стоит. Но вот вы идите нафиг)
areht
28.08.2021 11:33+1призывая сторонников к определенным действиям, существенно занизить риски
Ему о рисках совбез не отчитывается, а заниматься политикой у нас в принципе может только большой оптимист. Так что тут только понять и простить.
Лично мне сложно оценить на сколько технические ID можно пришить к ФБК, если страйп официально бенефициара не сдаст.
А показательное уголовное дело заведут независимо от наличия страйпа. И скажут что слил ФБК. И будут специально обученные мальчики с фотошопами бегать по комментариям. А дело будет секретным и мы никогда не узнаем что человек сам рассказал в соцсети, что переводил. Или через ютуб донатил. Вам легче будет спать, если человека посадят за Твиттер, а не за страйп?
symbix
28.08.2021 12:08-1Лично мне сложно оценить на сколько технические ID можно пришить к ФБК, если страйп официально бенефициара не сдаст.
Вообще легко, выписка из банка по заяве товарища майора и заключение эксперта.
А показательное уголовное дело заведут независимо от наличия страйпа.
Да, но при наличии Страйпа заведут дело по нему. Зачем фальсифицировать доказательства, если и без фальсификации — вот они? Тут же нет задачи обвинить конкретного человека (если такая будет, что угодно нарисуют). И, конечно же, озвучат это максимально публично, какой-нибудь Соловьев в прайм-тайм всем расскажет, что враги народа финансируют госдеповских экстремистов через американский Страйп.
И кто после этого рискнет хоть копейку задонатить?
Не говоря уж о том, что конкретно человеку, который поверил в сказки про анонимность, как-то без разницы будет, когда его посадят, что там зависимо или независимо. И никаких шансов на условно-оправдательный приговор (типа штрафа или условки), чего хоть и редко, но можно добиться при фальсифицированных доказательствах, у него тут уже не будет.
areht
28.08.2021 13:11заключение эксперта.
Эксперт по циферкам получателя узнает? Тут экстрасенс скорее нужен. Нет, могут, конечно, но пока вроде не практикуется.
Зачем фальсифицировать доказательства, если и без фальсификации — вот они?
Вот и я говорю, непонятные циферки - это не самый простой путь.
Всегда и так есть кого посадить. Вон, говорят, есть люди готовые написать заявление о пропаже персональных данных, которые они на экстремистском сайте оставили. Считай явка с повинной.
Конкретному человеку, конечно, обидно будет, но это все ещё виктимблейминг "что ж ты говоришь можно по улицам без охраны ходить, когда там маньяки. Пусть соседка ходить".
Я, кстати, думаю будут максимум условки. Даже ФБК пока не сажают дальше домашнего ареста. Ну или крупных донатеров будут ловить, что бы "8 лет за 100 рублей" позорно не выглядело. А то митинги ещё будут...
symbix
28.08.2021 13:14-1Эксперт по циферкам получателя узнает?
Зачем?
Товарищ майор делает донат, пишет заяву в банк, банк выдает все транзакции с такими же merchant ID/terminal ID, эксперт пишет заключение, что это однозначно идентифицирует донат ФБК.Я, кстати, думаю будут максимум условки.
Надеюсь. Но, боюсь, таки будет очередное "болотное дело" :(
Suvitruf
25.08.2021 06:401. Писать на почту.
2. Что они подразумевают под «серьёзными техническими ошибками» не ясно.
3. Не публично на каком-нить hackerone.
Верится с трудом, учитывая, как прошлые репорты игнорили.
Alexufo
25.08.2021 04:37ссылку кидали? все ссылки ютуб шадоубанит
Barma2012
25.08.2021 22:02-1Да, ссылку давал. Не знал, что такое затирается…
А как же тогда надо было указать на статью?Alexufo
26.08.2021 03:21Это запрещено правилами. Никак. Шадоубанит Ютуб .Причем второй раз если перепишите ее против регулярки, она все равно уже не пойдет. Очень хитрый спам фильтр.
Создайте комментарий, вставьте ссылку, нажмите редактировать и ждите, получите нетворк эрор.
Только образно чтобы загуглить можно было
Galperin_Mark
24.08.2021 19:01-2Видел утверждение о том, зачем раскрывать все факты уязвимости? Мое мнение следующее: об уязвимостях наверняка знают (и используют их) оппоненты Умного голосования. Обнажая проблему мы даем разработчикам возможность исправить ошибки. И этот вопрос переходит уже в плоскость обратной связи. Если она есть – хорошо. Если нет, то уязвимости перейдут в другие проекты уважаемого проекта.
multiadmin
24.08.2021 21:59-3Может я чего-то не понял в УГ, но это же натуральный бот-нет из живых людей.
Одни, идеологические, голосуют. Другие зарабатывают на этом себе на замки в Люксембургах.
Ничего личного, просто бизнес.
(ответ на сообщение ниже для @kogemrka) КПРФ -- давно уже Коммерческая Партия Российской Федерации и к коммунистам не имеющая отношение. Да, платят.
kogemrka
24.08.2021 22:05Вы таки думаете, что за голоса за КПРФ платят замками в Люксембургах? Неплохо коммунисты при Путине поднялись, однако.
kogemrka
24.08.2021 22:24+1Отлично, "Коммерческая Партия Российской Федерации", звучит как что-то, что понравилось бы либертрианцам. Замечательно, что представители такого у нас есть и даже имеют места в парламенте, но не сильно много.
donkeystep
24.08.2021 23:26-2Это как солнечный свет блокировать и уязвимости в нём искать.
Вредно и тщетно :-)
Но работа проделана, спасибо за неё.
YuryB
25.08.2021 02:09-2решето. из веба не может быть доступно ничего кроме фронтенда. ни ваш стейджинг, ни бд, я уже не говорю о включенном дебаге. да, так не удобно, иногда нужно подумать где могло сломаться, но вот так вот выкладывать всё на блюдечке это срам.
не хочу разводить политоту, но со своего опыта вижу, что с такой верхушкой полимеры в конечном итоге будут утеряны
Hector76
25.08.2021 07:40-5Полимеры были утеряны когда в 2019 не пустили Соболь и остальную бригаду на выборы (то есть на низшую ступень власти и легализации в политической системе). После чего команда ФБК перешла к плану "Б" - хотя бы поиметь гешефт на включении в список УГ разных претендентов на эти хлебные места.
А громкие слова... ну Мавроди тоже их много произносил, в 2011-м.
Реальная оппозиция, если бы она в России существовала, просто констатировала бы факт - выборов нет и при Путине уже никогда не будет, призвала бы к тотальному бойкоту. Но разве на этом можно заработать хоть что-то кроме срока?
YuryB
25.08.2021 11:25-2без разницы кого куда не пустили, нужно уметь выкручиваться, план Б вполне нормальный как ответка. но похоже без Главного ничего работать не может, а второй человек лично у меня при первом же виде вызывает отторжение. ну и про "позитивную повестку дня" вспоминать не приятно, но надо, главный канал по сути из себя представляет одни журналистские расследования, а про себя и своё видение политики там никогда ничего не было, ну кроме "шоб не воровали". ну т.е. почему за одних голосовать нельзя я понял, но почему из других я должен выбрать тебя я не очень понимаю :)
про бойкот забудьте, это лузерская стратегия для тех у кого реальных 5% рейтинга и меньше, так сказать возможность создать вокруг себя больше шума, чем есть на самом деле, поспикулировав цифрами явки и не скромно приписав себе ещё 10% сверху. Правда фактически это мало что даст кроме чувства собственной гордости и взносов от доверчивых :) во всех остальных случаях (пока в бюллетене не 1 вариант) нужно идти и голосовать консолидировано. Так как любой бойкот выборов это добровольный сход с дистанции, за который соперники вам будут безмерно благодарны :) ну а вам это сулит только политическое забвение. не то вы бойкотировать собрались короче :) а тот кто такую идею продвигает или ничего не понимает в полит технологиях или устал от политики. на РБ посмотрите, выборы нарисовали как раньше, советчиков бойкота было масса, старая оппозиция только и делала, что рассказывала всем почему ни у кого ничего не получится, но люди пришли на выборы. теперь человек у которого 80% сходит с ума, громит что может, пытается организовать транзит и досрочные выборы, при этом его легитимность около нуля, а свои чиновники слушают без интереса.
Hector76
25.08.2021 12:46-2Да сколько же можно повторять эту чушь про то что "бойкот ничего не даст"?
Что именно он не даст? Голосов на безвыборах имитационной оппозиции? Ну да, не даст, он и не для этого предназначен, чтобы заботиться о том, сможет ли оппортунист и коллаборационист вновь усесться на 5 лет в мягкое кресло депутата и обслуживать диктаторский режим.
Бойкот избирательной системы вообще, не признание выборов и легитимности власти диктатора, так же как и его марионеточной оппозиции, подразумевает и не хождение на выборы в том числе. И требование безусловного ухода, формирования коалиционного правительства народного доверия. Понятно, что это путь войны, а не мира. Но без войны эти точно не уйдут. Вам пора это понять уже. Или вы в каком-то альтернативном мире живете, где можно победить диктатуру на выборах? "политтехнологии", блин... насмешили ежа голой жопой.
А Беларусь показала только одно (в очередной раз, тем кто до сих пор так и не понял азов) - диктатура на выборах не проигрывает. Что-то, кстати, Украину вы не вспоминаете. Показываете на неудачный пример и говорите - "вот так надо", удачный, то как на самом деле надо, вы упорно не замечаете. Я вообще безотносительно политических симпатий/антипатий говорю, речь сугубо о способах борьбы за власть.
YuryB
25.08.2021 15:39-1Я из Беларуси и вижу очевидно больше вашего, все прошлые выборы особенно в 2015 как раз проходили под лозунгом бойкота и этот бойкот не дал вообще ничего, не случилось ни войны, ни коалиционного правительство народного доверия и т.д., а усатый провёл выборы на таком релаксе, что даже не пришлось предвыборную компанию вести (а в Минске на моём участке у него реальных под 100% голосов было, есть свой человек в комиссии, в этом году кстати меньше 50-и). Оценивайте ситуацию реально, кто и сколько готов пойти по вашему пути вот так сразу? И почему вы решили, что за Путина меньшинство кстати? Я вот например сколько интервью с простыми гражданами не видел - убеждался только в обратном. Так что вы слишком лихо взять хотите.
И чем пример Беларуси не удачный? Ничего не закончилось, но уже ясно, что саше придётся уйти добровольно не смотря на все свои душевные муки, что было невозможно представить в начале 2020. И всё, что для этого потребовалось - это просто сходить на избирательный участок. И кстати кого бы он переходного после себя не назначил (а он то хитрить будет) - будет 100% лучше чем с ним. Проблема бойкота в том, что его трудно измерить: вы не идёте на избирательный участок, не стоите там в очереди, не видите сотен других людей, члены избирательной комиссии тоже не видят голосов против, а практика показала, что далеко не все готовы рисовать протоколы, хотя казало бы 26 лет у власти и всё было схвачено от и до. Всё это запускает процессы в обществе, реальную дегельминтизацию среди населения, среди милиции, среди гос служащих. Никакой бойкот ничего подобного сделать не может, просто потому, что каждый сидит на даче или дома и всё заканчивается на уровне простых разговоров, т.к. ваша легитимность будет на уровне гипотезы.
Кстати на Афганистан посмотрите, там прошлые выборы бойкотировались, и явку не рисовали (чего невозможно представить у нас) - всё равно президент был избран, а если бы войска США не покинули страну, то всё так бы и осталось и ещё не известно как бы себя повело население на следующих выборах.
А как на Украине мне не надо, да и эта соседняя страна всегда жила по иным общественным порядкам: раздолбайство, олигархия, группы влияния. Майдан вообще странная вещь, если оценивать со стороны: на площадке в Киеве пару месяцев милиция дралась с митингующими, потом их расстреляла. При этом вся остальная страна жила как ни в чём не бывало, а будущий президент по сути и носа своего не показывал. В общем это пример с совершенно другими вводными и если уж вспоминать Майдан, то скорее первый.
Hector76
25.08.2021 16:23-2В Беларуси надо было выходить на улицы не когда вы проиграли, а когда вас лишили выбора. А не бежать голосовать за агента КГБ, который просто слился, для чего и был предназначен. Вас просто развели.
А сейчас для вас все закончилось, уже насовсем. После Лукашенко будет Путин, вот и всё.
Смысла бойкота вы так и не поняли. Бойкот не приводит к нелегитимности, наоборот - он является ее следствием. Когда на выборы никто не идет (осознанно, а не из лени), диктатуре уже поздно пить боржоми.
YuryB
25.08.2021 17:49-1за какого агента КГБ мы голосовали? я чёт не понял
ну улицы выходили до выборов, вы и тут напутали или не следили совсем, причём легально - стали в очередь на часы, чтобы отдать голос на выдвижение альтернативных кандидатов. от этого кстати так бомбануло у луки, что он аж начал пытаться такой же театр устроить, хотя до этого собирал подписи по сути в закрытом режиме. люди выходили когда не допустили главного соперника - Бабарико и уже тогда людей ловили и кстати в первый раз начали драться с омоном, выходили и становились в огромную очередь в цик,чтобы подать жалобу. До выборов город уже гудел гудками машин, активности хватало, огромный предвыборный митинг, после которого власть запретила проводить следующий запланированный, вы полностью не правы
Путина тут не будет, это тоже заблуждение, это большая тема и расписывать её нет желания. Если вкратце то, РФ лишь добивается возможности влияния с минимальными затратами, закрытием всех "схематозов" и контрабанды, которой лука занялся с 95г сразу после отмены пограничного контроля, это кстати его основной источник денег. Все действия РФ за 10 последних лет говорят о том, что присоединения не будет, нет достаточного влияния. А вот про российская партия вполне, которая будет иметь решающие 15% в парламенте.
В общем вы пишете как рентв, но наоборот, типа Сотника :)
Бойкот не приводит к нелегитимности, наоборот - он является ее следствием. Когда на выборы никто не идетну и как вы собираетесь добиться нелегитимности власти в глазах населения? я вот считаю, что лучше чем выборы способа нет, а рассказы кто сколько украл и кого не пустили этому никак не способствуют. оценивайте реально возможности и ситуацию в которой находитесь. бойкот тут слив и подарок в пользу власти. вот например Хабаровск, тоже ведь мог обидеться и не прийти на выборы, типа пенсии подняли, на выборах мухлевали, нелегитимны, будем вас так воспринимать теперь. и чем бы всё закончилось? так что бойкот как инструмент это бред
Hector76
26.08.2021 00:32-2за какого агента КГБ мы голосовали? я чёт не понял
За Тихановскую. Она и формально являлась провластным кандидатом, просто потому что ее допустили к выборам, и фактически отработала на слив. Проиграла и уехала. Разве нет?
ну улицы выходили до выборов, вы и тут напутали или не следили совсем, причём легально - стали в очередь на часы
Вы упорно не врубаетесь что действовать легально когда против вас уже действуют нелегально - верх глупости. Или трусости. В данном случае - и то и то верно. Вы не собирались побеждать. Это как в школе хулиган бьет лоха. Хулиган ударил. Лох ответил. Но специально слабо. Для вида. Типа, он не лох. Хулиган ударил еще раз, сильнее. Лох ответил, но еще слабее. Хулиган показывает готовность к эскалации. Лох показывает неготовность.
Лукашенко - хулиган, белорусская оппозиция - лох. Итог предсказуем. И это справедливо. Не можешь взять власть - ты ее не достоин. Демократию вам никто не подарит, ее надо заслужить. В Европе войны велись за права людей. С чего вы взяли что вам кто-то их подарит? Это было бы даже неверно с эволюционной точки зрения.
после которого власть запретила проводить следующий запланированный
Барана ведут на бойню. Баран понимает, и пытается отвернуть в сторону. Его в бочину лупят палкой, и говорят - иди куда вЕлено. Барану страшно, но удар палкой болезненный. Баран думает "ну ладно, дойдем а там уж посмотрим, че ща рыпаться". Итог, опять-таки, предсказуемый.
Вы и не хотели побеждать. Позорные эпизоды со сдачей "провокаторов" ментам, публичное оправдание трусости Протосевича (потому что он воплощение всех ваших качеств), извинения на камеру....
Вы получили то чего заслужили. Это справедливо.
ну и как вы собираетесь добиться нелегитимности власти в глазах населения? я вот считаю, что лучше чем выборы способа нет
Легальность и легитимность - похожие слова, так же как филателист и сифилитик в известном анекдоте. Но значение у них отличается примерно на столько же.
Можно в Википедии посмотреть.
Hector76
26.08.2021 00:39-1вот например Хабаровск
Сравнение с Хабаровском не имеет большого смысла, там был 1 регион, без шансов совершенно, если только не рассматривать вариант выхода из РФ, что по множеству причин неприемлемо.
YuryB
26.08.2021 15:48-1про КГБ жуткие глупости, в остальном я понимаю что вы хотите сказать, но нет, вы не достаточно хорошо знаете ситуацию и не понимаете чем сегодняшняя отличается от например в 2010. по ощущениями она плохая, но это марафон. всё же Беларусь европейская страна, загран паспортов у нас нет кстати, по соседним странам народ поездил. запасов нефти и газа тоже нет, учитывая беспрецедентное внешнее финансовое давлении и усталость общества от усатого ситуация разрешится. на самом деле даже полу результат будет успехом, т.к. во власти все пониманиют что нужно делать и как менять страну, но вот главный у нас работает коммунистическим тормозом, он по сути уник во всей гос системе, но именно он всеми руководит.
ну а если не разрешится, то за ещё 10 потерянных лет будет примерно как описываете вы, не красиво и не аккуратно. но опять, только с треском проигранные выборы могут запустить процесс, а не какие-то общие ощущения и именно выборы дают людям с властными полномочиями моральное право и смелость действовать и выступать.
Легальность и легитимностьэто я тоже прекрасно понимаю.
Hector76
26.08.2021 16:45-1это я тоже прекрасно понимаю
понимание бывает разной степени. можно вроде как понимать, а можно по-настоящему. когда наступает настоящее понимание, меняется мышление. ну это как понимание ООП. одно дело - повторять на экзамене заученные определения полиморфизма, инкапсуляции и наследования, а другое дело - мыслить этими понятиями, даже не задумываясь о терминах.
но термины важны. и тут тоже есть свои фундаментальные труды и те кто это все открыл и написал. например, Джин Шарп.
http://files.kob.su/books/sharp_ot_diktaturyi_k_demokratii.pdf
areht
25.08.2021 14:04+1почему из других я должен выбрать тебя я не очень понимаю :)
Задавать этот вопрос тому, кого нет в бюллетене... Как минимум, несвоевременно.
это лузерская стратегия для тех у кого реальных 5% рейтинга
На выборах мэра с 2% начинал. Потом "приписал себе" 25% сверху. Тут норм, а 10% приписать - много?
нужно идти и голосовать консолидировано
Второй тур не зависит от консолидации.
любой бойкот выборов это добровольный сход с дистанции, за который соперники вам будут безмерно благодарны
(Называть недопуск добровольным сходим с дистанции - это странно. )
А за консолидированное голосование за них - не будут?
так сказать возможность создать вокруг себя больше шума
ну а вам это сулит только политическое забвение.
У вас противоречащие параграфы
tyomitch
25.08.2021 14:37+1Задавать этот вопрос тому, кого нет в бюллетене… Как минимум, несвоевременно.
Добавлю, что когда Навальный был в бюллетене (2013) или надеялся туда попасть (2018), то ролики «про себя и своё видение политики» были в изобилии.YuryB
25.08.2021 16:09-2это должно быть на главном канале, любой его сторонник должен знать что он собирается делать и как управлять страной, кроме борьбы с коррупцией. я такого контента на его канале не помню (а это как раз-таки важно), люди заходят к нему только посмотреть кто сколько украл. в таком случаи я не понимаю почему я должен на выборах во власть голосовать за Н, а не за КПРФ например. Это как голосовать за Адвоката Егорова только потому, что он круто на своём канале хаты строит, как бы тоже молодец, способный, но это не то, что он будет делать 100% времени в кресле президента.
Более того нужно учитывать специфику, в РФ коррупция и воровство не является смертельным грехом с точки зрения народа. А с 14г власть не "общество потребления" продаёт избирателям, а "сверх державу", на этом фоне лозунги "вор" смотрятся смешно
tyomitch
25.08.2021 16:24+2Именно на главном канале www.youtube.com/c/АлексейНавальный/videos эти ролики и были:
www.youtube.com/watch?v=a2psViamdq8
www.youtube.com/watch?v=ilUFnUMlH_g
www.youtube.com/watch?v=YsvxKL2jg5k
…
Если вы их не помните, то это ваша проблема, а не проблема Навального и его канала.YuryB
25.08.2021 17:10-2ок, были, но повторяюсь " я такого контента на его канале не помню (а это как раз-таки важно) ", и не смотря на то, что я канал посматривал - такого не вспомнил. 3 штуки, маловато.
Если вы их не помните, то это ваша проблема, а не проблема Навального и его канала.это ж он на выборах участвовать хочет я не я, не могу понять какая тут у меня проблема, сейчас он журналист и это с моей точки зрения, человека, который этим более-менее интересуется. а в глазах простого люда он вообще баламут и ни разу не политик. и это его проблема, возможно фатальная. брал бы пример с Немцова хотя бы, который избирался за мкадом.
tyomitch
25.08.2021 21:35+2это ж он на выборах участвовать хочет я не я, не могу понять какая тут у меня проблема, сейчас он журналист
Сейчас он заключённый, и дай бог что доживёт до выборов, в которых смог бы поучаствовать.
Конечно же, самая актуальная задача для него сейчас — это рассказывать вам о своих политических взглядах?YuryB
25.08.2021 23:27-2сейчас можно и не рассказывать, это делать уже поздно, я вам столько объяснял, а вы так и не поняли
tyomitch
26.08.2021 11:21+1Если бы Навальный раньше больше рассказывал о своих политических взглядах, то победил бы на выборах, в которых даже не участвовал, и в тюрьму бы не попал, так что ли?
YuryB
26.08.2021 15:28-2я вам и выше писал и в соседнем, а вы всё никак не поймёте - простому люду плевать на него, у пути 50+ есть, а у него нет. и одними журналистскими расследованиями и криками "вор" эти 50 не набрать. нужно понимать страну и народ, который в ней живёт, а у вас с другим пареньком какой-то политический инфантилизм, думаете, что перед вами все двери раскрыть должны. видете, что не раскрывают - ну так действуйте иначе. и на конкретный вопрос про соседей и родителей вы отвечать не стали. ещё раз, у него должна быть ШИРОКАЯ поддержка, и знать его должны как политика, который защищает интересы людей, а сейчас у него имидж борца и расследователя. путин абсолютно прав, когда говорит, что у него нет позитивной повестки дня, ему дали очень ценный совет, а он его не понял, начал доказывать обратное, а я расшифрую что хотели сказать: "в глазах широкой общественности у него нет позитивной повестки дня", тех кто не смотрит все его выпуски со всех его каналов. да, вы знаете про росяму, но бабушка не знает, простой мужик в Хабаровске готов выйти на площадь за Фургала, а за Н не подумает, т.к. в его представлении он баламут.
YuryB
25.08.2021 15:56-2вы оставили кучу мелких замечаний без какого-либо смысла.
Задавать этот вопрос тому, кого нет в бюллетене... Как минимум, несвоевременно.а как одно может вообще может влиять на другое? типа когда добавят - вот тогда и придумаем? ну так это и есть лучшее подтверждение тезиса, что пока они глобально лишь журналисты.
Второй тур не зависит от консолидации.во втором туре даже консолидировать никого специально не надо, это почти всегда проигрыш действующей власти, надо бы хотя бы азы знать.
Называть недопуск добровольным сходим с дистанции - это странно.если после него вы решили бойкотировать - то это добровольный сход с дистанции под внешним давлением.
У вас противоречащие параграфыподумайте лучше
ЗЫ: ладно, завязываю, всем спасибо
tyomitch
25.08.2021 16:34+2а как одно может вообще может влиять на другое? типа когда добавят — вот тогда и придумаем?
Вы всерьёз спрашиваете «почему Навальный не убеждает голосовать за себя на выборах, в которых он не участвует»?!YuryB
25.08.2021 17:56-2да, если он участвует в политическом процессе, то должен чётко обозначить кто такой и за что. а пока всё что о нём может вспомнить обыватель это 1) расследования 2) Крым - не бутерброд 3) националистическая активность в начале нулевых вместе с Прилепиным, ну и попытка стать мэром. С такой характеристикой всем будет пофиг, ибо реальной важности он ни для кого представлять не может, т.к. он не стремиться защищать интересы людей, всё что он делает - это ведёт войну против одной партии, а косвенный профит для народа тут слабо котируется в политическом плане.
areht
25.08.2021 18:01+1С такой характеристикой всем будет пофиг
У вас какой-то свой мир. А у нас крупнейшие митинги за 20+ лет.
YuryB
25.08.2021 18:33-2у меня мир обычный, я смотрю, что говорят обычные люди на камеру и меня это не радует. митинги хорошо, но для победы этого мало. то, что у Н есть 50% на теоретических выборах я тоже сомневаюсь. Нужно стремиться решать проблемы людей, в этом плане даже Лядов больше делает, тогда и поддержка будет иного рода. Нужно к ярлыку "борец с коррупцией" добавить "борец за людей". У него ведь в фонде хватало денег, можно было бы помочь людям из разных частей решить их проблемы хотя бы советом или через юристов или инициативы. Так бы он на много сильнее зацепился.
areht
25.08.2021 20:06Кажется вы первый кто предлагает Лядова в президенты. Видимо это так не работает и у остальных требования к президенту несколько другие, и из Навального сделать Лядова нужно только вам. Свой мир, я же говорю.
Да и строителей лавочек перед выборами на чужие деньги тут хватает
tyomitch
25.08.2021 21:39+2можно было бы помочь людям из разных частей решить их проблемы хотя бы советом или через юристов или инициативы.
РосЖКХ и РосЯму от Навального вы так же не заметили, как и ролики об его политической позиции?YuryB
25.08.2021 23:32-3ок, вы где живёте? столица или провинция? вот пойдите и спросите для начала своих родителей кто такой Н, слышали ли они про РосЖКХ и РосЯму. Потом соседей своих спросите. Ок, может я ошибаюсь, я то не в России живу, может эти проекты работают, все знают, а расследования это типа как вишенка на торте, но что-то мне кажется всё наоборот.
symbix
26.08.2021 07:34+1РосЖКХ оказалися удивительно хорошим пинком в сторону правительства Москвы, и в результате появился gorod.mos.ru (а за ним и другие города последовали, ведь все смотрят на Москву). При этом РосЖКХ полезен и по сей день: заявки на gorod.mos.ru не имеют статуса официального обращения, и если речь не идет о совсем простых вещах типа "поменять лампочку", часто исполняются формально и халтурно, и тут росжкхшные шаблоны обращений в ту же Жилинспекцию и по сей день полезны.
areht
25.08.2021 16:53ну так это и есть лучшее подтверждение тезиса, что пока они глобально лишь журналисты.
А что это меняет? Президентом становятся после выборов, а не до. У Зеленского хоть спроси.
во втором туре даже консолидировать никого специально не надо, это почти всегда проигрыш действующей власти, надо бы хотя бы азы знать.
Сначала что про консолидацию пробухтеть и переобуться? Занятно.
добровольный сход с дистанции под внешним давлением
Потрясающе.
YuryB
25.08.2021 18:03-2Занятно. Потрясающе.смешно наблюдать, как вы пытаетесь умничать.
У Зеленского хоть спроси.это просто порвало, какая оказывается у людей память короткая. ну напрягись пожалуйста, давай подсказку дам: слово "сериал"
ладно, спишем на то, что вы из другой страны.
areht
25.08.2021 19:01Политики - кто снимаются в сериалах? Потрясающе.
YuryB
25.08.2021 23:42-2Как ваша болезнь называется, когда есть непреодолимая тяга ставить в конце высказываний слова типа "потрясающе", "занятно" и т.д.? это было бы уместно, если бы вы меня например на каком-нибудь противоречии поймали, а так не уместно совсем.
Политики - кто снимаются в сериалах?ладно, на этом ставим точку, у вас похоже лёгкая дебильность, писать можете, но нужно всё разжёвывать. попросите кого-нибудь другого, мне просто это не интересно больше. даже про Лядова пример не всосали, а по-своему переварили и выплюнули, что-то не так у вас с мышлением короче, это плохо
Galperin_Mark
25.08.2021 10:09+2Команда Навального отреагировала правильно на неоднократные указания на уязвимости и запускает bounty-систему:
Команда НавальногоПомогите нам найти ошибки!
Среди наших сторонников много классных IT-специалистов. Мы это знаем, потому что они сообщают нам об ошибках в наших информационных системах. Кто-то пишет о них на наш почтовый ящик, кто-то делает это публично.
Мы благодарны каждому, кто помогает сделать наши сервисы лучше. Хотя публичное освещение уязвимостей менее безопасно, ведь получается, что злоумышленники, работающие на Кремль, узнают об уязвимости вместе с нами.
Благодаря в том числе поддержке сообщества за всё время у нас была только одна серьёзная утечка данных — их украл бывший сотрудник. Все наши уязвимости мы успеваем вовремя закрывать.
Но сейчас защищаться от атак нам стало ещё сложнее. Наша инфраструктура расширяется, а содержать большой штат IT-специалистов для тестирования сервисов слишком дорого. Поэтому мы рассчитываем на вашу помощь и даже готовы заплатить за это деньги!
Мы запускаем bounty-систему — это способ поощрения IT-специалистов за сообщения о багах в наших проектах.
Если вы обнаружили уязвимость в каких-то из наших сайтов/приложений/ботов и т.д., напишите об этом на better_it@navalny.com. Мы готовы выплатить вознаграждение тем, кто поможет нам исправить серьёзные технические ошибки. Так вы станете участником большого проекта по защите наших данных.
Спасибо за вашу постоянную помощь и поддержку!
Galperin_Mark
25.08.2021 14:28-1Считаю, что данная статья достойна поощрения со стороны Команды Навального. Возможно даже Леонид Волков откликнется и прокомментирует ситуацию.
Kolegg
26.08.2021 09:20+1На месте УГ я бы сделал из текущего сайта глобальный ханипот, ибо очевидно, что его будут ломать. А за 3 дня до выборов просто выкатил новую версию или вообще плейнтекстом распространил список вида номер участка-кандидат.
AlexP11223
26.08.2021 09:24За 3 дня до выборов туда зайдут только пользователи впн )
И номер участка тоже далеко не все знают.
Kolegg
29.08.2021 01:06Они и собирались емнип за 3 дня разместить, бо это срок, после которого нельзя снять кандидата по текущему законодательству
AlexP11223
29.08.2021 10:37Так основным способом доставки инфы предполагались почта и приложение. Сайт заблокируют, а впн мало кто пользуется.
DevsStorm
28.08.2021 04:11+1«Герой нужен народу не для того, чтобы ему поклоняться, а для того, чтобы все на него валить»
itsoft
На уроке Вовочка спрашивает учительницу:
— Марь Иванна, назовите слово из шести букв, которым называют полный крах и провал, вторая буква «и»?
Учительница:
— Вон из класса! Вовочка (выходя):
— Фиаско, Марь Иванна, фиаско.
itsoft
Леониду Волкову похоже опять объяснительную писать про заботу о безопасности.
ifap
Да он кратенько: все кругом мамкины хакеры, один я — в белом жабо.
vmkazakoff
Любопытная мысль: а если сайт настолько сильно криво сделал и уже есть следы эксплуатации уязвимостей, то точно ли вообще те пуши и письма, которые обещают, пришлет именно администрация?
Ну то есть если я узнаю что телефон жены кто-то украл, и тут мне жена напишет просьбу перевести денег на незнакомый номер, то я напрягусь. А тут получается вообще дичь - кто мне что пришлет толком уже не и не понять. Кто и как давно пасётся на этих ресурсах больше никогда не узнать. А главное - будут тысячи людей которые выполнят любой приказ из полученного уведомления.
Мне кажется в сервисе есть философская ошибка, действительно. А технические косяки это уже мелочи реализации.
Mike_soft
Философская ошибка в том, что такой сервис понадобился. Вот в чем настоящая беда. Только это ошибка не сайта, и не самой идеи — а текущей политической системы. Когда вместо того, чтоб голосовать за того, кто больше всего отвечает твоим внутреним требованиям (и с поправкой на то, что «щелкоперы» раскопают о скелетах...) — нужен сайт, на котором есть рекомендации…
Ну вы их еще в зомби запишите… согласно последнему уголовному делу «Создание… организации, посягающей на личность… граждан»)
vmkazakoff
В том что у нас ошибка самой системы я не спорю. То что другого способа решить пока не предложили - тоже. Это все не отменяет того, что делать такой сайт было ошибкой (пусть и меньшим из всех зол), а ещё и настолько наплевательски относиться к безопасности - вообще полное "фиаско".
По сути, в день голосования могут придти уведомления, которые направят злоумышленники, которые уже внедрились в код на стороне сервера. По сути, если товарищ майор захочет, он может легко отправить пуш с указанием голосовать за нужного власти кандидата. И никак это будет не проверить, т.к. файл на сайте они тоже подменят. Ну и для красоты сделают 5 версий файлов, которые будут все +/- удобны власти и начнут распространять их через месенджеры и соцсети. Все. Путаница гарантирована, куча людей, которых приучили не думать (и сдали это не власть, а уже оппозиция) отдают свой голос за того же, за кого и зрители зомбоящика.
Mike_soft
Ну да, «наплевательское» и «высокомерное» отношение к обнаруженным ошибкам — крайне плохо. И понятно, что сайт делался хуже, чем мог бы. Возможно, был бы я профессионалом в этой области — я бы предложил помощь. Почему это не сделали пентестеры? (не, я понимаю, что это разные задачи, требующие разный уровень компетенций...)
что же касается «кучи людей, которых приучили не думать» — это вы слишком уж плохо думает об оппозиционно настроенных более-менее активных людях (т.е тех, кто не просто «возмущается на кухнях», но хоть как-то пытается реагировать). И многие, несмотря на «рекомендации», проголосуют все равно по своему — не за «самое проходное из дерьма не из ЕР», а на «что-то более-менее отвечающее мировоззрению».
«Могут прийти» и «товарищ майор направит» — имхо, вы слишком высокого мнения о «товарищах майорах». Обрушить, заблокировать,
бюджет попилить— запросто попытаются, а вот подменить — сложновато для них будет… Устроить неразбериху — это да, это можно…pda0
Так что вина ФБК всего лишь в том, что у них обычные сотрудники, а не мега-профи.
ky0
Так вы думаете, что "разворот защищённой конфигурации" - в 2021 году это удел мега-профи, а не простых нормальных админов?
С одной стороны - мне грустно жить в таком мире повсеместной халтуры, с другой - я неожиданно попадаю в число "мегапрофей", и это приятно :)
tbl
Нет времени читать мануалы, прочитал "Getting started with ..." и погнал сервис в прод.
pda0
Да. На основе личного опыта и наблюдений за происходящим. Админы всё-таки не программисты, с софтом они обращаются по инструкциям. А инструкции...
Как часто вы видели, чтобы инструкция по установке чего-то начиналась с вопросов подготовки безопасного окружения, безопасной конфигурации и т.д.?
Ну или до недавнего времени в практически каждой инструкции касающейся установке чего-либо в RedHat, первым пунктом было: Отключите SELinux. Конечно не всё на RedHat ставится и SELinux далеко не панацея, но само отношение отлично видно.
Как любят говорить в таких случаях американцы: В web буква s значит secure.
А насчёт того, что вы - мегапрофи, то расслаблятся не стоит, вам с удовольствием подгадит халтурщик-коллега. Мейнтейнер или админ хостинга/облака...
gecube
увы, да. Все профи уже уехали из РФ или работают на Запад удаленно. И получают соответственно. А у ФБК, видимо, нет настолько хорошего бюджета, чтобы именно, что нанять на фулл-тайм мега-профи. В результате имеем, что имеем
yasha_akimov
А я все никак не могу понять, в чем собственно проблема сделать гитхаб с начинкой сайта, чтобы у всех была возможность смотреть на исходники проекта, править их и улучшать, а потом заливать на прод с другими секретными ключами ?
symbix
Кремлеботы сразу мусорными пуллреквестами все загадят.
euroUK
Если у вас обычные сотрудники, а не мегапрофи - то берите, пожалуйста, последнюю версию мейнстрим фреймворка и хостинговую платформу. Я уверен, разверни они .Net Core проект на Azure то там не было бы таких проблем в принципе, т.к. там уже подумали и выключили то, что должно было быть выключено.
Но это же не модно брать ASP.Net, мы возьмем пайтон и будем пилить модно!
DMGarikk
вы слишком высокого мнения о разработчиках базовых конфигураций у фреймворков, все подобные продукты по умолчанию рассчитаны на людей которые понимают что делают
другое дело что среди разрабов и админов в последние годы какоето дурацкое поветрие 'весь софт модульный, собрал из кирпичиков и в прод'… а за ИБ и прочее никто сильно не думает
отладочный режим в джанге отключен по умолчанию, если запускать его по мануалу и делает это миддл с опытом продакшена. а тут судя по всему набрали джунов после курсов и вперед… и дотнет им бы не помог
euroUK
Уровень для запуска .Net Core WebApi в Azure нужен минимальный, при этом конфигурация которая предлагается прямо из консоли достаточно безопасная, просто так ничего не торчит наружу.
Если не хвататет скила, то нужно брать наиболее распространенное и наименее модульное решение, чтобы было минимум мест где можно накосячить.
DMGarikk
у них postgres торчит голой ж… наружу, а в дефолтном конфиге он закрыт, тоесть его специально открыли, и это кстати не всегда явно для новичка — как это сделать
также включенный debug в продакшене + открытая база, подсказывает нам что у них нет закрытого тестового контура в принципе и они пилят сразу в мастер и дебажат на проде, и если бы они выбрали дотнет, они точно также бы открыли все порты сами и точно также подключили бы дебаг
вопрос тут не в инструментах, а в головах
я работал с людими со схожей точкой зрения, у них везде пароли стояли admin/admin и админские права у всех юзеров… аргументация 'ну а кому мы нужны? будем мы тут еще морочится, если урезать права потом ошибки прут… искать тяжело' (с)
и их крайне тяжело переубедить… типа 'ну мы же не банк какой' (с)
Am0ralist
Тут при работе с мед.приборами первым пунктом: отключите уак, антивирус, мы сейчас начнём в вашей системе такую херню творить, что всё…
а вторым: дайте на такие-то папки в программфалз всем полные права
Какое ИБ с такими заходами, блин…
DMGarikk
самое убойное что я видел и слышал:
софтина — стоит на банкоматах (клиентская часть) и в процессинге (серверная часть)
надо чтото сделать, спрашиваю у разработчиков 'а где пароль?'… а он мне — а ты грепни экзешник по логину 'admin'… эээ делаю grep, а там чёто типа «e#%#$g343t34....admin...qweQWE123....$#Tgrger#$%#H»
… я: это чо у вас типа так захардкожено?? а чо так можно было?
ну они типа 'ну а чё, у нас сертификат pci-dss есть, сбербанк не жалуется, по этому мы ничего меня не будем, дофига железа на этот пароль завязано'… рукалицо… занавес
symbix
Это ж во сколько ящиков водки ассессору им pci-dss обошёлся :)
DMGarikk
помню был мини скандал со скрытием номера карты в way4, когда аудитор нашел способ номер увидеть целиком… но way4 сертифицирован (а раз сертифицирован то там всё ок), а то что операционист может увидеть номер карты — уже ваша проблема..., а не проблема софта (гениально)
Am0ralist
— А как у вас настройки приложения к базе делаются?
— А, там в корне лежит ini, в котором путь до файла базы и логин sysdba/пароль указаны.
благо не банк…
BugM
Вот это как раз нормально.
Нужно же приложению в базу ходить? Для этого плейн текст пароль нужен. Типа прятать его нет смысла. Нормально спрятать его технически невозможно.
До облаков так все и жили. Вот тут файлик в нем все пароли. Вопрос только в пути и правах на путь где этот файлик лежит. Ну и в правах которые имеет юзер с этим паролем. dba там явно не нужно.
MrRitm
А какже .php в котором прописаны все параметры? Ну типа config.php? Его ведь не скачать на сколько я понимаю. Ну и htpasswd\htaccess
BugM
Так это все равно файлик на файловой системе.
При физическом доступе к машине он доступен. В комменте на который я отвечал есть именно физический доступ.
Am0ralist
Гм… как бы сказать, приложение для работы с БД, запускаемое от пользователя «обычный» работает из под пользователя с открытым логином/паролем и вообще dba…
Ну, хм, а может просто нужно как-то правильно пользователей базы использовать там? Да не, фигня какая
Под другим не факт, что заработает. Там все запросы нужно проверять, ага.
MrRitm
Пару лет назад попал в неприятную ситуацию из-за которой плохо спал пока не уволился из конторы. Дело было так: очень самоуверенный и громко кричащий WEB-разработчик потребовал, чтобы сервер был не на стороне в дата-центре, а прямо в офисе и пробросить порты. Потом этот "мессия управляющей выручкой" (это дословная цитата того, как он себя представляет) заявил, что в офисе все г-но и дома ему работается лучше. А значит помимо 80 порта потребовался 3306, 22 и 21. Идею с SSH-ключами отвергли как "у меня тут софтина крутая, она с вашими ключами медленнее работает, а я такой быстрый, что ну нах ваши ключи!" Да, 443 открывать "нельзя ни в коем случае! Мы не будем ставить сертификат и переезжать на HTTPS! Это смена доменного имени и падение выручки и вообще абсолютных путей так много в коде, что на относительные за пару лет только перейдём. Никакого HTTPS!!!111".
Я на тот момент работал в конторе 3 месяца, а тот горлопан почти 1,5 года. Угадайте с 3 раз, кого послушал директор?
Спустя месяц работы сервера во внутреннем периметре с открытыми наружу портами, древним php 5.2, кучей вариантов для инъекций, к нам приходит письмо с предложением оплатить работу пентестера, пока её не оплатили конкуренты. Мне было сказано следующее: "Исправь, докажи, что исправил и молись, чтобы небыло последствий. Будут последствия - мы найдём вариант покрыть убытки за твой счёт". Догадаетесь, через сколько минут мне пришлось обратно порты открывать? До установки сертификатов и обновления php я просто не успел дойти. Зато успел заявление написать :-)
gecube
Какой-то очередной пример компании с "красной" корпоративной культурой
sergeyns
Нет, такой сайт на котором можно прочитать за кого можно проголосовать и кто точно не состоит/не состоял/не имеет отношения к ЕР - нужны. (и голосовать нужно, ибо у нас избирательная система устроена так, что что мандаты пропорциональны числу проголосовавших. И какая-нибудь маленькая республика, в которой голосуют 99.9% процентов населения в результате имеет почти столько же депутатов, как и какой-нибудь регион с разы большим населением, но где ходит голосовать 25%). Но непонятно зачем для этого регистрироваться!
ifap
Кратко это называется «компрометация корневого сертификата» ;)
garehtnineth
Кстати о сертификатах, письма с левого домена то в спам уйдут автоматом
vasyapivo
Леонид Волков же сказал, что все данные они уже слили в нескольких срезах. Зачем напрягаться и делать безопасность?
vnai
Вы не учли, что в своей мести Волкову вы поступили неэтично, прежде всего, не по отношению к нему, а к тысячам пользователей сервиса.
itsoft
Это у вас охота на ведьм. Нет никакой личной мести. Есть желание иметь обратную связь, диалог, терпимость к разным мнениям, чтобы людей не банили.
И да — не врать!
Надежда всегда есть, что выводы будут сделаны.
vnai
Охота на ведьм говорите, а сообщение сквозит обидой. Уведомить команду, насколько понимаю, в этот раз вы даже не пытались.
Этика есть этика, независимо от обстоятельств. То что вы сделали непрофессионально.
Также поступаете со своими партнёрами и их клиентами после того, как разошлись во взглядах, или здесь есть какие-то принципиальные отличия?
AllexIn
Первый раз попытались... были посланы. Второй раз попытались... были посланы.
Третий раз не пытались? Ну и правильно сделали. Если не понимают ничего кроме публичной порки - ССЗБ.
boris768
Не взирая на обстоятельства, отказываться от принципов белого хакинга — недопустимо, сколько раз бы не пытались. Да, не скажу, что мне нравится реакция второй стороны, но действия в посте сейчас можно больше расценивать как саботаж, чем попытку исправить что-то.
AllexIn
Я тоже считаю что здесь нет попытки исправить.
Зато вижу попытку донести до пользователей с кем они имеют дело. И такой подход тоже имеет право на существование.