Pull to refresh

Comments 561

На уроке Вовочка спрашивает учительницу:
— Марь Иванна, назовите слово из шести букв, которым называют полный крах и провал, вторая буква «и»?
Учительница:
— Вон из класса! Вовочка (выходя):
— Фиаско, Марь Иванна, фиаско.

image
Леониду Волкову похоже опять объяснительную писать про заботу о безопасности.
Да он кратенько: все кругом мамкины хакеры, один я — в белом жабо.

Любопытная мысль: а если сайт настолько сильно криво сделал и уже есть следы эксплуатации уязвимостей, то точно ли вообще те пуши и письма, которые обещают, пришлет именно администрация?

Ну то есть если я узнаю что телефон жены кто-то украл, и тут мне жена напишет просьбу перевести денег на незнакомый номер, то я напрягусь. А тут получается вообще дичь - кто мне что пришлет толком уже не и не понять. Кто и как давно пасётся на этих ресурсах больше никогда не узнать. А главное - будут тысячи людей которые выполнят любой приказ из полученного уведомления.

Мне кажется в сервисе есть философская ошибка, действительно. А технические косяки это уже мелочи реализации.

Мне кажется в сервисе есть философская ошибка, действительно. А технические косяки это уже мелочи реализации.

Философская ошибка в том, что такой сервис понадобился. Вот в чем настоящая беда. Только это ошибка не сайта, и не самой идеи — а текущей политической системы. Когда вместо того, чтоб голосовать за того, кто больше всего отвечает твоим внутреним требованиям (и с поправкой на то, что «щелкоперы»​ раскопают о скелетах...) — нужен сайт, на котором есть рекомендации…
будут тысячи людей которые выполнят любой приказ из полученного уведомления
Ну вы их еще в зомби запишите… согласно последнему уголовному делу «Создание… организации, посягающей на личность… граждан»)

В том что у нас ошибка самой системы я не спорю. То что другого способа решить пока не предложили - тоже. Это все не отменяет того, что делать такой сайт было ошибкой (пусть и меньшим из всех зол), а ещё и настолько наплевательски относиться к безопасности - вообще полное "фиаско".

По сути, в день голосования могут придти уведомления, которые направят злоумышленники, которые уже внедрились в код на стороне сервера. По сути, если товарищ майор захочет, он может легко отправить пуш с указанием голосовать за нужного власти кандидата. И никак это будет не проверить, т.к. файл на сайте они тоже подменят. Ну и для красоты сделают 5 версий файлов, которые будут все +/- удобны власти и начнут распространять их через месенджеры и соцсети. Все. Путаница гарантирована, куча людей, которых приучили не думать (и сдали это не власть, а уже оппозиция) отдают свой голос за того же, за кого и зрители зомбоящика.

Ну да, «наплевательское» и «высокомерное» отношение к обнаруженным ошибкам — крайне плохо. И понятно, что сайт делался хуже, чем мог бы. Возможно, был бы я профессионалом в этой области — я бы предложил помощь. Почему это не сделали пентестеры? (не, я понимаю, что это разные задачи, требующие разный уровень компетенций...)
что же касается «кучи людей, которых приучили не думать» — это вы слишком уж плохо думает об оппозиционно настроенных более-менее активных людях (т.е тех, кто не просто «возмущается на кухнях», но хоть как-то пытается реагировать). И многие, несмотря на «рекомендации», проголосуют все равно по своему — не за «самое проходное из дерьма не из ЕР», а на «что-то более-менее отвечающее мировоззрению».
«Могут прийти» и «товарищ майор направит» — имхо, вы слишком высокого мнения о «товарищах майорах». Обрушить, заблокировать, бюджет попилить — запросто попытаются, а вот подменить — сложновато для них будет… Устроить неразбериху — это да, это можно…
настолько наплевательски относиться к безопасности — вообще полное «фиаско».
А это проблема уже современного подхода вообще. Сколько мы уже видели «очаровательных» новостей, как у людей редисы, мемкеши, sql и чего только не торчало открытым беспарольным в сеть. Сейчас проще развернуть незащищённыю конфигурацию, чем защищённую.
Так что вина ФБК всего лишь в том, что у них обычные сотрудники, а не мега-профи.

Так вы думаете, что "разворот защищённой конфигурации" - в 2021 году это удел мега-профи, а не простых нормальных админов?

С одной стороны - мне грустно жить в таком мире повсеместной халтуры, с другой - я неожиданно попадаю в число "мегапрофей", и это приятно :)

Нет времени читать мануалы, прочитал "Getting started with ..." и погнал сервис в прод.

Да. На основе личного опыта и наблюдений за происходящим. Админы всё-таки не программисты, с софтом они обращаются по инструкциям. А инструкции...

Как часто вы видели, чтобы инструкция по установке чего-то начиналась с вопросов подготовки безопасного окружения, безопасной конфигурации и т.д.?

Ну или до недавнего времени в практически каждой инструкции касающейся установке чего-либо в RedHat, первым пунктом было: Отключите SELinux. Конечно не всё на RedHat ставится и SELinux далеко не панацея, но само отношение отлично видно.

Как любят говорить в таких случаях американцы: В web буква s значит secure.

А насчёт того, что вы - мегапрофи, то расслаблятся не стоит, вам с удовольствием подгадит халтурщик-коллега. Мейнтейнер или админ хостинга/облака...

в 2021 году это удел мега-профи, а не простых нормальных админов?

увы, да. Все профи уже уехали из РФ или работают на Запад удаленно. И получают соответственно. А у ФБК, видимо, нет настолько хорошего бюджета, чтобы именно, что нанять на фулл-тайм мега-профи. В результате имеем, что имеем

UFO just landed and posted this here

А я все никак не могу понять, в чем собственно проблема сделать гитхаб с начинкой сайта, чтобы у всех была возможность смотреть на исходники проекта, править их и улучшать, а потом заливать на прод с другими секретными ключами ?

Кремлеботы сразу мусорными пуллреквестами все загадят.

Если у вас обычные сотрудники, а не мегапрофи - то берите, пожалуйста, последнюю версию мейнстрим фреймворка и хостинговую платформу. Я уверен, разверни они .Net Core проект на Azure то там не было бы таких проблем в принципе, т.к. там уже подумали и выключили то, что должно было быть выключено.

Но это же не модно брать ASP.Net, мы возьмем пайтон и будем пилить модно!

вы слишком высокого мнения о разработчиках базовых конфигураций у фреймворков, все подобные продукты по умолчанию рассчитаны на людей которые понимают что делают
другое дело что среди разрабов и админов в последние годы какоето дурацкое поветрие 'весь софт модульный, собрал из кирпичиков и в прод'… а за ИБ и прочее никто сильно не думает

отладочный режим в джанге отключен по умолчанию, если запускать его по мануалу и делает это миддл с опытом продакшена. а тут судя по всему набрали джунов после курсов и вперед… и дотнет им бы не помог

Уровень для запуска .Net Core WebApi в Azure нужен минимальный, при этом конфигурация которая предлагается прямо из консоли достаточно безопасная, просто так ничего не торчит наружу.

Если не хвататет скила, то нужно брать наиболее распространенное и наименее модульное решение, чтобы было минимум мест где можно накосячить.

при этом конфигурация которая предлагается прямо из консоли достаточно безопасная, просто так ничего не торчит наружу.

у них postgres торчит голой ж… наружу, а в дефолтном конфиге он закрыт, тоесть его специально открыли, и это кстати не всегда явно для новичка — как это сделать
также включенный debug в продакшене + открытая база, подсказывает нам что у них нет закрытого тестового контура в принципе и они пилят сразу в мастер и дебажат на проде, и если бы они выбрали дотнет, они точно также бы открыли все порты сами и точно также подключили бы дебаг
вопрос тут не в инструментах, а в головах
я работал с людими со схожей точкой зрения, у них везде пароли стояли admin/admin и админские права у всех юзеров… аргументация 'ну а кому мы нужны? будем мы тут еще морочится, если урезать права потом ошибки прут… искать тяжело' (с)
и их крайне тяжело переубедить… типа 'ну мы же не банк какой' (с)
UFO just landed and posted this here
Какое ИБ с такими заходами, блин…

самое убойное что я видел и слышал:
софтина — стоит на банкоматах (клиентская часть) и в процессинге (серверная часть)
надо чтото сделать, спрашиваю у разработчиков 'а где пароль?'… а он мне — а ты грепни экзешник по логину 'admin'… эээ делаю grep, а там чёто типа «e#%#$g343t34....admin...qweQWE123....$#Tgrger#$%#H»
… я: это чо у вас типа так захардкожено?? а чо так можно было?
ну они типа 'ну а чё, у нас сертификат pci-dss есть, сбербанк не жалуется, по этому мы ничего меня не будем, дофига железа на этот пароль завязано'… рукалицо… занавес

Это ж во сколько ящиков водки ассессору им pci-dss обошёлся :)

помню был мини скандал со скрытием номера карты в way4, когда аудитор нашел способ номер увидеть целиком… но way4 сертифицирован (а раз сертифицирован то там всё ок), а то что операционист может увидеть номер карты — уже ваша проблема..., а не проблема софта (гениально)
UFO just landed and posted this here

Вот это как раз нормально.

Нужно же приложению в базу ходить? Для этого плейн текст пароль нужен. Типа прятать его нет смысла. Нормально спрятать его технически невозможно.

До облаков так все и жили. Вот тут файлик в нем все пароли. Вопрос только в пути и правах на путь где этот файлик лежит. Ну и в правах которые имеет юзер с этим паролем. dba там явно не нужно.

Нормально спрятать его технически невозможно

А какже .php в котором прописаны все параметры? Ну типа config.php? Его ведь не скачать на сколько я понимаю. Ну и htpasswd\htaccess

Так это все равно файлик на файловой системе.

При физическом доступе к машине он доступен. В комменте на который я отвечал есть именно физический доступ.

UFO just landed and posted this here

Пару лет назад попал в неприятную ситуацию из-за которой плохо спал пока не уволился из конторы. Дело было так: очень самоуверенный и громко кричащий WEB-разработчик потребовал, чтобы сервер был не на стороне в дата-центре, а прямо в офисе и пробросить порты. Потом этот "мессия управляющей выручкой" (это дословная цитата того, как он себя представляет) заявил, что в офисе все г-но и дома ему работается лучше. А значит помимо 80 порта потребовался 3306, 22 и 21. Идею с SSH-ключами отвергли как "у меня тут софтина крутая, она с вашими ключами медленнее работает, а я такой быстрый, что ну нах ваши ключи!" Да, 443 открывать "нельзя ни в коем случае! Мы не будем ставить сертификат и переезжать на HTTPS! Это смена доменного имени и падение выручки и вообще абсолютных путей так много в коде, что на относительные за пару лет только перейдём. Никакого HTTPS!!!111".

Я на тот момент работал в конторе 3 месяца, а тот горлопан почти 1,5 года. Угадайте с 3 раз, кого послушал директор?

Спустя месяц работы сервера во внутреннем периметре с открытыми наружу портами, древним php 5.2, кучей вариантов для инъекций, к нам приходит письмо с предложением оплатить работу пентестера, пока её не оплатили конкуренты. Мне было сказано следующее: "Исправь, докажи, что исправил и молись, чтобы небыло последствий. Будут последствия - мы найдём вариант покрыть убытки за твой счёт". Догадаетесь, через сколько минут мне пришлось обратно порты открывать? До установки сертификатов и обновления php я просто не успел дойти. Зато успел заявление написать :-)

Какой-то очередной пример компании с "красной" корпоративной культурой

Нет, такой сайт на котором можно прочитать за кого можно проголосовать и кто точно не состоит/не состоял/не имеет отношения к ЕР - нужны. (и голосовать нужно, ибо у нас избирательная система устроена так, что что мандаты пропорциональны числу проголосовавших. И какая-нибудь маленькая республика, в которой голосуют 99.9% процентов населения в результате имеет почти столько же депутатов, как и какой-нибудь регион с разы большим населением, но где ходит голосовать 25%). Но непонятно зачем для этого регистрироваться!

Кратко это называется «компрометация корневого сертификата» ;)

Кстати о сертификатах, письма с левого домена то в спам уйдут автоматом

Леонид Волков же сказал, что все данные они уже слили в нескольких срезах. Зачем напрягаться и делать безопасность?

Вы не учли, что в своей мести Волкову вы поступили неэтично, прежде всего, не по отношению к нему, а к тысячам пользователей сервиса.

Это у вас охота на ведьм. Нет никакой личной мести. Есть желание иметь обратную связь, диалог, терпимость к разным мнениям, чтобы людей не банили.

И да — не врать!

Надежда всегда есть, что выводы будут сделаны.

Охота на ведьм говорите, а сообщение сквозит обидой. Уведомить команду, насколько понимаю, в этот раз вы даже не пытались.

Этика есть этика, независимо от обстоятельств. То что вы сделали непрофессионально.

Также поступаете со своими партнёрами и их клиентами после того, как разошлись во взглядах, или здесь есть какие-то принципиальные отличия?

Первый раз попытались... были посланы. Второй раз попытались... были посланы.

Третий раз не пытались? Ну и правильно сделали. Если не понимают ничего кроме публичной порки - ССЗБ.

Не взирая на обстоятельства, отказываться от принципов белого хакинга — недопустимо, сколько раз бы не пытались. Да, не скажу, что мне нравится реакция второй стороны, но действия в посте сейчас можно больше расценивать как саботаж, чем попытку исправить что-то.

Я тоже считаю что здесь нет попытки исправить.

Зато вижу попытку донести до пользователей с кем они имеют дело. И такой подход тоже имеет право на существование.

Некоторые тут иногда спрашивают, а кто это там минусы ставит и молчит. Вот я например. Мне лично не нравится ваша деятельность. Вы поддерживаете те штуки, которые я считаю плохими. Вы публикуете уязвимости до их устранения. Вы плохо относитесь к тем, кто борется в том числе с яровыми, милоновыми и роскомнадзором (разрешённая террористическая организация).

Из этого следует, что деятельность вашей компании в данном случае можно рассматривать как вредную для всей IT индустрии на территории РФ. Мне совершенно не интересны детали и нюансы всего этого.

Вы хоть не молчите. Смело. Кстати, а кто спрашивает? Вроде и так понятно.

И с такими фанатично верующими пионерами-комсомольцами лично я считаю надо тоже бороться именно потому, что вам не интересны детали, и вы готовы развязывать охоту на ведьм.

То есть вы полагаете что сайты должны и дальше изобиловать дырами, на радость коллективному милонову?

Ну ОК.

Вы полагаете, что оригинальный комментарий предполагал потворство дырам в безопасности? Ну ОК. Кажется тут даже ребенку понятно, что дыры это плохо, а комментатор говорит о том, что действительно важно.

Этот пост очевидная атака на проект Навального и Волкова лично. У кого-то есть нездоровое желание публиковать проблемы сайта, ну пожалуйста. Форма подачи и попытка завуалировать все это под "помощь" выглядят максимально отвратительно. Я бы автору порекомендовал переключиться на kremlin.ru.

Максимально отвратительно выглядит реакция владельцев ресурса в стиле "вы все врети" в предыдущих кейсах, а также лицемерие некоторых комментаторов, полагающих что пентест Волкова это плохо, а kremlin.ru это ок.

Вы, кажется, не прочитали мой комментарий и отвечаете на что-то придуманной вами. Я повторюсь

Форма подачи и попытка завуалировать все это под "помощь" выглядят максимально отвратительно. 

Про то, что пентест это плохо или хорошо я ничего не писал. А вот о том, что раскрытие уязвимостей без какой-либо внятной попытки связаться, это да, об этом я писал.

По-моему ребята ясно дали ранее понять, что помощь им не нужна. Из текста статьи у меня не сложилось впечатления, что автор этого не понимает.

Тут как минимум 2 момента:

  • технический отдел состоит из волонтеров у которых не хватает опыта, а с другой стороны баррикад есть группировки хакеров, которые способны взломать даже защищенные сети. В такой ситуации хотелось бы конечно увидеть независимый аудит

  • Волков из всей команды наименее компетентен как руководитель и тем более некомпетентен как технарь, не вижу смысла дожидаться от него адекватного ответа, нужен быстрый способ обратной связи с разработчиками, а не этой говорящей головой.

технический отдел состоит из волонтеров у которых не хватает опыта

  • У штабов за прошедшие годы были десятки и сотни миллионов донатов из которых можно было выделить хотя бы часть на квалифицированных специалистов для главного продукта.

  • Из всех сторонников не нашлось ни одного с прямыми руками? Рассылку сделать сложно, чтоб очередь желающих бесплатно помочь выстроилась?

  • У вас с ними разное понимание того, что для ФБК главный продукт.
  • Это не тот проект, который доверят человеку с улицы, называющему себя сторонником.
UFO just landed and posted this here
Наверное, у них и были нормальные безопасники в штате, до самого недавнего времени? По-моему, за предыдущие девять лет существования ФБК у них не находили столько дыр, сколько одним этим летом.

Судя по свежести используемых компонентов, безопасники у них закончились в 2018

В этом, мне кажется, и проблема. Часто такое встречаю, когда человек - хороший алгоритмист, но имеет очень смутное представление о современной инфраструктуре. При этом и отбирает в свою команду людей такого же толка - которые могут щёлкать задачки с hackerrank, но легко сделают sql-запрос, который кладёт всю базу, или кладут приватный ключ с продакшена прямо в репозиторий проекта. Если к этому добавить такое же часто встречающееся у олимпиадников непомерное ЧСВ, результат неудивителен.

что Волков много лет работал в Яндексе 

Откуда вы это взяли?

UFO just landed and posted this here

Вы точно не перепутали с СКБ Контур?

UFO just landed and posted this here

У вас с ними разное понимание того, что для ФБК главный продукт.

Они идут на выборы и через эту систему координируют голосование за своих / не едросовских кандидатов. Куда главнее-то?

Это не тот проект, который доверят человеку с улицы, называющему себя сторонником

  • Бэкграунд-чек отменили? Код-ревью запретили? Т.е. можно взять и применить стандартные практики, вместо того, чтоб сидеть с данными наружу, играя в осадное положение.

  • Status quo ещё хуже — у них сейчас утекают данные. Дальше особо некуда падать, даже если к ним внедренец проберётся.

  • Больше того, они уже находили внедренца у себя и показывали, что слил данные он — их система безопасности уже не работает.

  • Наконец, я сейчас работу менял и мне те же ВТБ делали оффер "с улицы", хотя у банков требования к безопасности прописаны гораздо выше, чем у относительно неформального объединения.

Рискуя навлечь на себя минусаторов всё-же выскажу предположение: а может цель то не выборы\смена власти и прочее декларируемое? Может цель то просто шум на который поведётся народ и задонатит на хорошую жизнь? Ведь все эти люди (Навальный, Волков и прочие с ними) на что-то живут, оплачивают ЖКХ, еду, транспорт, учёбу детям. Про проект антикоррупционный я слышал, а вот про то где и кем работает главный борец за справедливость - нет. Я бы с радостью признал ошибку, если бы выяснил, что помимо организатора шумихи, главный опозиционер является высокооплачиваемым юристом и часть своих гонораров тратит на не самых лучших (но уж каких нашёл) специалистов по web-разработке, чтобы сделать полезный проект про выборы, а ещё строит детские площадки и спорт-комплексы. Но нет. Гугление показало, что он по профессии юрист но деньги явно не этим зарабатывает.

Да и кстати, вопрос "откуда у вас деньги на красивую жизнь" хочется задать не только обсуждаемому опозиционеру, но и остальным гражданам, чьи фото с обещаниями висят по всему городу последний месяц. К единоросам такого вопроса нет - там и так понятно

Про проект антикоррупционный я слышал, а вот про то где и кем работает главный борец за справедливость — нет.

Серьёзно? meduza.io/news/2020/07/28/aleksey-navalnyy-opublikoval-nalogovuyu-deklaratsiyu-on-zarabatyvaet-450-tysyach-rubley-v-mesyats

Я бы с радостью признал ошибку, если бы выяснил, что помимо организатора шумихи, главный опозиционер является высокооплачиваемым юристом

Признаете?

Серьёзно? meduza.io/news/2020/07/28/aleksey-navalnyy-opublikoval-nalogovuyu-deklaratsiyu-on-zarabatyvaet-450-tysyach-rubley-v-mesyats

Серьёзно. Вот специально перед тем, как писать свой предыдущий коментарий загуглил. Конкретно этого не нашёл. Простите пожалуйста, я немного вне политики и по запросу "Алексей Навальный" нашёл статью на вики и кучу желтухи в которой его в чём только не обвиняют. А на вики про доходы всё заканчивается так:

После вступления в законную силу приговора по делу «Кировлеса» 16 ноября 2013 года Адвокатская палата Москвы лишила Навального статуса адвоката[63].

По Вашей ссылке действительно сказано, что он опубликовал налоговую декларацию. Вот только вопрос: статуса адвоката у него нет (в РФ как я понимаю - это обязательное требование если хочешь в суде представлять интересы кого угодно), времени между "ходками" тоже. Это правда заработанные на оказании юридических услуг деньги?

Главным источником своего дохода он назвал предпринимателя Бориса Зимина.

Это безналичные выплаты, которые делают граждане РФ со своих счетов в российских банках

Т.е. если я правильно понимаю, донаты оформляются как плата за юридические услуги.

Признаете?

Признаю. Полностью. Формально - высокооплаичваемый юрист.

Но при этом вопрос "что является целью? Шумиха ради донатов или таки реальные дела?" остался открытым.

И ещё, 450к\мес - это очень неплохие деньги. В регионах за <100к\мес можно найти весьма толковых разработчиков. Знаю потому, что работал с такими.

Была бы шумиха, найди они 2-3 человека из регионов которые сделали бы сайт как положено? Нет. Там бы просто ничего не нашли и ничего не слили.

Уверен, если спросить любого с плаката рвущегося во власть сейчас с лозунгами "справедливый базовый доход!", "Резульат будет" и пр.: "сколько и КАК ты зарабатываешь?", найдутся примерно такие-же белые и честыне трудовые доходы. А по факту, не видел ни одного достойного человека стремящегося во власть.

Вот только вопрос: статуса адвоката у него нет (в РФ как я понимаю — это обязательное требование если хочешь в суде представлять интересы кого угодно)

Очевидно, что после лишения статуса адвоката он представлял интересы кого угодно не в РФ: navalny.com/p/5120

Т.е. если я правильно понимаю, донаты оформляются как плата за юридические услуги.

Нет, это не так. Донаты шли юрлицу ФБК, и на счёт Навальному не попадали вообще. Отчёты ФБК о расходовании донатов сами нагуглите, или помочь?

Спасибо, воздержусь как от принятия Вашей помощи, так и от гугления. Мне это не очень интересно. Копать ни под кого (или за кого-то) не планирую. Я лишь высказал своё мнение о том, что люди рвущиеся во власть как правило рвутся туда удовлетворять личные корыстные интересы. Если я ошибаюсь в Навальном видя в нём такого-же рвущегося как и все остальные - отлично. Возможно он единственный - исключение. Но это никоим образом не отвечает на вопрос "какова цель на самом деле?".

Ещё раз:

Цель - интернет-ресурс помогающий достигнуть требуемых результатов голосования.

Средства: с запасом 100.000р./мес/чел. в регионе и у тебя в команде специалист который не оставит таких дыр и вообще минимальными средствами сделает закрытый контур тестирования (чтобы включенный дебаг в проде не оказался).

Его (опозиционера) личный доход 450.000р./мес. (исходя из инфы по ссылке на медузу). Так почему Волков? Почему пентестеру говорят про шапочку из фольги? Ну даже если вы считаете инфу не достойной защиты, перс.данные надо охранять по закону! Да и стыдно должно быть перед донатерами. Они ведь наверняка надеялись на хоть какую-то анонимность, когда поддерживали опозиционера.

С другой стороны

Цель: Шум ради донатов.

Средства: Один не специалист с раздутым ЧСВ который наберёт бесплатно студентов, которые свояют непойми что. Это непойми что будут регулярно ломать (не важно кто, главное, чтобы ломали почаще). Мы будем посыпать голову пеплом при каждом взломе, петь про кремль который нанял суперхакеров и поднимать вокруг этого бурные дебаты. Шуму будет много, а значит будет много новых сочувствующих, которые занесут на борьбу с ЖиВ.

Где-то что-то не так понимаю? Ошибаюсь?

Обращу ваше внимание, что за последний год Навальный провёл один месяц в коме; четыре месяца на реабилитации за рубежом, когда заново учился ходить; и затем семь месяцев в тюрьме. Всё это время его возможность руководить деятельностью его организации была сильно ограничена, не говоря о возможности зарабатывать деньги юридической деятельностью.

До вывода Навального из строя — таких дыр в IT-проектах ФБК не находили.

Вы уверены, что Навальный — тот, с кого стоит спрашивать за эти дыры?

Не находили != небыло. Понимаю, что врядли Алексей лично собеседует каждого админа, верстальщика, разработчика. Но он же - брэнд и это он нанял людей руководить процессами в том числе и разработки ПО. Жарову (который с телегой боролся) нормально так прилетало за некомпетентность исполнителей. Да и не спрашиваю я с Навального за дыры. Я просто обратил внимание на то, что у людей есть возможность сделать продукт надёжным, но его сделали супер дырявым. И это странно если исходить из предположения "хотел сделать хорошо". Зато если исходить из "во власть идут, чтобы пилить в личных интересах" и\или "хотели пошуметь", то вроде всё логично. Сваяли, оставили дыры и закрывать не торопятся, а когда будет очередной слив, будут кричать про КГБ в подвалах которого сидят прикованные к батарее хацкеры.

Я просто обратил внимание на то, что у людей есть возможность сделать продукт надёжным, но его сделали супер дырявым.

Весьма вероятно, что в этом году такой возможности не было — в том числе и потому, что Навальный вместо своих обычных 5М рублей личного заработка в этом году заработал ноль, и вложить в работу своей организации мог лишь этот же ноль.

Зато если исходить из «во власть идут, чтобы пилить в личных интересах»

Кто из сторонников Навального в 2021 году идёт во власть?

Кто из сторонников Навального в 2021 году идёт во власть?

Без понятия. Имелось в виду не "прямо сейчас идёт", а "систематически предпринимает активные действия для того, чтобы оказаться во власти". Сам Алексей в выборах участвовал неоднократно (и в мэры Москвы и в президентских вроде был замечен). Кто там сторонник, а кто противник - не знаю. Знаю, что среди моих знакомых были разные люди. Кто-то без всяких денег брал лопату и кидал снег во дворе дет.сада потому, что дворник не справляется, а детям надо гулять. Кто-то митинговал, организовывал движения и сбор средств. Вот мне первые больше нравятся. Я бы за таких голосовал. Но таких нет в списках кандидатов.

Его (опозиционера) личный доход 450.000р./мес. (исходя из инфы по ссылке на медузу). Так почему Волков? Почему пентестеру говорят про шапочку из фольги? .

Для начала, вы опять путаете личный доход гражданина с деятельностью фонда ФБК, штабов и других юрлиц. Навальный не оплачивает деятельность Волкова, а волков не оплачивает деятельность Навального.

А вообще, вы вот теорию выдвигаете, а сами бы пошли 450к по больницам и уголовкам зарабатывать? Потом на лекарства же больше потратите. У нас вон на RT зарплаты больше и здоровье целее - может туда лучше идти?

Кто-то без всяких денег брал лопату и кидал снег во дворе дет.сада потому, что дворник не справляется, а детям надо гулять. Кто-то митинговал, организовывал движения и сбор средств. Вот мне первые больше нравятся. Я бы за таких голосовал. Но таких нет в списках кандидатов.

Потому, что дворник - это не политик.

Кстати, а уверены, что не видели? Ну среди десятков безымянных в бюллетене точно дворника не нашлось, или просто вы не озаботились уточнить, а на плакаты по городу - это не дорожку убирать и деньги нужны?

Для начала, вы опять путаете личный доход гражданина с деятельностью фонда ФБК

Тут видимо стоит уточнить: я не считаю деньги в кармане Навального или Волкова. Сколько Алексей лично зарабатывает и на что тратит свои деньги - не моё дело. НО! Есть ресурс - время. В моём мире если ты прямо сейчас делаешь дело А, то прямо сейчас ты не можешь делать дело Б и наоборот. Т.е. если ты постоянно на митингах, ведешь блог, проводишь расследования, координируешь работу крупной организации (создаётся впечатление, что у Навального организация крупная) и не вылезаешь из судов\изоляторов\тюрем, то зарабатывать деньги в привычном смысле слова (ходить на работу в свой офис своей юридической компании и там решать поставленные клиентами задачи) некогда. Если некогда, значит источник дохода - донаты. И вот тут то как раз мы и подходим к тому, с чего начали.

https://navalny.com/t/735/

Так вот вопрос: неделю назад у нас было 7607 подписок на ежемесячное пожертвование (средний размер 615 рублей). Как думаете, сколько их сейчас? 15 626 человек со средним пожертвованием 485 рублей.

Или 7578610 р/мес... Я понимаю, надо офисы содержать, канцтовары покупать, компьютеры и проч. Но неужели при донатах в 7,5 млн. в месяц нельзя найти специалистов чтобы сделали всё как надо? Там ведь функционал (как я понял из описания) даже не интернет-магазина, а скорее лэндинг с формой обратной связи. Так почему переусложнённый проект на Python вместо примитивнейших 50 строк кода на PHP? Почему дебаг в проде? Какие нахрен порты postgresql?! В россии население 144млн человек. Сколько из них подпишется? Пусть все. Что, для обработки (и оповещении в почту) 144 миллионов нужен постгрес? MySQL или SQLite не прокатит?

Итого: Организация получает 7,5 млн в месяц. Берёт на работу некоего человека которому ставит задачу по разработке проекта и выделяет бюджет. Человек что-то делает и в итоге получается какая-то вундервафля на Django+Postgres + "наверняка_дохрена_смузихлёбных_моднейших_решений". А когда ему указывают на то, что система не надёжна и надо бы поправить, отвечает в стиле Новодворской с плакатом и в белом пальто.

Вопрос: почему ТАК?! Ведь проблема то формировалась в течение какого-то времени. Ведь подход людей к работе и разработке проекта виден с первой недели (говорю как бывший руководитель отдела разработки). Может целью была не разработка хорошего решения, а что-то другое? И если это так, то всё логично. Разработали, взломали, хайпанули.

Или 7578610 р/мес… Я понимаю, надо офисы содержать, канцтовары покупать, компьютеры и проч.

report2019.fbk.info/media/report_2019_finance.pdf

За год ФБК получил 82,3 млн рублей. Расходы ФБК в 2019 году составили 63,5 млн рублей. Расходы на офис, оргтехнику и канцтовары составили 10,8 млн рублей, или 17% от общей суммы расходов. Всё это открытая информация.

Т.е. исходя из представленной Вами таблицы, организация тратит на менеджеров проектов и других специалистов от 1,6 до 3,3 миллиона в квартал (от 0,5 в месяц!). За эти деньги я бы "в лепёшку расшибся", но сделал бы сайт который так просто не сломать и уж тем более инфу не угнать. Где своих знаний не хватает - нашёл бы более компетентных, заплатил и компенсировал недостаток своих знаний знаниями нанятых. Ещё раз: Регионы! Для толкового разраба даже 100к\мес - очень хорошо! Так какова была цель?

Предложите какой-нибудь способ обратной связи с разработчиками, который противники ФБК не забьют мусором.

Ну да, так и есть. Все что ФБК сделали для безопасности своего манямирка, это заблокировали чат на youtube, для недонатеров. Окуклились, и дожимают последние донаты, с оставшихся фанатов. Шоу на стадии завершения.

UFO just landed and posted this here

Во-первых, они же не совсем окуклившиеся:

  • Капча + спамфильтр?

  • LinkedIn? Все крупные компании на раз людей там хантят, хотя туда очереди из желающих попасть стоят.

  • Хоть коммент с донатом, как написали ниже.

Во-вторых, они не могут посмотреть просто по тусовочке? У меня есть, например, контакты бывших участников, с которыми работали в других проектах. Клич по внутренним каналам кинуть "нам нужен нормальный айтишник", не? Это автоматически отсечёт 99% мусора и даст возможность проинтервьюировать людей.

Наконец, если у них нет каналов фидбека, то, возможно, они в каком-то своём воображаемом мирке живут, как Путин?

Вы по ссылке мой пост прочитали? Поняли? По-моему нет. Почему техотдел состоит из волонтёров, которым не хватаем опыта?! Может потому, что в 2011-2013 году Навальный и Волков игнорировали то, что говорил, например, я. И не только я. Другие тоже говорили. То есть людей с опытом игнорировали. А теперь опыта не хватает.

Ну так тогда простите путину всё. У него тоже кадров не хватает. 2 000 000 человек эмигрировали и работают на страны потенциального противника.

Насколько я знаю, волонтеров там не было. Получали деньги и деньги неплохие.

Прислушиваться к сообществу в интересах ФБК и они это делают. Но ФБК и тем более Волков лично, не обязаны вас слушать, а проблему обратной связи можно обсуждать без нанесения прямого ущерба. ФБК не может физически слушать всех и каждого, а если это вас оскорбляет настолько, что вы начинаете вендетту, то это говорит не о проблемах ФБК, а о необходимости сходить к психологу и разобраться с своими тараканами.

Пост в ЖЖ довольно показательный. Прямо манифест обиженного волонтера, требования и сопли по поводу несоответствия реальности ожиданиям. Вы же в бизнесе и должны прекрасно понимать, что такое организация построенная на волонтерах-студентах, с бешеной текучкой, с низкими зарплатами и насколько хорошо она управляется.

Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.

Обратите внимание на количество людей с которыми у Волкова не сложилось. Обратите внимание на то, кто эти люди — независимые, самостоятельно зарабатывают, имеют своё мнение.

ФБК не может физически слушать всех и каждого


Ну так и власть не слышит никого точно также.

Не надо втирать, что мы песчинки! Это большевизм напоминает. Какой-то абстрактный народ. Народ вполне конкретный — это конкретные люди. И каждого надо слушать, а не банить.

Я «втираю» не про песчинки, про песчинки вы выдумываете и игнорируете смысл моего комментария. Я повторю, мне не сложно

Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.

Ага, делать нам больше нечего, все 8 лет под них и копаем. С утра и до вечера. Не, все 10 лет. Когда ещё с Навальным сидел, уже копал под его шконку. Берите больше, с 1999 года, специально ради этого компанию открыл, чтобы копать под несогласных.

Вам это ничего не напоминает? Посмотрите обвинения Ягоды, Ежова, Берии. Там они признаются в работе на все разведки мира прям начиная с 1917 года.

Потрясающее умение отвечать на выдуманные комментарии. Но я повторю в третий раз, это не сложно

Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.

Тут ни про песчинки, ни про 8 и 10 лет ничего нет. Все по делу и конкретно про этот единичный инцидент.

Боюсь что если человек переключится на kremlin.ru (или подобные сайты), то на него переключатся компетентные органы (которые быстры на расправу и поиски) и на хабре мы в ближайшие 2/5 лет (зависит от судьи) такого рода статей не увидим.

По хорошему их конечно сначала нужно отправить команде, а после фикса уже раскрывать. Но если они эти данные получили, а на фикс забили, то публикация вполне оправдана чтобы подстегнуть на устранение уязвимостей.

Спасибо за ваше мнение и открытую позицию.

Много-много раз это объясняли до меня (потому что проблема стара как сами уязвимости в софте, а то и как критика чего-либо вообще), но мне не сложно повторить.

Действительно, публикация уязвимостей может быть безответственным действием, независимо от намерений публикующего. Но существует два фактора, которые вы игнорируете, которые принципиально меняют ситуацию.

Во-первых, если сторона, ответственная за проблему, ранее продемонстрировала не только нежелание слышать о проблеме, но и высокомерную агрессивную позицию в духе "вы все - идиоты, я лучше знаю, заткнитесь" (это, правда, не худший вариант - в истории есть случаи, когда люди, обращавшиеся в компании, чтобы сообщить об уязвимостях, оказывались под судом, как "хакеры"), нет ни одной внятной причины позволять этому продолжаться в том же духе. В этом случае, проблемой является уже не только уязвимость, но и эти самые люди, безответственно ее игнорирующие и позволяющие ей существовать. А это связано со вторым фактором.

Во-вторых, если уязвимость существует уже какое-то время, а также существует вероятность, что есть третья сторона, заинтересованная в ее эксплуатации, ситуацию следует рассматривать так, будто уязвимость уже эксплуатируется, если не существует надежного свидетельства обратного. В этом случае, под угрозой уже не только функционирование сервиса, об уязвимости в котором идет речь, но и благополучие пользователей, доверившихся этому сервису (и, возможно, людям, которые из-за большого самомнения позволяют этой ситуации затянуться). Пользователи, в свою очередь, имеют право знать о проблеме ровно в той же, если не в большей степени, чем администрация/разработчики сервиса.

Так что давайте вы прекратите проповедовать security through obscurity.

нет ни одной внятной причины позволять этому продолжаться в том же духе

Это зависит от того, с чем конкретно вы воюете? Злой корпорации, экономящей на безопасности и набивающей миллиарды в карманы тут нет.

рассматривать так, будто уязвимость уже эксплуатируется, если не существует надежного свидетельства обратного

Значит миллионы почт уже утекли. Правда их владельцев и таки и СОРМ знает, и владелец их почты мейлру. Так что в чем именно в этот раз эксплуатация уязвимости заключается?

Пока эксплуатация уязвимостей и опасность для пользователей ограничивается рассказами из каждого утюга, что сайт уязвимый и пользователи в опасности. Причем, не без денег АПшечки, за которую вы, получается, играете.

Начнём с того, что я не имею понятия, кто такая "АПшечка", а за кого я играю и играю ли за кого-то вообще, вы знать не можете, потому это ваши домыслы.

Подход, который я описываю в комментарии выше, не зависит от того, что делает сервис, какую политическую или экономическую позицию он занимает.

Начнем с того, что если вы играете за кого-то вслепую, то это не моя проблема.

Вы не ответили против чего воюете то. Или так, чисто по привычке?

Интересно, как вы оперативно перешли с дискуссии о принципах безопасности на обсуждение меня (чем я заслужил такую честь - не знаю), граничащее с "ты с какого района?"

Я вообще то вопрос про принцип безопасности и задал.

Но вы предпочитаете обсуждать что угодно, кроме него.

Где конкретно вы задали вопрос про принцип? Процитируйте себя, пожалуйста.

Вопрос - это который заканчивается закорючкой ¿. Не сложно найти

Я вижу вопрос о том, "с чем вы воюете". Во-первых, из его формулировки и дальнейших комментариев, не очень следует что он не адресован мне лично. Во-вторых, это вопрос о контексте, а контекст - это конкретика, дополняющая общий принцип, но не входящая в него. Так что я всё ещё не вижу вопроса о принципе, даже если допустить, что "вы" в том, что вы задали, не означает лично меня.

Так с чем ты воюешь, кроме нежелания отвечать?

Как быстро из вас полезли привычки шпаны. Ни с чем я не "воюю", не имею такой привычки.

Как быстро вы перешли на обсуждение меня вместо безопасности

Вы утверждатете, что вопрос "Ты с кем воюешь, кроме нежелания отвечать" - это был не вопрос про @Moskus , а вопрос про абстрактное обсуждение безопасности?

Вы решили подхватить упавшее знамя демагога? Слово "абстрактное" тут даже не упоминалось.

А зачем мне его подхватывать? Вы что, его уронили?)

Хорошо. Слоло абстрактное не упоминалось. Это моя ошибка, простите меня за неё. Повторяю предыдущий вопрос дословно, вычёркивая слово абстрактное:

Вы утверждатете, что вопрос "Ты с кем воюешь, кроме нежелания отвечать" - это был не вопрос про @Moskus , а вопрос про абстрактное обсуждение безопасности?

Да, это вопрос про безопасность. Безопасность без врага - нонсенс

Вы когда из дома уходите, дверь в квартиру запираете? Если да то зачем? Заодно кстати можете сюда прислать данные своей кредитки, ну так, почему нет?

Спросите лучше "на сколько замков вы запираете квартиру". А то толсто и скучно.

Это зависит от того, с чем конкретно вы воюете? Злой корпорации, экономящей на безопасности и набивающей миллиарды в карманы тут нет.

А вы считаете, что с корпорацией, набивающей миллиарды в корман воевать таки нужно, а здесь - нет? (под воевать, видимо, предполагается исследование безопасности, но если я вас неправильно понял - дико извиняюсь, исправьте меня пожалуйста и я смогу лучше понять вашу мысль).

А со корпорацией, набивающей корманы, зачем, по вашему, стоит "воевать"?)

Воевать можно с чем угодно. Но неплохо бы понимать, для начала, с чем и зачем. А потом уже можно думать "как".

С корпорациями из спортивного интереса воюют все, от коммунистов до анархистов.

С корпорациями из спортивного интереса воюют все, от коммунистов до анархистов.

Ну вот, вы взяли из спектра политических воззрений вычеркнули всех правых, в том числе и либертрианцев (хотя тот Светов и ЛПР, если мне не изменяет память, даже поддерживают умное голосование).

Воевать можно с чем угодно. Но неплохо бы понимать, для начала, с чем и зачем. А потом уже можно думать "как".

Пентестом можно тоже заниматься из спортивного интереса. Если в результате работы пентестера мои данные (в перспективе) находятся в большей безопасности, а команда, за которую я вроде как болею - получила информацию о наличии у них проблемы и научилась исправлять её - не всё ли равно, какие у пентестера политические взгляды и отношение к корпорациям? Вроде бы win-win ситуация.

Я не спрашивал про политические взгляды. Чёловек нанес репутационный урон УГ, какой к черту win-win?

Хм, кажется, я понимаю, в чём проблема. Возможно, я не понимаю вас потому что я не понимаю, в чём, по вашему, заключается репутационный урон, которого автор мог бы не наносить?

Репутационный урон, по вашему, заключается в открытии отчёта об уязвимости до получения реакции от Волкова и команды? В открытии отчёта до факта исправления? Или в открытии отчёта вообще?

Пересчитайте тут комментарии про то, что у УГ нельзя регистрироваться. Это оно.

Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.

Понимаете, в чём проблема, я (как и большинство комментаторов) нахожусь со стороны "пользователи", а не со стороны "организаторы".

По-моему, регистрирующиеся в УГ имеют право знать, как утекают их данные. И точно заинтересованы в том, чтобы знать о факте утечки.

Это совершенно нормально, что совокупность интересов организаторов не целиком (особено, в таких мелочах) совпадает с совокупностью интересов участников - это справедливо про абсолютно каждую политическую партию и движение на протяжение человеческой истории. Тем не менее, не вижу ни одной причины, зачем мне стоило бы делать вид, что не-знать-про утечку - это мой интерес, наоборот - в моих интересах про утечку знать, знать как можно раньше и как можно подробнее. Особенно если я планирую зарегистрироваться или уже зарегистрировался - и буду голосовать по представленному списку.

---

Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.

"до, после или вместо" - кажется, всё-таки важно.

Стандартная (и поощряемая сообществом) практика работы с уязвимостью (который автор неэтично нарушил, не буду с этим спорить) - сообщить, дать время исправить, опубликовать публичный отчёт. В некоторых случаях корпорации (эти самые, которые злые и набирают деньги в карманы) платят большие деньги, чтобы отчёт не публиковался - и это довольно неэтично, я бы предпочёл, чтобы подобные отчёты публиковались всегда.

В некоторых случаях, регуляторы обязуют делать пресс релизы об особо серьёзных утечках.

В некоторых случаях, компании скрывают утечки от регуляторов или используют корупцию. Это, опять же, по моему мнению, неэтично.

В этичном сценарии статья всё равно была бы написана, в ней всё ещё было написано, как и в каком объёме ошиблись админы умного голосования и какие данные могли через него утечь. Так же было бы написано, сколько времени прошло между уведомлением команды пентестером и исправлением, то есть сколько конкретно часов данные были доступны для любого желающего, обладающего тем же инструментарием, что и пентестер.

---

Возвращаясь к теме

Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.

Возможно, вас устроила бы "публикация позже". Желательно - намного позже, после голосования.

Для этого нужно было бы, чтобы автор сначала написал организатором и подождал хоть какого-то ответа какой-то срок.

Автор, насколько я понимаю, этого не сделал - нехорошо поступил, согласен.

Но в общем-то не факт, что если бы и сделал, получил бы адекватный ответ (а в отсутствии ответа / в случае посалния нахер - публикация должна быть, имхо, однозначно).

Варианта "никому не рассказывать об утечке" в принципе нет. Конечно, есть, если поступиться профессиональной этикой, но этически это не сильно лучше пойти и продать данные товарищу майору.

в моих интересах про утечку знать, знать как можно раньше и как можно подробнее.

Это факт? Спать же плохо будете, вредно это.

Вы пытаетесь некую этику (которая субъективна в принципе) считать эквивалентом абсолютной пользы. Так в сказках бывает.

Это факт?

Ну да, факт. А ваши интересы для вас определяете не лично вы, а кто-то ещё?

Спать же плохо будете, вредно это.

Ценю вашу заботу.

Вы пытаетесь некую этику (которая субъективна в принципе) считать эквивалентом абсолютной пользы. Так в сказках бывает.

Я объясняю свою позицию. Вы, я так понимаю, предлагаете жертвовать выбранной этикой и своими интересами ради успешного достижения целей конкретными политиками? Звучит как хорошая идея, точно не из сказок.

успешного достижения целей конкретными политиками?

На митингах, выходит, так.

Хотя формулировка у вас странная

Хотя формулировка у вас странная

Поясню формулировку. Мне показалось, что мысль, которую вы пытаетесь донести - это, утрируя, "если надо положить на собственные интересы / этику / whatever и промолчать ради победы моей любимой партии - значит надо было промолчать! For the Greater Good!"

Очевидно, умное голосование - это стороны добра, партия ж и в - это силы зла с орками и всем причитающимся. Твои действия (раскрытие уязвимости) нанесло мистический репутационый вред силам добра? Ну всё, на вилы тебя, негодяй. Эй, вы что, его оправдываете? Ну вы наверное злые какие-то или глупые.

Извините за иронизирование.

Возможно, ошибаюсь. На самом деле мне очень не нравится вот такая форма ведения диалога (когда задаются какие-то вопросы в духе "А против кого вы боретесь?! Чтоооо, уходите от ответа?"). Невольно, начинаешь за собеседника додумывать всякое нехорошее.

Я свою позицию вроде бы изложил (см. выше https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23406964, даже стыдно за такое количество букв трёпа). Буду рад ознакомиться с вашей, если она не совпадает с утрированием выше.

Понимаете, в чём проблема, я (как и большинство комментаторов) нахожусь со стороны "пользователи"

1) Какую проблему вы пытаетесь решить являясь "пользователем" данной системой? Какой результат хотите получить?

2) Влияет ли количество участников данной системы на эффективность результата? Нужно больше пользователей, или наоборот меньше?

3) Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть существующих?

1) Какую проблему вы пытаетесь решить являясь "пользователем" данной системой? Какой результат хотите получить?

Чуть ниже я уже писал вещи, которые приблизительно отвечают на ваш вопрос.

https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23407288

Есть уровень участия в политической жизни, который меня устраивает. Этот уровень может не совпадать с вашим и это, как мне кажется, совершенно нормально.

Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников.

2) Влияет ли количество участников данной системы на эффективность результата? Нужно больше пользователей, или наоборот меньше?

Нужно больше. В моей картине мира риторика вида "а надо быть готовым, что вас уволят или ноги сломают" (это относится скорее к комментарию, на который я отвечал по ссылке, приложенному в первом пункте) гарантировано уменьшает количество пользоваталей. Посылание пентестеров - тоже.

Замалчивание уязвимостей просто невозможно - подобная уязвимость гарантировано будет обнаружена (см. ниже). Любая попытка скрыть косяк точно будет использована политическими оппонентами -> можно полагаться только на открытость и сотрудничество.

3) Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть существующих?

Вы хотите какой ответ, что я бы ответил, если бы это меня спрашивали на работе, или что я бы ответил, если бы это был разговор на кухне и я сидел в тельняжке, стуча воблой по столу?)

По-хорошему, надо проводить A/B Тест и само его проведение организовать безумно сложно (хотя бы потому что огромное значение на эффект имеет пропаганда третьих лиц).

В рамках кухонного разговора, как мне кажется, умалчивание приводит к отталкиванию. Попробую пояснить, но, конечно, всё написанное ниже - домыслы и я не расчитываю, что смогу вас убедить.

---

Про пользу открытости (вернее про то, что открытость не обязательно приводит к ужасным последствиям):

Мне в голову приходит ситуация, когда инженер стёр продовую базу в гитлабе с данными пользователей, и они написали детальный постмортем. Разные видел комментарии, но, в основном, их хвалили за открытость. Впрочем, мб это эффект выборочного внимания и комментарии вида "о ужас, больше никогда не буду покупать их сервис" я просто не запомнил.

---

Про невозможность сокрытия:

Автор не сделал ничего сверхгениального, он нашёл джангу с включёным дебагом.

Не хочу преуменьшать его заслуги, но подобные косяки ищут широким сканированием в автоматическом режиме в каком-нибудь shodan'е.

То есть буквально прямо сейчас, пока вы читаете это сообщение, сотни человек из одной только россии (и тысячи во всём мире) сканируют роботами тысячи сайтов на наличие подобных косяков.

Это буквально не преркащающийся ни на секунду массовый поиск - ищем монгу с открытым портом и настройками по умолчанию. Ищем urlы, с подстрокой из следующего множества, запрос по которому не отдаёт ошибку. Не берусь утверждать, что джанго с включёным дебагом входит в набор поиска самых-самых начинающих скрипт-киддис. Мне кажется, кто-то по ней да ищет. Включённый дебаг мод в популярных движках и фреймворках - одна из первых вещей, которые приходят в голову. Если ошибаюсь, поправьте меня.

Часть из этих сайтов вообще никто заранее не выбирал целью, люди каждый день находят десятки-сотни таких, а потом собирают в списочек и вечером за чашкой чаю пытаются понять, какие из них интересно поковырять с точки зрения потенциальной уязвимости или ценности для потенциального покупателя.

Нельзя даже предполагать, что автор вообще - первый, кто наткнулся на уязвимость. Уж тем более на то, что если он о ней промолчит, её не найдёт ещё десять человек в недели или суток. А может быть и не найдёт. А может быть её найдёт ещё 100 человек, 99 из которых окажутся оппозиционерами, искренне верящими в то, что об уязвимости надо умолчать, а оставшийся 1 - сторонником кремля. В конце концов, с течением времени нашедших уязвимость будет всё больше и больше, а решивший использовать её худшим образом рано или поздно найдётся чисто из закона больших чисел.

---

tl;dr: я буквально не вижу сценариев, в которых умалчивание и посылание пентестеров к чёрту - это хорошо. Не знаю, как вы их представляете, мб я глупенький, а у вас картина мира более полная и вы обладаете более полным представлением о том, как устроена индустрия поиска уязвимостей. Я тут, действительно, профан, буду рад услышать ваше экспертное мнение, если это так.

Возвращаясь к вопросу:

Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть
существующих?

Распространение такой информации работе организации не помогает - конечно.

Проблема в том, что скрыть её, как мне кажется, просто невозможно. Единственное, что можно сделать - damage control. Либо ты работаешь с пентестерами так, чтобы они вели себя хорошо и этично и рассказываешь, какой ты молодец, как замечательно и быстро среагировал на сигнал об уязвимости, как хитро исправил, и что сделал, чтобы больше никогда в такой ситуации не оказываться.
Либо эту уязвимость и информацию используют против тебя.

Других вариантов, вроде как, не завезли.

Невольно, начинаешь за собеседника додумывать всякое нехорошее.

Вы поменьше додумывайте и читайте первоисточники. А то то у вас УГ, почему-то, не нужно когда ЕР имеет рейтинг меньше половины (то естьв сегда), то собеседник на вилы предлагает поднимать кого-то, а победа политика становится чем-то плохим.

For the Greater Good!"

Вы тут в комментариях уже раз шесть написали, что автор поступил неэтично. Но его неэтичность вас не заботит, вы только за неэтичность Волкова готовы на вилы поднимать. Интересная у вас этика.

И это не "For the Greater Good"? А почему, потому что что слитая Горожанко база оказалось вдруг под угрозой, опять?

Да, For the Greater Good люди даже на танк с гранатой бросаются. "Ради любимой партии". И едва ли их спрашивали это ли их уровень комфорта.

Так и в чем ваша позиция, что нет никакого "For the Greater Good", только ваш комфорт?

При этом не забывайте, что танки не волков послал, его и коллег танк уже переехал. И даже если вы распнете Волкова, то танки это не остановит. Так что нет, моя позиция не про "For the Greater Good", а что вы в принципе не в у сторону воюете.

хотя бы потому что огромное значение на эффект имеет пропаганда третьих лиц

И после этого вы приводите ванильный пример гитлаба (вместо A/B тестирования). Очень корректная аналогия, ага.

решивший использовать её худшим образом рано или поздно найдётся 

Так в том то и дело, что Горожанко давно нашелся. И да, волков очень очень плохой, что это допустил. Но теперь все эти упражнения в пантестинге и виктимблейминге - бег на месте.

Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников

А я думаю это ложь. Или самообман. Условия поменялись вовсе не от реакции Волкова, а от, собственно, дыры. Впрочем, судя по тому, что "это что-то меняет" - вы до сих пор не зарегистрировались (зарегистрированным то уже поздно что-то менять), так что теперь просто есть повод и не регистрироваться.

И самое главное, что заявленная вами проблема "посылание пантестеров и замалчивание задним числом", которая все меняет, публикацией не уже не исправить в принципе, так что заявленная вами цель ещё и недостижима.

И в чистом остатке лично я вижу 1) закрытую втихую дыру, не очень понятно чем угрожающую и 2) ущерб репутации. 3) все показали как они за этику с бревном в глазу.

Ну, такое себе мероприятие, можно было и не организовать.

Вы поменьше додумывайте и читайте первоисточники.

Извините. Абсолютно серьёзно не имею никакого желания вас обидеть. Если я где-то понял ваши слова не так - я буду благодарен, если вы укажате на это, и напишете, что же вы на самом деле имели в виду.

А то то у вас УГ, почему-то, не нужно когда ЕР имеет рейтинг меньше половины (то естьв сегда)

В данный конкретный момент УГ нужно, замечательный инструмент, всем советую.

Почему УГ станет не нужным, когда наступит прекрасная россия будущего - хороший ответ вот тут

https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23408210

С чего вы решили, почему за ЕР или за Путина голосует меньшинство - спрашиваю буквально в каждом треде - пока не получил ни одного ответа. inb4: было бы круто, если бы действительно было так. Но почему вы решили, что это так?

Вы тут в комментариях уже раз шесть написали, что автор поступил неэтично. Но его неэтичность вас не заботит, вы только за неэтичность Волкова готовы на вилы поднимать. Интересная у вас этика.

Так, погодите.

Вы буквально в одном абзаце пишете, что я поступок автора назвал неэтичным шесть раз. Шесть раз. И утверждаете, что его неэтичность меня не заботит.

Шесть раз, карл! Шесть раз! (по вашим словам, конечно, я им верю и пересчитывать не буду).

Хотите ещё несколько раз повторю. Неэтично, неэтично, неэтично. Осуждаю. Уууу, автор негодяй! !!!! !!!111. И ещё три восклицательных знака.

Достаточно? Вы скажите, если получившееся количество раз - мало - мне не жалко, я ещё раз повторю.

Вы хотите, чтобы я торжественно выписал автора из числа этичных пентестеров? Увы, у меня такой кнопки нет, не завезли.

вы только за неэтичность Волкова готовы на вилы поднимать.

Подскажите, пожалуйста, где я поднимаю Волкова на вилы?

Я в соседней ветке комментариев буквально защищаю его право банить несогласных направо и налево. Там его ещё из либералов выписывают.

Да, For the Greater Good люди даже на танк с гранатой бросаются. "Ради любимой партии". И едва ли их спрашивали это ли их уровень комфорта.

Да, бросаются, это факт. Я более чем уверен, что практически все бросающиеся на танк с гранатой делают это for the greater good. Как, впрочем, и едущие на танке.

Более того, я более чем уверен, что это даже чертовски полезное убеждение с точки зрения эффективности бросания на танк или управления танком - знаете ли, водители танков, верящие, что с ними бог, и кидатели гранат, верящие в коммунизм перформят в деле вождения танков и кидаюния гранат гараздо лучше, нежели те, у кого подобные убеждения отсутствуют.

Так и в чем ваша позиция, что нет никакого "For the Greater Good", только ваш комфорт?

Вы рилли хотите на мировоззренческие темы и взгляды на демократию порассуждать или просто так спросили?

И даже если вы распнете Волкова, то танки это не остановит.

Ну что же вы, я выписанного из либералов Волкову приют среди коммунистов предложил, а вы намекаете, что я его распнуть пытаюсь.

Так что нет, моя позиция не про "For the Greater Good", а что вы в принципе не в у сторону воюете.

Тогда зачем все эти образы про бросание на танк с гранатой ради добра и партии?

И после этого вы приводите ванильный пример гитлаба (вместо A/B тестирования). Очень корректная аналогия, ага.

Извините, если вам показалось, что пример с гитлабом призван как-то заменить A/B тестирование. Это не так, это никогда нигде и не утверждалось, и если вдруг кому-то, читающему комментарию, показалось, что это связанные вещи - прошу простить меня за эту путаницу.

Нет, это не так.

Если вдруг кто-то сомневается, вдруг всё-таки так - призываю обратить внимание на структуру комментария. Там прямо разграничивается. Буквально написано "дальше - чисто домыслы". "В рамках кухонного разговора". И после этого идёт про гитлаб.

Рилли, если вы мне подскажете, как мне стоило структурировать тот комментарий так, чтобы у вас не возникло такой ошибке при прочтении - я буду благодарен.

(мои слова): Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников

(ваши слова): А я думаю это ложь. Или самообман.

Резонно. Я думаю - отпугнёт и меня отпугивает. Вы думаете - не отпугнёт и вас не отпугивает. Оба мнения имеют право на жизнь. Мне не стоило ставить здесь слова "гарантировано".

Условия поменялись вовсе не от реакции Волкова, а от, собственно, дыры.

Ну дык, это.

Случай А: компания продолбалась и говорит "Блин, вот, короч, инфа о том, что случилось, вот как мы это исправили"

Случай Б: компания продолбалась и говорит "Да и пофиг, задолбали нам про дыры писать, ну дыра и дыра, специалисты доморощенные, шапочку из фольги оденьте".

Вы целиком и полностью имеете право считать, что в обоих случаях относиться следует одинаково. Действительно, в обоих случаях произошла уязвимость.

Я так не считаю, и это озвучиваю.

Ну, допустим, вы подобное убеждение называете "самообманом", ок, хоть сепулькой назовите.

Впрочем, судя по тому, что "это что-то меняет" - вы до сих пор не зарегистрировались (зарегистрированным то уже поздно что-то менять), так что теперь просто есть повод и не регистрироваться.

Этот пассаж вообще не понял.

публикацией не уже не исправить в принципе, так что заявленная вами цель ещё и недостижима.

Так, стоп, я заявлял какую-то цель "публикации" или "комментариев"? О какой цели вы говорите?

И в чистом остатке лично я вижу 1) закрытую втихую дыру, не очень понятно чем угрожающую и 2) ущерб репутации. 3) все показали как они за этику с бревном в глазу.

  1. В смысле, втихую? Закрыли же после публикации.

  2. См. выше.

  3. Эээ, это вообще какая-то аргументация в духе путинской пропаганды.

В духе "А вот Навальный коррупционеров обличает, а сам-то он!".

Это так не работает, извините.

Не знаю, где вы увидели нарушение этики с моей стороны (бревно в глазу). Буду благодарен, если сообщите. Впрочем, я уверен, что это не должно менять ничего в моих словах. Если вам угодно, можете считать в рамках комментариев к данному треду - что конкретно я самолично ем детей и совершаю военные преступления. Если бы я ел детей - я бы сказал то же самое.

Если вам угодно, можете считать в рамках комментариев к данному треду - что конкретно я самолично ем детей и совершаю военные преступления.

Тогда можно я не буду заниматься фигнёй и тратить время на объяснения вам ваших передёргиваний?

С чего вы решили, почему за ЕР или за Путина голосует меньшинство

Это моя цитата?

Тогда можно я не буду заниматься фигнёй и тратить время на объяснения вам ваших передёргиваний?

А вам для этого разрешение нужно? Надеюсь, что нет. Если таки нужно - конечно, можно.

Абсолютно каждое сообщение в этом треде было написано вами полностью добровольно. У вас была есть и будет полная свобода не читать мои комментарии или не отвечать мне.

Если в действительности вас кто-то принуждает, наденьте жёлтую рубашку в следующем видео.

Сочувствую, что вам пришлось с этим столкнуться.

Должно быть, это очень обидно - у вас такие блистательные аргументы про бросание на танк с гранатой, остроумные вопросы к собеседникам, с какого района он будет за кого он воюет, а у вашего собеседника такая глупость. Бывает же. Вот занимаешься, понимаешь ли, в диалоге важным и ответственным делом, а собеседник - бессмысленным флудом и демогогией. По-моему, мне должно быть стыдно.

Вы как то потеряли слова которые в корне меняют фразу, я возвращаю их Вам

>> экономящей на безопасности

  

Security through obscurity это единственное, что защищает от момента нахождения уязвимости до момента полного устранения уязвимости.

Оно ни от чего не защищает. Принцип сообщения ответственным за устранение основан на том, что им, при прочих равных, легче и быстрее устранить уязвимость. В случае, если нет надёжного доказательства того, что она не была использована третьими лицами, они всё равно обязаны признаться, что она могла быть использована.

Вопросы безопасности в целом не моя специальность, но рискну предположить, что даже если Security through obscurity и может работать, то только в случае с компаниями, которые не привлекают особого внимания, и к которым злоумышленники могут забрести разве что случайно. В данном же случае имеется мишень за которой злоумышленники пристальнейшим образом следят. Так что любая уязвимость скорее всего находится и эксплуатируется с первых же дней, а through obscurity только поддерживается стабильный источник утечки ценной информации к злоумышленнику.

https://habr.com/ru/company/oleg-bunin/blog/571440/
Действительно. Поэтому мне так понравилась эта статейка про культуру открытости к ошибкам и их исправления. Глоток свежего воздуха буквально.

А как думаете, почему это глоток воздуха? Если все так хорошо, то почему коммерческие компании так не делают?

глоток воздуха, потому что показывает пример наиболее быстрого реаригирования и устранения ошибок, с честностью на всех этапах, с определенностью кто как должен действовать для решения проблемы.

часть компаний наверно делает, а другим принять сложно из за того что это должно поддерживаться в первую очередь руководством. А руководство понимающие техническую сторону и почему это надо так делать, я так полагаю не всегда встречается. Куда проще скатиться в токсичную атмосферу с указанием на козлов отпущения, или свестись к начальству которое предпочтет заметать под ковер чтобы не разрушить свою мифическую репутацию вместо реальных действий.

И еще глоток воздуха потому что, такая открытая стратегия обеспечивает уровень безопасности намного выше чем альтернативы.

Но приличная часть компаний наверно банально не имеет ресурсов для найма людей понимающих в безопасности. Либо не осознают необходимости в уровне безопасности в соответствии со своим ростом.

обеспечивает уровень безопасности намного выше чем альтернативы.

Это факт?

Тогда получается что тысячи руководителей с миллионными зарплатами, консультантами и прочим, скажем так, не так умны как вы, что бы это знать. И скатываются в токсичность и вот это всё.

А коммерческие компании им деньги зря платят.

Немножко не тот случай, когда достаточно объяснить глупостью.

Почему не делают?

Некоторые вещи (например, публичное раскрытие информации об утечках данных) - прямое требование SEC и GDPR.

Я могу, конечно, ошибаться, но SEC вроде как как-то даже работают и докапываются.

More than a year later, the SEC brought an action against another issuer for allegedly misleading investors and delaying disclosure about a third party misusing the company’s user data.

In this case, a third party had gained access to, and misused, the company’s user data. The SEC alleged that for two years after finding this out, the company described in its SEC filings the misuse of personal data as a potential risk. According to the SEC’s allegations, at the time each of these filings was made, the company knew the misuse had occurred.

Впрочем, я не инвестор и подобные отчёты не читаю, может быть придёт кто-то богатый и умный и поправит меня.

Проблема в том что если эти проблемы не озвучивать то для безопасности сторонниок не будет ничего делаться.
Учитывая что сейчас есть прямая угроза сесть и лишиться имущества, к безопасности надо относиться максимально серьезно. По Волкову этого не видно.

Была бы адекватная реакция, то писали бы по приватным каналам, а не выкладывали в паблик.

Учитывая что сейчас есть прямая угроза сесть и лишиться имущества

В чем "прямота" заключается?

В статье УК 282.1 п.2 «Участие в экстремистском сообществе»

Хотя она ещё не применялась против сторонников ФБК, такая угроза стала реальнее чем когда-либо.

А "лишиться имущества" - это штраф, получается?

Прямая угроза и "реальнее" - это очень разные вещи. Натянуть неверефицированную почту на участие в сообществе - это достаточно смело даже по нынешним временам, когда даже до "финансирования" не добрались.

Натянуть неверефицированную почту на участие в сообществе - это достаточно смело даже по нынешним временам

Что значит "неверифицированную" почту? Вы таки думаете, что для уголовного дела нужно, чтобы аккаунт был подверждён смской на телефон, к которому привязан паспорт человека?)

Я напомню, что сейчас полиция вежливо стучится и спрашивает не желают ли написать заявление о разглашении персональных данных ФБК, а не выламывают дверь и увозят. Что им нужно можно спорить, но по факту результат какой есть.

Ну да. Потому что они решают другую задачу. И тех, кто напишет заявление о разглашений персональных данных ФБК вроде как увозить не планируют - во всяком случае о таких случаях я не слышал.

В тех случаях, когда человеку нужно сделать статью, вполне себе делают статью по факту в духе "В 2014-ом году человек выложил на свою страничку в видеозаписи клип группы Раммштайн и поэтому сегодня мы решили завести на него дело".

---

На самом деле, если кто-то даст комментарий на тему актуальной практики работы наших органов - я буду очень благодарен. С моей точки зрения "верификация" страниц в соцсетях, да и привязка паспортов к номерам телефонов - это довольно свежие "изобретения" и дела вполне себе успешно шились до них.

Более чем 10 лет назад в уголовных делах вполне себе фигурировала переписка из ICQ (видел своими глазами), который тогда ещё рамблеру не принадлежал и серверов в рф, если я ничего не путаю, не имел. Маловероятно, что по всякой ерунде прямо-таки брало и сливало переписку милиции в провинциальные ебеня. Верифицирован ли аккаунт? А не было ли на компухтере вируса, который строил из себя прокси? Вообще пофиг.

Предположу, конечно, что такие дела скорее всего легче развалить.

Йеп, скорее всего если не сделать других ошибок (например, в дополнение к почте никогда и ни в коем случае не упоминать в разговорах по телефону или в сообщениях в контакте тот факт, что вы участвуете в деятельности ФБК, никогда не посылать ни одного сатоши без предварительного прогона своих биткоинов через нескомпрометированные миксер) - можно будет даже доказать свою невиновность в суде.

Ещё потребуется выдержать давление следователя. Вы-то умный и справитесь. Но кроме вас есть десятки тысяч людей менее готовые к такой сиутации.

А ещё даже выиграв суд (или добившись того, что дело до суда и не дойдёт) можно радостно потерять кучу денег, нервов, проблемы в отношении с родственниками и работу.

www.facebook.com/yashin.ilya/posts/4176818172371796

«Ну понятно, — говорит, — А доказать-то можете, что это не ваш канал?»

«Это же очевидно», — отвечаю. И поясняю: канал не верифицирован, на других мои страницах в соцсетях от 200 до 400 тысяч подписчиков, а здесь всего несколько сотен, любой человек может зарегистрировать такой канал хоть от моего имени, хоть от имени самой судьи Михалевой.

«Ну фотография-то ваша, правда? — улыбается судья. — Позиция ваша понятна, но суд считает доказательство приемлемым».

А чем дело кончилось, если не секрет? Отсутствие верификации помогло оправдаться?

btw, а канал действительно не имеет к нему отношения де факто, или только де юре?

А чем дело кончилось, если не секрет? Отсутствие верификации помогло оправдаться?

Не помогло. О том и речь.

btw, а канал действительно не имеет к нему отношения де факто, или только де юре?

Понятия не имею. Никаких аргументов, кроме «там стоит ваше имя и ваше фото», прокуратура не предъявляла, а суд не требовал.

Потому что они решают другую задачу. 

И дальше будут решать свои проблемы, а не бегать непонятно за кем. Получить палку гораздо проще с "В 2014-ом году человек выложил на свою страничку", чем думать как почту к паспорту привязать.

Там ведь даже фотки нет.

Там ведь даже фотки нет.

Вы исходите из допущения, что используемая почта - одноразовый аккаунт на выброс?

Я исхожу из допущения, что на сайте можно и чужую вести, для начала.

А зачем?

Ну, типа, ок, допустим значимая доля пользователей ввела чужую почту. В таком случае они в безопасности и за ними "не придут". Но в таком случае сервис сбора данных не выполнит свою задачу (значимая доля пользователей не получит уведомлений, а цель существования этого конкретного взломанного сервиса - собрать почты и отправить по ним уведомления). В чём тогда причина беспокоиться, что сервис дискредитирован и в него придёт оставлять почты меньше людей?

Попробуйте цифры подставлять в рассуждения, а то "если будет меньше, чем больше, то какой смысл беспокоится что будет меньше"

Мы публикуем их уязвимости до устранения, а они увеличивают нам пенсионный возраст до нашей кончины. По-моему, всё честно.

У 2naive 121 голос и карма 13.7 — Это наверное рекорд.
У меня 286 и карма 33.5 :)))

Жизнь надо прожить ярко, чтобы у кого-то подгорало.
Так гораздо лучше, чем если карма 30, а голосов всего 40.
В этом плане Хабру есть о чём задуматься.

Время реакции у нас пара минут. Я от клиентов не прячусь. Видите я тут. Любой мне может написать. (Игорь Тарасов, генеральный директор компании itsoft).

*Жалуется по тарасовски

Игорь, я тебя тегнул два часа назад, где обратная связь? Почему ты игнорируешь мое предложение? Это потому что ты генеральный директор, а я простой разработчик, да? Ты зазнался, Игорь, вот что.

И цель этого пинания Волкова и Ко, чтобы они сделали обратную связь, о которой я им говорил и предлагал сделать 8 лет назад. И такая обратная связь должна быть у всех организаций.

Они все достали! Я хочу, чтобы все общались с людьми как это делают хостинговые компании и в частности наша. (он же)


Выводы о генеральном директоре IT-компании Игоре Тарасове делайте сами. Равно и о его публикациях.

UFO just landed and posted this here
UFO just landed and posted this here

А вы же направляли им самим эту информацию заблаговременно?

Хотя с учётом количества ошибок детских не факт что им это помогло бы.

Пока 50 лайков и 20 000 просмотров на Хабре статья не наберёт они всё равно реагировать не будут. Какой в этом смысл? Не раз писал в ФБК и прочие проекты на общие контакты и ни разу не получил ответ.
UFO just landed and posted this here

Кстати интересно, а почему ТС и другие должны следовать каким-то протоколам в принципе?

Неужели "публичная платформа" следует протоколам? Аудит там, выплаты за утечки, признание вины в конце-концов

выплаты за утечки

Представляю как на стриме "привет, сегодня четверг, это не Навальный. А сегодня мы собираем на bugbounty нашим друзьям из itsoft".

Ну если вы найдете уязвимость в Google и вместо того чтобы направить им информацию опубликуете ее онлайн, то скорее всего ничем хорошим это для вас не кончится.

С другой стороны если данные были отправлены, а адресат их проигнорил, тогда публичное информирование о наличии уязвимости заставит владельца пошевелиться и тогда это благо.

Общепринятые протоколы для исследователей безопасности не включают в себя вместо благодарности за нахождение уязвимости получение ответа про "доморощенных экспертов по информационной безопасности и шапочки из фольги".

Это кстати просто омерзительно. "Доморощенные". А каким бы он поверил? Из техотдела ФБР/ФСБ?

Если бы он только банил тех, кто задает неудобные вопросы. Он (и не только он) банят и тех, кто поддерживает (например, ретвитом или комментарием) тех, кто задает неудобные вопросы. Я так в бан Милову и Волкову попал.

Я в бане у Коха, Милова, Чичваркина, Доброхотова, Адагамова, Бабченко, Фейгина, Сотника и ещё дофига у кого. Боровой в нулевых угрожал меня на счётчик поставить. Мало кто терпит людей, задающих неудобные вопросы. Вот такой зоопарк либерально-демократический у нас, который про свободу вещает.

Вот такой зоопарк либерально-демократический у нас, который про свободу вещает.

Либералы банят, коммунисты расстреливают, автократы травят. В чем недовольство?

Это просто у либералов пока власти нет.

Вот (если) будет, тогда и посмотрим, кто есть кто.

Точно. Знаю я этих либералов, построят как обычно страшную либеральную страну с концлагерями и без блекджека.

Хочешь узнать человека - дай ему маленькую власть. Да и не либералы они никакие вовсе. Также как современные коммунисты - не коммунисты, патриоты - не патриоты, РПЦшнки - не христиане.

Тот кто в интернете банит - будучи у власти будет сажать по тюрьмам. Ну и цензуру врубать на полную. Впрочем, власть этим товарищам не светит. Все что им надо - немножко донатов и продать кандидатам в муниципальные думы место в списке УГ.

Тот кто в интернете банит - будучи у власти будет сажать по тюрьмам. Ну и цензуру врубать на полную

Не согласен.

Если ко мне в квартиру пришёл человек, который мне не нравится, я имею право закрыть дверь.

Если ко мне на страницу пришёл человек, с которым я не хочу общаться, я имею право послать его к чёрту и закрыть доступ.

У вас разве не так? Разве вы считаете, что лично вы такого права не имеете?

---

Насколько я знаю, Волков имеет те же права, что и я, вроде как в правах его никто не поражал.

При этом вы можете считать, что он ведёт себя как мудак. И я могу считать, что он ведёт себя в этой ситуации, как мудак. И тот факт, что он - публичное лицо, да ещё и политик может заставлять нас считать его ещё большим мудаком.

(вообще, в подавляющем большинстве случаев мудаки действуют именно в рамках законодательства, внезапно. Поэтому у нас в языке есть отдельные слова для неодобряемого поведения и недобропорядочности - мы называем разных людей словами "мудак", "лицемер" и т.д., а не "преступник").

Однако быть плохим человеком (неважно, с чьей-то точки зрения или как-то объективно) - это совершенно не то же самое, что ограничение чьих-то прав или механизм репрессий. (Более того, подозреваю, что некоторые диктаторы - совершенно замечательные и душевные люди).

Если я говорю что я либерал, то не могу вести себя как диктатор. Даже в мелочах. Я не могу банить людей потому что они мне задают неудобные вопросы. И тем более, делать вид что это не мое лично решение, а просто это и остальные так считают. Да даже если большинство тоже так считает (хотя какая разница что оно считают, ведь они могут ошибаться), свобода слова один из главных принципов либерализма. Где-то у себя в семье пусть закрывает двери кому хочет. В его личное пространство никто не лезет. На публичной площадке для обсуждения так себя вести нельзя.

То есть, резюмируем: Волков - вообще не либерал.

свобода слова один из главных принципов либерализма

Конечно. Послать собеседника к чёрту - никак не связано со свободой слова. Не встречал ни одной формулировки свободы слова, которая обязывала бы меня общаться с неприятными мне людьми, например. Вы уверены, что она хоть где-то в истории встречается? Было бы любопытно почитать подобный источник.

На публичной площадке для обсуждения так себя вести нельзя.

То есть если я сейчас пойду на вашу страницу в контакте и начну критиковать ваши выставленные фотки, вы будете старательно себя ограничивать в праве закрыть страничку или добавить меня в чс?

То есть, резюмируем: Волков - вообще не либерал.

Допустим) С этим не вижу смысла спорить.

Я по-прежнему не согласен, что "либерал не имеет право банить людей на своей страничке", но мне, в общем-то совершенно совершенно всё равно, куда Волкова относите вы (или куда Волкова относит он сам).

В 2019-ом, 33 из 45 человек в списках умного голосования заняли коммунисты, да и программа Навального, по мнению некоторых людей, довольно левая (насколько я понимаю, из-за некоторых пунктов, собеседование в ЛПР, к примеру, он бы принципиально бы не прошёл), думаю, на основании этого вы можете смело называть Волкова коммунистом).

А что это меняет? "Либерал" - не значит "хороший" и тем более не значит "топящий за те же интересы, что и вы". Ну не либерал и не либерал, какая разница.

Это одно:

На публичной площадке

А это другое:

если я сейчас пойду на вашу страницу в контакте

не надо путать. А то получится, что предположим, в какой-то альтернативной вселенной, Волков вдруг становится президентом. Тогда что получается, это его личная страна что ли?

Вы так говорите, как будто Волков кому-то запретил пользоваться всем Твитром целиком, а не только писать сообщения лично ему?

На публичной площадке

Ну да. На публичной площадке.

Волков может написать на публичной площадке "Я - хороший человек"

Вы можете на этой же площадке написать "Неправда, Волков - негодяй".

Публичная площадка покажет мне оба ваших сообщения.

В чём проблема?

У нас наверное разное представление о том что такое публичная площадка, а что нет.

Судя по вашим словам, вы наверное считаете что публичная площадка в случае Волкова это такая, где он не может никого банить. Все остальное - его личная вотчина. Где можно банить за мнение вместо аргументированного ответа, и еще предварительно нахамить.

Ок, у нас разные понятия просто. Не вижу смысла продолжать диалог.

и еще предварительно нахамить.

Хамство никак не связано со свободой слова.

Все остальное - его личная вотчина. Где можно банить за мнение вместо аргументированного ответа

Как свобода слова связана с аргументированностью ответа?

Ок, отобрали вы у твиттера Волкова кнопочку бана.

Представим, что он на каждое ваше сообщение отвечает "бебебе". Или "я даже читать это не буду, потому что %username% - идиот". Это тоже будет нарушением свободы слова?

У нас наверное разное представление о том что такое публичная площадка, а что нет.

Мне кажется, корень различий у нас не в определении того, какая площадка публичная, а в отделении личного и государственного.

Например, я считаю, что государство должно одинаково относиться к двум гражданам, если предположить, что один из них верит в коммунизм, а другой верит в либертрианство.

Но каждый отдельный человек вполне себе имеет право считать того или иного человека идиотом. В том числе на основании убеждений. Это никак не противоречит свободе слова.

Это факт очень хорошо вас характеризует.

Я надеюсь вы так же в бане у Соловьева, Шейнина, Потупчик и прочих из другого лагеря?
UFO just landed and posted this here
Да я с этим дерьмом вообще как-то не пересекался. Зайдите на страницу того же Соловьёва и посмотрите кто его читает. Меня там нет. Мне не о чем с ним говорить, спорить.

И никогда н понимал любителей смаковать дерьмо. «О, посмотрите, какое дерьмо я нашёл сегодня.»

У меня вопросы к Навальному и Волкову, так как они претендуют на политическую силу, которая хочет представлять мои интересы. А за путинских я никогда не голосовал начиная с их прихода. Мне как-то было понятно кто и ради чего дома взрывал, и почему Басаев вдруг так внезапно начал Вторую Чеченскую. В своё время были вопросы к Явлинскому.

Кстати, я с Борисом Немцовым немного общался. Вот это был человек — очень открытый и доступный. Всем надо с него пример брать.
UFO just landed and posted this here
Почитайте внимательно мои комментарии. У нашей компании тысячи клиентов. Полагаю, что их реально больше, чем обращений в ФБК.

Время реакции у нас пара минут.
Я от клиентов не прячусь. Видите я тут. Любой мне может написать.
На сайте есть мои контакты и порядок направления обращений.

И ко мне обращаются крайне редко. Потому что тысячи обращений разруливаются до меня. Ко мне можно обратиться, если сотрудники не разрулили.

Ранее я уже писал в комментах, что много раз обращался в проекты Навального по открытым контактм и ни разу не получил ответа.

И цель этого пинания Волкова и Ко, чтобы они сделали обратную связь, о которой я им говорил и предлагал сделать 8 лет назад.

И такая обратная связь должна быть у всех организаций. Потому что есть у меня депутат Митрохин и депутат Гончар. У Митрозина есть аккаунты в соцсетях. Но его высочество не может снизойти и пообщаться со мной нормально. Он общался со мной сканами писем через помощницу. Написал хрень. Гончар тоже сканами, но хоть что-то пообещал.

Они все достали! Я хочу, чтобы все общались с людьми как это делают хостинговые компании и в частности наша.

Хостинговые компании жопы рвут за клиентов. Потому что конкуренция дикая. А во многих остальных сферах на человека кладут с прибором.

Хостинговые компании жопы рвут за клиентов. Потому что конкуренция дикая. 

Это потому, что все хотят денег. А уголовку мало кто хочет. И вы вот, почему-то, не хотите.

UFO just landed and posted this here

Можно обновить приложение и доставлять кандидатов пушами.

Вряд ли они рубанут все пуши в стране заради списка из 400 имен, за которые кому-то еще и проголосовать надо.

На один день, например (или сколько там нынче голосуют), ну, может и рубанут... но я подозреваю, что рубануть конкретно пуши трудно/невозможно и это также заденет все прочие сервисы Google/Apple.

Рубануть надо на неделю. Иначе смысла нет.

Справедливости ради, IP-адрес там, конечно, с богатой историей, возможно, она влияет. Там и казино раньше висело, и Росздравнадзор к нему прикапывался...

UFO just landed and posted this here

Ну заблокируют вместо сайта УГ сайты иноагентов.

UFO just landed and posted this here

Мое мнение, на сайт УГ простые домохозяйки не попадают.

Может проще подготовить 100500 статичных сайтов страничек. 

Кажется у вас что-то сломалось

UFO just landed and posted this here

Если что, в России ФБК баннеры никто давно не продает. Так что только гугл. Плюс баннерорезки: 2/3 аудитории сразу в минус.

Ну и потом это дохрена дорого

Население справится - самиздат появился давно, копировать текст все умеют.

Такие детали можно считать подтверждением версии, согласно которой ФБК сотоварищи - контролируемая оппозиция для составления списка недовольных и выпуска пара....

Не надо искать злой умысел там, где имеет место обычная глупость.

UFO just landed and posted this here

Вы недооцениваете человеческую глупость и лень

Скорее то, что они не агента ГосДепа. Госдеп то своим агентам нормальные сайты может сделать, а не любительство на коленке.

Вернусь позже, когда Волков новый пост выкатит, и комментарии настоятся.

Парочка багов, парочка утечек. Кого сегодня можно этим удивить?

Тем более это ведь сервис уровня "подпишись, получи новость". Достаточно забавно, что к такому кто-то вообще предъявляет претензии, будто это банк какой-нибудь. Или там РЖД.

Вот я лично зарегистрирован там и всем советую (и приложение я тоже поставил). Мыльце можете угадать с трёх раз и чекнуть по этим базам. Мне нужно что-то там такое, кроме как ответить хрестоматийно "И чо?"?

Ну ладно, боитесь этого всего (необосновано). Берите Tor, регайте анонимные мыльца. Алё, у нас тут хабр.

И да и нет. Простой проект можно сделать без откровенных дырок и без бекэнда торчащего голой жопой в интернет да ещё с типовым паролем.

Но действительно, с кем не бывает. Только не надо врать и повторять, что всё безопасно, а тех, кто не согласен оскорблять и банить. Если бы товарищ Волков не был бы столь высокомерным, а прислушивался, то не было бы и такого позора.

Простой проект можно сделать без откровенных дырок и без бекэнда торчащего голой жопой в интернет да ещё с типовым паролем.

Это всё можно требовать от IT компании. Или по крайней мере от людей, которая хоть как-то хоть чем-то близка к IT. При этом у нас IT старается быть от политики настолько далеко, настолько вообще возможно. Ну и вы потом требуете чего-то от людей, к которым жопой повернулись.

Волков ИТ-специалист. Ему говорили в твиттере. Он в ответ оскорбил и забанил.
Поэтому никто от него ничего не требует. Но других вариантов кроме как показать проблемы в статье — нет. Обратная связь у ФБК отсутствует.

Я ему говорил в 2013 году её делать. Ему не надо как путину.

Твиттер не очень похож на адекватный способ сообщения об уязвимости. Я бы тоже вас оскорбил и забанил.

Отлично. Какой способ адекватный? Назовите, мы используем.

Емейл на сайте игнорируют. Личные сообщения в твиттере, телеграмме, фейсбуке, вконтакте игнорируют. Всё игнорируют.

Остаются твиттер и хабр.

Волков ИТ-специалист. 

Волков максимум ИТ-менеджер. Был когда-то.

Ещё раньше был и ИТ-специалистом тоже.

Так то я в детстве балетом занимался. Но балерина из меня так себе.

без бекэнда торчащего голой жопой в интернет

С докером это сложнее, т.к. ты настроил файерволл, сидишь такой довольный, а тут пришёл докер и повертел твои настройки на известном месте.

У всех достаточно крупных облачных провайдеров есть возможность настраивать внешние файрволы, которым пофиг на то, как именно там докер резвится внутри виртуалочки.

Есть внутренние серверы, а есть внешние. Firewall настраивается на внешнем.
UFO just landed and posted this here

При всем уважении, технологий, и подходов, стремящихся обезопасить или упростить жизнь последователям 0.

Даже упоминания правил хорошего тона, типа не использовать известное гву мыло нигде не найти.

Не говоря о offline first, шифровании рекомендаций, координатной системы вместо адресов, pptp, оффлайн (nfc/qr) шаринге, слепках рекомендаций

Я бы стремился дать последователям всю информацию, пояснить, чем опасен подход УГ и почему важно рискнуть, как действовать по принципу УГ без использования портала, но в соответствии с его целями.

Подход с уведомлением в последний день требует доверия. А не то чувство, которое провоцирует Волков.

Не говоря о offline first, шифровании рекомендаций, координатной системы вместо адресов, pptp, оффлайн (nfc/qr) шаринге

А кто моей бабушке эти слова объяснять будет?

В хороших проектах это все работает незаметно для пользователя, пользователь только видит кнопку «сделать хорошо». Требовать от оппозиции в России такого уровня в IT с учетом всех гонений конечно странно, но приоритет на безопасность должен быть очень сильный, а не как сейчас.

Я сам то не все слова понял, но мне кажется прозрачно работать не будет начиная с "оффлайн шаринга"

Да легко, через NFC работает какой-нибудь Google Pay, с которым и ваша бабушка справится, по QR работает СБП. Это не мегатехнологии. Координатная система — это укажи точку на Google Maps, либо сохранение в базе не конкретного адреса, а координат района (хотя зачем вообще хранить адрес непонятно, достаточно хранить номер УИК). На кой черт там pptp я не знаю, но скорее всего автор имел ввиду не конкретные технологии, а общий концепт.

Моя бабушка не знает что такое Google pay. И что такое QR, вероятно, тоже. И какое отношение это к шарингу имеет. Это все надо объяснять. Да и что в QR то складывать? Адрес заблокированного сайта? Базу из 225 депутатов с номерами тысяч УИКов?

Чем отличается точка на карте от дома я не очень понимаю, да и какое это значение имеет тоже. Привязка к человеку то по email идёт. А он не мейлру. И какая после этого секретность?

А адрес нужен потому, что в результате джерримендеринга УИК меняется.

Я вот вообще не понимаю концепции борьбы из под дивана. Без готовности после выборов выйти на улицу в этом смысла вообще никого.

Если ваша бабушка не пользуется Google Pay, то и вот этим она вряд ли воспользуется. Насчет шаринга как я понял имеется ввиду оффлайн обмен данными. Что туда складывать не знаю, видимо базу (хотя для этого очень много QR понадобится).

Точка на карте с учетом плотности застройки в России равнозначна «найди иголку в стоге сена». А вот emailы вообще неплохо бы маскировать. Как знаете это работает во всяких whois protectorах. Так по крайней мере нужно будет либо вычислить алгоритм, по которому идет маскировка (а в случае использования криптографических функций это может быть затруднительно), либо взломать еще сервис маскировки, что уже посложнее.

Что касается нарезки округов, то на эти выборы она уже завершена. А чтобы понять что будет через 4 года нужно посмотреть на Беларусь. А там внезапно за то что ты скинул картинку не в тот чатик тебя вычислят довольно сложным образом (по точному размеру картинки переданной на сервера Телеги в это время), за тобой приедут и больше тебя никто не увидит. Да и лагеря для оппозиции там уже построили. Поэтому собирать базу на 4 года вперед в таких условиях довольно наивно.

Что касается улиц — УГ это все таки массовая затея и если вы хотите чтобы там регались не только активисты, которые готовы выйти на улицу (а это будет в районе 100к человек по стране, а в случае с УГ чем больше, тем лучше), надо думать и о тех, кто не готов на улицу выходить, в случае с конкретно этим проектом они тоже важны. Так какой-нибудь бюджетник может быть бы и вставил шпильку, а так его уволят или он почитает вот этот пост в пересказе завтра где-нибудь на Медузе и передумает.

найди иголку в стоге сена

А надо найти. И определить УИК. А выборы у нас каждый год, если что. И заново в УГ базу не собирают.

Ещё раз: письмо от УГ придет на сервер мейлру. Расшифрованным. Сотнями тысяч человек. Какая тут маскировка от палева спасёт?

а так его уволят или он почитает вот этот пост в пересказе завтра где-нибудь на Медузе и передумает.

Пост вредный, не вопрос. И повод его писать так себе. Но в целом все равно невозможо же побеждать пока большинство из меньшинства в ключевой момент "передумают". Чем их при этом будут пугать - не так важно, найдут.

Если кто-то указывает почту мейл\яндекс, то он ССЗБ. Но те, кто указывают что-то другое то почему должны подвергаться утечкам?

Что касается большинства — если цель УГ победить чисто силами активистов, то она изначально провалена. Такие проекты нежизнеспособны без привлечения широкой аудитории.

Если кто-то указывает почту мейл\яндекс, то он ССЗБ. Но те, кто указывают что-то другое то почему должны подвергаться утечкам?

Ну давайте в той же логике: кто на госуслугах регистрируется ты же почтой, что и на УГ, тот ССЗБ.

У вас широкая аудитория "передумала" при первом запахе жареного "в пересказе". О какой победе речь? Да, я тоже за то, что бы все были здоровыми и богатыми. Но невозможно же их как хрустальных донести до избирательной урны не испугав бедненьких. Ну просто не получается. Надо хоть немножко смелости для них у волшебника попросить.

От широкой аудитории требуется только прийти и проголосовать. От активистов обеспечить наблюдение. От самых смелых уже защищать результаты. Если вы опираетесь только на последнюю прослойку, то у вас просто не будет результатов.

Третий раз: У вас первая, по условию задачи, "передумала". Все, нет ее. Повесили им на мейлру над письмом УГ пересказ поста и обещание всех пришедших на участок отправить в окрестино и они кончились.

Так именно поэтому важно чтобы пересказывать было нечего (не было уязвимостей) и при регистрации писать что давайте ка вы не будете использовать mail.ru, а будете использовать другой почтовик (я еще прекрасно помню такие надписи на сайтах, потому что на mail.ru письма не доходили).

 поэтому важно чтобы пересказывать было нечего (не было уязвимостей

И чтобы все были здоровы и богатые, а не бедные и больные.

при регистрации писать что давайте ка вы не будете использовать mail.ru

Надпись читать не будут, если нет запрета вводить mailru. К тому же, mailru тут проблема не ограничивается. Полный список почт где взять?

А вторым этапом - запретить регистрироваться без VPN, чтобы сорм не догадался? И проверять что бы был пустой referrer?

Так распугать первую категорию ещё на этапе регистрации вы можете, усложнить жизнь остальным можете. А вот обеспечить безопасность при массовости - нет.

В России всего два крупных почтовика, сделать про них предупредительную надпись не сложно. Они так сделали на донатном сайте про PayPal, что если у вас российский PayPal, то не используйте этот способ платежа.

Регистрироваться через VPN там и так придется, сайт то заблокирован.

Регистрироваться через VPN там и так придется, сайт то заблокирован.

Нет.

Они так сделали на донатном сайте про PayPal

Лично я бы на этот текст внимания не обратил.

С учетом того, что у ФБК есть заметная поддержка в IT-сообществе, а также есть умение организовывать людей, не понимаю, почему нельзя было если не собрать нормальных специалистов для проекта УГ, то хотя бы провести закрытый аудит с помощью добровольцев - не сомневаюсь, такие нашлись бы.

Волков ответил же, что мол и так всё в безопасности и безопасность не требуется, так как всех уже засветили.

Напомнило:

Я в этом месте не Копенгаген. А закрытый аудит непонятными добровольцами - это как?

Вот именно что против тебя вся госмашина и поэтому уделять внимание безопасности очень и очень важно. Как собственной (весь проект провалится, если в день X уведомления разошлет не проект, а злоумышленник), так и пользователей (пока за регистрацию на таких сайтах только увольняют и это уже может отпугнуть часть пользователей, а лет через 5 будут отправлять валить тайгу лет на 8 с конфискацией и вообще никто регистрироваться не будет).

К сожалению они там слишком оптимистичные, как если бы они были оппозицией в какой-нибудь восточноевропейской стране (кроме РБ конечно), а не в России. Использование сервисов Яндекса (который уже раз сливал их данные нашистам) это наглядно показывает. Не хватает им в команде параноика безопасника.

Систему в большей мере характеризуют не ошибки, а реакция не ошибки. С этими ребятами я дел иметь больше не хочу, вот как-то накопилось и подгорело. Договор был на не врать и не воровать. С первым не задалось жестко. Хотя донил, и в СК ходил по донатам, и на акции выходил, и УГ делал... Пока Н. не выйдет – все, в топку этих клоунов, а там будем посмотреть.

Пока Н. не выйдет

Думаете сам выйдет, без вашей поддержки?

Хотя у меня схожие чувства, но такая политика играет на руку оппонентам, им выгодно чтобы кто-то испугался, кто-то разочаровался и никакой оппозиции больше не было. И Навальный скорее всего не выйдет ближайшие лет 10-20, к сожалению.

Очень важно понимать, что оппозиции нет и быть не может, оппозиция – нечто, что может прийти к власти политическим путем, и такой опции тут давно нет. Тут нужно определиться, мы в электоральной демократии или у нас нечто иное. Если мы в электоральной демократии, то что-то можно рассуждать про оппозицию. Если нет, то давайте говорить о диссидентах. Правильные термины. И страдать на тему, что мало диссидентов, или они не там, где нужно, не очень стоит. Опыт СССР и многих иных стран показал, что не диссиденты меняют режимы, и не они потом приходят к власти.

Первые президенты некоторых постсоветских республик как раз были из диссидентов. Так что может и так сложиться.

 РСФСР – Ельцин, партийная номенклатура.

 Украинская ССР – Кравчук, партийная номенклатура.

 Белорусская ССР – директор совхоза, член КПСС с 1979 года.

 Узбекская ССР – Каримов, партийная номенклатура.

 Казахская ССР – Назарбаев, партийная номенклатура.

 Грузинская ССР – Гамсахурдия, диссидент, продержался один год, был свергнут, еще через год погиб в бегах. Далее – Шеварднадзе, партийная номенклатура.

 Азербайджанская ССР – Муталибов, партийная номенклатура. Далее Гамбар и Эльчибей, формально что-то типа оппозиции на национальной почве, продержались год, далее Алиевы, партийная номенклатура.

 Литовская ССР – Бразаускас, партийная номенклатура.

 Молдавская ССР – Снегур, партийная номенклатура.

 Латвийская ССР – Горбунов, партийная номенклатура.

 Киргизская ССР – Акаев, академик, в финале карьеры ученого топовый республиканский чиновник от науки (президент Академии наук Киргизской ССР).

 Таджикская ССР – Махкамов, партийная номенклатура.

 Армянская ССР – Тер-Петросян, что-то типа оппозиции на национальной почве.

 Туркменская ССР –Ниязов, партийная номенклатура.

 Эстонская ССР – Мери, не диссидент точно, ближе к Акаеву и Тер-Петросяну трек.

Итого... один диссидент, и тот халиф на час, аномалия. Националистическая карта у нас не полетит уже, да и субстрата нет должного... итого, если считать, что истории времен распада СССР несут какую-то прогностическую ценность, то с высочайшей долей вероятности стоит ожидать кого-то из текущей номенклатуры.

Ага, fb, мегакорпорация с историей на рынке и парком разработчиков, но год-два назад у них утекли пароли которые хранились в открытом виде(plain text, Carl!).. Каждый день эти новости от крутых айти-компаний. Т-мобайл на днях.

А тут сайт рассылка. Конечно это не оправдание, но и не приговор. А поведение Волкова, могу предположить, как не опытное. По сути народ там из политики, в информационных системах не шарят. Им админы наплели, что у них все норм, контроль, ща все исправили, вот верхушка смело и транслирует их посыл, искренне уверовав в слова своих разработчиков. /предпологаю/

Волков достаточно опытный и как руководитель, и как айтишник. Скорее что нервы у него уже сдают от запредельного стресса последних месяцев. Ясно же, что IT-инфраструктура сейчас наименьшая из их забот.

Да как же наименьшая, если у них сейчас приложение Умного Голосования - самый важный инструмент. Идёт активная борьба именно в технической плоскости (потому что где ещё? юридически итак всё понятно).

Ну нет, IT инфраструктура и устойчивость - очень важный инструмент и единственный, где у команды Навального вообще есть шанс иметь преимущество.

А сейчас их подведение вместо "вот мы открытые, а с нами самые умные и светлые спецы, не то что пыльная нафталиновая гэбня" показывает совсем другое. И это маленькое, но важное поражение.

Поведение очевидно неопытное, но ещё выглядит так, как будто чуваки стараются тупо дотянуть этот механизм до выборов и выбросить его на свалку.

В целом оно наверное и логично - инструмент своё сыграл и отлично. Так что я думаю они с грустью читают письма и надеются, что тс уймется, а остальные не успеют :)

Мне нужно что-то там такое, кроме как ответить хрестоматийно «И чо?»?
Вам — нет, а кому-то не хотелось бы попасть в списки неугодных.
Например, в городе Микунь (Коми) от школьного учителя истории требовали уволиться из-за одиночного пикета, в Москве уволили преподавателя театрального института и сотрудников ВГТРК, в Пензе — программиста, работавшего в МЧС.

Массовая волна увольнений прошла в «Московском метрополитене». Бывшие работники подземки рассказали «Медузе» и «Коммерсанту», что их вызывали к начальству и в ультимативной форме потребовали уволиться, не объясняя причину. Уволенных объединяет то, что они были зарегистрированы на сайте «Свободу Навальному!», откуда были украдены персональные данные и опубликованы в интернете.

Вывод можно сделать такой: они плохо умеют в разработку и ИБ и это неудивительно, учитывая, что это не IT компания с мировым именем, ресурсы их ограниченны, а сами они и их сотрудники находятся под постоянной угрозой тюремных сроков, что явно не облегчает хантинг разрабов.

UFO just landed and posted this here

Что значит нанять? Вы себе представляете степень доверия кому вы ssh ключи даёте? Таких людей с улицы не возьмёшь.

UFO just landed and posted this here
на сколько мне известно всех их каналы за дидосены, они не могут вообще разгребать что-то входящее. Это проблема любого популярного явления. Можно еще вспомнить историю с судьей Новиковым. Но сделать приватный канал для своих нужно было бы конечно. В том же коде ящик почтовый положи, в туже консоль.
UFO just landed and posted this here
дану, тут отлично бы зашел бы nocode подход, с каким-то сервисом, а понты со своей разработкой выливаются в критический момент в такие детские вещи как включенный дебаг на проде. Банальная гугл форма и проблем бы не было
UFO just landed and posted this here
С дензнаками у них скорее всего сильный напряг. Но сообществу такие вещи как аудит вполне по силам, поэтому отмахиваться от помощи сообщества, да еще и с оскорблениями тоже как-то странно.
Недавно был эфир Светова со Здольниковым. И последний там говорил что специалистов то готовых там работать было полно, только денег им платили слезы, все бабло уходило на смм и эффективных менеджеров, и в целом атмосфера в ФБК такая, что все нормальные специалисты приходя, через некоторое время оттуда сбегали куда подальше.
Не знаю уж насколько это правда, но как по мне вполне правдоподобно, судя по таким дырам.

Учитывая профиль деятельности ФБК, им и надо тратить на SMM в 100500 раз больше, чем на IT: удвоение числа сторонников защищает от неприятностей намного эффективнее, чем идеально вылизанный сайт.

Ну как выяснилось экономия на IT может неплохо повлиять на репутацию, а следовательно количество сторонников. Время покажет конечно, но на мой взгляд их слишком, как бы это сказать, перекосило во фронтэнд)
Дело же даже не в том что они обосрались, от этого никто не застрахован. Дело в том как они на это реагируют. И ну раз они уж дофига вбухивают в пиар возможно какой-то дорогой человек занимающийся этим мог бы им подсказать, что хамить когда тебе пытаются помочь, и банить людей, это так себе тактика. Почему то этого не произошло.

На репутацию среди IT-специалистов - согласен, повлияло сильно.

На репутацию в более широких кругах - не уверен, что повлияло. Моей маме совершенно без разницы, как у них фаервол настроен.

Дело в том что информация об этих косяках не только же на хабре появляется. О прошлой утечке писали, ну например на медузе, и ее, я подозреваю, читает множество НЕ IT-специалистов, сторонников умного голосования. Я практически уверен что они завтра выкатят статью и про этот пост.
Впрочем, я согласен что непонятно влияет или нет. Вменяемо это не оценить. Но когда у тебя и так поддержка меньшинства, наверное стоит все же бороться за каждый голос, пусть это и малочисленная аудитория хабра. Это условный Путин может отмахнуться и сделать вид что ничего не было, а когда ты заведомо в меньшинстве глупо ругаться с теми, кто мог бы помочь.
Проблема в том, что когда вашу маму уволят с объяснением «не надо регистрироваться где не надо», или в дверь позвонят угрюмые ребята, или произойдет еще что-то такое, то люди просто перестанут регистрироваться в их проектах вообще и это ударит по репутации куда сильнее. Я уж не говорю что об этих утечках не только на Хабре пишут, но могут и по какому-нибудь Первому каналу показать.

По первому каналу и без всяких утечек могут показать)

UFO just landed and posted this here

По заслуживающей доверия информации за 20 дней никакой реакции на резюме и тестовое задание от них не последовало. Выводы делайте сами.

Вроде речь не про собеседование, а про то что хорошим тоном для любой компании считается ответить на посланное резюме. В том числе и сообщить соискателю что он в данный момент не подходит для данной должности.

На мой взгляд письмо с резюме без ответа - это вид хамства.

Ну, если комментарий про то, что там бывает не очень хороший тон - соглашусь.

Но любим мы их не за это.

UFO just landed and posted this here

Провокационный вопрос задаёте, а мне потом карму чистить.

Каждый за своё. У нас не так много оппозиции вообще, так что одно это уже повод любить.

А ещё УГ, интересные расследования да и вообще не сталинисты какие-нибудь. Тут вон недостатки то какие выискивать приходится - на почту не и отвечают, да банят особо навязчивых.

UFO just landed and posted this here

Можно. Только пресс-конференцию тогда надо переименовать в "мой уютный бложег"

Полное право политика фильтровать допускаемых на свои пресс-конференции.
Полное право избирателей оценивать, отвечает ли банный лист их избранника их предпочтениям.

Проблема еще в реакции, когда волкова буквально тыкали в морду тем что яндекс имеет доступ ко всему, да и вообще ставить я.метрику на подобный сайт, это верх непрофессионализма.

UFO just landed and posted this here
Их заблокировали бы даже если бы там вообще никакой аналитики не было. Предлог бы любой нашелся, да и кому он сейчас уже нужен.

По ресурсам все более или менее, насколько известно, все действующие лица уже за бугром, слава богу, а Алексей все еще сидит, и той же Медузе ничего не мешает хантить людей, а что мешает ФБК? Боюсь, что оно самое.

Но подождите, чтобы сделать лендинг с простейшей апишкой не нужно быть компанией с мировым именем. А чтобы оставить DEBUG=True в джанге -- это кем надо быть, если во всех мануалах чёрным по белому написано "не использовать в продакшене".

В прошлой серии ниасилили ингрессы, переключились на NodePort и тут такая засада — он всем открыт.

Бэкдоры уже им кто-то заинжектил, а они не в курсе даже.

Как Климов в разборках с Мининым?
UFO just landed and posted this here

На момент поста Здольникова в Телеграме об этом посте в 21:31 все ссылки работали. Сам проверил. Сейчас уже не работают. Значит прочитали и латают дыры.

Может после третьей приведут инфраструктуру в порядок

Месяц до выборов. Приложение УГ под блокировкой.

"Айтишники" продолжают усердно воевать против ветра.

Вот серьезно думаете Волкову заняться больше нечем?

Претензии в основном к его реакции: скажи он вчера, "ну да, сайт делался на коленке на бегу между обысками и допросами, не судите строго, работает и слава богу" - я уверен, сегодняшнего поста бы не было.

Наносимый УГ вред несоразмерен этой претензии

Куда больший вред УГ будет нанесен если кто-то воспользуется уязвимостями для слива базы, а потом поувольняет\позапугивает\посадит зарегистрировавшихся. И как мы видим по предыдущей истории со сливом базы сторонников это вполне реальный сценарий.

А для этого слив базы не нужен. Миллион человек поувольнять нельзя, а 20 человек для образцово-показательного запугивания можно хоть тут в комментариях насобирать, и уволить сказав что базу слили. Подобные статьи это только легитимизируют.

(Тем временем уволенных по суду уже восстанавливают)

Здесь в основном те, в увольнении которых не будет особого смысла. Программисты без особых проблем себе найдут другую работу, чего не скажешь об учителях и прочих бюджетниках.

Насчет того можно ли уволить миллион человек я не знаю, но тысяч 10 вполне можно. Это уже будет настолько большим, что будет звучать из каждого холодильника.

Тысяч 10 тоже не сложно насобирать. Вон зимой перепись в Сахарова делали, можно этих для начала.

Ну а вот уволить 10 тысяч учителей, допустим. А детей то кто учить будет? Это 300 тысяч недовольных родителей в самом скромном случае, а то и 3 млн. Ради чего?

У нас вон после прошлого слива уволили 40 человек что-ли, оказалось достаточно что бы тут все бегали и боялись миллионов в лагерях.

В рамках оптимизации здравоохранения было закрыто довольно большое количество больниц (сужу по своему региону). В рамках оптимизации образования было закрыто большое количество сельских школ. Можно еще одну оптимизацию сделать, на этот раз идеологическую. Если вы думаете что там есть какие-то тормоза, то я сомневаюсь, посмотрите на Беларусь.

Одни повторяют "вы что, хотите как на Украине", другие "посмотрите на Беларусь". Нет, так не работает.

В рамках оптимизации закрывали сельские школы, втихую. Там где 2 ученика. А репрессиями надо скорее в Москве заниматься и в открытую. Иначе какой смысл?

Так и займутся. Что им помешает? Какой негативный эффект от этого можно получить, чтобы он перевесил позитивный? Ответьте себе честно на эти вопросы и все станет понятным.

Я уже ответил: позитивный эффект достигается 40 уволенными и пересказом этого поста. Дальше только негатив

Действительно, фиаско. Фиаско высокоуровневого девопсячьего подхода к инфраструктуре, когда до наладки и проверки безопасности дело не доходит - оно всё само же, из коробки...

Зачем ограничивать доступ к продукционным сервисам из интернета? - мы же своевременно обновляем подтягиваемые из докерхаба образы контейнеров.

Но зато невероятно просто будет мигрировать в другое облако, да.

Лёня, найми ты уже нормального админа.

Нормального админа?

Их там мурыжат каждый месяц, кто нормальный пойдет работать.

Вот уж где максимально несложно навести конфиденциальности... Я же не в штат с белой зарплатой и полным фаршем соцпакета и бухгалтерии предлагаю человека взять.

Любой поддерживающий ФБК специалист наверняка согласится на некоторые неудобства вроде нетривиальных путей трудоустройства и оплаты - это, в конце концов, в его интересах в первую очередь, чтобы не "мурыжили".

согласится на некоторые неудобства вроде нетривиальных путей трудоустройства и оплаты

Мне кажется признание экстремистом принесет несколько больше неудобств.

Мне кажется это уде неактуально. Все значимые лица давно заграницей, часть тех кто делал (может и до сих пор делает) Навальный Лайв там же. В чём проблемы найти русского разработчика в Европе в 2021 году? Да чёт ваще никаких, по моему скромному мнению.

Тут скорее проблема в доверии к этому разработчику, на такие штуки можно только по личному знакомству нанимать.

UFO just landed and posted this here

А много ли таких опытных людей готовы работать на зп ниже рынка + при этом подвергать себя риску уголовного преследования, что закрывает возможность бывать в России и навещать родственников? Выборка очень небольшая получается.

К тому же опыт жизни заграницей никак не защищает от ситуации, что человек начнет сливать информацию, когда кремлевские олигархи предложат ему за 1 млн долларов в биткоинах. Так что в данной ситуации моральные качества кандидата даже важнее профессиональных

Добавлю, что некто Роберто Фабио Монда Карденас ни дня не жил в России, не знаком ни с кем в России, и получил от «кремлёвских олигархов» не 1 млн долларов в биткойнах, а хорошо если тысячу.
Поэтому «давняя жизнь за границей» не гарантирует вообще ничего.

на такие штуки можно только по личному знакомству нанимать.

Это очень порочная идея.

Если во главе угла ставить не профессионализм, а лояльность - в итоге получится то же самое озеро, только в профиль. Еще и непрофессиональное.

Даже лично знакомому человеку могут сделать предложение от которого невозможно отказаться. Вот из ваших личных знакомых на скольких вы можете гарантированно положиться что они не предадут вас под прессингом. Хорошо если на 5. А сколько из этих 5 хорошо умеют в IT? 0? Полагаться на человеческий фактор в (И)Б - плохая затея. Подход должен быть системный - хороший бэкграунд чек (а у запрещенной организации опыт в расследованиях огромный, если уж они фсошников деанонят, то рядового разработчика пробить должно быть не очень сложной задачей) и архитектура приложения не должна позволять две недели как уволенному сотруднику заходить под своим логопассом и дампить боевую базу. И неуволенному кстати тоже - хочешь тесты погонять - вот тебе выборка на 5к строк с зарандомленными ФИО

Отсутствие внутрипартийной оппозиции - прямой путь к информационному пузырю. Если еще раз перечитать статью и комменты, то очевидно что основная претензия не к самой утечке как факту, а к реакции на нее, отсутствию обратной связи, а временами и банальному вранью. Банить троллей, ботов, провокаторов - нужно, иначе они задудосят шумом. Банить (а особенно превентивно) за неудобные вопросы и инакомыслие - прямой путь в пузырь, в котором 100% электората за Н, а значит мы здесь власть. Ситуация такая же как с интернетом, который в бункер в распечатанном виде приносят.

И вот эта система основанная на личном знакомстве и лоялизме уже прямо здесь и сейчас играет против них. Мне не очень нравился вождизм Н, но он работал на них со знаком плюс. Сейчас личнознакомый В, своим непрофессионализмом в роли лидера и опухшим ЧСВ просто в грязь втаптывает всю репутацию и идею их компании.

Это действительно порочная идея, и очень жаль, что в эту ловушку попал ФБК, так же, как и госструктуры - когда на руководящие посты попадают не по навыкам, а по лояльности.

Безотносительно того, как лично я отношусь к Волкову, с чисто технической стороны, как IT-менеджер он в последнее время выступает совершенно провально - сначала демонстрация отсутствия ротации секретов после увольнений сотрудников, имевших важные доступы, потом - два эпизода с явно кривыми и бездумными конфигурациями критических сервисов.

Если бы я или мои подчинённые так косячили - на первый раз, наверное, дело обошлось бы штрафом с серьёзным разговором, а при повторном эпизоде - вежливая просьба отвалить, уступив место нормальным специалистам. Но, к сожалению, так поговорить с нашим героем некому - он же теперь "вещь в себе, занявшая весь предоставленный Алексеем объём".

Ваши претензии к Волкову справедливы; но я совершенно не представляю, кем Навальный мог бы его заменить, будь он на свободе. Условный Здольников, при своём техническом профессионализме, быстро бы распугал своими истериками всех сотрудников. Условный Дуров отвечает требованиям позиции идеально, но она ему нафиг не нужна. Условный Лебедев уже занял позицию по другую сторону баррикад. Претендентов с одновременно профессиональным бэкграундом в IT, менеджерскими способностями, и политическими амбициями в России тупо нет, они все либо не дожили, либо уехали, либо продались. Остаётся выбор между не самой способной оппозицией, и вообще никакой; и даже этот выбор стремительно исчезает.

Если допустить, что для организации IT-процессов не обязательно светить лицом на Ютубе наряду с коллегами-политиками, задача существенно упрощается - предполагаю, что найти честного и квалифицированного айти-менеджера, который не в восторге от текущей власти РФ значительно проще, чем публичную персону "с политическими амбициями" и тем же набором профессиональных качеств.

Зачем, собственно, айтишнику быть известной политической фигурой? Была же до последнего времени непубличной глава отдела расследований - и ничего, на качестве работы это никак не отразилось.

Я не про публичность — названные мной люди тоже не «известные политические фигуры» — а про готовность к обыскам с конфискацией всего электронного, к админарестам и т.п. Чтобы предпочесть работу в таких условиях любой более спокойной — мало быть «не в восторге от текущей власти», нужна именно политическая мотивация.

Стало понятнее, спасибо. Но тогда, кстати, и Волков уже довольно давно (в каком году там он переехал за границу?) не подходит под ваше описание - до приезда в РФ ему не грозят ни обыски, ни аресты.

Странно, что приходится напоминать о том, что айти более, чем любая другая деятельность подвержена возможности находиться где угодно без особого ущерба качеству. Да и широко разглашать о факте работы над проектами ФБК совершенно необязательно - наверняка можно организовать процесс так, чтобы сильно затруднить идентификацию посторонними.

Волков уехал в августе 2019. Если, уже имея ВНЖ и дом в Люксембурге, он на протяжении шести лет предпочитал жить, работать и отбывать админаресты в Москве — значит, удалённая работа для этой позиции недостаточно эффективна.

Вы конечно правильно пишите, но не учитываете, что структура Навального это не обычная компания. И нанимая кого-то со стороны есть большая вероятность, что нанятый профессионал может оказаться кротом от Кремля, который после найма будет сливать информацию и оставлять закладки в коде и инфраструктуре.

В итоге обычные методы для поиска специалистов не подходят - можно искать только через знакомых. Прибавьте к этому зп ниже среднего, уголовные риски и тд и получите, что поиск даже более менее хорошего it-специалиста непростое дело.

Ошибки — это плохо. Но надо ли публиковать их сразу вместо ответственного раскрытия?


Вот допустим, завтра я найду уязвимость в Windows или Linux. И не сообщая в Microsoft, выложу ее на Хабр. И у вас, автор, с ее помощью взломают компьютер, украдут ваши биткойны, выложат в паблик все ваши рабочие проекты и код, пароли/доступы, украдут вашу почту и что еще там можно украсть. Вы обрадуетесь?

Несомненно надо, когда политика государства ставит под угрозу личность человека из-за того, что он хочет использовать "умное голосование".

Люди должны видеть, что этим сервисом нельзя пользоваться в том виде в котором он есть.

когда политика государства ставит под угрозу личность человека из-за того, что он хочет использовать "умное голосование".

Чью личность поставили под угрозу?

Всех пользователей. Через сервис могут отправить людей по адресам, где сторонников Навального будет ждать в лучшем случае автозак, а в худшем - перо в бок.

УИК - это, конечно, опасное место, но тут вы явно драматизируете.

Все что могло утечь с сайта УГ (список email и возможно адреса с точностью до дома), уже утекло.

Автор писал выше в комментариях, достучаться до ФБК просто невозможно. Они реагируют только на статьи в медиа с высоким рейтингом и большим числом комментариев. И то, в основном реакция состоит в агрессивных наездах на задавших неудобные вопросы.

Если в Windows есть такие детские, простые в эксплуатации уязвимости, и Microsoft не реагирует на сообщения об ошибках - то лучшее, что вы можете сделать, это выложить их в открытый доступ. Так они либо будут вынуждены починить проблему, либо люди хотя бы будут предупреждены, что их Windows позволяет украсть их биткойны и пароли.

Вроде преследовать серьёзные цели и делать столь "детские" ошибки, мало того, по-детсадовски реагировать, когда грамотно указывают на них - странные вы ребята. ИТ это не серебряная пуля, нынче от их неграмотного использования больше вреда, чем пользы, причём в данном случае для неопределенного круга лиц, это почти как ядерная энергия - мощная штука, но полезная и безопасная только в квалифицированных руках. В таком случае уж лучше ограничиться роликами в ватсапе, пенсионеры проглотят и репостят что угодно. Хотя мне их уже жалко.

мне кажется, или это просто ханипот? домен fiasco кагбэ намекает...

UFO just landed and posted this here

Вся суть умного голосования, как я понимаю: подсказать за какого конкретного кандидата на каком участке голосовать.

Так почему нельзя сделать карту участков на которой тыкаешь на участок и видишь за кого голосовать?

Зачем все эти регистрации и сборы персональных данных?

Из-за всего этого никто не будет особо его использовать, только самые бесстрашные.

Так сайт заблокируют. А так, карта будет. Ну или поиск по адресу. Но потом, за неделю до выборов.

Будет карта, за несколько дней до выборов, можно будет посмотреть не регистрируясь, обещали по крайней мере.

На таком незатейливом хайпе вы сильно рейтинг своего блога не поднимете :) Ну еще про иксолу вбросьте под соусом заботы о чем-нибудь там

На этом шаге хочется остановиться, ведь не стоит цель навредить,

Как-то не похоже... Хватило ума и таланта найти дыру, но написать в твиттер Волкову что-то вроде "У вас дыра, я покажу, пишите в личку" нет?

Вот вам предложение - поковыряйте сайты типа kremlin.ru, ФСБ и т.п., а затем напишите тут о дырах. После этого посмотрим насколько круто изменится ваша жизнь. Если платформа Волкова имеет под собой основания, то мы о вас тут какое-то время не услышим. Я лично буду рад, если на хабре таких желчных постов будет меньше.

"У вас дыра, я покажу, пишите в личку"

и после этого Волков забанит пользователя, который это написал.

Эти проблемы можно было бы давно исправить, если бы обратная связь у оппозиции работала не таким же образом, как у путинской системы. Когда человек проявляет агрессию и на комментарий с уязвимостью предлагает надеть шапочку из фольги... Я считаю правильно придать огласке ситуацию и потребовать от него такого же публичного извинения. Скрывая факты утечек, рассказывая только об успехах и прорывах, замалчивая проблемы, и повторяя по кругу одни и те же мантры, мы в конечном итоге получим отличных приёмников действующей власти.

Скрывая факты утечек, рассказывая только об успехах и прорывах, замалчивая проблемы, и повторяя по кругу одни и те же мантры, мы в конечном итоге получим отличных приёмников действующей власти

Серьезно? Именно это вы считаете проблемой действующей власти?

черт) действительно глупая ошибка

receivers

Чем ближе выборы, тем активнее разворачиваются программы по дискредитации идеи и реализации умного голосования. Ожидаемо.


Уязвимсоти — плохо, но существуют правила хорошего тона, когда первыми уведомляются владельцы сервиса, и лишь после исправления информация обнарудуется. Делать так, как сделал автор поста, как минимум не этично.

Опять вы. Идею я не дискредитирую. Здольников тоже. Дима Зворыкин тоже. Наоборот, мы все внесли огромный вклад и приняли существенное участие в оппозиционной движухе. И мы бы хотели, чтобы дыр не было.

Лично я наверное готов проголосовать как подскажет УМГ, если только не предложат голосовать за кого-нибудь сталиниста. Между сталиным и путиным я выберу путина всё же.

Автор поста имеет к УМГ вопросы, но задавал их мне за неимением возможности задать их организаторам.

ПионЭры, расслабьтесь, ведьм нет, не надо искать врагов народа. Это очень опасное занятие. История это убедительно доказала.

голосовать за кого-нибудь сталиниста. Между сталиным 

Вы сталиниста со Сталиным не путайте. Один - отец народов, а второй - относительно бесправный депутат.

А Путина в меню вообще нет

«Оказался наш отец не отцом, а сукою!» (с)

и лишь после исправления

можно ждать долго. Иногда - вечность.

Поэтому хорошим тоном является информирование и N дней форы на закрытие. А дальше - кто не спрятался, я не виноват.

Очень многие не почешутся, пока их в грязь лицом не макнут. Причем, как мы видим, такой подход отлично работает как с ДИТом Москвы в частности и подрядчиков госуслуг в целом, которые плоть от плоти исполнительной власти, так и ресурсами оппозиционеров.

Почему? Да потому что люди одинаковые, и там и там. Нашинские. Не злобные марсиане...

существуют правила хорошего тона

Да, например, хотя бы не пороть гордый бред, когда вам открыто пишут про уязвимости.
Если организаторы, простите, страдают хернёй, просаживают бюджеты на безопасность и оставляют служебные порты с голой жопой в интернет да ещё и неадекватно реагируют на отсчёты, то вы уж простите. Публикация привлечёт внимание вышестоящих властей и они прикажут то, что организатор мог сам исправить, но не хочет.
Я уже молчу про какое-нибудь "спасибо". И даже не вспоминаю на копеечку, которая будет сэкономлена с того, что в день выборов какой-нибудь школьник (террористы) не набрал заветное "drop database" прямо в самый, как обычно, не подходящий момент.

просаживают бюджеты на безопасность

Много просадили?

Как-то не красиво автор поступил. А что с них взять? Они не it компания. Их постоянно пресуют. Постоянно перекрывают финансирование. Многие уже боятся на них работать, даже если хотят. Живут как могут, ни больше, ни меньше.

Тут и в других местах уже предлагали варианты: иностранцы (в т.ч. из Украины), оплата биткоинами, и т.п.

Но самое главное не это. И даже не то, что они используют инструменты, которыми не умеют пользоваться. А то, что они неадекватно реагируют на проблемы, которые до них доносят. Причем, реагируют по монгольскому обычаю: гонцу голову с плеч перманентный бан.

А то, что они неадекватно реагируют на проблемы, которые до них доносят.

Эту проблему никто не доносил. ТС просто выложил в паблик и все...

Только Здольников им написал https://twitter.com/ShieldNav

Все ссылки уже не работают. Практика показала, что они оперативно реагируют, когда понимают уровень проблемы.

Я так понял, Волков в первой истории не сразу врубил про какой такой сервис Яндекса идёт речь и у него упало забрало. Нервы. Так начальный твит был прям крипто-языком написан. Было бы написано попроще - Яндекс метрика у вас, она такое вот может - может, была бы другая реакция. А так это оправдание. Ну обиделся автор на Волкова, ну поднасрал ему, ну сам Волков виноват. Ну и не надо самому делать вид, что белая шляпа.

Я так понял, Волков в первой истории не сразу врубил про какой такой сервис Яндекса идёт речь и у него упало забрало.

начальный твит был прям крипто-языком написан

Было бы написано попроще

Просто замечу, что это целиком можно применить в обратную сторону. Пентестер увидел твит Волкова с реакцией на уязвимость и у него упало забрало. Твит Волкова каким-то надменно-оскорбительным языком написан. Было бы написано помягче...

Да вообще вся эта переписка по тональности выглядит как «ты дурак - сам дурак». Думаю, тут есть взаимная личная неприязнь ее участников, которую ни одна из сторон не готова отбросить, хоть вроде и оба за одно дело.

UFO just landed and posted this here

не сразу врубил про какой такой сервис Яндекса идёт речь

Но когда врубил, то не извинился, а сразу забанил автора твита.

Многие уже боятся на них работать

В России. В Европе они могут нанимать сколько угодно сочувствующих их идеям русских, белорусских, украинских программистов и админов. Думаю, найдутся и готовые работать за идею, а не за деньги.

Основная сложность — отличить готовых работать за идею от петровых, бошировых и хакер-хеллов.

Зачем? Пусть сдадут готоый код и инструкцию по разворачиванию в одном из облаков(запишите credentials в файл, запустите скрипт, наслаждайтесь). Другие пусть проверят, да даже в open source выложить можно. А давать исполнителям доступ к боевой инфраструктуре совсем не обязательно, даже вредно.

Ни одна ссылка из статьи не открывается, сайт стали фиксить или что?

Разработчики гос портала: вот вам сервис

Чувак, который решил потратить пять минут, чтобы потыкать новый сервис: проверю я служебные порты для отладки

Служебные порты для отладки: Привет, как дела? Не хочешь тут по базам полазить? Ты не напрягайся, тут всё по дефолту настроено. Что? Нет не спеши, мы будем тут ещё несколько месяцев открыты.

Ответственный за ИБ на сервисе: Наденьте шапочки из фольги, мы взлетаем!

UFO just landed and posted this here

Не так. Ответственный за ИБ на сервисе: (открытая вакансия)

Это вообще легально? Постить инструкцию по взлому серверов с актуальными базами данных, причём с весьма чувствительными данными.

Я правильно понимаю, что вы в своём корпоративном блоге открыто заявляете, что получаете неправомерный доступ к серверу и к тому же публикуете инструкцию по взлому?

Интересно было бы посмотреть, как российское правосудие грудью встаёт на защиту проекта ФБК. Парадоксальная бы загогулина получилась...

После Шлосберга лаконично было бы itsoft объявить соучастниками ФБК.

ФБК и пр. структуры Навального признаны экстремистскими. Выявление и публикация уязвимости в сайте экстремистской организации является участием в деятельности экстремистской организации Статья 281.1 п.2 N112-ФЗ . Штраф до 600тр или принудительные работы или лишение свободы до 1года.

Дыра-то ладно. Волков убеждает сторонников делать донаты в Биткойнах и платить картами. Ни то ни другое не безопасно, все ходы пишутся, а за финансирование "террористической" организации по новым "законам" можно до 5 лет схлопотать.

Сам не пробовал, но карты я так понимаю идут через stripe на какие-то левые зарубежные юр. лица через которые проходят куча других платежей. Так что в этом плане все более-менее безопасно должно быть. Хотя черт его конечно знает...

Судя по телеграммопостам Здольникова --- нет там никаких сильно левых юр. лиц + (по крайней мере какое-то время) было видно адрес сайта. Ну и лицо-то в любом случае одно и не меняется каждую минуту. Так что наверно товарищ кгбшник может задонатить рубль и узнать кого добавить в список юр. лиц ФБК (если это не ютуб, патреон и т.д.).

К сожалению, это не так.

Да, в выписке из банка вы действительно ничего особенного не увидите, и вам, как, вероятно, и Волкову с командой, кажется, что анонимность обеспечена. Но в межбанковской внутрянке всегда будет засвечен уникальный идентификатор терминала и /или продавца, и я очень сомневаюсь, что хоть один российский банк откажет в просьбе сделать такую выборку транзакций «в рамках борьбы с экстремизмом».

При этом уникальный идентификатор на каждый сайт - это не какая-то там прихоть Страйпа, а требования Visa и MasterCard. Всякие там методы типа «зарегистрировать один сайт, а принимать оплату с другого» активно используется мошенниками (те же фейковые антивирусы), потому строго запрещены правилами и караются крупными штрафами. У мошенников эти штрафы и расходы на ротацию юрлиц заложены в сверхдоходы с мошенничества, у ФБК же сверхдоходов, как сами понимаете, не особо. А Страйп вообще такое зарежет сразу же на корню, конечно.

Более безопасный метод знаете? Я серьёзно, мне интересно.

Более безопасных методов полно, например Monero вместо Bitcoin. Но скорее всего они довольно непопулярны чтобы кто-то из донатящих с ними морочился.

Патреон и т.п., так же как у них сейчас сделаны донаты через ютуб. Тогда не будет видно кому конкретно назначался перевод. Но больше комиссия.

Youtube

Гугл перестал сотрудничать с органами? Вроде ж буквально год назад они объявили, что что бы не говорили их сотрудники и на какие бы митинги не ходили - их официальная позиция удовлетворять запросы силовиков тех государств, где они работают?

Ну это как минимум не то же самое, что запрос банку в РФ. Надо нормально составить. И запрос типа "дайте нам данные всех донатеров этого канала" звучит странно, тогда уж надо для начала забанить этот ужасный канал экстримистов, но гугл почему-то это не делает.

Ну это как минимум не то же самое, что запрос банку в РФ. Надо нормально составить.

Согласен.

тогда уж надо для начала забанить этот ужасный канал экстримистов, но гугл почему-то это не делает.

Пока не делает. Но в официальном письме от компании, направленном конкретно Волкову, и конкретно Милову гугл утверждает, что заблокирует их каналы, если видео не будут удалены.

«Если вы не удалите контент, компания Google может быть вынуждена его заблокировать».

Это не мешает, конечно, зафиксировать в переписке с Волковым "айай, мы слушаемся и точно-точно сейчас у тебя всё удалим", а потом по той или иной причине потянуть резину, подвигать сроки, подумать над вариантами, итд.

Но, насколько я понимаю, единственная озвученная позиция - причём озвученая в официальной переписке - "Мы официально уведомляем, что заблокируем твой канал, если ты не удалишь видео".

Кроме того, в прошлом гугл выполнял эээ, "странные" запросы от РКН. Допустим, когда от РКН приходят запросы с указанием на то, что на видео "оскорбляют государственную символику" (например, украинцы топчат и сжигают российский флаг), гугл выполняет требования и ограничивает доступ к видео на територии России.

Как бы, с одной стороны, вроде бы ни разу не резонирующие видео - совершенно не тот калибр, чтобы стоило ради него бодаться. С другой стороны - при предоставлении запроса, мол, смотри, гугл, у нас есть странный закон и по этому закону это видео крутить в нашей стране нельзя - гугл стабильно слушается.

Думаете, в этот раз будет бороться?

Карты через зарубежный биллинг без крепких связей с Россией и Bitcoin это относительно безопасно. Первое — если биллинг — иностранная организация с небольшим количеством клиентов здесь, вряд ли они сольют данные даже под угрозой блокировки (хотя конечно спорно, лучше использовать оффшорные кошельки). Bitcoin можно отследить, но учитывая как большинство его покупает задача тоже довольно сложная (хотя лучше использовать Monero).

Другое дело что между безопасностью и юзабилити нужно выбирать что-то среднее. Потому что можно сделать все очень безопасно, но этим никто не будет пользоваться потому что сложно. Тут выглядит в целом оптимально (хотя что там внутри я не знаю, сужу только по их описанию, которое они выложили на сайте, может они там деньги через условную Яндекс.Кассу принимают, тогда это полный залет).

Но вот донаты через Youtube вещь максимально спорная, на Google в принципе могут и надавить.

Нет, карты - это опасно.

Если вы возьмёте обычный POS-терминал (физический, который в магазине стоит), вы там увидите два набора цифр - merchant ID (идентификатор продавца) и terminal ID (идентификатор терминала). Оба этих идентификатора в ходе авторизации транзакции передаются в итоге банку, выпустившему карту, с которой происходит оплата.

При оплате онлайн все то же самое, только терминал «виртуальный». При этом любой агрегатор платежей обязан выделять каждому продавцу (то есть по сути каждому сайту) собственный идентификатор либо собственный терминал (а может, и оба, сейчас уже не вспомню) - это регулируется правилами visa и mastercard, нарушение называется «мисагрегация» и карается серьезными штрафами.

Так что в итоге товарищу майору достаточно сделать пожертвование и «В рамках борьбы с экстремизмом» запросить из банка выписку всех транзакций с таким же идентификаторами.

Короче, Монеро, да. Или карты, выпущенные зарубежными банками (если у кого после борьбы ЦБ с Payoneer и иже с ними такие ещё остались).

Донаты через YouTube я бы отнёс к низкому риску - если они что-то выдадут и это вскроется (а это неминуемо вскроется), репутационный ущерб для Гугла будет несопоставим с потенциальными неприятностями на российском рынке. Но, конечно, этот риск не нулевой, так что лучше Монеро.

Интересно, не знал про такое. Карты зарубежных банков сейчас практически нереально достать в России.

А вот Гугл судя по всему в целом сотрудничает с властями. И если выбор будет между «мы вас забаним или вы выдадите данные» (а он такой и будет), то скорее всего они их выдадут. В конце концов хотели же они в Китай вернуться не так давно. Сейчас Гугл уже не тот, который don't be evil и все такое.

Гугл — это бизнес, и будет при принятии решений руководствоваться бизнес-соображениями.


Если Гугл выдаст данные таким образом, что это будет всем очевидно (не представляю себе, как это сделать иначе, это ж материалы дела), в тех же американских СМИ на них выльют такой ушат помоев, что ничем не отмоются. Такой репутационный ущерб превысит любые штрафы любых российских судов.


А забанить Гугл нереально. На него завязано вообще всё у всех, в том числе и в госорганах (им, конечно, "не положено", но те же гугл-документы используют все подряд); да и личные данные полно у кого там, и андроиды с гугл-облаком, и мультики с youtube детям не включить. Протестный потенциал такого действия (ну реально же у всех и работа встанет, и телефоны заглючат) куда больше, чем у любого уголовного дела против оппозиции или фальсификации выборов, поскольку тут вот каждый на своей заднице ощутит моментально, а ведь первоочередная их задача — не допустить протестов.


Сейчас они там нащупали некоторое взаимодействие: роскомнадзор им шлет жалобы, они что-то там выборочно блокируют (то, что никому не нужно), роскомнадзор отчитывается, что вот диалог идет, все более-менее довольны, win-win. Понятно, что это может измениться, но сейчас оно вот так.


В какой-нибудь критической ситуации (скажем, миллионные массовые протесты и терять уже нечего) могут рубануть все подряд, но ненадолго — как в Беларуси.

Если Гугл выдаст данные таким образом, что это будет всем очевидно (не представляю себе, как это сделать иначе, это ж материалы дела), в тех же американских СМИ на них выльют такой ушат помоев, что ничем не отмоются

Можно выдать неочевидно. В последние годы существуют дела за посты в мессенджерах, в том числе в Telegram (а еще есть Whatsapp и Twitter). Это тоже материалы дела и по идее там нужно доказывать, что аккаунт принадлежит человеку и все такое. Однако до сих пор непонятно выдал ли Telegram\Whatsapp\Twitter эти данные или там были какие-то другие источники. Никаких скандалов при этом не было.

А забанить Гугл нереально

Забанить Гугл — это внести примерно 100 айпишников в реестр. До этого вносили миллионами айпишники AWS и тоже половина интернета не работала, кого-то это остановило? Ситуация с интернетом в России развивается по китайскому сценарию, именно оттуда власти берут пример, консультанты судя по всему тоже оттуда. Google (а точнее Youtube) вне рамок критической ситуации не забанят лишь до того момента, пока не будет хоть сколько либо популярной подконтрольной альтерантивы. Ну то есть взлетит какой-нибудь Яндекс.Эфир, прощай Youtube.

Хотя если он будет сильно мешать, то и альтернативу тоже вряд ли будут ждать. Но блокировка должна будет быть железной, т.е. популярные схемы обхода не должны будут работать. «Суверенный рунет» и то, что РКН сейчас занимается блокировкой VPN по сигнатурам говорит о том, что такие методы готовятся. Опять же все по китайскому сценарию.

Ваш донат это 1001ая причина на вас наехать. Если наезд со стороны органов случится, то не потому, что вы донатили, а потому, что вы оказались в ненужном месте в ненужное время. А причина, по которой вас посадят может быть произвольной. Донат, неправильная расцветка одежды (привет Беларусь), оскорбление сотрудника мыслью, причинение испуга бумажным стаканчиком, участие в выдуманной майором организации, педофилия и так далее.

Если вы настолько обеспокоены безопасностью, то не смотрите youtube (продвижение экстремистской организации путём влияния на алгоритмы YouTube с помощью просмотра), не читайте посты где есть слова УГ, Навальный и т.п., не пишите ничего онлайн, станьте членом Единой России.

Вообще-то за спонсирование экстремистских организаций есть вполне конкретная статья. И нет никаких причин чтобы ее не применять, в том числе не применять массово. Очевидно же что все идет в сторону РБ и далее, т.е. массовые репрессии, лагеря для политических и вот это все.

Есть такая статья, но есть ещё много других статей, по которым вас или меня можно посадить на произвольное количество лет. Конкретно эта статья ничего не меняет, расстановка сил и вектор движения и так ясен. Она нужна чтобы напугать не более.

Несложно придумать много способов чтобы устроить массовую посадку сторонников Навального и ФБК. В нашей не очень далёкой истории есть куча примеров. Наличие 101го повода вас посадить никак ваши шансы сесть не увеличивает.

Я бы сказал наоборот, массовая поддержка ФБК, в том числе рублем, скорее уменьшает ваши и мои шансы присесть на n лет.

Много других статей как правило более хлопотны, чем эта. Тут достаточно сделать простой grep по переводам и все, можно отправлять материалы в суд. Никаких причин не делать этого, хотя бы ради «палок», я не вижу.

Если у вас есть желание куда-нибудь донатить, то как минимум разумно это делать так, чтобы это было сложно обнаружить.

Многие другие статьи хлопотны для чего? Если стоит задача посадить 1 000 000 человек, то конкретно эта статья не нужна. Если стоит задача посадить 10 человек, чтобы напугать 1 000 000 человек, то эта статья тоже не нужна, есть другие не менее прекрасные. Она нужна только для того, чтобы вас испугать. Ваш реальный риск - оказаться в числе этих 10, которых выберут случайным образом.

А до того, как они смогут что-то выбрать, надо список транзакций получить у Stripe. А для этого надо запрос сделать - "дайте нам все транзакции всех юзеров из России", на который Stripe резонно скажет - идите в *опу. Поэтому надо делать запрос о персональных транзакциях, а значит, вас уже выбрали.

Получить все транзакции всех юзеров из России проще не у Страйпа, а у российских банков–эмитентов карт, использованных для транзакций.

Почему-то все забывают одну простую вещь. Если УГ действительно сработает и выберут не того, кого надо власти, то мало кто сомневается, что власти просто "нарисуют" какой им надо результат (привет Лукашенко). И тогда от людей, чтобы с этим бороться, потребуется гораздо больше действий, и нести гораздо большие риски.

Если люди будут боятся просто того, что вычислят их IP или email, то можно уже закрывать УГ, так как смысла в нем нет.

Там несколько сложней. Сейчас задача поставить вопрос легитимности.
У всех властей у которых нет легитимности всегда конец один, вопрос во времени и последствиях.

Да, я это все прекрасно понимаю. Сделать режим нелегитимным - это конечно же важно. Но даже после этого потребуются решительные действия.

UFO just landed and posted this here

Предполагаю, что от трети до более чем половины населения страны. Этого достаточно, чтобы выиграть во втором туре, например.

Легитимность - это не формальный критерий, а "признание народом за властью права принимать обязательные к исполнению решения"(спасибо, википедия).

Так что правление Путина может быть сколько угодно незаконным(фальсификации выборов), неконституционным(обнуление), но он вполне себе легитимен.

UFO just landed and posted this here

У нас буквально год назад примерно 65% (по оценкам Шпилькина) населения проголосовало за то, чтобы внести в конституцию изменение, позволяющее Путину пойти на ещё один срок.

Тонкий вопрос, насколько это безобразие можно считать подтверждением легитимности (например, конечно же, голосование за поправки пакетом - полнейшее безобразие), но не пока вижу особых причин предполагать, что большинство - против него.

inb4: Это не значит, что нужно сложить лапки и согласиться с большинством.

UFO just landed and posted this here

Да нет никакого большинства за Путина. Есть постепенно уничтожающий оппозицию диктатор, работа которого состоит в запугивании смелых, подкупе продажных и создании в обществе ощущения безысходности и отсутствия альтернатив

А где здесь противоречие? Ни разу не было в истории, что большинство населения топит за хорошего человека, действительно.

В Беларуси тоже все считали, что они-то лично против Лукашенко, но вокруг все за.

Вы в этом уверены?

Я вам другой пример приведу - выборы в США в 2016 и 2020-ом.

Насколько я понимаю, в отношении тех же выборов с США общий консенсус на данный момент (если отбросить всяких сторонников теорий заговора) - вроде бы всё было честно, что в этот раз, что в прошлый.

Получается, большинство населения (но с ооооочень небольшим перекосом) (с поправками на приколы их избирательной системы, конечно) проголосовало один раз из двух за того, кого другая половина считает ужаснейшим человеком, рептилоидом и вообще.

Я такой вопрос задам - для вас вообще принципиально важно, что те, про кого вы боретесь, в меньшинстве?

(с поправками на приколы их избирательной системы, конечно)

В этом и фишка: Трамп в 2016 набрал на 2% меньше голосов, чем Клинтон, и всё равно победил.

Это к тому, что мало иметь большинство голосов — стратегия тоже важна.

Конечно, целиком согласен, стратегия важна.

---

Мой пример к тому,что вот на наших глазах ситуация, когда половина половина население страны искренне голосует за рептилойда и негодяя и оценка в половину (+- пара процентов), какжется, не оспаривается ни мной, ни вами.

Мой собеседник говорит, "нет, оппозиции не может быть меньшинство! Смотрите, Лукашенко тоже убеждал всех, что он большинство, а вот как получилось".

Ну да. Там получилось так.

А тут оба игрока в выборах 2016-го и и оба игрока в выборах 2020-го убеждают всех, что за ними большинство, а за соперника - тупые какие-то голосуют. А вышло поровну. С перевесом в одну сторону в одном случае, в другую - в другом.

Я понимаю, что Лукашенко - это пример, который должен вызвать у читателя сильную эмоциональную реакцию, это жестоко, это неприятно, это случилось буквально вчера. Но было бы странно абсолютно серьёзно так именно рассуждать.

В этом и фишка: Трамп в 2016 набрал на 2% меньше голосов, чем Клинтон, и всё равно победил.

Мне кажется, в обсуждаемом контексте (см. выше), 2% - не очень важны.

Если вам кажется, что честными и правильными являются только выборы, в которых один гражданин = один голос и всё считается самым что ни на есть прямым образом - это замечательно и я целиком с вами согласен, что если бы эти игроки играли по этой системе, Трамп бы проиграл.

UFO just landed and posted this here

Я так не говорил.

Ну извиняюсь, значит я вас неправильно понял. Предлагаю исправить ситуацию. Попробую объяснить, почему я проинтерпретировал наш диалог именно так. Как я его прочитал:

Моё утверждение:

но не пока вижу особых причин предполагать, что большинство - против него.

Ваш ответ:

Да нет никакого большинства за Путина.

Есть постепенно уничтожающий оппозицию диктатор, работа которого состоит в запугивании смелых, подкупе продажных и создании в обществе ощущения безысходности и отсутствия альтернатив.

В Беларуси тоже все считали, что они-то лично против Лукашенко, но вокруг все за. А на поверку вышло, что за Лукашенко всего около 150,000 так называемых бенефициаров режима: силовики, руководители среднего и высшего звена и их семьи.

Я увидел тут утверждение "нет, за оппозицию - всё-таки большинство" и ровно два аргумента в поддержку утверждения.

Первое: - есть диктатор, уничтожающий смелых и оппозицию.

Второе: - в Белорусии тоже считали, что все за Лукашенко, а вот как получилось.

Про первый аргумент я ответил - из того, что есть диктатор уничтожающий смелых и оппозицию не следует, что против этого диктатора большинство.

---

Это то, как я ваше сообщение понял. Видимо, понял неправильно. Извините,и не обижайтесь, пожалуйста. Буду очень благодарен, если объясните, что же имелось в виду, впрочем, вы совершенно точно не обязаны это делать.

Соре, забыл в прошлом сообщении ответить на остальные части.

Выборы в США похожи на выборы в России только названием. Давайте не будем gerrymanderить нашу дискуссию.

С первым предложением - целиком согласен. Второе предложение - целиком не понял. Географическую карту на округа я вроде как не нарезаю ни в одном сообщении.

Представьте, что на следующих выборах президента РФ альтернативой престарелому Путину станет кто-то вменяемый, скажем Илья Новиков, Павел Дуров или Наталья Синдеева. Как вы думаете, будут ли у Путина шансы выиграть честно и мирным путём?

Интересный вопрос. Думаю, шансы будут, но очень сильно зависит от избирательной компании. Если вам интересно моё мнение - к двум настроен позитивно, к одному негативно, но на правах "да хоть кто-нибудь лишь бы не Путин", возможно, проголосовал бы.

Более чем уверен, что если я прямо сейчас выйду на улицу и спрошу у десяти человек, знают ли они, кто такой Илья новиков, ответит максимум один. Если вам интересно - я не знал. Впрочем, это совершенно нормально, если до избирательной компании лицо не находится на слуху и из этого не следует, что этот человек не наберёт подавляющее большинство.

UFO just landed and posted this here

Это замечательно.Но это не отвечает на вопрос.

Я даже добавлю, боритесь вы за (с моей точки зрения) правое дело.

В этом вопросе правда никакого подвоха. Замечательно бороться за правое дело, если сторонников правого дела - меньшинство. Замечательно бороться за правое дело, если сторонников правого дела - большинство. Замечательно бороться за сменяемость власти, если сторонников сменяемости большинстов, замечательно бороться за сменяемость власти, если сторонников, меньшинство.

Я точно не буду использовать этот ответ в дискуссии, строить какую-то риторику на нём или как-то на этот ответ опираться. Обещаю. Мне просто интересно.

UFO just landed and posted this here
Не была она легитимной.
Коммунисты захватили власть уничтожив «Всероссийский
демократический совет». Тот самый институт, который создавал условия для демократизации.
Далее недовольства людей были заглушены с помощью репрессий.
Потому оно всё так быстро и развалилось, так как ни кто не стал защищать.
Потому оно всё так быстро и развалилось

в историческом масштабе — не особо и быстро для режимов подобного рода

Если ты признаешь выборы проводимые властью, то вопрос о легитимности не стоит. Она есть, эта легитимность. Дальше ты можешь не признать результат. И отказаться подчиняться полиции и Росгвардии. Это тоже будет утрата легитимности. Но если ты признаешь результат, или на словах не признаешь, а на деле признаешь (подчиняешься требованиям полиции), то легитимность власти не страдает совершенно.

Выборы будут, как обычно, сфальсифицированы. Но на улицу никто не выйдет. Легитимность власти не только не пострадает, но и укрепится.

Только массовая неявка на выборы и отрицание их признания способны подорвать легитимность. Но на этом нельзя заработать...

Если ты признаешь выборы ... результат. ... то легитимность власти не страдает совершенно

В общем, что ни делай - легитимность не страдает. Пока смерть не разлучит вас ​

Кстати, тут вон Путин 500 млрд руб пенсионерам решил раздать. У него просто лишние завалялось, складывать некуда? Это же вообще не потому, что нарисовать на самом то деле нихрена не получится и надо подкупать? Или он пенсионеров искренне полюбил на предвыборном съезде едра?

Как ни странно, но для того чтобы легитимность власти пострадала, надо не что-то делать, а наоборот - чего-то не делать. а именно - не сотрудничать, не слушаться, не подчиняться.

Хождение на выборы является сотрудничеством.

Раздает Вовочка денюжки совсем не потому чтобы за него голосовали (хотя такая цель тоже есть - облегчить фальсификации). А чтобы пришли вообще. Хочет повторить трюк при обнулении, когда основной упор делался на слабо завуалированный шантаж пенсионеров, с угрозой перестать им повышать пенсию. Клюнут ли они и на этот раз, не знаю. Наверное, клюнут. Нищими управлять проще. Их можно подкупить и тыщей. А за 10 они на многое готовы.

Легитимность режима падает сама по себе. В имитационной демократии выборами она как раз поддерживается, и тут главное - явка. Сторонник режима, разочаровавшись в нем, не начинает голосовать за оппозицию. Он просто перестает ходить на выборы.

облегчить фальсификации

О как. То есть ты даже догадываешься, что фальсификации можно облегчить или усложнить. И получить за это денежку. Причем чем больше усложняешь, тем больше получаешь.

Но называешь это сотрудничеством и подчинением.

Можно, но это не основная цель. Выборы будут сфальсифицированы в любом случае, и как бы нагло они не были сфальсифицированы, никто на улицу не выйдет.

Не будет даже жалкого подобия 2011 года, понимаешь?

Не то что там, "мало" выйдет... Вообще никто не выйдет. Ни одного рыла на всю страну.

И кстати, почему ты думаешь, что люди с крайне сомнительной биографией, Волков и Милов (да и Навальный тоже, чего греха таить), производящие впечатление реальных дебилов, несущие лютый бред, умнее чем тот же Джин Шарп, который в своей книге про сопротивление диктатуре, посвятил выборам всего один короткий абзац, в котором написал что выборы проводящиеся в диктатуре, ничем не могут помочь либералам?

С чего ты взял, что эти ушлёпки внешне напоминающие даунов, Волков и Милов, боящиеся любой дискуссии как чёрт ладана, способные вещать исключительно в режиме монолога на крайне необразованную аудиторию офисного планктона, считающего что ему все должны, а он не может даже рискнуть получить по заднице дубинкой, вообще говорят какие-то истины?

Всё что они несут - лютая дичь, в корне противоречащая как социальной психологии, так и политологии. И даже истории.

Неужели до тебя до самого не доходит банальнейшая истина - явка на выборы будет тупо МЕНЬШЕ, сцуко, намного МЕНЬШЕ чем даже в 2016 году!

Всем давно НАСРАТЬ на выборы.

Не веришь? Ну жди 20 сентября. Если ты слепой как крот... Если ты живёшь в ютубе.

Если УГ действительно сработает и выберут не того, кого надо власти, то мало кто сомневается, что власти просто "нарисуют" какой им надо результа

Сайт Умного Голосования помогает ещё и найти позицию в качестве наблюдателя / члена УИК на выборах. Я через него пока попал в резерв от Яблока и, скорее всего, войду в комиссию в сентябре.

Со сторонними наблюдателями рисовать немного сложнее.

Наблюдение, конечно же, важно с точки зрения легитимности. Но, очевидно же, что люди, которые травят оппонентов, просто так власть не отдадут, и в случае чего просто напишут 80%, и скажут что наблюдатели вроде Вас - иностранные агенты, которые хотят развалить страну.

Кроме того, могут фальсифицировать на уровне "сбора" данных наверх. То есть на каждом участке будут одни результаты, а в сумме совершенно другие. Я пока не видел, а в РФ есть уже что-то вроде вот такого ?

 Я пока не видел, а в РФ есть уже что-то вроде вот такого ?

У нас пока наблюдатели есть. И пересчёт с протоколом не секретный

Это конечно же хорошо, но в РФ - 97 тысяч избирательных участков. Данные надо собрать вместе и посчитать общий итог. Если сейчас это делает только ЦИК, то где гарантия, что они просто не "ошибутся" при суммировании данных ? Или ЦИК публикуют данные по каждому участку, и их можно вытянуть по API и самому посчитать ?

Именно так. Причем Шпилькин считает не только сумму, но и вбросы.

Или ЦИК публикуют данные по каждому участку, и их можно вытянуть по API и самому посчитать ?

Да, данные открыты.

Это конечно же хорошо, но в РФ - 97 тысяч избирательных участков.

В России много наблюдателей от разных партий. Ничего не мешало ФБК активнее звать своих сторонников наблюдать на выборах(в волонтёры избирательного штаба одного из питерских кандидатов попал как раз через такую их рассылку).

В России давно уже есть альтернативные платформы для подсчета голосов от Голоса и других организаций. Типа СМСЦИК. Лет 8 уже точно.

Мы сможем создать прекрасную Россию будущего без коррупции и ошибок в системе.

Окей гугол, как создать сервис уровня "подпишись, получи новость" без дыр?

UFO just landed and posted this here

Навальный с Волковым, безусловно, никому ничего не должны.

Воюя против государства, будь готов к последствиям

У каждого свой комфортный уровень участия в политической жизни. Если бы человек хотел играть в игру "завтра его данные сливают товарищу майору, и его увольняют с работы", он бы может быть играл за отбитых анархистов, взрывающих проходные трёхбуквенных госучреждений, а не за попытки в мирные митинги и участие в выборах, используя согласованную стратегию.

Здесь могут быть рассуждения о возможности и эффективности мирных митингов, но это нерелеватно ситуации вообще.

Есть аудитория, которая готова к этому уровню участия и не готова к другому. Есть движения, которые декларируют "ну вообще-то вы должны быть готовы, что вам ноги сломают". Есть движения, которые такого не декларируют. Каждый волен решить, в каком участвовать. Если правила игры изменились - человек имеет право об этом узнать и поменять решение, если уровень стал неудобен.

Умное голосование - как раз тот проект, в котором участникам предлагается дойти ногами до ближайшего участка и поставить галочку.

Если за подписывание на умное голосование начинают сажать - вины Навального и Волкова в этом нет.

Но не вижу смысла обижаться на желающих учавствовать в голосовании, если проект из "изи-пизи exercising своих гражданских прав" превращается в ВОЙНУ ПРОТИВ ГОСУДАРСТВА.

Мне кажется, когда участников больше, работает лучше. Если Волков посылает к чёрту "доморощенных" безопасников, проект начинает посприниматься как что-то менее безопасное и доступное для участия. От этого мне грустно. Вины Волкова, конечно, в этом нет, если завтра он решит "И вообще мы решили, что теперь это проект не про выборы, а про прорывание оцеплений", он будет, безусловно, иметь на это полное право. Я же буду иметь полное право изменить мнение о проекте и желание участвовать. Имхо, всё справедливо.

UFO just landed and posted this here

Так проблема то в том что тут ситуация такая что за десять лет Волков и компания довели ситуацию до такой что кроме советов в твиттере/на хабре/еще где ничего и не остается. Как я понял @itsoft и многие другие достаточно долгое время предлагали им конкретную помощь на которую они успешно клали болт.

UFO just landed and posted this here

а те двое отнюдь не на Хабре

Ну про Навального-то я понимаю, а Волкову что мешает на хабр зайти?) Зайти на хабр так же легко и просто, как и на твиттер. Там даже букв в адресную строку меньше вбивать надо.

Чуешь в себе силы, запили своё

В общем-то, с этим целиком согласен. Правда в случае с умным голосованием десять умных голосований точно не нужно ни вам, ни мне, ни Волкову.

UFO just landed and posted this here

Думаю даже если весь Хабр вылизывал бы сайт на десять раз, все равно б хакнули. Силы несопоставимы. Может и хакнули десять раз, не каждый хак очевиден.

Сомневаюсь: вон Лукашенко ведь не хакал ни "Голос", ни "Нехту". Зачем атаковать сайты, если намного проще атаковать непосредственно оппозиционеров?

См.тж. https://xkcd.com/538/

Если правила игры изменились - человек имеет право об этом узнать и поменять решение, если уровень стал неудобен.

А по телевизору разве недостаточно громко сообщили?

Я, наверное, вас удивлю, но вообще нет "комфортного уровня". Участвовать в политической жизни страны, разбираться в ней, защищать Конституцию является вашей обязанностью с того момента как вы стали гражданином. Это была обязанность ваших и моих родителей тоже и их родителей. Обязанность является борьба с узурпацией власти. Не прихотью Навального, а нашей прямой обязанностью. Обязанностью создать систему сдержек и противовесов, при которой любому представительству власти была бы оппонирующая группа. Обязанностью защищать свое представительство во власти. Даже с оружием в руках. Это и есть настоящая, подлинная гражданская сфера существования человека, а не инфантилизм "мой уровень комфорта", последствия которого -- узурпация, тоталитаризм, репрессии. Вы просто не реализуете права и обязанности гражданина как они есть, вы их имитируете.

О да!

Более того, бороться нужно не просто с узурпацией власти и даже не с кокретным кооперативом Озеро - бороться нужно с узурпацией средств производства! Не нужно становиться безмолвным рабом капитала, аморально стоять в стороне и подпитывать своей трудовой деятельностью клятых эксплуататоров.

А если, допустим, вы сам, как индивидум готовы положить все ради идеи о будущем, готовы рисковать свободой или жизнью?

Чем Волков лучше меня или вас?

Лишь потому, что у него больше ресурсов, все вопросы должны отпасть и появиться бесприкословное послушание?

А о каком именно послушании речь? За кого голосовать 19 сентября? У вас по этому поводу вопросы, есть идеи лучше?

Просто других указаний в голову не приходит.

UFO just landed and posted this here

Проблема не в ошибках, а в том, как он на них реагирует. И ещё в том, что единственный способ донести до него эти ошибки - это написать статью на рейтинговом ресурсе, а до этого он будет всех указывающих на ошибки банить во всех каналах связи.

народ хочет все сразу и без риска

Кто-то готов идти на баррикады? Пожалуйста. А кто-то готов только проголосовать за наименее выгодного власти кандидата, и если Волков обещает, что этот человек сможет получить уведомления, не засветившись перед товарищем майором - то Волков должен хотя бы стараться обеспечить обещанное, а не банить указывающих на ошибки.

Еще раз, а что насчет тех, кто готов к таким же последствиям, помоям, гонениям, риску присесть, а не только теплому диванчику? Что насчет тех кто готов на риск, на компромиссы между собственным видением и ФБК?

В стране ничего не идет, потому что сраное болото с детства в головах.

"Не спорь, тебе же будет хуже!", "Не лезь, тебе больше всех надо?!"
"Почему ты подставляешь нас, молчал бы или шел президенту писать!"
"Ну знаем мы, что подлог и ложь, и что? Ты в бюджет деньги положишь?"

Со школ, институтов идет еще, в поликлиниках, на работе.
Одна и та же фигня, "сиди и не высовывайся"

Мне не плевать на то, какая в России оппозиция, как она представляет интересы людей, насколько открыто делится информацией, как она работает над программой, позволяет ли людям осознать, причины и необходимость тех или иных ошибок или упущений, или затыкает рот информаторам и критикам, предполагая, что "серой массе" не обязательно пояснять.

Ну круто, мы на хабре, можно слить карму задающим лишние вопросы, только блин, неужели никто не заинтересован, действовать сообща? Если Волков расколет оппозицию, что будете делать? Если профессионалы, желающие изменений и готовые на жертвы не захотят поддерживать ФБК? Нам в одиночку на пикет топать и садиться, никому неизвестными и привнеся 0 эффекта?

Сбежать ведь хочется от болота в головах. Дать людям волю и знание, чтобы управлять своим будущим.

Это хабр, а не пикабу, здесь многие могут позволить себе уровень жизни, не снящийся среднему фину, мы не за себя боремся, думаем или критикуем, хотелось бы свалить с хабра, страны и окружения, сделать это можно без всякого Волкова и Навального. Если оппозиция ФБК и хабр превратится в "заткнись и сначала добейся", в задницу такую оппозицию. Но вот ресурсов построить новую у нас в стране нет.

Так что пусть Волков лучше заткнется, коль на стрессах весь и подумает, о том, как работать с людьми, желающими помочь

UFO just landed and posted this here

Навальный в целом и Волков в частности никому ничего не должны.

"Должны" не правильное слово. От них этого ожидали, скажем так. Какая-то часть их аудитории, по крайней мере. Не хотите оправдывать ожидания аудитории - никто не заставляет.

В принципе, не критична ни утечка, ни то, что затыкать дыры не хотят или по какой-то причине не могут. А вот попытка замолчать, а если не вышло - хейтить тех, кто сообщает достоверную информацию, тут осадочек остается неприятный.

Ну хоть со скрипом но исправляют. Вот бы ещё ЧСВ Волкову поумерить.

Если бы не глупейшая (с точки зрения привлечения электората) реакция Волкова, я бы приоритетной версией считал, что Волков играет на две стороны.

Но теперь считаю, что это глупость, неорганизованность и в некоторой мере даже инфантильность. Без Навального ФБК скатился.

Вот мне интересно, а как бы отреагировал Владимир Ильич, если бы узнал, что царской охранке могут попасть в руки адреса-пароли-явки?

Учитывая, как оперативно сгорел архив охранки сразу после революции, то есть самые разные варианты :)

скорее всего, он дал бы слово товарищу Маузеру

Будущее не за Умным голосованием, а за национальными параллельными цифровыми выборами, результаты которых признают во всем мире.

Умное голосование - не замена голосованию в участках.

В общем-то, даже если мы заменим выборы на что-то стопроцентнов защищённое, в которой каждый голос может быть одновременно анонимен и проверяем, вбросы и подлог - строго математически невозможны, умное голосование всё ещё может понадобится (а может и не понадобится, но это не точно).

Речь не о том, чтобы "выборы заменить", а о том, чтобы будучи в меньшинстве согласовать стратегию. Условно говоря, в тех же самых корпорациях миноритарии вполне себе иногда сталкиваются с подобной задачей - если согласовать стратегию, можно эффективнее побороться за кресла в совете директоров, чтобы они не достались держателю самой крупной доли. Вопрос "вбросов" и подлога в выборах, при этом, там обычно и не стоит.

У единой России рейтинг 26%. Умное голосование - это "будучи в большинстве согласовать стратегию"

по Шпилькину, за недавние поправки в конституцию, к примеру, проголосовало 65%.

Я оценки Шпилькина считаю оптимистичными. Нет, ну можно, конечно, предположить, что Шпилькин работает на единую россию и путина и пририсовывает проценты в их пользу, но как-то слишком сложно, целая бондиана получается с двойными агентами и заговорами.

Впрочем, если вы правы и в умном голосовании учавствует большинство - я буду только рад.

Хотя для меня это значит, что в таком случае стоит переходить из режима "голосуем за кого угодно, лишь бы забрать место у единоросов" (нас и так большинство, заберём и так) в "голосуем за тех, кто представляет интересы более-менее похожие на твои".

ЕР и с 26% и с честным голосованием выиграет, если голоса их противников размажутся по трём-четырём разным оппозиционерам.

Голосование за конституцию, голосование Путина и голосование за ЕР - это разные вещи.

И от их рейтинга оно тоже отличается

Конечно.

Одномандатные округа вообще оценивать трудно.

Если мне не изменяет память, Шпильник какую-то цифру, в отношении того, сколько проголосовало за едро в выборах 2016го называл только про число кандидатов по партийным спискам, а про одномандатные сказал, что там как-то сложно что-то оценить.

Опять же, если оппозиция действительно займёт 74% мест - это будет просто замечательно.

А зачем вы пытаетесь доказать, что оппозиции большиство? Я рад, если оно так. Но мне казалось, чем больше голосов у оппозиции, тем меньше необходимости учавствовать в Умном Голосовании. Или я что-то неправильно понимаю?

Мне казалось, идея в том, чтобы пойти и проголосовать не за человека из своей партии, а за кого-то, кто пусть и топит за что-то совершенно противоположное твоим интересам (например, либертрианец пойдёт и проголосует за коммуниста) - зато больше мест займёт не-едро, а там уж понадеемся, что парламент с хоть каким-то разнообразием приведёт страну к более-менее честным выборам и не нужно будет играть в эти игры (ну и понадеемся, что в каком-то другом округе условный коммунист проголосует за кого-то правого и в среднем все будут довольны)

Вся суть одномандатных округов в том, что достаточно иметь 51% поддержки в каждом округе, чтобы получить 100% мандатов. Или, например, 51% поддержки в 51% округов, чтобы получить 51% мандатов и большинство в думе при фактическом рейтинге 51%²=26%.
УГ — это способ конвертировать большинство по голосам в большинство по мандатам.

чтобы получить 51% мандатов и большинство в думе при фактическом рейтинге 51%²=26%.

Вроде бы по партийным спискам такое же число мандатов, что и по одномандатным округам в этом году? Тогда 26% поддерживающих едро + победа в 51% одномандатных округах даёт едру 38.5% процентов мест в думе. (26% от партийных списков, 51% - от отмандатных округов).

Одномандатные округа не какое-то зло само по себе, в прекрасной россии будущего, одномандатные округа вполне себе могут решать задачу "дать представительство малочисленной партии, деятельность которой, в основном, сконцентрирована в конкретном регионе".

Я просто не очень понимаю, зачем вы напираете на "большинство" и откуда вы это большинство оппозиции берёте) Кажется, УГ разумно использовать даже если нас не большинство - ну заберём больше мандатов, круть, хоть какой-то прогресс.

Если у ЕР в каком-то округе большинство, то она там получает мандат хоть без УГ, хоть с УГ. В ситуации, когда нас не большинство, УГ лишено всякого смысла.
На голосование по партийным спискам УГ не распространяется.

Только у них в 2 раза больше.

Так и по оценкам Шпилькина, сторонников едра не 26%, максимально эффективным образом размазанных по региону, как в этой модельной задаче.

УГ это способ помочь Вове сделать вид что в стране есть выборы, когда очевидно что их нет. И попутно на этом заработать.

Ничего больше...

голосуем за тех, кто представляет интересы более-менее похожие на твои

Таких людей в выборных бюллетенях будет пара штук на всю страну. Законодательство сделано так, что появление не-провластного кандидата практически невозможно.

«умное голосование» — это при нормальных условиях вообще вредный инструмент. В условиях нормального исполнения действующего законодательства (начиная от Конституции), когда любой дурак может зарегистрировать партию, пройти нормальную предвыборную политическую борьбу (заявить о себе, своей программе. найти тех, кто поддержит выдвижение. найти тех, кто профинансирует. пройти дебаты.) и выйти на выборы — оно просто не нужно. В текущем случае — это просто борьба с узурпацией власти (попытка делегитимизировать профсоюз чиновников «партию власти»). Просто сейчас других способов уже не осталось.

История успеха:

  1. Получи государственное финансирование размером с космическую программу.

  2. Найми индусов местного розлива за три копейки, которые сваяют нечто выглядящее рабочим на видеоконференции с Его Величеством.

  3. На разницу купи немного недвижимости в Лондоне, обязательно с аквадискотекой.

  4. Напиши камент в тему на Хабре о неэтичности раскрытия уязвимости до её устранения.

  5. Объяви всех несогласных иностранными агентами.

  6. Жди следующего проекта...

Безотносительно опасности находки:

  1. Странно видеть подобный пост в блоге компании

  2. В посте нет упоминания о том, была ли коммуникация с заинтересованными лицами по вопросу исправления описанных уязвимостей

нет упоминания о том, была ли коммуникация с заинтересованными лицами по вопросу исправления описанных уязвимостей

Волков и ФБК успешно игнорировали прошлые попытки коммуникации по поводу уязвимостей, их единственная реакция - бан в твиттере. Перечитайте статью, автор об этом говорит. Как показала практика, публикация в открытых источниках - единственный способ добиться от них хоть какой-то реакции.

Как показала практика, публикация в открытых источниках - единственный способ добиться от них хоть какой-то реакции.

Это не противоречит и не доказывает обратного тому, что можно соблюсти хотя бы формально нормальный подход с таймлайном, а не сразу "full disclosure" делать. Или уже честно написать в посте, что никакой коммуникации по этим проблемам не было. Но это конечно же зависит от изначальной цели.

В чём смысл формально стучаться в дверь, которую никогда не открывают?

Смысл в том, чтобы следовать тому кодексу/этике, который сам выбрал + всегда иметь возможность сказать, что "я попытался постучаться в дверь и уведомить о проблеме". Иначе от недостатка информации может возникнуть подозрение, что и не собирался этого делать: как в этом случае, так и других. То, что дверь не открыли сразу или вообще не открыли, в комментариях вполне обосновано разнесут в более свободной манере речи.

Когда директор IT компании обладая (предположительно) необходимыми ресурсами для решения подобных задач жалуется, что "обратная связь не работает" вместо того, чтобы правильно сделать (поставь кнопку донатов под это дело у себя на сайте, нам не жалко профинансировать эту работу), ПОКАЗАТЬ как надо, поделиться опытом, -- это вызывает чувство брезгливости. При том, что сам анализ уязвимостей имеет полные основания для существования. Да, сервис надо допиливать. Тут вопрос как ты сам при этом себя при этом ведешь.
Так вот, @itsoft ведет себя как ведут себя обычные граждане Российской Федерации в количестве 86% (так во всяком случае уверяют): жалуется на власть Навального Волкова на кухне на хабре. Как дитятко малое, не самостоятельное. Быть самостоятельным значит стать сокамерником Навального, или в Словении/Cловакии за ручку не тем намазанным схватиться, не дай бог, конечно.
Критикуешь -- предлагай. Игорь, я предлагаю тебе создать полностью защищенный сервис УГ как ты его видишь. Чтобы работа была не бесплатной запроси деньги у комьюнити, обозначь цели, "научно-внедренческие" (почему нет), найми команду, руководи.
В качестве результата опубликуй здесь статью "Как строить безопасные для граждан и общества распределенные it-сервисы в условиях государственного терроризма и тотального беззакония", покажи нам КАК НАДО, а не как эти пионеры. Получи благодарность всего мира (и деньги), поскольку результат твоей работы будет нужен еще полвека как минимум (к сожалению).
Замечу, что я предлагаю поступить именно так, как поступил бы сам. Понимаю необходимость обратной связи, но я так же понимаю разницу между сервисом банка, куда я отнес деньги и сервисом оппозиции, который ничего мне по факту не должен и является долгим рисковым активом, который и обнулить могут при случае (как и меня), даже в этих ваших европах, -- кадыровцы/лукашисты теперь везде. Отсюда и дифференциация оценки/подхода. Своим надо помогать. Подержать велик, если падает. Подсказать, сколько места до соседней машины на парковке. Поучить английский вместе, даже если ты его знаешь. Занять очередь. Помогать. Не топить, Игорь. Надо научиться беречь то, что есть. Выращивать это. Селекционировать. Если это тебе вообще нужно.

Оффтоп

На всякий случай, напомню, что оппозиция власти не является преступлением. Не была, не есть и не будет. Власть в стране узурпирована. Оппозиция преследуется. Преступниками издаются законы, которые рано или поздно придется отменять. Поэтому вопрос "it-безопасности" является ВТОРИЧНЫМ вопросом по отношению к происходящему, абсолютно техническим, не влияющим на существование оппозиции в стране и за ее пределами. Каждого из нас при тотальной системе беззакония при необходимости могут подвергнуть репрессиям, оппозиционер ты или нет. К этому надо быть готовым и против этого надо бороться. Это и является целью, а не "создать полностью анонимный сервис". Вся эта кутерьма (равно как и появление под выборы подобных публикаций) всего лишь последствия узурпации власти и сознательных преступлений против людей.

Поэтому вопрос "it-безопасности" является ВТОРИЧНЫМ вопросом по отношению к происходящему, абсолютно техническим, не влияющим на существование оппозиции в стране

Оппозиция преследуется.

И это буквально причина, почему безопасность данных - это важно.

Если бы за голосование против не преследовали - можно было бы вообще не беспокоиться за то, утекли данные или нет. Никому не было бы делf.

Ситуация имеет значение именно потому и только потому что за утечкой данных может следовать увольнение или того хуже.

Если вас за голосование преследуют, поверьте, что дело куда сквернее, чем сам процесс голосования, анонимность на сайте УГ и даже увольнение. Волков об этом, собственно, написал в FB, только несколько многобуквенно. Есть короткая пословица "снявши голову, по волосам не плачут". Мы (а не Волков или Навальный) в течение своей сознательной жизни (15-20 лет) допустили ситуацию, при которой открытая политическая конкуренция более не возможна, при которой оппозиция уничтожается физически, а за галочку "не там" человек может лишиться работы. Мы допустили этот гостерроризм. И нам теперь его фиксить.
Речь идет не о сервисе, в котором вы пользователь, поэтому ваши данные по условиям этого сервиса должны быть "обязательно анонимны и блаблабла". Речь идет о гражданской позиции. Гражданская позиция не может быть анонимна. Если вам дороже работа, подождите пяток лет, когда вы будете работать на них за бесплатно, как сейчас работают те, которым можно было выходить на пенсию, но случился крымнаш и упс.
Тарасов и вы подменяете понятия. Мы говорим о гражданах, а не пользователях. Пользователь может быть (должен быть) анонимен. Но УГ создавался для граждан. Так получилось, что добавили немного анонимности. Если бы не добавили, то вас бы там не было, правильно? Вот это вас и характеризует.
Гражданин не ждет, когда ему на блюдечке принесут оппозицию, анонимность, право голосовать без боязни быть уволенным "или того хуже", он как-то это "делает". Без подсказок.

Гражданская позиция не может быть анонимна

А, погодите-ка.

Я думал, в этой фразе

Увы, после известных событий удалил учетную запись vk, а купить пустышку пока не озаботился.

Вы под "известными событиями" имеете в виду как раз-таки происходящие в политике. Разве нет?

Нет. Vk скомпрометировал себя выдачей личной переписки. Удаление аккаунта, кстати, еще не значит, что "тарарищ майор" дамп моих инвектив не получит за предыдущие годы. Я четко это осознаю. На митингах был, лица не прятал. Телефон не выключал. ФБК донатил со своей карты и вполне себе жду стука в дверь через год-полтора. "Враги народа" всегда востребованы. Надо же большинство в узде держать. Да и в целом, политический бэк, как и папочка в ФСБ на меня присутствует.
И с Тарасовым мы, возможно, на одном кубе когда-то стояли.


Подождите, кто-то в дверь стучит...

Своим надо помогать. Подержать велик, если падает. Подсказать, сколько места до соседней машины на парковке. Поучить английский вместе, даже если ты его знаешь. Занять очередь. Помогать. Не топить, Игорь.

Вот чисто имхо:

  1. Волков сам себя топит.

  2. Навальный и Ко сам помог Путину переизбраться через бойкот президентских выборов.

  3. Судя по их поведению они не реальная оппозиция, а популисты. Мне с такими не по пути. Как они победят коррупцию, когда придут к власти? Похоже, что просто забанят тех, кто будет не согласен с ними. И зачем таким помогать?

А могли б помочь Грудинину сменить Путина, разве это была бы помощь чужим? Чем Грудинин хуже Тихановской?

Тем, что Грудинин не набрал 97% )

Если вы в этом Навального считаете виноватым - у меня для вас плохие новости...

Спорю на свои усы что наберу 15% (с) Грудинин.

Эмм... ему разве мог бы помочь даже сам господь Бог? Ну если он открыто заявлял что даже не собирается побеждать?

Боже, сколько же в нашей стране наивных людей...

Задал вопрос Волкову по этой статье, в комментах к его сегодняшнему видео.
Мой коммент удалили очень быстро ))
Ну, собстна, всё понятно стало — насрать им на безопасность своих же сторонников. Расходный материал, типа…

Обещать - не значит жениться (с)

На словах они и до этого прислушивались к коммьюнити и работали над ошибками. Конкретно в этом сообщении хорошо читается - не выносите сор из избы в паблик, не портите нам репутацию. Лучше пишите анонимки на почту, которую на практике неизвестно будут ли проверять.

А какой им смысл это делать, и не реагировать на почту? Не реагировать — это окончательно уничтожить и так уже сильно пострадавшую после сливов логов mailgun и торчащей голым задом в веб админки kubernetes репутацию, ведь при отсутствии адекватной реакции все равно вынесут в паблик.


Пока что это выглядит как признание ошибок и желание над ними работать, за что можно только похвалить.

Смысл делать - заработать классы. В комменте ниже им уже высказали респект и уважуху.

Смысл не реагировать - камон, они не реагировали даже когда обсуждение было вынесено на публичные платформы, бан неугодного - профит. С таким уровнем взаимодействия с коммьюнити - письма на деревню дедушке вообще идеальный вариант.

Я еще раз перечитал оригинальное сообщение в телеге - простите, но написанное там это "фиаско" в котором надо поменять 5 букв. "Сливов у нас не было, кроме одного раза, когда был засланный кремлевский казачок." Теперь еще раз перечитываю сам пост (и три предыдущих) - сливы оказывается далеко не один раз, и далеко не от засланных казачков. Извините меня конечно, но это выглядит не как "признание ошибок и желание над ними работать", а как очередное желание нассать мне в уши.

Мне тоже в конец надоел бог-император, но вот эти действия оппозиции в целом и крайне нелицеприятное поведение ее нынешнего "лидера" влияет на ее репутацию сильнее самих сливов

Пока получается так, что ссут в уши, но реагируют. Мне тоже неприятно, когда мне ссут в уши, не подумайте, что я мазохист. Всем понятно, что как минимум часть данных слили через торчащий задом в интернет kubewebview. Но пофиксили оперативно. В Яндекс-метрике запись полей тоже, вроде, убрали. Лучше бы ее вообще выпилить, конечно, но тут могу понять.


А что Н. набрал себе в "первые замы" таких людей, которые в его вынужденное отсутствие его позорят, это, конечно, правда. Но, видимо, больше некого было (на такое вообще яиц мало у кого хватит, выбор невелик). Ну что ж поделать. Других нет.

Всем понятно, что как минимум часть данных слили через торчащий задом в интернет kubewebview

Нет. Это понятно мне, Вам, хабраюзерам. А вот моей маме это непонятно. Несмотря на стойкое мнение что опора П это бюджетники и пенсионеры, она напрочь ломает все стереотипы ибо пенсионер, бюджетник (учитель в школе) и лютый сторонник фбк, регулярно присылающая мне в вотсап ссылки на дворцы.

Сегодня по телевизору ей расскажут про сливы бд, и куда она пойдет искать опровержения? Разумеется на Ютуб, где гражданин Волков уверит что это все бред, провокация и ничего никому не угрожает. В лучшем случае ее уволят (и слава богу ибо материально я родителей поддерживаю, и хватит им на самом деле работать, разве что для профилактики деменции), а в худшем что? А у кого эта работа единственная?

PS. На самом деле в этом случае я спокоен, ибо мама освоила лишь подписку на Ютуб, и ни в каких акциях не регистрировалась ибо е-мейл и регистрации для нее темный лес, но сам факт.

Под "всем" я имел в виду "всем здесь присутствующим".


Да, становится очень сложно поддерживать ФБК и УМГ, когда они откровенно ссут в уши, рассказывают об единственной утечке (сразу после признания второй в посте на хабре), рассказывают о том, как безопасно и анонимно донатить им российскими банковскими картами через Страйп (что вы несете, блин, банальный поиск со стороны банков по merchant id и terminal id сделает материалы уголовного дела по 282.3), не могут сделать приложение, защищенное от блокировки на DPI по SNI и не придумали ничего лучше ручной ротации ендпоинтов (комон, на вашем любимом appspot domain fronting работает, и это первая мысль, приходящая в голову сразу, а если чуть-чуть подумать..), при этом единственный смысл приложения — это обход блокировок...


Сложно, да. Но за неимением других приходится. Разъясняя, как при этом себя действительно обезопасить. И почему все же надо их поддерживать, хотя только что объяснил, в каком месте они врут. Ну вот так.

рассказывают об единственной утечке (сразу после признания второй в посте на хабре),

А где признали вторую утечку? Кажется вы путаете утечку и дыру.

Вот тут: "В логах действительно можно было отследить регистрирующиеся почтовые адреса".


Согласен, что надо было сказать "потенциальную утечку". Была ли она там по факту, определить невозможно. Но учитывая относительную простоту нахождения этой дыры, вероятность именно утечки весьма немала. Как минимум абсолютно некорректно утверждать ее отсутствие — доказать это невозможно.

Доказать отсутствие утечки невозможно. Чайник Рассела.

Разумеется. Вопрос в подходе к информированию.


Вариант 1. Мы облажались, в период с такого-то по такое-то число все логи были общедоступны, если вы регистрировались в это время, есть вероятность, что ваши данные утекли.


Вариант 2. Все нормально, никакой утечки не было, расходитесь, не на что здесь смотреть.


Хотелось бы видеть вариант 1.

Что интересно, пропаганде тоже. Причем они ещё и генерят "утекшие" базы

Пропаганду и второй вариант абсолютно устраивает: «смотрите, они там врут, что ничего не утекло, а на самом деле, база-то вот она».

Тому, кто не будет разбираться, любой лапши на уши можно навешать в любом случае. Ну комон, если бы люди разбирались, а не верили пропаганде, за царя с едром проголосовали бы полтора процента. А тот, кто будет, задумается: а ведь действительно наврали.

Как по мне, если уж твой слоган «не врать и не воровать», врать не стоит даже в таких случаях. Иначе чем ты отличаешься от тех, кого обличаешь?

Давайте ещё раз: или вы доказываете, что утечка была, или разговор о враньё тут ни о чём.

Отсюда второй пункт: пропаганда показывает базу. Доказали типа.

А "будут/не будут" разбираться - это не дискретное понятие. Правильно "на сколько глубоко люди будут разбираться". В среднем - не очень. Так и что они увидят?

Пропаганду - наверняка. Дойти до твита Волкова с "утечки не было" шансы ещё есть, а вот другой вариант требует более глубокого погружения, вероятности ещё какие-то.

И самый важный вопрос: можно ли там регистрироваться и голосовать. И тут между достоверно известным и не очень распространяемым "горожанко что-то унес и больше утечек не было" и формируемым из каждого утюга "у них одни дыры, они сами не знаю что сливают, уже вон пятая база всплыла" - огромная разница.

Так что, во-первых, против едра народ уже готов голосовать не особо разбираясь, просто из ненависти. Даже если остальные все такие же. Поэтому УГ работает.

Во-вторых, Волкова на выборах нет, так что "чем отличается" вопрос вообще неактуальный.

И в третьих, нет, волков не врал. Дыру признал. И имеет право не признавать чайник Рассела. Если он знает об утечке и скрывает - это было бы фуфуфу.

Доказывать должен Волков, проведя аудит аксесс-логов с момента деплоя KWV голым задом в интернет до момента его шатдауна.

Вместо этого мы видим рассуждения о том, что «контейнеры рестартятся и логи ротируются». Как будто это мешает вытягивать логи хоть раз в минуту.

В таких вопросах всегда надо предполагать худший сценарий, и действовать исходя из него. И честно рассказывать об этом. Крупные западные компании, которые ценят свою репутацию - так и делают: «мы зафиксировали несанкционированный доступ к базе, видим доступ к таблице пользователей, все пароли у нас захешированы sha256 с солью, но на всякий случай мы инициировали процедуру обязательной смены паролей, технические подробности вот в этой статье». А отмалчиваться и рассказывать, что все хорошо - это порочная практика большинства компаний в exUSSR.

Волков приводит хороший аргумент в пользу отстуствия дополнительных утечек - нет нигде утекших баз, то с чем ходят не соответствует реальной базе УМГ. Другие действия не нужны в силу природы УМГ - необходимость одного контакта. Намного важнее основа УМГ, рекомендации, которые открывать заранее не стоит по многим причинам. И это защищено существенно лучше, как и материалы по расследованиям. Да и признались уже в одном несанкционированном доступе к базе, а сейчас была только возможность, которой судя по последствиям не воспользовались.

Ну а вот Здольников в интервью Светову (тут уже пару раз кидали ссылку, я посмотрел сегодня) говорит, что в опубликованных базах есть емейлы вида username+foo@gmail.com (многие после плюсика помечают, на каком сайте ввели емейл, Gmail такие суффиксы игнорирует) где foo явно указывает на другие проекты ФБК. Я сам эти базы не качал, но ему верю, иначе бы уже опровергли. Самое разумное предположение - что они как раз с того kubernetes-кластера, где крутится пачка проектов помимо УМГ.

Но это даже ладно. Поверим, допустим, что так совпало и утечек не было.

Куда более существенное враньё - про безопасность оплаты картой через Stripe. Помимо уже мной озвученного очевидного варианта с merchant ID и terminal ID, о котором сразу подумает любой, кто имеет опыт в банковском айти или онлайн-процессинге, оказалось, что есть ещё комбинация MCC и суффикса Thanks, которые уникальны для оплаты доната ФБК в рамках Страйпа, да ещё и пачке жертвователей после клиринга прямо в дескрипшен прилетело про ФБК прямым текстом. Это не шуточки, блин. И это в миллион раз опаснее емейлов, это, блин, прямая подстава под уголовное дело. До 8 лет. Допустим, не разобрались, добросовестно заблуждались. Но про это уже написали сто раз. Я бы сразу срубил Страйп нафиг. Или попросил бы Страйп сделать ограничение по гео (их антифрод такое позволяет), чтобы не принимались платежи с карт, выпущенных российскими банками. И отрефандил бы все поступления с российских карт. Но, похоже, это для них нормально: «всех не посадят». Ну да, всех не посадят. Посадят показательно человек 15. Для Волкова это, видимо, приемлемо, и он, уже обладая информацией, продолжает врать об анонимности. Политическая целесообразность, понимаю. Да пошел бы он на хрен со своей целесообразностью.

чтобы не принимались платежи с карт, выпущенных российскими банками

Это сразу же отсеет >90% жертвователей.

Конечно. Поэтому надо предложить что-то взамен.


Например, поискать платформу для донатов, которая, с одной стороны, достаточно распространена и прибыльна, чтобы иметь репутацию и их нельзя было скупить за копейки, с другой стороны, минимально заинтересована в ведении бизнеса в России и может легко подтираться любыми кляузами и угрозами от российских органов.


Да даже донаты на Ютубе лучше. Риск давления на Гугл есть, но тут появляется условие, что на Гугл получится надавить, и они сочтут угрозу их российскому бизнесу серьезнее, чем репутационный ущерб. Страйп-то безусловно всех палит, просто по принципу устройства.


Но даже если и не получится что-то предложить, выбирая между "гарантированно подставить жертвователей под статью УК" и "не получить денег", я бы выбрал второе. А в первом случае явно озвучил бы риски.

Позиция Волкова: «Если у вас почта на mail.ru и/или вы регистрировались на УГ без VPN, то ФСБ уже и так в курсе, и им незачем воровать базу УГ. (Этот случай покрывает подавляющее большинство зарегистрировавшихся.) Если же вы криптоманьяк и регистрировались на УГ через protonmail и VPN, то утечка вашего емейла ничего ФСБ не даст.» Тех, для кого утечка их емейла повышает их риски, по его словам, крайне мало. И самое главное — если им объявить об утечке, то что они смогут предпринять? Срочно эмигрировать? Попасть на карандаш к чекистам — это не утёкший пароль, который можно поменять, и на этом инцидент исчерпан.

Это не отменяет того, что защита данных нужна, а реакция Волкова на претензии к ней непрофессиональная и отталкивающая. Но это объясняет, почему Волков не считает эти претензии важной темой для обсуждения за месяц до голосования.

Я тоже хотел бы увидеть аудит аксесс-логов и подробную статью о том, какие меры приняты, чтобы такие инциденты не повторялись. Возможно, после голосования всё это будет опубликовано. Но в ближайший месяц, очевидно, у Волкова есть задачи намного приоритетнее.

Можно что угодно предполагать, можно рассуждать что есть практики лучше, но это по сути не меняет ничего.

Да и ФБК - не крупная западная компания. Так что рассуждения про "должен" без предоставления чека не рассматриваю (а тот же Здольников за подобное просто банит)

Да, конечно, никто никому ничего тут не должен, это с моей стороны была риторика в ответ на такое же «должен», подразумевалось, конечно, «я считаю, что было бы правильно так сделать».

По сути же меня крайне расстраивает позиция Волкова в той части, что он ради достижения целей ФБК считает допустимым в своих публичных обращениях, призывая сторонников к определенным действиям, существенно занизить риски. И если с емейлами ещё не так страшно (уволят в худшем случае), то с «анонимностью» платежей через Страйп это просто откровенная подстава под уголовное дело. И вот это у меня вообще в голове не укладывается. Когда через полгода или год заведут очередное показательное уголовное дело о финансировании «экстремизма» на основании этих самых платежей, и посадят на годы людей, которые ему поверили про ‘анонимность’, ему как, нормально будет спаться по ночам?

ему как, нормально будет спаться по ночам?

Да преспокойно будет спать xDDD
Да преспокойно будет спать xDDD

Вот, да, риск появления таких, как вы, каждый раз заставляет меня задумываться, а стоит ли вообще в публичном месте критиковать ФБК.

В данном случае все же стоит. Но вот вы идите нафиг)

призывая сторонников к определенным действиям, существенно занизить риски

Ему о рисках совбез не отчитывается, а заниматься политикой у нас в принципе может только большой оптимист. Так что тут только понять и простить.

Лично мне сложно оценить на сколько технические ID можно пришить к ФБК, если страйп официально бенефициара не сдаст.

А показательное уголовное дело заведут независимо от наличия страйпа. И скажут что слил ФБК. И будут специально обученные мальчики с фотошопами бегать по комментариям. А дело будет секретным и мы никогда не узнаем что человек сам рассказал в соцсети, что переводил. Или через ютуб донатил. Вам легче будет спать, если человека посадят за Твиттер, а не за страйп?

Лично мне сложно оценить на сколько технические ID можно пришить к ФБК, если страйп официально бенефициара не сдаст.

Вообще легко, выписка из банка по заяве товарища майора и заключение эксперта.


А показательное уголовное дело заведут независимо от наличия страйпа.

Да, но при наличии Страйпа заведут дело по нему. Зачем фальсифицировать доказательства, если и без фальсификации — вот они? Тут же нет задачи обвинить конкретного человека (если такая будет, что угодно нарисуют). И, конечно же, озвучат это максимально публично, какой-нибудь Соловьев в прайм-тайм всем расскажет, что враги народа финансируют госдеповских экстремистов через американский Страйп.


И кто после этого рискнет хоть копейку задонатить?


Не говоря уж о том, что конкретно человеку, который поверил в сказки про анонимность, как-то без разницы будет, когда его посадят, что там зависимо или независимо. И никаких шансов на условно-оправдательный приговор (типа штрафа или условки), чего хоть и редко, но можно добиться при фальсифицированных доказательствах, у него тут уже не будет.

заключение эксперта.

Эксперт по циферкам получателя узнает? Тут экстрасенс скорее нужен. Нет, могут, конечно, но пока вроде не практикуется.

Зачем фальсифицировать доказательства, если и без фальсификации — вот они?

Вот и я говорю, непонятные циферки - это не самый простой путь.

Всегда и так есть кого посадить. Вон, говорят, есть люди готовые написать заявление о пропаже персональных данных, которые они на экстремистском сайте оставили. Считай явка с повинной.

Конкретному человеку, конечно, обидно будет, но это все ещё виктимблейминг "что ж ты говоришь можно по улицам без охраны ходить, когда там маньяки. Пусть соседка ходить".

Я, кстати, думаю будут максимум условки. Даже ФБК пока не сажают дальше домашнего ареста. Ну или крупных донатеров будут ловить, что бы "8 лет за 100 рублей" позорно не выглядело. А то митинги ещё будут...

Эксперт по циферкам получателя узнает?

Зачем?
Товарищ майор делает донат, пишет заяву в банк, банк выдает все транзакции с такими же merchant ID/terminal ID, эксперт пишет заключение, что это однозначно идентифицирует донат ФБК.


Я, кстати, думаю будут максимум условки.

Надеюсь. Но, боюсь, таки будет очередное "болотное дело" :(

1. Писать на почту.
2. Что они подразумевают под «серьёзными техническими ошибками» не ясно.
3. Не публично на каком-нить hackerone.

Верится с трудом, учитывая, как прошлые репорты игнорили.
ссылку кидали? все ссылки ютуб шадоубанит
Да, ссылку давал. Не знал, что такое затирается…
А как же тогда надо было указать на статью?

Это запрещено правилами. Никак. Шадоубанит Ютуб .Причем второй раз если перепишите ее против регулярки, она все равно уже не пойдет. Очень хитрый спам фильтр.

Создайте комментарий, вставьте ссылку, нажмите редактировать и ждите, получите нетворк эрор.

Только образно чтобы загуглить можно было

Видел утверждение о том, зачем раскрывать все факты уязвимости? Мое мнение следующее: об уязвимостях наверняка знают (и используют их) оппоненты Умного голосования. Обнажая проблему мы даем разработчикам возможность исправить ошибки. И этот вопрос переходит уже в плоскость обратной связи. Если она есть – хорошо. Если нет, то уязвимости перейдут в другие проекты уважаемого проекта.

Может я чего-то не понял в УГ, но это же натуральный бот-нет из живых людей.

Одни, идеологические, голосуют. Другие зарабатывают на этом себе на замки в Люксембургах.

Ничего личного, просто бизнес.

(ответ на сообщение ниже для @kogemrka) КПРФ -- давно уже Коммерческая Партия Российской Федерации и к коммунистам не имеющая отношение. Да, платят.

Вы таки думаете, что за голоса за КПРФ платят замками в Люксембургах? Неплохо коммунисты при Путине поднялись, однако.

Отлично, "Коммерческая Партия Российской Федерации", звучит как что-то, что понравилось бы либертрианцам. Замечательно, что представители такого у нас есть и даже имеют места в парламенте, но не сильно много.

Это как солнечный свет блокировать и уязвимости в нём искать.
Вредно и тщетно :-)
Но работа проделана, спасибо за неё.

решето. из веба не может быть доступно ничего кроме фронтенда. ни ваш стейджинг, ни бд, я уже не говорю о включенном дебаге. да, так не удобно, иногда нужно подумать где могло сломаться, но вот так вот выкладывать всё на блюдечке это срам.

не хочу разводить политоту, но со своего опыта вижу, что с такой верхушкой полимеры в конечном итоге будут утеряны

Полимеры были утеряны когда в 2019 не пустили Соболь и остальную бригаду на выборы (то есть на низшую ступень власти и легализации в политической системе). После чего команда ФБК перешла к плану "Б" - хотя бы поиметь гешефт на включении в список УГ разных претендентов на эти хлебные места.

А громкие слова... ну Мавроди тоже их много произносил, в 2011-м.

Реальная оппозиция, если бы она в России существовала, просто констатировала бы факт - выборов нет и при Путине уже никогда не будет, призвала бы к тотальному бойкоту. Но разве на этом можно заработать хоть что-то кроме срока?

без разницы кого куда не пустили, нужно уметь выкручиваться, план Б вполне нормальный как ответка. но похоже без Главного ничего работать не может, а второй человек лично у меня при первом же виде вызывает отторжение. ну и про "позитивную повестку дня" вспоминать не приятно, но надо, главный канал по сути из себя представляет одни журналистские расследования, а про себя и своё видение политики там никогда ничего не было, ну кроме "шоб не воровали". ну т.е. почему за одних голосовать нельзя я понял, но почему из других я должен выбрать тебя я не очень понимаю :)

про бойкот забудьте, это лузерская стратегия для тех у кого реальных 5% рейтинга и меньше, так сказать возможность создать вокруг себя больше шума, чем есть на самом деле, поспикулировав цифрами явки и не скромно приписав себе ещё 10% сверху. Правда фактически это мало что даст кроме чувства собственной гордости и взносов от доверчивых :) во всех остальных случаях (пока в бюллетене не 1 вариант) нужно идти и голосовать консолидировано. Так как любой бойкот выборов это добровольный сход с дистанции, за который соперники вам будут безмерно благодарны :) ну а вам это сулит только политическое забвение. не то вы бойкотировать собрались короче :) а тот кто такую идею продвигает или ничего не понимает в полит технологиях или устал от политики. на РБ посмотрите, выборы нарисовали как раньше, советчиков бойкота было масса, старая оппозиция только и делала, что рассказывала всем почему ни у кого ничего не получится, но люди пришли на выборы. теперь человек у которого 80% сходит с ума, громит что может, пытается организовать транзит и досрочные выборы, при этом его легитимность около нуля, а свои чиновники слушают без интереса.

Да сколько же можно повторять эту чушь про то что "бойкот ничего не даст"?

Что именно он не даст? Голосов на безвыборах имитационной оппозиции? Ну да, не даст, он и не для этого предназначен, чтобы заботиться о том, сможет ли оппортунист и коллаборационист вновь усесться на 5 лет в мягкое кресло депутата и обслуживать диктаторский режим.

Бойкот избирательной системы вообще, не признание выборов и легитимности власти диктатора, так же как и его марионеточной оппозиции, подразумевает и не хождение на выборы в том числе. И требование безусловного ухода, формирования коалиционного правительства народного доверия. Понятно, что это путь войны, а не мира. Но без войны эти точно не уйдут. Вам пора это понять уже. Или вы в каком-то альтернативном мире живете, где можно победить диктатуру на выборах? "политтехнологии", блин... насмешили ежа голой жопой.

А Беларусь показала только одно (в очередной раз, тем кто до сих пор так и не понял азов) - диктатура на выборах не проигрывает. Что-то, кстати, Украину вы не вспоминаете. Показываете на неудачный пример и говорите - "вот так надо", удачный, то как на самом деле надо, вы упорно не замечаете. Я вообще безотносительно политических симпатий/антипатий говорю, речь сугубо о способах борьбы за власть.

Я из Беларуси и вижу очевидно больше вашего, все прошлые выборы особенно в 2015 как раз проходили под лозунгом бойкота и этот бойкот не дал вообще ничего, не случилось ни войны, ни коалиционного правительство народного доверия и т.д., а усатый провёл выборы на таком релаксе, что даже не пришлось предвыборную компанию вести (а в Минске на моём участке у него реальных под 100% голосов было, есть свой человек в комиссии, в этом году кстати меньше 50-и). Оценивайте ситуацию реально, кто и сколько готов пойти по вашему пути вот так сразу? И почему вы решили, что за Путина меньшинство кстати? Я вот например сколько интервью с простыми гражданами не видел - убеждался только в обратном. Так что вы слишком лихо взять хотите.

И чем пример Беларуси не удачный? Ничего не закончилось, но уже ясно, что саше придётся уйти добровольно не смотря на все свои душевные муки, что было невозможно представить в начале 2020. И всё, что для этого потребовалось - это просто сходить на избирательный участок. И кстати кого бы он переходного после себя не назначил (а он то хитрить будет) - будет 100% лучше чем с ним. Проблема бойкота в том, что его трудно измерить: вы не идёте на избирательный участок, не стоите там в очереди, не видите сотен других людей, члены избирательной комиссии тоже не видят голосов против, а практика показала, что далеко не все готовы рисовать протоколы, хотя казало бы 26 лет у власти и всё было схвачено от и до. Всё это запускает процессы в обществе, реальную дегельминтизацию среди населения, среди милиции, среди гос служащих. Никакой бойкот ничего подобного сделать не может, просто потому, что каждый сидит на даче или дома и всё заканчивается на уровне простых разговоров, т.к. ваша легитимность будет на уровне гипотезы.

Кстати на Афганистан посмотрите, там прошлые выборы бойкотировались, и явку не рисовали (чего невозможно представить у нас) - всё равно президент был избран, а если бы войска США не покинули страну, то всё так бы и осталось и ещё не известно как бы себя повело население на следующих выборах.

А как на Украине мне не надо, да и эта соседняя страна всегда жила по иным общественным порядкам: раздолбайство, олигархия, группы влияния. Майдан вообще странная вещь, если оценивать со стороны: на площадке в Киеве пару месяцев милиция дралась с митингующими, потом их расстреляла. При этом вся остальная страна жила как ни в чём не бывало, а будущий президент по сути и носа своего не показывал. В общем это пример с совершенно другими вводными и если уж вспоминать Майдан, то скорее первый.

В Беларуси надо было выходить на улицы не когда вы проиграли, а когда вас лишили выбора. А не бежать голосовать за агента КГБ, который просто слился, для чего и был предназначен. Вас просто развели.

А сейчас для вас все закончилось, уже насовсем. После Лукашенко будет Путин, вот и всё.

Смысла бойкота вы так и не поняли. Бойкот не приводит к нелегитимности, наоборот - он является ее следствием. Когда на выборы никто не идет (осознанно, а не из лени), диктатуре уже поздно пить боржоми.

за какого агента КГБ мы голосовали? я чёт не понял

ну улицы выходили до выборов, вы и тут напутали или не следили совсем, причём легально - стали в очередь на часы, чтобы отдать голос на выдвижение альтернативных кандидатов. от этого кстати так бомбануло у луки, что он аж начал пытаться такой же театр устроить, хотя до этого собирал подписи по сути в закрытом режиме. люди выходили когда не допустили главного соперника - Бабарико и уже тогда людей ловили и кстати в первый раз начали драться с омоном, выходили и становились в огромную очередь в цик,чтобы подать жалобу. До выборов город уже гудел гудками машин, активности хватало, огромный предвыборный митинг, после которого власть запретила проводить следующий запланированный, вы полностью не правы

Путина тут не будет, это тоже заблуждение, это большая тема и расписывать её нет желания. Если вкратце то, РФ лишь добивается возможности влияния с минимальными затратами, закрытием всех "схематозов" и контрабанды, которой лука занялся с 95г сразу после отмены пограничного контроля, это кстати его основной источник денег. Все действия РФ за 10 последних лет говорят о том, что присоединения не будет, нет достаточного влияния. А вот про российская партия вполне, которая будет иметь решающие 15% в парламенте.

В общем вы пишете как рентв, но наоборот, типа Сотника :)

Бойкот не приводит к нелегитимности, наоборот - он является ее следствием. Когда на выборы никто не идет

ну и как вы собираетесь добиться нелегитимности власти в глазах населения? я вот считаю, что лучше чем выборы способа нет, а рассказы кто сколько украл и кого не пустили этому никак не способствуют. оценивайте реально возможности и ситуацию в которой находитесь. бойкот тут слив и подарок в пользу власти. вот например Хабаровск, тоже ведь мог обидеться и не прийти на выборы, типа пенсии подняли, на выборах мухлевали, нелегитимны, будем вас так воспринимать теперь. и чем бы всё закончилось? так что бойкот как инструмент это бред

за какого агента КГБ мы голосовали? я чёт не понял

За Тихановскую. Она и формально являлась провластным кандидатом, просто потому что ее допустили к выборам, и фактически отработала на слив. Проиграла и уехала. Разве нет?

ну улицы выходили до выборов, вы и тут напутали или не следили совсем, причём легально - стали в очередь на часы

Вы упорно не врубаетесь что действовать легально когда против вас уже действуют нелегально - верх глупости. Или трусости. В данном случае - и то и то верно. Вы не собирались побеждать. Это как в школе хулиган бьет лоха. Хулиган ударил. Лох ответил. Но специально слабо. Для вида. Типа, он не лох. Хулиган ударил еще раз, сильнее. Лох ответил, но еще слабее. Хулиган показывает готовность к эскалации. Лох показывает неготовность.

Лукашенко - хулиган, белорусская оппозиция - лох. Итог предсказуем. И это справедливо. Не можешь взять власть - ты ее не достоин. Демократию вам никто не подарит, ее надо заслужить. В Европе войны велись за права людей. С чего вы взяли что вам кто-то их подарит? Это было бы даже неверно с эволюционной точки зрения.

после которого власть запретила проводить следующий запланированный

Барана ведут на бойню. Баран понимает, и пытается отвернуть в сторону. Его в бочину лупят палкой, и говорят - иди куда вЕлено. Барану страшно, но удар палкой болезненный. Баран думает "ну ладно, дойдем а там уж посмотрим, че ща рыпаться". Итог, опять-таки, предсказуемый.

Вы и не хотели побеждать. Позорные эпизоды со сдачей "провокаторов" ментам, публичное оправдание трусости Протосевича (потому что он воплощение всех ваших качеств), извинения на камеру....

Вы получили то чего заслужили. Это справедливо.

ну и как вы собираетесь добиться нелегитимности власти в глазах населения? я вот считаю, что лучше чем выборы способа нет

Легальность и легитимность - похожие слова, так же как филателист и сифилитик в известном анекдоте. Но значение у них отличается примерно на столько же.

Можно в Википедии посмотреть.

вот например Хабаровск

Сравнение с Хабаровском не имеет большого смысла, там был 1 регион, без шансов совершенно, если только не рассматривать вариант выхода из РФ, что по множеству причин неприемлемо.

про КГБ жуткие глупости, в остальном я понимаю что вы хотите сказать, но нет, вы не достаточно хорошо знаете ситуацию и не понимаете чем сегодняшняя отличается от например в 2010. по ощущениями она плохая, но это марафон. всё же Беларусь европейская страна, загран паспортов у нас нет кстати, по соседним странам народ поездил. запасов нефти и газа тоже нет, учитывая беспрецедентное внешнее финансовое давлении и усталость общества от усатого ситуация разрешится. на самом деле даже полу результат будет успехом, т.к. во власти все пониманиют что нужно делать и как менять страну, но вот главный у нас работает коммунистическим тормозом, он по сути уник во всей гос системе, но именно он всеми руководит.

ну а если не разрешится, то за ещё 10 потерянных лет будет примерно как описываете вы, не красиво и не аккуратно. но опять, только с треском проигранные выборы могут запустить процесс, а не какие-то общие ощущения и именно выборы дают людям с властными полномочиями моральное право и смелость действовать и выступать.

Легальность и легитимность

это я тоже прекрасно понимаю.

это я тоже прекрасно понимаю

понимание бывает разной степени. можно вроде как понимать, а можно по-настоящему. когда наступает настоящее понимание, меняется мышление. ну это как понимание ООП. одно дело - повторять на экзамене заученные определения полиморфизма, инкапсуляции и наследования, а другое дело - мыслить этими понятиями, даже не задумываясь о терминах.

но термины важны. и тут тоже есть свои фундаментальные труды и те кто это все открыл и написал. например, Джин Шарп.

http://files.kob.su/books/sharp_ot_diktaturyi_k_demokratii.pdf

почему из других я должен выбрать тебя я не очень понимаю :)

Задавать этот вопрос тому, кого нет в бюллетене... Как минимум, несвоевременно.

это лузерская стратегия для тех у кого реальных 5% рейтинга

На выборах мэра с 2% начинал. Потом "приписал себе" 25% сверху. Тут норм, а 10% приписать - много?

нужно идти и голосовать консолидировано

Второй тур не зависит от консолидации.

любой бойкот выборов это добровольный сход с дистанции, за который соперники вам будут безмерно благодарны 

(Называть недопуск добровольным сходим с дистанции - это странно. )

А за консолидированное голосование за них - не будут?

так сказать возможность создать вокруг себя больше шума

ну а вам это сулит только политическое забвение.

У вас противоречащие параграфы

Задавать этот вопрос тому, кого нет в бюллетене… Как минимум, несвоевременно.

Добавлю, что когда Навальный был в бюллетене (2013) или надеялся туда попасть (2018), то ролики «про себя и своё видение политики» были в изобилии.

это должно быть на главном канале, любой его сторонник должен знать что он собирается делать и как управлять страной, кроме борьбы с коррупцией. я такого контента на его канале не помню (а это как раз-таки важно), люди заходят к нему только посмотреть кто сколько украл. в таком случаи я не понимаю почему я должен на выборах во власть голосовать за Н, а не за КПРФ например. Это как голосовать за Адвоката Егорова только потому, что он круто на своём канале хаты строит, как бы тоже молодец, способный, но это не то, что он будет делать 100% времени в кресле президента.

Более того нужно учитывать специфику, в РФ коррупция и воровство не является смертельным грехом с точки зрения народа. А с 14г власть не "общество потребления" продаёт избирателям, а "сверх державу", на этом фоне лозунги "вор" смотрятся смешно

ок, были, но повторяюсь " я такого контента на его канале не помню (а это как раз-таки важно) ", и не смотря на то, что я канал посматривал - такого не вспомнил. 3 штуки, маловато.

Если вы их не помните, то это ваша проблема, а не проблема Навального и его канала.

это ж он на выборах участвовать хочет я не я, не могу понять какая тут у меня проблема, сейчас он журналист и это с моей точки зрения, человека, который этим более-менее интересуется. а в глазах простого люда он вообще баламут и ни разу не политик. и это его проблема, возможно фатальная. брал бы пример с Немцова хотя бы, который избирался за мкадом.

это ж он на выборах участвовать хочет я не я, не могу понять какая тут у меня проблема, сейчас он журналист

Сейчас он заключённый, и дай бог что доживёт до выборов, в которых смог бы поучаствовать.
Конечно же, самая актуальная задача для него сейчас — это рассказывать вам о своих политических взглядах?

сейчас можно и не рассказывать, это делать уже поздно, я вам столько объяснял, а вы так и не поняли

Если бы Навальный раньше больше рассказывал о своих политических взглядах, то победил бы на выборах, в которых даже не участвовал, и в тюрьму бы не попал, так что ли?

я вам и выше писал и в соседнем, а вы всё никак не поймёте - простому люду плевать на него, у пути 50+ есть, а у него нет. и одними журналистскими расследованиями и криками "вор" эти 50 не набрать. нужно понимать страну и народ, который в ней живёт, а у вас с другим пареньком какой-то политический инфантилизм, думаете, что перед вами все двери раскрыть должны. видете, что не раскрывают - ну так действуйте иначе. и на конкретный вопрос про соседей и родителей вы отвечать не стали. ещё раз, у него должна быть ШИРОКАЯ поддержка, и знать его должны как политика, который защищает интересы людей, а сейчас у него имидж борца и расследователя. путин абсолютно прав, когда говорит, что у него нет позитивной повестки дня, ему дали очень ценный совет, а он его не понял, начал доказывать обратное, а я расшифрую что хотели сказать: "в глазах широкой общественности у него нет позитивной повестки дня", тех кто не смотрит все его выпуски со всех его каналов. да, вы знаете про росяму, но бабушка не знает, простой мужик в Хабаровске готов выйти на площадь за Фургала, а за Н не подумает, т.к. в его представлении он баламут.

вы оставили кучу мелких замечаний без какого-либо смысла.

Задавать этот вопрос тому, кого нет в бюллетене... Как минимум, несвоевременно.

а как одно может вообще может влиять на другое? типа когда добавят - вот тогда и придумаем? ну так это и есть лучшее подтверждение тезиса, что пока они глобально лишь журналисты.

Второй тур не зависит от консолидации.

во втором туре даже консолидировать никого специально не надо, это почти всегда проигрыш действующей власти, надо бы хотя бы азы знать.

Называть недопуск добровольным сходим с дистанции - это странно.

если после него вы решили бойкотировать - то это добровольный сход с дистанции под внешним давлением.

У вас противоречащие параграфы

подумайте лучше

ЗЫ: ладно, завязываю, всем спасибо

а как одно может вообще может влиять на другое? типа когда добавят — вот тогда и придумаем?

Вы всерьёз спрашиваете «почему Навальный не убеждает голосовать за себя на выборах, в которых он не участвует»?!

да, если он участвует в политическом процессе, то должен чётко обозначить кто такой и за что. а пока всё что о нём может вспомнить обыватель это 1) расследования 2) Крым - не бутерброд 3) националистическая активность в начале нулевых вместе с Прилепиным, ну и попытка стать мэром. С такой характеристикой всем будет пофиг, ибо реальной важности он ни для кого представлять не может, т.к. он не стремиться защищать интересы людей, всё что он делает - это ведёт войну против одной партии, а косвенный профит для народа тут слабо котируется в политическом плане.

С такой характеристикой всем будет пофиг

У вас какой-то свой мир. А у нас крупнейшие митинги за 20+ лет.

у меня мир обычный, я смотрю, что говорят обычные люди на камеру и меня это не радует. митинги хорошо, но для победы этого мало. то, что у Н есть 50% на теоретических выборах я тоже сомневаюсь. Нужно стремиться решать проблемы людей, в этом плане даже Лядов больше делает, тогда и поддержка будет иного рода. Нужно к ярлыку "борец с коррупцией" добавить "борец за людей". У него ведь в фонде хватало денег, можно было бы помочь людям из разных частей решить их проблемы хотя бы советом или через юристов или инициативы. Так бы он на много сильнее зацепился.

Кажется вы первый кто предлагает Лядова в президенты. Видимо это так не работает и у остальных требования к президенту несколько другие, и из Навального сделать Лядова нужно только вам. Свой мир, я же говорю.

Да и строителей лавочек перед выборами на чужие деньги тут хватает

можно было бы помочь людям из разных частей решить их проблемы хотя бы советом или через юристов или инициативы.

РосЖКХ и РосЯму от Навального вы так же не заметили, как и ролики об его политической позиции?

ок, вы где живёте? столица или провинция? вот пойдите и спросите для начала своих родителей кто такой Н, слышали ли они про РосЖКХ и РосЯму. Потом соседей своих спросите. Ок, может я ошибаюсь, я то не в России живу, может эти проекты работают, все знают, а расследования это типа как вишенка на торте, но что-то мне кажется всё наоборот.

РосЖКХ оказалися удивительно хорошим пинком в сторону правительства Москвы, и в результате появился gorod.mos.ru (а за ним и другие города последовали, ведь все смотрят на Москву). При этом РосЖКХ полезен и по сей день: заявки на gorod.mos.ru не имеют статуса официального обращения, и если речь не идет о совсем простых вещах типа "поменять лампочку", часто исполняются формально и халтурно, и тут росжкхшные шаблоны обращений в ту же Жилинспекцию и по сей день полезны.

ну так это и есть лучшее подтверждение тезиса, что пока они глобально лишь журналисты.

А что это меняет? Президентом становятся после выборов, а не до. У Зеленского хоть спроси.

во втором туре даже консолидировать никого специально не надо, это почти всегда проигрыш действующей власти, надо бы хотя бы азы знать.

Сначала что про консолидацию пробухтеть и переобуться? Занятно.

добровольный сход с дистанции под внешним давлением

Потрясающе.

Занятно. Потрясающе.

смешно наблюдать, как вы пытаетесь умничать.

У Зеленского хоть спроси.

это просто порвало, какая оказывается у людей память короткая. ну напрягись пожалуйста, давай подсказку дам: слово "сериал"

ладно, спишем на то, что вы из другой страны.

Политики - кто снимаются в сериалах? Потрясающе.

Как ваша болезнь называется, когда есть непреодолимая тяга ставить в конце высказываний слова типа "потрясающе", "занятно" и т.д.? это было бы уместно, если бы вы меня например на каком-нибудь противоречии поймали, а так не уместно совсем.

Политики - кто снимаются в сериалах?

ладно, на этом ставим точку, у вас похоже лёгкая дебильность, писать можете, но нужно всё разжёвывать. попросите кого-нибудь другого, мне просто это не интересно больше. даже про Лядова пример не всосали, а по-своему переварили и выплюнули, что-то не так у вас с мышлением короче, это плохо

2 абзаца размазывается говна какого-то. И не лень же

"потрясающе", "занятно" ,  "И не лень же"

теперь понял, у вас синдром "тупого наблюдателя"

Команда Навального отреагировала правильно на неоднократные указания на уязвимости и запускает bounty-систему:

Команда Навального

Помогите нам найти ошибки!

Среди наших сторонников много классных IT-специалистов. Мы это знаем, потому что они сообщают нам об ошибках в наших информационных системах. Кто-то пишет о них на наш почтовый ящик, кто-то делает это публично.

Мы благодарны каждому, кто помогает сделать наши сервисы лучше. Хотя публичное освещение уязвимостей менее безопасно, ведь получается, что злоумышленники, работающие на Кремль, узнают об уязвимости вместе с нами.

Благодаря в том числе поддержке сообщества за всё время у нас была только одна серьёзная утечка данных — их украл бывший сотрудник. Все наши уязвимости мы успеваем вовремя закрывать.

Но сейчас защищаться от атак нам стало ещё сложнее. Наша инфраструктура расширяется, а содержать большой штат IT-специалистов для тестирования сервисов слишком дорого. Поэтому мы рассчитываем на вашу помощь и даже готовы заплатить за это деньги!

Мы запускаем bounty-систему — это способ поощрения IT-специалистов за сообщения о багах в наших проектах.

Если вы обнаружили уязвимость в каких-то из наших сайтов/приложений/ботов и т.д., напишите об этом на better_it@navalny.com. Мы готовы выплатить вознаграждение тем, кто поможет нам исправить серьёзные технические ошибки. Так вы станете участником большого проекта по защите наших данных.

Спасибо за вашу постоянную помощь и поддержку!

Считаю, что данная статья достойна поощрения со стороны Команды Навального. Возможно даже Леонид Волков откликнется и прокомментирует ситуацию.

На месте УГ я бы сделал из текущего сайта глобальный ханипот, ибо очевидно, что его будут ломать. А за 3 дня до выборов просто выкатил новую версию или вообще плейнтекстом распространил список вида номер участка-кандидат.

За 3 дня до выборов туда зайдут только пользователи впн )

И номер участка тоже далеко не все знают.

Они и собирались емнип за 3 дня разместить, бо это срок, после которого нельзя снять кандидата по текущему законодательству

Так основным способом доставки инфы предполагались почта и приложение. Сайт заблокируют, а впн мало кто пользуется.

UFO just landed and posted this here

«Герой нужен народу не для того, чтобы ему поклоняться, а для того, чтобы все на него валить»

Articles