Pull to refresh

Comments 561

На уроке Вовочка спрашивает учительницу:
— Марь Иванна, назовите слово из шести букв, которым называют полный крах и провал, вторая буква «и»?
Учительница:
— Вон из класса! Вовочка (выходя):
— Фиаско, Марь Иванна, фиаско.

image
Леониду Волкову похоже опять объяснительную писать про заботу о безопасности.
Да он кратенько: все кругом мамкины хакеры, один я — в белом жабо.

Любопытная мысль: а если сайт настолько сильно криво сделал и уже есть следы эксплуатации уязвимостей, то точно ли вообще те пуши и письма, которые обещают, пришлет именно администрация?

Ну то есть если я узнаю что телефон жены кто-то украл, и тут мне жена напишет просьбу перевести денег на незнакомый номер, то я напрягусь. А тут получается вообще дичь - кто мне что пришлет толком уже не и не понять. Кто и как давно пасётся на этих ресурсах больше никогда не узнать. А главное - будут тысячи людей которые выполнят любой приказ из полученного уведомления.

Мне кажется в сервисе есть философская ошибка, действительно. А технические косяки это уже мелочи реализации.

Мне кажется в сервисе есть философская ошибка, действительно. А технические косяки это уже мелочи реализации.

Философская ошибка в том, что такой сервис понадобился. Вот в чем настоящая беда. Только это ошибка не сайта, и не самой идеи — а текущей политической системы. Когда вместо того, чтоб голосовать за того, кто больше всего отвечает твоим внутреним требованиям (и с поправкой на то, что «щелкоперы»​ раскопают о скелетах...) — нужен сайт, на котором есть рекомендации…
будут тысячи людей которые выполнят любой приказ из полученного уведомления
Ну вы их еще в зомби запишите… согласно последнему уголовному делу «Создание… организации, посягающей на личность… граждан»)

В том что у нас ошибка самой системы я не спорю. То что другого способа решить пока не предложили - тоже. Это все не отменяет того, что делать такой сайт было ошибкой (пусть и меньшим из всех зол), а ещё и настолько наплевательски относиться к безопасности - вообще полное "фиаско".

По сути, в день голосования могут придти уведомления, которые направят злоумышленники, которые уже внедрились в код на стороне сервера. По сути, если товарищ майор захочет, он может легко отправить пуш с указанием голосовать за нужного власти кандидата. И никак это будет не проверить, т.к. файл на сайте они тоже подменят. Ну и для красоты сделают 5 версий файлов, которые будут все +/- удобны власти и начнут распространять их через месенджеры и соцсети. Все. Путаница гарантирована, куча людей, которых приучили не думать (и сдали это не власть, а уже оппозиция) отдают свой голос за того же, за кого и зрители зомбоящика.

Ну да, «наплевательское» и «высокомерное» отношение к обнаруженным ошибкам — крайне плохо. И понятно, что сайт делался хуже, чем мог бы. Возможно, был бы я профессионалом в этой области — я бы предложил помощь. Почему это не сделали пентестеры? (не, я понимаю, что это разные задачи, требующие разный уровень компетенций...)
что же касается «кучи людей, которых приучили не думать» — это вы слишком уж плохо думает об оппозиционно настроенных более-менее активных людях (т.е тех, кто не просто «возмущается на кухнях», но хоть как-то пытается реагировать). И многие, несмотря на «рекомендации», проголосуют все равно по своему — не за «самое проходное из дерьма не из ЕР», а на «что-то более-менее отвечающее мировоззрению».
«Могут прийти» и «товарищ майор направит» — имхо, вы слишком высокого мнения о «товарищах майорах». Обрушить, заблокировать, бюджет попилить — запросто попытаются, а вот подменить — сложновато для них будет… Устроить неразбериху — это да, это можно…
настолько наплевательски относиться к безопасности — вообще полное «фиаско».
А это проблема уже современного подхода вообще. Сколько мы уже видели «очаровательных» новостей, как у людей редисы, мемкеши, sql и чего только не торчало открытым беспарольным в сеть. Сейчас проще развернуть незащищённыю конфигурацию, чем защищённую.
Так что вина ФБК всего лишь в том, что у них обычные сотрудники, а не мега-профи.

Так вы думаете, что "разворот защищённой конфигурации" - в 2021 году это удел мега-профи, а не простых нормальных админов?

С одной стороны - мне грустно жить в таком мире повсеместной халтуры, с другой - я неожиданно попадаю в число "мегапрофей", и это приятно :)

Нет времени читать мануалы, прочитал "Getting started with ..." и погнал сервис в прод.

Да. На основе личного опыта и наблюдений за происходящим. Админы всё-таки не программисты, с софтом они обращаются по инструкциям. А инструкции...

Как часто вы видели, чтобы инструкция по установке чего-то начиналась с вопросов подготовки безопасного окружения, безопасной конфигурации и т.д.?

Ну или до недавнего времени в практически каждой инструкции касающейся установке чего-либо в RedHat, первым пунктом было: Отключите SELinux. Конечно не всё на RedHat ставится и SELinux далеко не панацея, но само отношение отлично видно.

Как любят говорить в таких случаях американцы: В web буква s значит secure.

А насчёт того, что вы - мегапрофи, то расслаблятся не стоит, вам с удовольствием подгадит халтурщик-коллега. Мейнтейнер или админ хостинга/облака...

в 2021 году это удел мега-профи, а не простых нормальных админов?

увы, да. Все профи уже уехали из РФ или работают на Запад удаленно. И получают соответственно. А у ФБК, видимо, нет настолько хорошего бюджета, чтобы именно, что нанять на фулл-тайм мега-профи. В результате имеем, что имеем

UFO landed and left these words here

А я все никак не могу понять, в чем собственно проблема сделать гитхаб с начинкой сайта, чтобы у всех была возможность смотреть на исходники проекта, править их и улучшать, а потом заливать на прод с другими секретными ключами ?

Кремлеботы сразу мусорными пуллреквестами все загадят.

Если у вас обычные сотрудники, а не мегапрофи - то берите, пожалуйста, последнюю версию мейнстрим фреймворка и хостинговую платформу. Я уверен, разверни они .Net Core проект на Azure то там не было бы таких проблем в принципе, т.к. там уже подумали и выключили то, что должно было быть выключено.

Но это же не модно брать ASP.Net, мы возьмем пайтон и будем пилить модно!

вы слишком высокого мнения о разработчиках базовых конфигураций у фреймворков, все подобные продукты по умолчанию рассчитаны на людей которые понимают что делают
другое дело что среди разрабов и админов в последние годы какоето дурацкое поветрие 'весь софт модульный, собрал из кирпичиков и в прод'… а за ИБ и прочее никто сильно не думает

отладочный режим в джанге отключен по умолчанию, если запускать его по мануалу и делает это миддл с опытом продакшена. а тут судя по всему набрали джунов после курсов и вперед… и дотнет им бы не помог

Уровень для запуска .Net Core WebApi в Azure нужен минимальный, при этом конфигурация которая предлагается прямо из консоли достаточно безопасная, просто так ничего не торчит наружу.

Если не хвататет скила, то нужно брать наиболее распространенное и наименее модульное решение, чтобы было минимум мест где можно накосячить.

при этом конфигурация которая предлагается прямо из консоли достаточно безопасная, просто так ничего не торчит наружу.

у них postgres торчит голой ж… наружу, а в дефолтном конфиге он закрыт, тоесть его специально открыли, и это кстати не всегда явно для новичка — как это сделать
также включенный debug в продакшене + открытая база, подсказывает нам что у них нет закрытого тестового контура в принципе и они пилят сразу в мастер и дебажат на проде, и если бы они выбрали дотнет, они точно также бы открыли все порты сами и точно также подключили бы дебаг
вопрос тут не в инструментах, а в головах
я работал с людими со схожей точкой зрения, у них везде пароли стояли admin/admin и админские права у всех юзеров… аргументация 'ну а кому мы нужны? будем мы тут еще морочится, если урезать права потом ошибки прут… искать тяжело' (с)
и их крайне тяжело переубедить… типа 'ну мы же не банк какой' (с)
Тут при работе с мед.приборами первым пунктом: отключите уак, антивирус, мы сейчас начнём в вашей системе такую херню творить, что всё…
а вторым: дайте на такие-то папки в программфалз всем полные права
Какое ИБ с такими заходами, блин…
Какое ИБ с такими заходами, блин…

самое убойное что я видел и слышал:
софтина — стоит на банкоматах (клиентская часть) и в процессинге (серверная часть)
надо чтото сделать, спрашиваю у разработчиков 'а где пароль?'… а он мне — а ты грепни экзешник по логину 'admin'… эээ делаю grep, а там чёто типа «e#%#$g343t34....admin...qweQWE123....$#Tgrger#$%#H»
… я: это чо у вас типа так захардкожено?? а чо так можно было?
ну они типа 'ну а чё, у нас сертификат pci-dss есть, сбербанк не жалуется, по этому мы ничего меня не будем, дофига железа на этот пароль завязано'… рукалицо… занавес

Это ж во сколько ящиков водки ассессору им pci-dss обошёлся :)

помню был мини скандал со скрытием номера карты в way4, когда аудитор нашел способ номер увидеть целиком… но way4 сертифицирован (а раз сертифицирован то там всё ок), а то что операционист может увидеть номер карты — уже ваша проблема..., а не проблема софта (гениально)
— А как у вас настройки приложения к базе делаются?
— А, там в корне лежит ini, в котором путь до файла базы и логин sysdba/пароль указаны.

благо не банк…

Вот это как раз нормально.

Нужно же приложению в базу ходить? Для этого плейн текст пароль нужен. Типа прятать его нет смысла. Нормально спрятать его технически невозможно.

До облаков так все и жили. Вот тут файлик в нем все пароли. Вопрос только в пути и правах на путь где этот файлик лежит. Ну и в правах которые имеет юзер с этим паролем. dba там явно не нужно.

Нормально спрятать его технически невозможно

А какже .php в котором прописаны все параметры? Ну типа config.php? Его ведь не скачать на сколько я понимаю. Ну и htpasswd\htaccess

Так это все равно файлик на файловой системе.

При физическом доступе к машине он доступен. В комменте на который я отвечал есть именно физический доступ.

Гм… как бы сказать, приложение для работы с БД, запускаемое от пользователя «обычный» работает из под пользователя с открытым логином/паролем и вообще dba…
Ну, хм, а может просто нужно как-то правильно пользователей базы использовать там? Да не, фигня какая
Под другим не факт, что заработает. Там все запросы нужно проверять, ага.

Пару лет назад попал в неприятную ситуацию из-за которой плохо спал пока не уволился из конторы. Дело было так: очень самоуверенный и громко кричащий WEB-разработчик потребовал, чтобы сервер был не на стороне в дата-центре, а прямо в офисе и пробросить порты. Потом этот "мессия управляющей выручкой" (это дословная цитата того, как он себя представляет) заявил, что в офисе все г-но и дома ему работается лучше. А значит помимо 80 порта потребовался 3306, 22 и 21. Идею с SSH-ключами отвергли как "у меня тут софтина крутая, она с вашими ключами медленнее работает, а я такой быстрый, что ну нах ваши ключи!" Да, 443 открывать "нельзя ни в коем случае! Мы не будем ставить сертификат и переезжать на HTTPS! Это смена доменного имени и падение выручки и вообще абсолютных путей так много в коде, что на относительные за пару лет только перейдём. Никакого HTTPS!!!111".

Я на тот момент работал в конторе 3 месяца, а тот горлопан почти 1,5 года. Угадайте с 3 раз, кого послушал директор?

Спустя месяц работы сервера во внутреннем периметре с открытыми наружу портами, древним php 5.2, кучей вариантов для инъекций, к нам приходит письмо с предложением оплатить работу пентестера, пока её не оплатили конкуренты. Мне было сказано следующее: "Исправь, докажи, что исправил и молись, чтобы небыло последствий. Будут последствия - мы найдём вариант покрыть убытки за твой счёт". Догадаетесь, через сколько минут мне пришлось обратно порты открывать? До установки сертификатов и обновления php я просто не успел дойти. Зато успел заявление написать :-)

Какой-то очередной пример компании с "красной" корпоративной культурой

Нет, такой сайт на котором можно прочитать за кого можно проголосовать и кто точно не состоит/не состоял/не имеет отношения к ЕР - нужны. (и голосовать нужно, ибо у нас избирательная система устроена так, что что мандаты пропорциональны числу проголосовавших. И какая-нибудь маленькая республика, в которой голосуют 99.9% процентов населения в результате имеет почти столько же депутатов, как и какой-нибудь регион с разы большим населением, но где ходит голосовать 25%). Но непонятно зачем для этого регистрироваться!

Кратко это называется «компрометация корневого сертификата» ;)

Кстати о сертификатах, письма с левого домена то в спам уйдут автоматом

Леонид Волков же сказал, что все данные они уже слили в нескольких срезах. Зачем напрягаться и делать безопасность?

Вы не учли, что в своей мести Волкову вы поступили неэтично, прежде всего, не по отношению к нему, а к тысячам пользователей сервиса.

Это у вас охота на ведьм. Нет никакой личной мести. Есть желание иметь обратную связь, диалог, терпимость к разным мнениям, чтобы людей не банили.

И да — не врать!

Надежда всегда есть, что выводы будут сделаны.

Охота на ведьм говорите, а сообщение сквозит обидой. Уведомить команду, насколько понимаю, в этот раз вы даже не пытались.

Этика есть этика, независимо от обстоятельств. То что вы сделали непрофессионально.

Также поступаете со своими партнёрами и их клиентами после того, как разошлись во взглядах, или здесь есть какие-то принципиальные отличия?

Первый раз попытались... были посланы. Второй раз попытались... были посланы.

Третий раз не пытались? Ну и правильно сделали. Если не понимают ничего кроме публичной порки - ССЗБ.

Не взирая на обстоятельства, отказываться от принципов белого хакинга — недопустимо, сколько раз бы не пытались. Да, не скажу, что мне нравится реакция второй стороны, но действия в посте сейчас можно больше расценивать как саботаж, чем попытку исправить что-то.

Я тоже считаю что здесь нет попытки исправить.

Зато вижу попытку донести до пользователей с кем они имеют дело. И такой подход тоже имеет право на существование.

Некоторые тут иногда спрашивают, а кто это там минусы ставит и молчит. Вот я например. Мне лично не нравится ваша деятельность. Вы поддерживаете те штуки, которые я считаю плохими. Вы публикуете уязвимости до их устранения. Вы плохо относитесь к тем, кто борется в том числе с яровыми, милоновыми и роскомнадзором (разрешённая террористическая организация).

Из этого следует, что деятельность вашей компании в данном случае можно рассматривать как вредную для всей IT индустрии на территории РФ. Мне совершенно не интересны детали и нюансы всего этого.

Вы хоть не молчите. Смело. Кстати, а кто спрашивает? Вроде и так понятно.

И с такими фанатично верующими пионерами-комсомольцами лично я считаю надо тоже бороться именно потому, что вам не интересны детали, и вы готовы развязывать охоту на ведьм.

То есть вы полагаете что сайты должны и дальше изобиловать дырами, на радость коллективному милонову?

Ну ОК.

Вы полагаете, что оригинальный комментарий предполагал потворство дырам в безопасности? Ну ОК. Кажется тут даже ребенку понятно, что дыры это плохо, а комментатор говорит о том, что действительно важно.

Этот пост очевидная атака на проект Навального и Волкова лично. У кого-то есть нездоровое желание публиковать проблемы сайта, ну пожалуйста. Форма подачи и попытка завуалировать все это под "помощь" выглядят максимально отвратительно. Я бы автору порекомендовал переключиться на kremlin.ru.

Максимально отвратительно выглядит реакция владельцев ресурса в стиле "вы все врети" в предыдущих кейсах, а также лицемерие некоторых комментаторов, полагающих что пентест Волкова это плохо, а kremlin.ru это ок.

Вы, кажется, не прочитали мой комментарий и отвечаете на что-то придуманной вами. Я повторюсь

Форма подачи и попытка завуалировать все это под "помощь" выглядят максимально отвратительно. 

Про то, что пентест это плохо или хорошо я ничего не писал. А вот о том, что раскрытие уязвимостей без какой-либо внятной попытки связаться, это да, об этом я писал.

По-моему ребята ясно дали ранее понять, что помощь им не нужна. Из текста статьи у меня не сложилось впечатления, что автор этого не понимает.

Тут как минимум 2 момента:

  • технический отдел состоит из волонтеров у которых не хватает опыта, а с другой стороны баррикад есть группировки хакеров, которые способны взломать даже защищенные сети. В такой ситуации хотелось бы конечно увидеть независимый аудит

  • Волков из всей команды наименее компетентен как руководитель и тем более некомпетентен как технарь, не вижу смысла дожидаться от него адекватного ответа, нужен быстрый способ обратной связи с разработчиками, а не этой говорящей головой.

технический отдел состоит из волонтеров у которых не хватает опыта

  • У штабов за прошедшие годы были десятки и сотни миллионов донатов из которых можно было выделить хотя бы часть на квалифицированных специалистов для главного продукта.

  • Из всех сторонников не нашлось ни одного с прямыми руками? Рассылку сделать сложно, чтоб очередь желающих бесплатно помочь выстроилась?

  • У вас с ними разное понимание того, что для ФБК главный продукт.
  • Это не тот проект, который доверят человеку с улицы, называющему себя сторонником.

Вы не в курсе, что Волков много лет работал в Яндексе и вообще олимпиадник в прошлом? За это время можно было завести нормального безопасника в штате из числа офанатевших знакомых, благо в десятых годах пол-Яндекса ходило в этом мерче.

Наверное, у них и были нормальные безопасники в штате, до самого недавнего времени? По-моему, за предыдущие девять лет существования ФБК у них не находили столько дыр, сколько одним этим летом.

Судя по свежести используемых компонентов, безопасники у них закончились в 2018

В этом, мне кажется, и проблема. Часто такое встречаю, когда человек - хороший алгоритмист, но имеет очень смутное представление о современной инфраструктуре. При этом и отбирает в свою команду людей такого же толка - которые могут щёлкать задачки с hackerrank, но легко сделают sql-запрос, который кладёт всю базу, или кладут приватный ключ с продакшена прямо в репозиторий проекта. Если к этому добавить такое же часто встречающееся у олимпиадников непомерное ЧСВ, результат неудивителен.

что Волков много лет работал в Яндексе 

Откуда вы это взяли?

Из интранета. Пруфов не будет, потому что я уже как два года там не работаю, да и вообще такое скринить - NDA.

Вы точно не перепутали с СКБ Контур?

Я точно не работал в СКБ Контур.

У вас с ними разное понимание того, что для ФБК главный продукт.

Они идут на выборы и через эту систему координируют голосование за своих / не едросовских кандидатов. Куда главнее-то?

Это не тот проект, который доверят человеку с улицы, называющему себя сторонником

  • Бэкграунд-чек отменили? Код-ревью запретили? Т.е. можно взять и применить стандартные практики, вместо того, чтоб сидеть с данными наружу, играя в осадное положение.

  • Status quo ещё хуже — у них сейчас утекают данные. Дальше особо некуда падать, даже если к ним внедренец проберётся.

  • Больше того, они уже находили внедренца у себя и показывали, что слил данные он — их система безопасности уже не работает.

  • Наконец, я сейчас работу менял и мне те же ВТБ делали оффер "с улицы", хотя у банков требования к безопасности прописаны гораздо выше, чем у относительно неформального объединения.

Рискуя навлечь на себя минусаторов всё-же выскажу предположение: а может цель то не выборы\смена власти и прочее декларируемое? Может цель то просто шум на который поведётся народ и задонатит на хорошую жизнь? Ведь все эти люди (Навальный, Волков и прочие с ними) на что-то живут, оплачивают ЖКХ, еду, транспорт, учёбу детям. Про проект антикоррупционный я слышал, а вот про то где и кем работает главный борец за справедливость - нет. Я бы с радостью признал ошибку, если бы выяснил, что помимо организатора шумихи, главный опозиционер является высокооплачиваемым юристом и часть своих гонораров тратит на не самых лучших (но уж каких нашёл) специалистов по web-разработке, чтобы сделать полезный проект про выборы, а ещё строит детские площадки и спорт-комплексы. Но нет. Гугление показало, что он по профессии юрист но деньги явно не этим зарабатывает.

Да и кстати, вопрос "откуда у вас деньги на красивую жизнь" хочется задать не только обсуждаемому опозиционеру, но и остальным гражданам, чьи фото с обещаниями висят по всему городу последний месяц. К единоросам такого вопроса нет - там и так понятно

Про проект антикоррупционный я слышал, а вот про то где и кем работает главный борец за справедливость — нет.

Серьёзно? meduza.io/news/2020/07/28/aleksey-navalnyy-opublikoval-nalogovuyu-deklaratsiyu-on-zarabatyvaet-450-tysyach-rubley-v-mesyats

Я бы с радостью признал ошибку, если бы выяснил, что помимо организатора шумихи, главный опозиционер является высокооплачиваемым юристом

Признаете?

Серьёзно? meduza.io/news/2020/07/28/aleksey-navalnyy-opublikoval-nalogovuyu-deklaratsiyu-on-zarabatyvaet-450-tysyach-rubley-v-mesyats

Серьёзно. Вот специально перед тем, как писать свой предыдущий коментарий загуглил. Конкретно этого не нашёл. Простите пожалуйста, я немного вне политики и по запросу "Алексей Навальный" нашёл статью на вики и кучу желтухи в которой его в чём только не обвиняют. А на вики про доходы всё заканчивается так:

После вступления в законную силу приговора по делу «Кировлеса» 16 ноября 2013 года Адвокатская палата Москвы лишила Навального статуса адвоката[63].

По Вашей ссылке действительно сказано, что он опубликовал налоговую декларацию. Вот только вопрос: статуса адвоката у него нет (в РФ как я понимаю - это обязательное требование если хочешь в суде представлять интересы кого угодно), времени между "ходками" тоже. Это правда заработанные на оказании юридических услуг деньги?

Главным источником своего дохода он назвал предпринимателя Бориса Зимина.

Это безналичные выплаты, которые делают граждане РФ со своих счетов в российских банках

Т.е. если я правильно понимаю, донаты оформляются как плата за юридические услуги.

Признаете?

Признаю. Полностью. Формально - высокооплаичваемый юрист.

Но при этом вопрос "что является целью? Шумиха ради донатов или таки реальные дела?" остался открытым.

И ещё, 450к\мес - это очень неплохие деньги. В регионах за <100к\мес можно найти весьма толковых разработчиков. Знаю потому, что работал с такими.

Была бы шумиха, найди они 2-3 человека из регионов которые сделали бы сайт как положено? Нет. Там бы просто ничего не нашли и ничего не слили.

Уверен, если спросить любого с плаката рвущегося во власть сейчас с лозунгами "справедливый базовый доход!", "Резульат будет" и пр.: "сколько и КАК ты зарабатываешь?", найдутся примерно такие-же белые и честыне трудовые доходы. А по факту, не видел ни одного достойного человека стремящегося во власть.

Вот только вопрос: статуса адвоката у него нет (в РФ как я понимаю — это обязательное требование если хочешь в суде представлять интересы кого угодно)

Очевидно, что после лишения статуса адвоката он представлял интересы кого угодно не в РФ: navalny.com/p/5120

Т.е. если я правильно понимаю, донаты оформляются как плата за юридические услуги.

Нет, это не так. Донаты шли юрлицу ФБК, и на счёт Навальному не попадали вообще. Отчёты ФБК о расходовании донатов сами нагуглите, или помочь?

Спасибо, воздержусь как от принятия Вашей помощи, так и от гугления. Мне это не очень интересно. Копать ни под кого (или за кого-то) не планирую. Я лишь высказал своё мнение о том, что люди рвущиеся во власть как правило рвутся туда удовлетворять личные корыстные интересы. Если я ошибаюсь в Навальном видя в нём такого-же рвущегося как и все остальные - отлично. Возможно он единственный - исключение. Но это никоим образом не отвечает на вопрос "какова цель на самом деле?".

Ещё раз:

Цель - интернет-ресурс помогающий достигнуть требуемых результатов голосования.

Средства: с запасом 100.000р./мес/чел. в регионе и у тебя в команде специалист который не оставит таких дыр и вообще минимальными средствами сделает закрытый контур тестирования (чтобы включенный дебаг в проде не оказался).

Его (опозиционера) личный доход 450.000р./мес. (исходя из инфы по ссылке на медузу). Так почему Волков? Почему пентестеру говорят про шапочку из фольги? Ну даже если вы считаете инфу не достойной защиты, перс.данные надо охранять по закону! Да и стыдно должно быть перед донатерами. Они ведь наверняка надеялись на хоть какую-то анонимность, когда поддерживали опозиционера.

С другой стороны

Цель: Шум ради донатов.

Средства: Один не специалист с раздутым ЧСВ который наберёт бесплатно студентов, которые свояют непойми что. Это непойми что будут регулярно ломать (не важно кто, главное, чтобы ломали почаще). Мы будем посыпать голову пеплом при каждом взломе, петь про кремль который нанял суперхакеров и поднимать вокруг этого бурные дебаты. Шуму будет много, а значит будет много новых сочувствующих, которые занесут на борьбу с ЖиВ.

Где-то что-то не так понимаю? Ошибаюсь?

Обращу ваше внимание, что за последний год Навальный провёл один месяц в коме; четыре месяца на реабилитации за рубежом, когда заново учился ходить; и затем семь месяцев в тюрьме. Всё это время его возможность руководить деятельностью его организации была сильно ограничена, не говоря о возможности зарабатывать деньги юридической деятельностью.

До вывода Навального из строя — таких дыр в IT-проектах ФБК не находили.

Вы уверены, что Навальный — тот, с кого стоит спрашивать за эти дыры?

Не находили != небыло. Понимаю, что врядли Алексей лично собеседует каждого админа, верстальщика, разработчика. Но он же - брэнд и это он нанял людей руководить процессами в том числе и разработки ПО. Жарову (который с телегой боролся) нормально так прилетало за некомпетентность исполнителей. Да и не спрашиваю я с Навального за дыры. Я просто обратил внимание на то, что у людей есть возможность сделать продукт надёжным, но его сделали супер дырявым. И это странно если исходить из предположения "хотел сделать хорошо". Зато если исходить из "во власть идут, чтобы пилить в личных интересах" и\или "хотели пошуметь", то вроде всё логично. Сваяли, оставили дыры и закрывать не торопятся, а когда будет очередной слив, будут кричать про КГБ в подвалах которого сидят прикованные к батарее хацкеры.

Я просто обратил внимание на то, что у людей есть возможность сделать продукт надёжным, но его сделали супер дырявым.

Весьма вероятно, что в этом году такой возможности не было — в том числе и потому, что Навальный вместо своих обычных 5М рублей личного заработка в этом году заработал ноль, и вложить в работу своей организации мог лишь этот же ноль.

Зато если исходить из «во власть идут, чтобы пилить в личных интересах»

Кто из сторонников Навального в 2021 году идёт во власть?

Кто из сторонников Навального в 2021 году идёт во власть?

Без понятия. Имелось в виду не "прямо сейчас идёт", а "систематически предпринимает активные действия для того, чтобы оказаться во власти". Сам Алексей в выборах участвовал неоднократно (и в мэры Москвы и в президентских вроде был замечен). Кто там сторонник, а кто противник - не знаю. Знаю, что среди моих знакомых были разные люди. Кто-то без всяких денег брал лопату и кидал снег во дворе дет.сада потому, что дворник не справляется, а детям надо гулять. Кто-то митинговал, организовывал движения и сбор средств. Вот мне первые больше нравятся. Я бы за таких голосовал. Но таких нет в списках кандидатов.

Его (опозиционера) личный доход 450.000р./мес. (исходя из инфы по ссылке на медузу). Так почему Волков? Почему пентестеру говорят про шапочку из фольги? .

Для начала, вы опять путаете личный доход гражданина с деятельностью фонда ФБК, штабов и других юрлиц. Навальный не оплачивает деятельность Волкова, а волков не оплачивает деятельность Навального.

А вообще, вы вот теорию выдвигаете, а сами бы пошли 450к по больницам и уголовкам зарабатывать? Потом на лекарства же больше потратите. У нас вон на RT зарплаты больше и здоровье целее - может туда лучше идти?

Кто-то без всяких денег брал лопату и кидал снег во дворе дет.сада потому, что дворник не справляется, а детям надо гулять. Кто-то митинговал, организовывал движения и сбор средств. Вот мне первые больше нравятся. Я бы за таких голосовал. Но таких нет в списках кандидатов.

Потому, что дворник - это не политик.

Кстати, а уверены, что не видели? Ну среди десятков безымянных в бюллетене точно дворника не нашлось, или просто вы не озаботились уточнить, а на плакаты по городу - это не дорожку убирать и деньги нужны?

Для начала, вы опять путаете личный доход гражданина с деятельностью фонда ФБК

Тут видимо стоит уточнить: я не считаю деньги в кармане Навального или Волкова. Сколько Алексей лично зарабатывает и на что тратит свои деньги - не моё дело. НО! Есть ресурс - время. В моём мире если ты прямо сейчас делаешь дело А, то прямо сейчас ты не можешь делать дело Б и наоборот. Т.е. если ты постоянно на митингах, ведешь блог, проводишь расследования, координируешь работу крупной организации (создаётся впечатление, что у Навального организация крупная) и не вылезаешь из судов\изоляторов\тюрем, то зарабатывать деньги в привычном смысле слова (ходить на работу в свой офис своей юридической компании и там решать поставленные клиентами задачи) некогда. Если некогда, значит источник дохода - донаты. И вот тут то как раз мы и подходим к тому, с чего начали.

https://navalny.com/t/735/

Так вот вопрос: неделю назад у нас было 7607 подписок на ежемесячное пожертвование (средний размер 615 рублей). Как думаете, сколько их сейчас? 15 626 человек со средним пожертвованием 485 рублей.

Или 7578610 р/мес... Я понимаю, надо офисы содержать, канцтовары покупать, компьютеры и проч. Но неужели при донатах в 7,5 млн. в месяц нельзя найти специалистов чтобы сделали всё как надо? Там ведь функционал (как я понял из описания) даже не интернет-магазина, а скорее лэндинг с формой обратной связи. Так почему переусложнённый проект на Python вместо примитивнейших 50 строк кода на PHP? Почему дебаг в проде? Какие нахрен порты postgresql?! В россии население 144млн человек. Сколько из них подпишется? Пусть все. Что, для обработки (и оповещении в почту) 144 миллионов нужен постгрес? MySQL или SQLite не прокатит?

Итого: Организация получает 7,5 млн в месяц. Берёт на работу некоего человека которому ставит задачу по разработке проекта и выделяет бюджет. Человек что-то делает и в итоге получается какая-то вундервафля на Django+Postgres + "наверняка_дохрена_смузихлёбных_моднейших_решений". А когда ему указывают на то, что система не надёжна и надо бы поправить, отвечает в стиле Новодворской с плакатом и в белом пальто.

Вопрос: почему ТАК?! Ведь проблема то формировалась в течение какого-то времени. Ведь подход людей к работе и разработке проекта виден с первой недели (говорю как бывший руководитель отдела разработки). Может целью была не разработка хорошего решения, а что-то другое? И если это так, то всё логично. Разработали, взломали, хайпанули.

Или 7578610 р/мес… Я понимаю, надо офисы содержать, канцтовары покупать, компьютеры и проч.

report2019.fbk.info/media/report_2019_finance.pdf

За год ФБК получил 82,3 млн рублей. Расходы ФБК в 2019 году составили 63,5 млн рублей. Расходы на офис, оргтехнику и канцтовары составили 10,8 млн рублей, или 17% от общей суммы расходов. Всё это открытая информация.

Т.е. исходя из представленной Вами таблицы, организация тратит на менеджеров проектов и других специалистов от 1,6 до 3,3 миллиона в квартал (от 0,5 в месяц!). За эти деньги я бы "в лепёшку расшибся", но сделал бы сайт который так просто не сломать и уж тем более инфу не угнать. Где своих знаний не хватает - нашёл бы более компетентных, заплатил и компенсировал недостаток своих знаний знаниями нанятых. Ещё раз: Регионы! Для толкового разраба даже 100к\мес - очень хорошо! Так какова была цель?

Предложите какой-нибудь способ обратной связи с разработчиками, который противники ФБК не забьют мусором.

Ну да, так и есть. Все что ФБК сделали для безопасности своего манямирка, это заблокировали чат на youtube, для недонатеров. Окуклились, и дожимают последние донаты, с оставшихся фанатов. Шоу на стадии завершения.

Во-первых, они же не совсем окуклившиеся:

  • Капча + спамфильтр?

  • LinkedIn? Все крупные компании на раз людей там хантят, хотя туда очереди из желающих попасть стоят.

  • Хоть коммент с донатом, как написали ниже.

Во-вторых, они не могут посмотреть просто по тусовочке? У меня есть, например, контакты бывших участников, с которыми работали в других проектах. Клич по внутренним каналам кинуть "нам нужен нормальный айтишник", не? Это автоматически отсечёт 99% мусора и даст возможность проинтервьюировать людей.

Наконец, если у них нет каналов фидбека, то, возможно, они в каком-то своём воображаемом мирке живут, как Путин?

Вы по ссылке мой пост прочитали? Поняли? По-моему нет. Почему техотдел состоит из волонтёров, которым не хватаем опыта?! Может потому, что в 2011-2013 году Навальный и Волков игнорировали то, что говорил, например, я. И не только я. Другие тоже говорили. То есть людей с опытом игнорировали. А теперь опыта не хватает.

Ну так тогда простите путину всё. У него тоже кадров не хватает. 2 000 000 человек эмигрировали и работают на страны потенциального противника.

Насколько я знаю, волонтеров там не было. Получали деньги и деньги неплохие.

Прислушиваться к сообществу в интересах ФБК и они это делают. Но ФБК и тем более Волков лично, не обязаны вас слушать, а проблему обратной связи можно обсуждать без нанесения прямого ущерба. ФБК не может физически слушать всех и каждого, а если это вас оскорбляет настолько, что вы начинаете вендетту, то это говорит не о проблемах ФБК, а о необходимости сходить к психологу и разобраться с своими тараканами.

Пост в ЖЖ довольно показательный. Прямо манифест обиженного волонтера, требования и сопли по поводу несоответствия реальности ожиданиям. Вы же в бизнесе и должны прекрасно понимать, что такое организация построенная на волонтерах-студентах, с бешеной текучкой, с низкими зарплатами и насколько хорошо она управляется.

Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.

Обратите внимание на количество людей с которыми у Волкова не сложилось. Обратите внимание на то, кто эти люди — независимые, самостоятельно зарабатывают, имеют своё мнение.

ФБК не может физически слушать всех и каждого


Ну так и власть не слышит никого точно также.

Не надо втирать, что мы песчинки! Это большевизм напоминает. Какой-то абстрактный народ. Народ вполне конкретный — это конкретные люди. И каждого надо слушать, а не банить.

Я «втираю» не про песчинки, про песчинки вы выдумываете и игнорируете смысл моего комментария. Я повторю, мне не сложно

Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.

Ага, делать нам больше нечего, все 8 лет под них и копаем. С утра и до вечера. Не, все 10 лет. Когда ещё с Навальным сидел, уже копал под его шконку. Берите больше, с 1999 года, специально ради этого компанию открыл, чтобы копать под несогласных.

Вам это ничего не напоминает? Посмотрите обвинения Ягоды, Ежова, Берии. Там они признаются в работе на все разведки мира прям начиная с 1917 года.

Потрясающее умение отвечать на выдуманные комментарии. Но я повторю в третий раз, это не сложно

Если бы вы были независимый white-hat, на многочисленные сообщения которого забили в ФБК, эту статью можно было бы как-то понять. Но вы же целенаправленно под них копаете и у вас давняя история, судя по ЖЖ. А декларируете желание помочь. Это лицемерие и оно отвратительно.

Тут ни про песчинки, ни про 8 и 10 лет ничего нет. Все по делу и конкретно про этот единичный инцидент.

Боюсь что если человек переключится на kremlin.ru (или подобные сайты), то на него переключатся компетентные органы (которые быстры на расправу и поиски) и на хабре мы в ближайшие 2/5 лет (зависит от судьи) такого рода статей не увидим.

По хорошему их конечно сначала нужно отправить команде, а после фикса уже раскрывать. Но если они эти данные получили, а на фикс забили, то публикация вполне оправдана чтобы подстегнуть на устранение уязвимостей.

Спасибо за ваше мнение и открытую позицию.

Много-много раз это объясняли до меня (потому что проблема стара как сами уязвимости в софте, а то и как критика чего-либо вообще), но мне не сложно повторить.

Действительно, публикация уязвимостей может быть безответственным действием, независимо от намерений публикующего. Но существует два фактора, которые вы игнорируете, которые принципиально меняют ситуацию.

Во-первых, если сторона, ответственная за проблему, ранее продемонстрировала не только нежелание слышать о проблеме, но и высокомерную агрессивную позицию в духе "вы все - идиоты, я лучше знаю, заткнитесь" (это, правда, не худший вариант - в истории есть случаи, когда люди, обращавшиеся в компании, чтобы сообщить об уязвимостях, оказывались под судом, как "хакеры"), нет ни одной внятной причины позволять этому продолжаться в том же духе. В этом случае, проблемой является уже не только уязвимость, но и эти самые люди, безответственно ее игнорирующие и позволяющие ей существовать. А это связано со вторым фактором.

Во-вторых, если уязвимость существует уже какое-то время, а также существует вероятность, что есть третья сторона, заинтересованная в ее эксплуатации, ситуацию следует рассматривать так, будто уязвимость уже эксплуатируется, если не существует надежного свидетельства обратного. В этом случае, под угрозой уже не только функционирование сервиса, об уязвимости в котором идет речь, но и благополучие пользователей, доверившихся этому сервису (и, возможно, людям, которые из-за большого самомнения позволяют этой ситуации затянуться). Пользователи, в свою очередь, имеют право знать о проблеме ровно в той же, если не в большей степени, чем администрация/разработчики сервиса.

Так что давайте вы прекратите проповедовать security through obscurity.

нет ни одной внятной причины позволять этому продолжаться в том же духе

Это зависит от того, с чем конкретно вы воюете? Злой корпорации, экономящей на безопасности и набивающей миллиарды в карманы тут нет.

рассматривать так, будто уязвимость уже эксплуатируется, если не существует надежного свидетельства обратного

Значит миллионы почт уже утекли. Правда их владельцев и таки и СОРМ знает, и владелец их почты мейлру. Так что в чем именно в этот раз эксплуатация уязвимости заключается?

Пока эксплуатация уязвимостей и опасность для пользователей ограничивается рассказами из каждого утюга, что сайт уязвимый и пользователи в опасности. Причем, не без денег АПшечки, за которую вы, получается, играете.

Начнём с того, что я не имею понятия, кто такая "АПшечка", а за кого я играю и играю ли за кого-то вообще, вы знать не можете, потому это ваши домыслы.

Подход, который я описываю в комментарии выше, не зависит от того, что делает сервис, какую политическую или экономическую позицию он занимает.

Начнем с того, что если вы играете за кого-то вслепую, то это не моя проблема.

Вы не ответили против чего воюете то. Или так, чисто по привычке?

Интересно, как вы оперативно перешли с дискуссии о принципах безопасности на обсуждение меня (чем я заслужил такую честь - не знаю), граничащее с "ты с какого района?"

Я вообще то вопрос про принцип безопасности и задал.

Но вы предпочитаете обсуждать что угодно, кроме него.

Где конкретно вы задали вопрос про принцип? Процитируйте себя, пожалуйста.

Вопрос - это который заканчивается закорючкой ¿. Не сложно найти

Я вижу вопрос о том, "с чем вы воюете". Во-первых, из его формулировки и дальнейших комментариев, не очень следует что он не адресован мне лично. Во-вторых, это вопрос о контексте, а контекст - это конкретика, дополняющая общий принцип, но не входящая в него. Так что я всё ещё не вижу вопроса о принципе, даже если допустить, что "вы" в том, что вы задали, не означает лично меня.

Так с чем ты воюешь, кроме нежелания отвечать?

Как быстро из вас полезли привычки шпаны. Ни с чем я не "воюю", не имею такой привычки.

Как быстро вы перешли на обсуждение меня вместо безопасности

Вы утверждатете, что вопрос "Ты с кем воюешь, кроме нежелания отвечать" - это был не вопрос про @Moskus , а вопрос про абстрактное обсуждение безопасности?

Вы решили подхватить упавшее знамя демагога? Слово "абстрактное" тут даже не упоминалось.

А зачем мне его подхватывать? Вы что, его уронили?)

Хорошо. Слоло абстрактное не упоминалось. Это моя ошибка, простите меня за неё. Повторяю предыдущий вопрос дословно, вычёркивая слово абстрактное:

Вы утверждатете, что вопрос "Ты с кем воюешь, кроме нежелания отвечать" - это был не вопрос про @Moskus , а вопрос про абстрактное обсуждение безопасности?

Да, это вопрос про безопасность. Безопасность без врага - нонсенс

Вы когда из дома уходите, дверь в квартиру запираете? Если да то зачем? Заодно кстати можете сюда прислать данные своей кредитки, ну так, почему нет?

Спросите лучше "на сколько замков вы запираете квартиру". А то толсто и скучно.

Это зависит от того, с чем конкретно вы воюете? Злой корпорации, экономящей на безопасности и набивающей миллиарды в карманы тут нет.

А вы считаете, что с корпорацией, набивающей миллиарды в корман воевать таки нужно, а здесь - нет? (под воевать, видимо, предполагается исследование безопасности, но если я вас неправильно понял - дико извиняюсь, исправьте меня пожалуйста и я смогу лучше понять вашу мысль).

А со корпорацией, набивающей корманы, зачем, по вашему, стоит "воевать"?)

Воевать можно с чем угодно. Но неплохо бы понимать, для начала, с чем и зачем. А потом уже можно думать "как".

С корпорациями из спортивного интереса воюют все, от коммунистов до анархистов.

С корпорациями из спортивного интереса воюют все, от коммунистов до анархистов.

Ну вот, вы взяли из спектра политических воззрений вычеркнули всех правых, в том числе и либертрианцев (хотя тот Светов и ЛПР, если мне не изменяет память, даже поддерживают умное голосование).

Воевать можно с чем угодно. Но неплохо бы понимать, для начала, с чем и зачем. А потом уже можно думать "как".

Пентестом можно тоже заниматься из спортивного интереса. Если в результате работы пентестера мои данные (в перспективе) находятся в большей безопасности, а команда, за которую я вроде как болею - получила информацию о наличии у них проблемы и научилась исправлять её - не всё ли равно, какие у пентестера политические взгляды и отношение к корпорациям? Вроде бы win-win ситуация.

Я не спрашивал про политические взгляды. Чёловек нанес репутационный урон УГ, какой к черту win-win?

Хм, кажется, я понимаю, в чём проблема. Возможно, я не понимаю вас потому что я не понимаю, в чём, по вашему, заключается репутационный урон, которого автор мог бы не наносить?

Репутационный урон, по вашему, заключается в открытии отчёта об уязвимости до получения реакции от Волкова и команды? В открытии отчёта до факта исправления? Или в открытии отчёта вообще?

Пересчитайте тут комментарии про то, что у УГ нельзя регистрироваться. Это оно.

Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.

Понимаете, в чём проблема, я (как и большинство комментаторов) нахожусь со стороны "пользователи", а не со стороны "организаторы".

По-моему, регистрирующиеся в УГ имеют право знать, как утекают их данные. И точно заинтересованы в том, чтобы знать о факте утечки.

Это совершенно нормально, что совокупность интересов организаторов не целиком (особено, в таких мелочах) совпадает с совокупностью интересов участников - это справедливо про абсолютно каждую политическую партию и движение на протяжение человеческой истории. Тем не менее, не вижу ни одной причины, зачем мне стоило бы делать вид, что не-знать-про утечку - это мой интерес, наоборот - в моих интересах про утечку знать, знать как можно раньше и как можно подробнее. Особенно если я планирую зарегистрироваться или уже зарегистрировался - и буду голосовать по представленному списку.

---

Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.

"до, после или вместо" - кажется, всё-таки важно.

Стандартная (и поощряемая сообществом) практика работы с уязвимостью (который автор неэтично нарушил, не буду с этим спорить) - сообщить, дать время исправить, опубликовать публичный отчёт. В некоторых случаях корпорации (эти самые, которые злые и набирают деньги в карманы) платят большие деньги, чтобы отчёт не публиковался - и это довольно неэтично, я бы предпочёл, чтобы подобные отчёты публиковались всегда.

В некоторых случаях, регуляторы обязуют делать пресс релизы об особо серьёзных утечках.

В некоторых случаях, компании скрывают утечки от регуляторов или используют корупцию. Это, опять же, по моему мнению, неэтично.

В этичном сценарии статья всё равно была бы написана, в ней всё ещё было написано, как и в каком объёме ошиблись админы умного голосования и какие данные могли через него утечь. Так же было бы написано, сколько времени прошло между уведомлением команды пентестером и исправлением, то есть сколько конкретно часов данные были доступны для любого желающего, обладающего тем же инструментарием, что и пентестер.

---

Возвращаясь к теме

Урон не заключается в открытии, закрытии, до, после или вместо. Он не глагол.

Возможно, вас устроила бы "публикация позже". Желательно - намного позже, после голосования.

Для этого нужно было бы, чтобы автор сначала написал организатором и подождал хоть какого-то ответа какой-то срок.

Автор, насколько я понимаю, этого не сделал - нехорошо поступил, согласен.

Но в общем-то не факт, что если бы и сделал, получил бы адекватный ответ (а в отсутствии ответа / в случае посалния нахер - публикация должна быть, имхо, однозначно).

Варианта "никому не рассказывать об утечке" в принципе нет. Конечно, есть, если поступиться профессиональной этикой, но этически это не сильно лучше пойти и продать данные товарищу майору.

в моих интересах про утечку знать, знать как можно раньше и как можно подробнее.

Это факт? Спать же плохо будете, вредно это.

Вы пытаетесь некую этику (которая субъективна в принципе) считать эквивалентом абсолютной пользы. Так в сказках бывает.

Это факт?

Ну да, факт. А ваши интересы для вас определяете не лично вы, а кто-то ещё?

Спать же плохо будете, вредно это.

Ценю вашу заботу.

Вы пытаетесь некую этику (которая субъективна в принципе) считать эквивалентом абсолютной пользы. Так в сказках бывает.

Я объясняю свою позицию. Вы, я так понимаю, предлагаете жертвовать выбранной этикой и своими интересами ради успешного достижения целей конкретными политиками? Звучит как хорошая идея, точно не из сказок.

успешного достижения целей конкретными политиками?

На митингах, выходит, так.

Хотя формулировка у вас странная

Хотя формулировка у вас странная

Поясню формулировку. Мне показалось, что мысль, которую вы пытаетесь донести - это, утрируя, "если надо положить на собственные интересы / этику / whatever и промолчать ради победы моей любимой партии - значит надо было промолчать! For the Greater Good!"

Очевидно, умное голосование - это стороны добра, партия ж и в - это силы зла с орками и всем причитающимся. Твои действия (раскрытие уязвимости) нанесло мистический репутационый вред силам добра? Ну всё, на вилы тебя, негодяй. Эй, вы что, его оправдываете? Ну вы наверное злые какие-то или глупые.

Извините за иронизирование.

Возможно, ошибаюсь. На самом деле мне очень не нравится вот такая форма ведения диалога (когда задаются какие-то вопросы в духе "А против кого вы боретесь?! Чтоооо, уходите от ответа?"). Невольно, начинаешь за собеседника додумывать всякое нехорошее.

Я свою позицию вроде бы изложил (см. выше https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23406964, даже стыдно за такое количество букв трёпа). Буду рад ознакомиться с вашей, если она не совпадает с утрированием выше.

Понимаете, в чём проблема, я (как и большинство комментаторов) нахожусь со стороны "пользователи"

1) Какую проблему вы пытаетесь решить являясь "пользователем" данной системой? Какой результат хотите получить?

2) Влияет ли количество участников данной системы на эффективность результата? Нужно больше пользователей, или наоборот меньше?

3) Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть существующих?

1) Какую проблему вы пытаетесь решить являясь "пользователем" данной системой? Какой результат хотите получить?

Чуть ниже я уже писал вещи, которые приблизительно отвечают на ваш вопрос.

https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23407288

Есть уровень участия в политической жизни, который меня устраивает. Этот уровень может не совпадать с вашим и это, как мне кажется, совершенно нормально.

Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников.

2) Влияет ли количество участников данной системы на эффективность результата? Нужно больше пользователей, или наоборот меньше?

Нужно больше. В моей картине мира риторика вида "а надо быть готовым, что вас уволят или ноги сломают" (это относится скорее к комментарию, на который я отвечал по ссылке, приложенному в первом пункте) гарантировано уменьшает количество пользоваталей. Посылание пентестеров - тоже.

Замалчивание уязвимостей просто невозможно - подобная уязвимость гарантировано будет обнаружена (см. ниже). Любая попытка скрыть косяк точно будет использована политическими оппонентами -> можно полагаться только на открытость и сотрудничество.

3) Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть существующих?

Вы хотите какой ответ, что я бы ответил, если бы это меня спрашивали на работе, или что я бы ответил, если бы это был разговор на кухне и я сидел в тельняжке, стуча воблой по столу?)

По-хорошему, надо проводить A/B Тест и само его проведение организовать безумно сложно (хотя бы потому что огромное значение на эффект имеет пропаганда третьих лиц).

В рамках кухонного разговора, как мне кажется, умалчивание приводит к отталкиванию. Попробую пояснить, но, конечно, всё написанное ниже - домыслы и я не расчитываю, что смогу вас убедить.

---

Про пользу открытости (вернее про то, что открытость не обязательно приводит к ужасным последствиям):

Мне в голову приходит ситуация, когда инженер стёр продовую базу в гитлабе с данными пользователей, и они написали детальный постмортем. Разные видел комментарии, но, в основном, их хвалили за открытость. Впрочем, мб это эффект выборочного внимания и комментарии вида "о ужас, больше никогда не буду покупать их сервис" я просто не запомнил.

---

Про невозможность сокрытия:

Автор не сделал ничего сверхгениального, он нашёл джангу с включёным дебагом.

Не хочу преуменьшать его заслуги, но подобные косяки ищут широким сканированием в автоматическом режиме в каком-нибудь shodan'е.

То есть буквально прямо сейчас, пока вы читаете это сообщение, сотни человек из одной только россии (и тысячи во всём мире) сканируют роботами тысячи сайтов на наличие подобных косяков.

Это буквально не преркащающийся ни на секунду массовый поиск - ищем монгу с открытым портом и настройками по умолчанию. Ищем urlы, с подстрокой из следующего множества, запрос по которому не отдаёт ошибку. Не берусь утверждать, что джанго с включёным дебагом входит в набор поиска самых-самых начинающих скрипт-киддис. Мне кажется, кто-то по ней да ищет. Включённый дебаг мод в популярных движках и фреймворках - одна из первых вещей, которые приходят в голову. Если ошибаюсь, поправьте меня.

Часть из этих сайтов вообще никто заранее не выбирал целью, люди каждый день находят десятки-сотни таких, а потом собирают в списочек и вечером за чашкой чаю пытаются понять, какие из них интересно поковырять с точки зрения потенциальной уязвимости или ценности для потенциального покупателя.

Нельзя даже предполагать, что автор вообще - первый, кто наткнулся на уязвимость. Уж тем более на то, что если он о ней промолчит, её не найдёт ещё десять человек в недели или суток. А может быть и не найдёт. А может быть её найдёт ещё 100 человек, 99 из которых окажутся оппозиционерами, искренне верящими в то, что об уязвимости надо умолчать, а оставшийся 1 - сторонником кремля. В конце концов, с течением времени нашедших уязвимость будет всё больше и больше, а решивший использовать её худшим образом рано или поздно найдётся чисто из закона больших чисел.

---

tl;dr: я буквально не вижу сценариев, в которых умалчивание и посылание пентестеров к чёрту - это хорошо. Не знаю, как вы их представляете, мб я глупенький, а у вас картина мира более полная и вы обладаете более полным представлением о том, как устроена индустрия поиска уязвимостей. Я тут, действительно, профан, буду рад услышать ваше экспертное мнение, если это так.

Возвращаясь к вопросу:

Помогают ли создание / распространение негативной информации о данной системе набрать пользователей, или наоборот отталкивает часть
существующих?

Распространение такой информации работе организации не помогает - конечно.

Проблема в том, что скрыть её, как мне кажется, просто невозможно. Единственное, что можно сделать - damage control. Либо ты работаешь с пентестерами так, чтобы они вели себя хорошо и этично и рассказываешь, какой ты молодец, как замечательно и быстро среагировал на сигнал об уязвимости, как хитро исправил, и что сделал, чтобы больше никогда в такой ситуации не оказываться.
Либо эту уязвимость и информацию используют против тебя.

Других вариантов, вроде как, не завезли.

Невольно, начинаешь за собеседника додумывать всякое нехорошее.

Вы поменьше додумывайте и читайте первоисточники. А то то у вас УГ, почему-то, не нужно когда ЕР имеет рейтинг меньше половины (то естьв сегда), то собеседник на вилы предлагает поднимать кого-то, а победа политика становится чем-то плохим.

For the Greater Good!"

Вы тут в комментариях уже раз шесть написали, что автор поступил неэтично. Но его неэтичность вас не заботит, вы только за неэтичность Волкова готовы на вилы поднимать. Интересная у вас этика.

И это не "For the Greater Good"? А почему, потому что что слитая Горожанко база оказалось вдруг под угрозой, опять?

Да, For the Greater Good люди даже на танк с гранатой бросаются. "Ради любимой партии". И едва ли их спрашивали это ли их уровень комфорта.

Так и в чем ваша позиция, что нет никакого "For the Greater Good", только ваш комфорт?

При этом не забывайте, что танки не волков послал, его и коллег танк уже переехал. И даже если вы распнете Волкова, то танки это не остановит. Так что нет, моя позиция не про "For the Greater Good", а что вы в принципе не в у сторону воюете.

хотя бы потому что огромное значение на эффект имеет пропаганда третьих лиц

И после этого вы приводите ванильный пример гитлаба (вместо A/B тестирования). Очень корректная аналогия, ага.

решивший использовать её худшим образом рано или поздно найдётся 

Так в том то и дело, что Горожанко давно нашелся. И да, волков очень очень плохой, что это допустил. Но теперь все эти упражнения в пантестинге и виктимблейминге - бег на месте.

Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников

А я думаю это ложь. Или самообман. Условия поменялись вовсе не от реакции Волкова, а от, собственно, дыры. Впрочем, судя по тому, что "это что-то меняет" - вы до сих пор не зарегистрировались (зарегистрированным то уже поздно что-то менять), так что теперь просто есть повод и не регистрироваться.

И самое главное, что заявленная вами проблема "посылание пантестеров и замалчивание задним числом", которая все меняет, публикацией не уже не исправить в принципе, так что заявленная вами цель ещё и недостижима.

И в чистом остатке лично я вижу 1) закрытую втихую дыру, не очень понятно чем угрожающую и 2) ущерб репутации. 3) все показали как они за этику с бревном в глазу.

Ну, такое себе мероприятие, можно было и не организовать.

Вы поменьше додумывайте и читайте первоисточники.

Извините. Абсолютно серьёзно не имею никакого желания вас обидеть. Если я где-то понял ваши слова не так - я буду благодарен, если вы укажате на это, и напишете, что же вы на самом деле имели в виду.

А то то у вас УГ, почему-то, не нужно когда ЕР имеет рейтинг меньше половины (то естьв сегда)

В данный конкретный момент УГ нужно, замечательный инструмент, всем советую.

Почему УГ станет не нужным, когда наступит прекрасная россия будущего - хороший ответ вот тут

https://habr.com/ru/company/itsoft/blog/574286/comments/#comment_23408210

С чего вы решили, почему за ЕР или за Путина голосует меньшинство - спрашиваю буквально в каждом треде - пока не получил ни одного ответа. inb4: было бы круто, если бы действительно было так. Но почему вы решили, что это так?

Вы тут в комментариях уже раз шесть написали, что автор поступил неэтично. Но его неэтичность вас не заботит, вы только за неэтичность Волкова готовы на вилы поднимать. Интересная у вас этика.

Так, погодите.

Вы буквально в одном абзаце пишете, что я поступок автора назвал неэтичным шесть раз. Шесть раз. И утверждаете, что его неэтичность меня не заботит.

Шесть раз, карл! Шесть раз! (по вашим словам, конечно, я им верю и пересчитывать не буду).

Хотите ещё несколько раз повторю. Неэтично, неэтично, неэтично. Осуждаю. Уууу, автор негодяй! !!!! !!!111. И ещё три восклицательных знака.

Достаточно? Вы скажите, если получившееся количество раз - мало - мне не жалко, я ещё раз повторю.

Вы хотите, чтобы я торжественно выписал автора из числа этичных пентестеров? Увы, у меня такой кнопки нет, не завезли.

вы только за неэтичность Волкова готовы на вилы поднимать.

Подскажите, пожалуйста, где я поднимаю Волкова на вилы?

Я в соседней ветке комментариев буквально защищаю его право банить несогласных направо и налево. Там его ещё из либералов выписывают.

Да, For the Greater Good люди даже на танк с гранатой бросаются. "Ради любимой партии". И едва ли их спрашивали это ли их уровень комфорта.

Да, бросаются, это факт. Я более чем уверен, что практически все бросающиеся на танк с гранатой делают это for the greater good. Как, впрочем, и едущие на танке.

Более того, я более чем уверен, что это даже чертовски полезное убеждение с точки зрения эффективности бросания на танк или управления танком - знаете ли, водители танков, верящие, что с ними бог, и кидатели гранат, верящие в коммунизм перформят в деле вождения танков и кидаюния гранат гараздо лучше, нежели те, у кого подобные убеждения отсутствуют.

Так и в чем ваша позиция, что нет никакого "For the Greater Good", только ваш комфорт?

Вы рилли хотите на мировоззренческие темы и взгляды на демократию порассуждать или просто так спросили?

И даже если вы распнете Волкова, то танки это не остановит.

Ну что же вы, я выписанного из либералов Волкову приют среди коммунистов предложил, а вы намекаете, что я его распнуть пытаюсь.

Так что нет, моя позиция не про "For the Greater Good", а что вы в принципе не в у сторону воюете.

Тогда зачем все эти образы про бросание на танк с гранатой ради добра и партии?

И после этого вы приводите ванильный пример гитлаба (вместо A/B тестирования). Очень корректная аналогия, ага.

Извините, если вам показалось, что пример с гитлабом призван как-то заменить A/B тестирование. Это не так, это никогда нигде и не утверждалось, и если вдруг кому-то, читающему комментарию, показалось, что это связанные вещи - прошу простить меня за эту путаницу.

Нет, это не так.

Если вдруг кто-то сомневается, вдруг всё-таки так - призываю обратить внимание на структуру комментария. Там прямо разграничивается. Буквально написано "дальше - чисто домыслы". "В рамках кухонного разговора". И после этого идёт про гитлаб.

Рилли, если вы мне подскажете, как мне стоило структурировать тот комментарий так, чтобы у вас не возникло такой ошибке при прочтении - я буду благодарен.

(мои слова): Посылание к чёрту пентестеров и замалчивание проблемы - фуфуфу, плохо, меняет условия участия лично для меня и гарантировано отпугивает других участников

(ваши слова): А я думаю это ложь. Или самообман.

Резонно. Я думаю - отпугнёт и меня отпугивает. Вы думаете - не отпугнёт и вас не отпугивает. Оба мнения имеют право на жизнь. Мне не стоило ставить здесь слова "гарантировано".

Условия поменялись вовсе не от реакции Волкова, а от, собственно, дыры.

Ну дык, это.

Случай А: компания продолбалась и говорит "Блин, вот, короч, инфа о том, что случилось, вот как мы это исправили"

Случай Б: компания продолбалась и говорит "Да и пофиг, задолбали нам про дыры писать, ну дыра и дыра, специалисты доморощенные, шапочку из фольги оденьте".

Вы целиком и полностью имеете право считать, что в обоих случаях относиться следует одинаково. Действительно, в обоих случаях произошла уязвимость.

Я так не считаю, и это озвучиваю.

Ну, допустим, вы подобное убеждение называете "самообманом", ок, хоть сепулькой назовите.

Впрочем, судя по тому, что "это что-то меняет" - вы до сих пор не зарегистрировались (зарегистрированным то уже поздно что-то менять), так что теперь просто есть повод и не регистрироваться.

Этот пассаж вообще не понял.

публикацией не уже не исправить в принципе, так что заявленная вами цель ещё и недостижима.

Так, стоп, я заявлял какую-то цель "публикации" или "комментариев"? О какой цели вы говорите?

И в чистом остатке лично я вижу 1) закрытую втихую дыру, не очень понятно чем угрожающую и 2) ущерб репутации. 3) все показали как они за этику с бревном в глазу.

  1. В смысле, втихую? Закрыли же после публикации.

  2. См. выше.

  3. Эээ, это вообще какая-то аргументация в духе путинской пропаганды.

В духе "А вот Навальный коррупционеров обличает, а сам-то он!".

Это так не работает, извините.

Не знаю, где вы увидели нарушение этики с моей стороны (бревно в глазу). Буду благодарен, если сообщите. Впрочем, я уверен, что это не должно менять ничего в моих словах. Если вам угодно, можете считать в рамках комментариев к данному треду - что конкретно я самолично ем детей и совершаю военные преступления. Если бы я ел детей - я бы сказал то же самое.

Если вам угодно, можете считать в рамках комментариев к данному треду - что конкретно я самолично ем детей и совершаю военные преступления.

Тогда можно я не буду заниматься фигнёй и тратить время на объяснения вам ваших передёргиваний?

С чего вы решили, почему за ЕР или за Путина голосует меньшинство

Это моя цитата?

Тогда можно я не буду заниматься фигнёй и тратить время на объяснения вам ваших передёргиваний?

А вам для этого разрешение нужно? Надеюсь, что нет. Если таки нужно - конечно, можно.

Абсолютно каждое сообщение в этом треде было написано вами полностью добровольно. У вас была есть и будет полная свобода не читать мои комментарии или не отвечать мне.

Если в действительности вас кто-то принуждает, наденьте жёлтую рубашку в следующем видео.

Сочувствую, что вам пришлось с этим столкнуться.

Должно быть, это очень обидно - у вас такие блистательные аргументы про бросание на танк с гранатой, остроумные вопросы к собеседникам, с какого района он будет за кого он воюет, а у вашего собеседника такая глупость. Бывает же. Вот занимаешься, понимаешь ли, в диалоге важным и ответственным делом, а собеседник - бессмысленным флудом и демогогией. По-моему, мне должно быть стыдно.

Вы как то потеряли слова которые в корне меняют фразу, я возвращаю их Вам

>> экономящей на безопасности

  

Security through obscurity это единственное, что защищает от момента нахождения уязвимости до момента полного устранения уязвимости.

Оно ни от чего не защищает. Принцип сообщения ответственным за устранение основан на том, что им, при прочих равных, легче и быстрее устранить уязвимость. В случае, если нет надёжного доказательства того, что она не была использована третьими лицами, они всё равно обязаны признаться, что она могла быть использована.

Вопросы безопасности в целом не моя специальность, но рискну предположить, что даже если Security through obscurity и может работать, то только в случае с компаниями, которые не привлекают особого внимания, и к которым злоумышленники могут забрести разве что случайно. В данном же случае имеется мишень за которой злоумышленники пристальнейшим образом следят. Так что любая уязвимость скорее всего находится и эксплуатируется с первых же дней, а through obscurity только поддерживается стабильный источник утечки ценной информации к злоумышленнику.

https://habr.com/ru/company/oleg-bunin/blog/571440/
Действительно. Поэтому мне так понравилась эта статейка про культуру открытости к ошибкам и их исправления. Глоток свежего воздуха буквально.

А как думаете, почему это глоток воздуха? Если все так хорошо, то почему коммерческие компании так не делают?

глоток воздуха, потому что показывает пример наиболее быстрого реаригирования и устранения ошибок, с честностью на всех этапах, с определенностью кто как должен действовать для решения проблемы.

часть компаний наверно делает, а другим принять сложно из за того что это должно поддерживаться в первую очередь руководством. А руководство понимающие техническую сторону и почему это надо так делать, я так полагаю не всегда встречается. Куда проще скатиться в токсичную атмосферу с указанием на козлов отпущения, или свестись к начальству которое предпочтет заметать под ковер чтобы не разрушить свою мифическую репутацию вместо реальных действий.

И еще глоток воздуха потому что, такая открытая стратегия обеспечивает уровень безопасности намного выше чем альтернативы.

Но приличная часть компаний наверно банально не имеет ресурсов для найма людей понимающих в безопасности. Либо не осознают необходимости в уровне безопасности в соответствии со своим ростом.

обеспечивает уровень безопасности намного выше чем альтернативы.

Это факт?

Тогда получается что тысячи руководителей с миллионными зарплатами, консультантами и прочим, скажем так, не так умны как вы, что бы это знать. И скатываются в токсичность и вот это всё.

А коммерческие компании им деньги зря платят.

Немножко не тот случай, когда достаточно объяснить глупостью.

Почему не делают?

Некоторые вещи (например, публичное раскрытие информации об утечках данных) - прямое требование SEC и GDPR.

Я могу, конечно, ошибаться, но SEC вроде как как-то даже работают и докапываются.

More than a year later, the SEC brought an action against another issuer for allegedly misleading investors and delaying disclosure about a third party misusing the company’s user data.

In this case, a third party had gained access to, and misused, the company’s user data. The SEC alleged that for two years after finding this out, the company described in its SEC filings the misuse of personal data as a potential risk. According to the SEC’s allegations, at the time each of these filings was made, the company knew the misuse had occurred.

Впрочем, я не инвестор и подобные отчёты не читаю, может быть придёт кто-то богатый и умный и поправит меня.

Проблема в том что если эти проблемы не озвучивать то для безопасности сторонниок не будет ничего делаться.
Учитывая что сейчас есть прямая угроза сесть и лишиться имущества, к безопасности надо относиться максимально серьезно. По Волкову этого не видно.

Была бы адекватная реакция, то писали бы по приватным каналам, а не выкладывали в паблик.

Учитывая что сейчас есть прямая угроза сесть и лишиться имущества

В чем "прямота" заключается?

В статье УК 282.1 п.2 «Участие в экстремистском сообществе»

Хотя она ещё не применялась против сторонников ФБК, такая угроза стала реальнее чем когда-либо.

А "лишиться имущества" - это штраф, получается?

Прямая угроза и "реальнее" - это очень разные вещи. Натянуть неверефицированную почту на участие в сообществе - это достаточно смело даже по нынешним временам, когда даже до "финансирования" не добрались.

Натянуть неверефицированную почту на участие в сообществе - это достаточно смело даже по нынешним временам

Что значит "неверифицированную" почту? Вы таки думаете, что для уголовного дела нужно, чтобы аккаунт был подверждён смской на телефон, к которому привязан паспорт человека?)

Я напомню, что сейчас полиция вежливо стучится и спрашивает не желают ли написать заявление о разглашении персональных данных ФБК, а не выламывают дверь и увозят. Что им нужно можно спорить, но по факту результат какой есть.

Ну да. Потому что они решают другую задачу. И тех, кто напишет заявление о разглашений персональных данных ФБК вроде как увозить не планируют - во всяком случае о таких случаях я не слышал.

В тех случаях, когда человеку нужно сделать статью, вполне себе делают статью по факту в духе "В 2014-ом году человек выложил на свою страничку в видеозаписи клип группы Раммштайн и поэтому сегодня мы решили завести на него дело".

---

На самом деле, если кто-то даст комментарий на тему актуальной практики работы наших органов - я буду очень благодарен. С моей точки зрения "верификация" страниц в соцсетях, да и привязка паспортов к номерам телефонов - это довольно свежие "изобретения" и дела вполне себе успешно шились до них.

Более чем 10 лет назад в уголовных делах вполне себе фигурировала переписка из ICQ (видел своими глазами), который тогда ещё рамблеру не принадлежал и серверов в рф, если я ничего не путаю, не имел. Маловероятно, что по всякой ерунде прямо-таки брало и сливало переписку милиции в провинциальные ебеня. Верифицирован ли аккаунт? А не было ли на компухтере вируса, который строил из себя прокси? Вообще пофиг.

Предположу, конечно, что такие дела скорее всего легче развалить.

Йеп, скорее всего если не сделать других ошибок (например, в дополнение к почте никогда и ни в коем случае не упоминать в разговорах по телефону или в сообщениях в контакте тот факт, что вы участвуете в деятельности ФБК, никогда не посылать ни одного сатоши без предварительного прогона своих биткоинов через нескомпрометированные миксер) - можно будет даже доказать свою невиновность в суде.

Ещё потребуется выдержать давление следователя. Вы-то умный и справитесь. Но кроме вас есть десятки тысяч людей менее готовые к такой сиутации.

А ещё даже выиграв суд (или добившись того, что дело до суда и не дойдёт) можно радостно потерять кучу денег, нервов, проблемы в отношении с родственниками и работу.

www.facebook.com/yashin.ilya/posts/4176818172371796

«Ну понятно, — говорит, — А доказать-то можете, что это не ваш канал?»

«Это же очевидно», — отвечаю. И поясняю: канал не верифицирован, на других мои страницах в соцсетях от 200 до 400 тысяч подписчиков, а здесь всего несколько сотен, любой человек может зарегистрировать такой канал хоть от моего имени, хоть от имени самой судьи Михалевой.

«Ну фотография-то ваша, правда? — улыбается судья. — Позиция ваша понятна, но суд считает доказательство приемлемым».

А чем дело кончилось, если не секрет? Отсутствие верификации помогло оправдаться?

btw, а канал действительно не имеет к нему отношения де факто, или только де юре?

А чем дело кончилось, если не секрет? Отсутствие верификации помогло оправдаться?

Не помогло. О том и речь.

btw, а канал действительно не имеет к нему отношения де факто, или только де юре?

Понятия не имею. Никаких аргументов, кроме «там стоит ваше имя и ваше фото», прокуратура не предъявляла, а суд не требовал.

Потому что они решают другую задачу. 

И дальше будут решать свои проблемы, а не бегать непонятно за кем. Получить палку гораздо проще с "В 2014-ом году человек выложил на свою страничку", чем думать как почту к паспорту привязать.

Там ведь даже фотки нет.

Там ведь даже фотки нет.

Вы исходите из допущения, что используемая почта - одноразовый аккаунт на выброс?

Я исхожу из допущения, что на сайте можно и чужую вести, для начала.

А зачем?

Ну, типа, ок, допустим значимая доля пользователей ввела чужую почту. В таком случае они в безопасности и за ними "не придут". Но в таком случае сервис сбора данных не выполнит свою задачу (значимая доля пользователей не получит уведомлений, а цель существования этого конкретного взломанного сервиса - собрать почты и отправить по ним уведомления). В чём тогда причина беспокоиться, что сервис дискредитирован и в него придёт оставлять почты меньше людей?

Попробуйте цифры подставлять в рассуждения, а то "если будет меньше, чем больше, то какой смысл беспокоится что будет меньше"

Абсолютно верно. Спасибо!

Мы публикуем их уязвимости до устранения, а они увеличивают нам пенсионный возраст до нашей кончины. По-моему, всё честно.

У 2naive 121 голос и карма 13.7 — Это наверное рекорд.
У меня 286 и карма 33.5 :)))

Жизнь надо прожить ярко, чтобы у кого-то подгорало.
Так гораздо лучше, чем если карма 30, а голосов всего 40.
В этом плане Хабру есть о чём задуматься.

Время реакции у нас пара минут. Я от клиентов не прячусь. Видите я тут. Любой мне может написать. (Игорь Тарасов, генеральный директор компании itsoft).

*Жалуется по тарасовски

Игорь, я тебя тегнул два часа назад, где обратная связь? Почему ты игнорируешь мое предложение? Это потому что ты генеральный директор, а я простой разработчик, да? Ты зазнался, Игорь, вот что.

И цель этого пинания Волкова и Ко, чтобы они сделали обратную связь, о которой я им говорил и предлагал сделать 8 лет назад. И такая обратная связь должна быть у всех организаций.

Они все достали! Я хочу, чтобы все общались с людьми как это делают хостинговые компании и в частности наша. (он же)


Выводы о генеральном директоре IT-компании Игоре Тарасове делайте сами. Равно и о его публикациях.

У 2naive 121 голос и карма 13.7 — Это наверное рекорд.
У меня 286 и карма 33.5 :)))
Не очень понял ваш аргумент…
Типа чем больше голосов при небольшой карме, тем типа круче?
Ну, тогда вам ещё далеко до рекордов...

вот уж реально, как кораблик назовешь, так он и поплывет

а фиаско, оно везде - фиаско )))

А вы же направляли им самим эту информацию заблаговременно?

Хотя с учётом количества ошибок детских не факт что им это помогло бы.

Пока 50 лайков и 20 000 просмотров на Хабре статья не наберёт они всё равно реагировать не будут. Какой в этом смысл? Не раз писал в ФБК и прочие проекты на общие контакты и ни разу не получил ответ.

Эту конкретную инфрмацию вы им отправили заблоговременно, или нет?

Существуют общепринятые протоколы для исследователей безопасности. Хотелось бы узнать, какому следовали вы.

Кстати интересно, а почему ТС и другие должны следовать каким-то протоколам в принципе?

Неужели "публичная платформа" следует протоколам? Аудит там, выплаты за утечки, признание вины в конце-концов

выплаты за утечки

Представляю как на стриме "привет, сегодня четверг, это не Навальный. А сегодня мы собираем на bugbounty нашим друзьям из itsoft".

Ну если вы найдете уязвимость в Google и вместо того чтобы направить им информацию опубликуете ее онлайн, то скорее всего ничем хорошим это для вас не кончится.

С другой стороны если данные были отправлены, а адресат их проигнорил, тогда публичное информирование о наличии уязвимости заставит владельца пошевелиться и тогда это благо.

Общепринятые протоколы для исследователей безопасности не включают в себя вместо благодарности за нахождение уязвимости получение ответа про "доморощенных экспертов по информационной безопасности и шапочки из фольги".

Это кстати просто омерзительно. "Доморощенные". А каким бы он поверил? Из техотдела ФБР/ФСБ?

Если бы он только банил тех, кто задает неудобные вопросы. Он (и не только он) банят и тех, кто поддерживает (например, ретвитом или комментарием) тех, кто задает неудобные вопросы. Я так в бан Милову и Волкову попал.

Я в бане у Коха, Милова, Чичваркина, Доброхотова, Адагамова, Бабченко, Фейгина, Сотника и ещё дофига у кого. Боровой в нулевых угрожал меня на счётчик поставить. Мало кто терпит людей, задающих неудобные вопросы. Вот такой зоопарк либерально-демократический у нас, который про свободу вещает.

Вот такой зоопарк либерально-демократический у нас, который про свободу вещает.

Либералы банят, коммунисты расстреливают, автократы травят. В чем недовольство?

Это просто у либералов пока власти нет.

Вот (если) будет, тогда и посмотрим, кто есть кто.

Точно. Знаю я этих либералов, построят как обычно страшную либеральную страну с концлагерями и без блекджека.

Хочешь узнать человека - дай ему маленькую власть. Да и не либералы они никакие вовсе. Также как современные коммунисты - не коммунисты, патриоты - не патриоты, РПЦшнки - не христиане.

Тот кто в интернете банит - будучи у власти будет сажать по тюрьмам. Ну и цензуру врубать на полную. Впрочем, власть этим товарищам не светит. Все что им надо - немножко донатов и продать кандидатам в муниципальные думы место в списке УГ.

Тот кто в интернете банит - будучи у власти будет сажать по тюрьмам. Ну и цензуру врубать на полную

Не согласен.

Если ко мне в квартиру пришёл человек, который мне не нравится, я имею право закрыть дверь.

Если ко мне на страницу пришёл человек, с которым я не хочу общаться, я имею право послать его к чёрту и закрыть доступ.

У вас разве не так? Разве вы считаете, что лично вы такого права не имеете?

---

Насколько я знаю, Волков имеет те же права, что и я, вроде как в правах его никто не поражал.

При этом вы можете считать, что он ведёт себя как мудак. И я могу считать, что он ведёт себя в этой ситуации, как мудак. И тот факт, что он - публичное лицо, да ещё и политик может заставлять нас считать его ещё большим мудаком.

(вообще, в подавляющем большинстве случаев мудаки действуют именно в рамках законодательства, внезапно. Поэтому у нас в языке есть отдельные слова для неодобряемого поведения и недобропорядочности - мы называем разных людей словами "мудак", "лицемер" и т.д., а не "преступник").

Однако быть плохим человеком (неважно, с чьей-то точки зрения или как-то объективно) - это совершенно не то же самое, что ограничение чьих-то прав или механизм репрессий. (Более того, подозреваю, что некоторые диктаторы - совершенно замечательные и душевные люди).

Если я говорю что я либерал, то не могу вести себя как диктатор. Даже в мелочах. Я не могу банить людей потому что они мне задают неудобные вопросы. И тем более, делать вид что это не мое лично решение, а просто это и остальные так считают. Да даже если большинство тоже так считает (хотя какая разница что оно считают, ведь они могут ошибаться), свобода слова один из главных принципов либерализма. Где-то у себя в семье пусть закрывает двери кому хочет. В его личное пространство никто не лезет. На публичной площадке для обсуждения так себя вести нельзя.

То есть, резюмируем: Волков - вообще не либерал.

свобода слова один из главных принципов либерализма

Конечно. Послать собеседника к чёрту - никак не связано со свободой слова. Не встречал ни одной формулировки свободы слова, которая обязывала бы меня общаться с неприятными мне людьми, например. Вы уверены, что она хоть где-то в истории встречается? Было бы любопытно почитать подобный источник.

На публичной площадке для обсуждения так себя вести нельзя.

То есть если я сейчас пойду на вашу страницу в контакте и начну критиковать ваши выставленные фотки, вы будете старательно себя ограничивать в праве закрыть страничку или добавить меня в чс?

То есть, резюмируем: Волков - вообще не либерал.

Допустим) С этим не вижу смысла спорить.

Я по-прежнему не согласен, что "либерал не имеет право банить людей на своей страничке", но мне, в общем-то совершенно совершенно всё равно, куда Волкова относите вы (или куда Волкова относит он сам).

В 2019-ом, 33 из 45 человек в списках умного голосования заняли коммунисты, да и программа Навального, по мнению некоторых людей, довольно левая (насколько я понимаю, из-за некоторых пунктов, собеседование в ЛПР, к примеру, он бы принципиально бы не прошёл), думаю, на основании этого вы можете смело называть Волкова коммунистом).

А что это меняет? "Либерал" - не значит "хороший" и тем более не значит "топящий за те же интересы, что и вы". Ну не либерал и не либерал, какая разница.

Это одно:

На публичной площадке

А это другое:

если я сейчас пойду на вашу страницу в контакте

не надо путать. А то получится, что предположим, в какой-то альтернативной вселенной, Волков вдруг становится президентом. Тогда что получается, это его личная страна что ли?

Вы так говорите, как будто Волков кому-то запретил пользоваться всем Твитром целиком, а не только писать сообщения лично ему?

На публичной площадке

Ну да. На публичной площадке.

Волков может написать на публичной площадке "Я - хороший человек"

Вы можете на этой же площадке написать "Неправда, Волков - негодяй".

Публичная площадка покажет мне оба ваших сообщения.

В чём проблема?

У нас наверное разное представление о том что такое публичная площадка, а что нет.

Судя по вашим словам, вы наверное считаете что публичная площадка в случае Волкова это такая, где он не может никого банить. Все остальное - его личная вотчина. Где можно банить за мнение вместо аргументированного ответа, и еще предварительно нахамить.

Ок, у нас разные понятия просто. Не вижу смысла продолжать диалог.

и еще предварительно нахамить.

Хамство никак не связано со свободой слова.

Все остальное - его личная вотчина. Где можно банить за мнение вместо аргументированного ответа

Как свобода слова связана с аргументированностью ответа?

Ок, отобрали вы у твиттера Волкова кнопочку бана.

Представим, что он на каждое ваше сообщение отвечает "бебебе". Или "я даже читать это не буду, потому что %username% - идиот". Это тоже будет нарушением свободы слова?

У нас наверное разное представление о том что такое публичная площадка, а что нет.

Мне кажется, корень различий у нас не в определении того, какая площадка публичная, а в отделении личного и государственного.

Например, я считаю, что государство должно одинаково относиться к двум гражданам, если предположить, что один из них верит в коммунизм, а другой верит в либертрианство.

Но каждый отдельный человек вполне себе имеет право считать того или иного человека идиотом. В том числе на основании убеждений. Это никак не противоречит свободе слова.

Это факт очень хорошо вас характеризует.

Я надеюсь вы так же в бане у Соловьева, Шейнина, Потупчик и прочих из другого лагеря?
UFO landed and left these words here
Да я с этим дерьмом вообще как-то не пересекался. Зайдите на страницу того же Соловьёва и посмотрите кто его читает. Меня там нет. Мне не о чем с ним говорить, спорить.

И никогда н понимал любителей смаковать дерьмо. «О, посмотрите, какое дерьмо я нашёл сегодня.»

У меня вопросы к Навальному и Волкову, так как они претендуют на политическую силу, которая хочет представлять мои интересы. А за путинских я никогда не голосовал начиная с их прихода. Мне как-то было понятно кто и ради чего дома взрывал, и почему Басаев вдруг так внезапно начал Вторую Чеченскую. В своё время были вопросы к Явлинскому.

Кстати, я с Борисом Немцовым немного общался. Вот это был человек — очень открытый и доступный. Всем надо с него пример брать.
UFO landed and left these words here
Почитайте внимательно мои комментарии. У нашей компании тысячи клиентов. Полагаю, что их реально больше, чем обращений в ФБК.

Время реакции у нас пара минут.
Я от клиентов не прячусь. Видите я тут. Любой мне может написать.
На сайте есть мои контакты и порядок направления обращений.

И ко мне обращаются крайне редко. Потому что тысячи обращений разруливаются до меня. Ко мне можно обратиться, если сотрудники не разрулили.

Ранее я уже писал в комментах, что много раз обращался в проекты Навального по открытым контактм и ни разу не получил ответа.

И цель этого пинания Волкова и Ко, чтобы они сделали обратную связь, о которой я им говорил и предлагал сделать 8 лет назад.

И такая обратная связь должна быть у всех организаций. Потому что есть у меня депутат Митрохин и депутат Гончар. У Митрозина есть аккаунты в соцсетях. Но его высочество не может снизойти и пообщаться со мной нормально. Он общался со мной сканами писем через помощницу. Написал хрень. Гончар тоже сканами, но хоть что-то пообещал.

Они все достали! Я хочу, чтобы все общались с людьми как это делают хостинговые компании и в частности наша.

Хостинговые компании жопы рвут за клиентов. Потому что конкуренция дикая. А во многих остальных сферах на человека кладут с прибором.

Хостинговые компании жопы рвут за клиентов. Потому что конкуренция дикая. 

Это потому, что все хотят денег. А уголовку мало кто хочет. И вы вот, почему-то, не хотите.

UFO landed and left these words here

Можно обновить приложение и доставлять кандидатов пушами.

Вряд ли они рубанут все пуши в стране заради списка из 400 имен, за которые кому-то еще и проголосовать надо.

На один день, например (или сколько там нынче голосуют), ну, может и рубанут... но я подозреваю, что рубануть конкретно пуши трудно/невозможно и это также заденет все прочие сервисы Google/Apple.

Рубануть надо на неделю. Иначе смысла нет.

Справедливости ради, IP-адрес там, конечно, с богатой историей, возможно, она влияет. Там и казино раньше висело, и Росздравнадзор к нему прикапывался...

Я если честно вообще не понимаю зачем такие сложности с приложением, сайтом и прочими новомодными технологиями. Перед голосованием, текстовый файлик размером в несколько килобайт. И его по всем СМИ иногантов(Думаю они с радостью выложат у себя). Для каждого СМИ по 10 ссылок на сайты, и по 10 магнет ссылок. Этот же файл на электронку каждому, кто изъявил желание оставить электронку. Ну а дальше, каждый сам находит свой округ и кандидата.

Ну заблокируют вместо сайта УГ сайты иноагентов.

вместо сайта УГ сайты иноагентов

Вместе.

Но это дольше и сложней. Их больше. Их надо искать, и следить за ссылками. Торренты тоже положат все? Мое мнение, на сайт УГ простые домохозяйки не попадают. А значит все эти технологии не нужны. Ну или в дополнение к ним, надо увеличивать охват, а не "дайте нам свои данные, а мы вам, может быть, скажем за кого. Если не сломается, если не взломают, если не ограничат доступ". Может проще подготовить 100500 статичных сайтов страничек. И пустить рекламу на них? Я к тому, что как то сложно все получается. Да еще и слив за сливом. И все равно, одна точка отказа. Да тот же тикток. Запустить компанию там. И каждый день или час вбрасывать новые сайты.

Мое мнение, на сайт УГ простые домохозяйки не попадают.

Может проще подготовить 100500 статичных сайтов страничек. 

Кажется у вас что-то сломалось

Вы пропустили второе предложение. Пустить рекламу. Реклама постоянно крутится по кругу. Соответственно ссылок на сайты может быть много. Ну и мониторить какие умерли ссылки и на эти ссылки снимать рекламные баннеры.

Если что, в России ФБК баннеры никто давно не продает. Так что только гугл. Плюс баннерорезки: 2/3 аудитории сразу в минус.

Ну и потом это дохрена дорого

Население справится - самиздат появился давно, копировать текст все умеют.

Такие детали можно считать подтверждением версии, согласно которой ФБК сотоварищи - контролируемая оппозиция для составления списка недовольных и выпуска пара....

Не надо искать злой умысел там, где имеет место обычная глупость.

С такими друзьями и враги не нужны.

Вы недооцениваете человеческую глупость и лень

Скорее то, что они не агента ГосДепа. Госдеп то своим агентам нормальные сайты может сделать, а не любительство на коленке.

Вернусь позже, когда Волков новый пост выкатит, и комментарии настоятся.

Парочка багов, парочка утечек. Кого сегодня можно этим удивить?

Тем более это ведь сервис уровня "подпишись, получи новость". Достаточно забавно, что к такому кто-то вообще предъявляет претензии, будто это банк какой-нибудь. Или там РЖД.

Вот я лично зарегистрирован там и всем советую (и приложение я тоже поставил). Мыльце можете угадать с трёх раз и чекнуть по этим базам. Мне нужно что-то там такое, кроме как ответить хрестоматийно "И чо?"?

Ну ладно, боитесь этого всего (необосновано). Берите Tor, регайте анонимные мыльца. Алё, у нас тут хабр.

И да и нет. Простой проект можно сделать без откровенных дырок и без бекэнда торчащего голой жопой в интернет да ещё с типовым паролем.

Но действительно, с кем не бывает. Только не надо врать и повторять, что всё безопасно, а тех, кто не согласен оскорблять и банить. Если бы товарищ Волков не был бы столь высокомерным, а прислушивался, то не было бы и такого позора.

Простой проект можно сделать без откровенных дырок и без бекэнда торчащего голой жопой в интернет да ещё с типовым паролем.

Это всё можно требовать от IT компании. Или по крайней мере от людей, которая хоть как-то хоть чем-то близка к IT. При этом у нас IT старается быть от политики настолько далеко, настолько вообще возможно. Ну и вы потом требуете чего-то от людей, к которым жопой повернулись.

Волков ИТ-специалист. Ему говорили в твиттере. Он в ответ оскорбил и забанил.
Поэтому никто от него ничего не требует. Но других вариантов кроме как показать проблемы в статье — нет. Обратная связь у ФБК отсутствует.

Я ему говорил в 2013 году её делать. Ему не надо как путину.

Твиттер не очень похож на адекватный способ сообщения об уязвимости. Я бы тоже вас оскорбил и забанил.

Отлично. Какой способ адекватный? Назовите, мы используем.

Емейл на сайте игнорируют. Личные сообщения в твиттере, телеграмме, фейсбуке, вконтакте игнорируют. Всё игнорируют.

Остаются твиттер и хабр.

Волков ИТ-специалист. 

Волков максимум ИТ-менеджер. Был когда-то.

Ещё раньше был и ИТ-специалистом тоже.

Так то я в детстве балетом занимался. Но балерина из меня так себе.

без бекэнда торчащего голой жопой в интернет

С докером это сложнее, т.к. ты настроил файерволл, сидишь такой довольный, а тут пришёл докер и повертел твои настройки на известном месте.

У всех достаточно крупных облачных провайдеров есть возможность настраивать внешние файрволы, которым пофиг на то, как именно там докер резвится внутри виртуалочки.

Есть внутренние серверы, а есть внешние. Firewall настраивается на внешнем.

Простой проект - это явно не когда у тебя миллионная аудитория, а против тебя вся госмашина, которая стремиться заблочить все что с тобой связано, а тебя самого объявляет в розыск и желает засадить в тюрьму.

При всем уважении, технологий, и подходов, стремящихся обезопасить или упростить жизнь последователям 0.

Даже упоминания правил хорошего тона, типа не использовать известное гву мыло нигде не найти.

Не говоря о offline first, шифровании рекомендаций, координатной системы вместо адресов, pptp, оффлайн (nfc/qr) шаринге, слепках рекомендаций

Я бы стремился дать последователям всю информацию, пояснить, чем опасен подход УГ и почему важно рискнуть, как действовать по принципу УГ без использования портала, но в соответствии с его целями.

Подход с уведомлением в последний день требует доверия. А не то чувство, которое провоцирует Волков.

Не говоря о offline first, шифровании рекомендаций, координатной системы вместо адресов, pptp, оффлайн (nfc/qr) шаринге

А кто моей бабушке эти слова объяснять будет?

В хороших проектах это все работает незаметно для пользователя, пользователь только видит кнопку «сделать хорошо». Требовать от оппозиции в России такого уровня в IT с учетом всех гонений конечно странно, но приоритет на безопасность должен быть очень сильный, а не как сейчас.

Я сам то не все слова понял, но мне кажется прозрачно работать не будет начиная с "оффлайн шаринга"

Да легко, через NFC работает какой-нибудь Google Pay, с которым и ваша бабушка справится, по QR работает СБП. Это не мегатехнологии. Координатная система — это укажи точку на Google Maps, либо сохранение в базе не конкретного адреса, а координат района (хотя зачем вообще хранить адрес непонятно, достаточно хранить номер УИК). На кой черт там pptp я не знаю, но скорее всего автор имел ввиду не конкретные технологии, а общий концепт.

Моя бабушка не знает что такое Google pay. И что такое QR, вероятно, тоже. И какое отношение это к шарингу имеет. Это все надо объяснять. Да и что в QR то складывать? Адрес заблокированного сайта? Базу из 225 депутатов с номерами тысяч УИКов?

Чем отличается точка на карте от дома я не очень понимаю, да и какое это значение имеет тоже. Привязка к человеку то по email идёт. А он не мейлру. И какая после этого секретность?

А адрес нужен потому, что в результате джерримендеринга УИК меняется.

Я вот вообще не понимаю концепции борьбы из под дивана. Без готовности после выборов выйти на улицу в этом смысла вообще никого.

Если ваша бабушка не пользуется Google Pay, то и вот этим она вряд ли воспользуется. Насчет шаринга как я понял имеется ввиду оффлайн обмен данными. Что туда складывать не знаю, видимо базу (хотя для этого очень много QR понадобится).

Точка на карте с учетом плотности застройки в России равнозначна «найди иголку в стоге сена». А вот emailы вообще неплохо бы маскировать. Как знаете это работает во всяких whois protectorах. Так по крайней мере нужно будет либо вычислить алгоритм, по которому идет маскировка (а в случае использования криптографических функций это может быть затруднительно), либо взломать еще сервис маскировки, что уже посложнее.

Что касается нарезки округов, то на эти выборы она уже завершена. А чтобы понять что будет через 4 года нужно посмотреть на Беларусь. А там внезапно за то что ты скинул картинку не в тот чатик тебя вычислят довольно сложным образом (по точному размеру картинки переданной на сервера Телеги в это время), за тобой приедут и больше тебя никто не увидит. Да и лагеря для оппозиции там уже построили. Поэтому собирать базу на 4 года вперед в таких условиях довольно наивно.

Что касается улиц — УГ это все таки массовая затея и если вы хотите чтобы там регались не только активисты, которые готовы выйти на улицу (а это будет в районе 100к человек по стране, а в случае с УГ чем больше, тем лучше), надо думать и о тех, кто не готов на улицу выходить, в случае с конкретно этим проектом они тоже важны. Так какой-нибудь бюджетник может быть бы и вставил шпильку, а так его уволят или он почитает вот этот пост в пересказе завтра где-нибудь на Медузе и передумает.

найди иголку в стоге сена

А надо найти. И определить УИК. А выборы у нас каждый год, если что. И заново в УГ базу не собирают.

Ещё раз: письмо от УГ придет на сервер мейлру. Расшифрованным. Сотнями тысяч человек. Какая тут маскировка от палева спасёт?

а так его уволят или он почитает вот этот пост в пересказе завтра где-нибудь на Медузе и передумает.

Пост вредный, не вопрос. И повод его писать так себе. Но в целом все равно невозможо же побеждать пока большинство из меньшинства в ключевой момент "передумают". Чем их при этом будут пугать - не так важно, найдут.

Если кто-то указывает почту мейл\яндекс, то он ССЗБ. Но те, кто указывают что-то другое то почему должны подвергаться утечкам?

Что касается большинства — если цель УГ победить чисто силами активистов, то она изначально провалена. Такие проекты нежизнеспособны без привлечения широкой аудитории.

Если кто-то указывает почту мейл\яндекс, то он ССЗБ. Но те, кто указывают что-то другое то почему должны подвергаться утечкам?

Ну давайте в той же логике: кто на госуслугах регистрируется ты же почтой, что и на УГ, тот ССЗБ.

У вас широкая аудитория "передумала" при первом запахе жареного "в пересказе". О какой победе речь? Да, я тоже за то, что бы все были здоровыми и богатыми. Но невозможно же их как хрустальных донести до избирательной урны не испугав бедненьких. Ну просто не получается. Надо хоть немножко смелости для них у волшебника попросить.

От широкой аудитории требуется только прийти и проголосовать. От активистов обеспечить наблюдение. От самых смелых уже защищать результаты. Если вы опираетесь только на последнюю прослойку, то у вас просто не будет результатов.

Третий раз: У вас первая, по условию задачи, "передумала". Все, нет ее. Повесили им на мейлру над письмом УГ пересказ поста и обещание всех пришедших на участок отправить в окрестино и они кончились.

Так именно поэтому важно чтобы пересказывать было нечего (не было уязвимостей) и при регистрации писать что давайте ка вы не будете использовать mail.ru, а будете использовать другой почтовик (я еще прекрасно помню такие надписи на сайтах, потому что на mail.ru письма не доходили).

 поэтому важно чтобы пересказывать было нечего (не было уязвимостей

И чтобы все были здоровы и богатые, а не бедные и больные.

при регистрации писать что давайте ка вы не будете использовать mail.ru

Надпись читать не будут, если нет запрета вводить mailru. К тому же, mailru тут проблема не ограничивается. Полный список почт где взять?

А вторым этапом - запретить регистрироваться без VPN, чтобы сорм не догадался? И проверять что бы был пустой referrer?

Так распугать первую категорию ещё на этапе регистрации вы можете, усложнить жизнь остальным можете. А вот обеспечить безопасность при массовости - нет.

В России всего два крупных почтовика, сделать про них предупредительную надпись не сложно. Они так сделали на донатном сайте про PayPal, что если у вас российский PayPal, то не используйте этот способ платежа.

Регистрироваться через VPN там и так придется, сайт то заблокирован.

Регистрироваться через VPN там и так придется, сайт то заблокирован.

Нет.

Они так сделали на донатном сайте про PayPal

Лично я бы на этот текст внимания не обратил.

С учетом того, что у ФБК есть заметная поддержка в IT-сообществе, а также есть умение организовывать людей, не понимаю, почему нельзя было если не собрать нормальных специалистов для проекта УГ, то хотя бы провести закрытый аудит с помощью добровольцев - не сомневаюсь, такие нашлись бы.

Волков ответил же, что мол и так всё в безопасности и безопасность не требуется, так как всех уже засветили.

Напомнило:

Я в этом месте не Копенгаген. А закрытый аудит непонятными добровольцами - это как?

Вот именно что против тебя вся госмашина и поэтому уделять внимание безопасности очень и очень важно. Как собственной (весь проект провалится, если в день X уведомления разошлет не проект, а злоумышленник), так и пользователей (пока за регистрацию на таких сайтах только увольняют и это уже может отпугнуть часть пользователей, а лет через 5 будут отправлять валить тайгу лет на 8 с конфискацией и вообще никто регистрироваться не будет).

К сожалению они там слишком оптимистичные, как если бы они были оппозицией в какой-нибудь восточноевропейской стране (кроме РБ конечно), а не в России. Использование сервисов Яндекса (который уже раз сливал их данные нашистам) это наглядно показывает. Не хватает им в команде параноика безопасника.

Систему в большей мере характеризуют не ошибки, а реакция не ошибки. С этими ребятами я дел иметь больше не хочу, вот как-то накопилось и подгорело. Договор был на не врать и не воровать. С первым не задалось жестко. Хотя донил, и в СК ходил по донатам, и на акции выходил, и УГ делал... Пока Н. не выйдет – все, в топку этих клоунов, а там будем посмотреть.

Пока Н. не выйдет

Думаете сам выйдет, без вашей поддержки?

Хотя у меня схожие чувства, но такая политика играет на руку оппонентам, им выгодно чтобы кто-то испугался, кто-то разочаровался и никакой оппозиции больше не было. И Навальный скорее всего не выйдет ближайшие лет 10-20, к сожалению.

Очень важно понимать, что оппозиции нет и быть не может, оппозиция – нечто, что может прийти к власти политическим путем, и такой опции тут давно нет. Тут нужно определиться, мы в электоральной демократии или у нас нечто иное. Если мы в электоральной демократии, то что-то можно рассуждать про оппозицию. Если нет, то давайте говорить о диссидентах. Правильные термины. И страдать на тему, что мало диссидентов, или они не там, где нужно, не очень стоит. Опыт СССР и многих иных стран показал, что не диссиденты меняют режимы, и не они потом приходят к власти.

Первые президенты некоторых постсоветских республик как раз были из диссидентов. Так что может и так сложиться.

 РСФСР – Ельцин, партийная номенклатура.

 Украинская ССР – Кравчук, партийная номенклатура.

 Белорусская ССР – директор совхоза, член КПСС с 1979 года.

 Узбекская ССР – Каримов, партийная номенклатура.

 Казахская ССР – Назарбаев, партийная номенклатура.

 Грузинская ССР – Гамсахурдия, диссидент, продержался один год, был свергнут, еще через год погиб в бегах. Далее – Шеварднадзе, партийная номенклатура.

 Азербайджанская ССР – Муталибов, партийная номенклатура. Далее Гамбар и Эльчибей, формально что-то типа оппозиции на национальной почве, продержались год, далее Алиевы, партийная номенклатура.

 Литовская ССР – Бразаускас, партийная номенклатура.

 Молдавская ССР – Снегур, партийная номенклатура.

 Латвийская ССР – Горбунов, партийная номенклатура.

 Киргизская ССР – Акаев, академик, в финале карьеры ученого топовый республиканский чиновник от науки (президент Академии наук Киргизской ССР).

 Таджикская ССР – Махкамов, партийная номенклатура.

 Армянская ССР – Тер-Петросян, что-то типа оппозиции на национальной почве.

 Туркменская ССР –Ниязов, партийная номенклатура.

 Эстонская ССР – Мери, не диссидент точно, ближе к Акаеву и Тер-Петросяну трек.

Итого... один диссидент, и тот халиф на час, аномалия. Националистическая карта у нас не полетит уже, да и субстрата нет должного... итого, если считать, что истории времен распада СССР несут какую-то прогностическую ценность, то с высочайшей долей вероятности стоит ожидать кого-то из текущей номенклатуры.

Ага, fb, мегакорпорация с историей на рынке и парком разработчиков, но год-два назад у них утекли пароли которые хранились в открытом виде(plain text, Carl!).. Каждый день эти новости от крутых айти-компаний. Т-мобайл на днях.

А тут сайт рассылка. Конечно это не оправдание, но и не приговор. А поведение Волкова, могу предположить, как не опытное. По сути народ там из политики, в информационных системах не шарят. Им админы наплели, что у них все норм, контроль, ща все исправили, вот верхушка смело и транслирует их посыл, искренне уверовав в слова своих разработчиков. /предпологаю/

Волков достаточно опытный и как руководитель, и как айтишник. Скорее что нервы у него уже сдают от запредельного стресса последних месяцев. Ясно же, что IT-инфраструктура сейчас наименьшая из их забот.

Да как же наименьшая, если у них сейчас приложение Умного Голосования - самый важный инструмент. Идёт активная борьба именно в технической плоскости (потому что где ещё? юридически итак всё понятно).

Ну нет, IT инфраструктура и устойчивость - очень важный инструмент и единственный, где у команды Навального вообще есть шанс иметь преимущество.

А сейчас их подведение вместо "вот мы открытые, а с нами самые умные и светлые спецы, не то что пыльная нафталиновая гэбня" показывает совсем другое. И это маленькое, но важное поражение.

Поведение очевидно неопытное, но ещё выглядит так, как будто чуваки стараются тупо дотянуть этот механизм до выборов и выбросить его на свалку.

В целом оно наверное и логично - инструмент своё сыграл и отлично. Так что я думаю они с грустью читают письма и надеются, что тс уймется, а остальные не успеют :)

Мне нужно что-то там такое, кроме как ответить хрестоматийно «И чо?»?
Вам — нет, а кому-то не хотелось бы попасть в списки неугодных.
Например, в городе Микунь (Коми) от школьного учителя истории требовали уволиться из-за одиночного пикета, в Москве уволили преподавателя театрального института и сотрудников ВГТРК, в Пензе — программиста, работавшего в МЧС.

Массовая волна увольнений прошла в «Московском метрополитене». Бывшие работники подземки рассказали «Медузе» и «Коммерсанту», что их вызывали к начальству и в ультимативной форме потребовали уволиться, не объясняя причину. Уволенных объединяет то, что они были зарегистрированы на сайте «Свободу Навальному!», откуда были украдены персональные данные и опубликованы в интернете.

Вывод можно сделать такой: они плохо умеют в разработку и ИБ и это неудивительно, учитывая, что это не IT компания с мировым именем, ресурсы их ограниченны, а сами они и их сотрудники находятся под постоянной угрозой тюремных сроков, что явно не облегчает хантинг разрабов.

UFO landed and left these words here

Что значит нанять? Вы себе представляете степень доверия кому вы ssh ключи даёте? Таких людей с улицы не возьмёшь.

UFO landed and left these words here
на сколько мне известно всех их каналы за дидосены, они не могут вообще разгребать что-то входящее. Это проблема любого популярного явления. Можно еще вспомнить историю с судьей Новиковым. Но сделать приватный канал для своих нужно было бы конечно. В том же коде ящик почтовый положи, в туже консоль.
UFO landed and left these words here
дану, тут отлично бы зашел бы nocode подход, с каким-то сервисом, а понты со своей разработкой выливаются в критический момент в такие детские вещи как включенный дебаг на проде. Банальная гугл форма и проблем бы не было
UFO landed and left these words here
С дензнаками у них скорее всего сильный напряг. Но сообществу такие вещи как аудит вполне по силам, поэтому отмахиваться от помощи сообщества, да еще и с оскорблениями тоже как-то странно.
Недавно был эфир Светова со Здольниковым. И последний там говорил что специалистов то готовых там работать было полно, только денег им платили слезы, все бабло уходило на смм и эффективных менеджеров, и в целом атмосфера в ФБК такая, что все нормальные специалисты приходя, через некоторое время оттуда сбегали куда подальше.
Не знаю уж насколько это правда, но как по мне вполне правдоподобно, судя по таким дырам.

Учитывая профиль деятельности ФБК, им и надо тратить на SMM в 100500 раз больше, чем на IT: удвоение числа сторонников защищает от неприятностей намного эффективнее, чем идеально вылизанный сайт.

Ну как выяснилось экономия на IT может неплохо повлиять на репутацию, а следовательно количество сторонников. Время покажет конечно, но на мой взгляд их слишком, как бы это сказать, перекосило во фронтэнд)
Дело же даже не в том что они обосрались, от этого никто не застрахован. Дело в том как они на это реагируют. И ну раз они уж дофига вбухивают в пиар возможно какой-то дорогой человек занимающийся этим мог бы им подсказать, что хамить когда тебе пытаются помочь, и банить людей, это так себе тактика. Почему то этого не произошло.

На репутацию среди IT-специалистов - согласен, повлияло сильно.

На репутацию в более широких кругах - не уверен, что повлияло. Моей маме совершенно без разницы, как у них фаервол настроен.

Дело в том что информация об этих косяках не только же на хабре появляется. О прошлой утечке писали, ну например на медузе, и ее, я подозреваю, читает множество НЕ IT-специалистов, сторонников умного голосования. Я практически уверен что они завтра выкатят статью и про этот пост.
Впрочем, я согласен что непонятно влияет или нет. Вменяемо это не оценить. Но когда у тебя и так поддержка меньшинства, наверное стоит все же бороться за каждый голос, пусть это и малочисленная аудитория хабра. Это условный Путин может отмахнуться и сделать вид что ничего не было, а когда ты заведомо в меньшинстве глупо ругаться с теми, кто мог бы помочь.
Проблема в том, что когда вашу маму уволят с объяснением «не надо регистрироваться где не надо», или в дверь позвонят угрюмые ребята, или произойдет еще что-то такое, то люди просто перестанут регистрироваться в их проектах вообще и это ударит по репутации куда сильнее. Я уж не говорю что об этих утечках не только на Хабре пишут, но могут и по какому-нибудь Первому каналу показать.

По первому каналу и без всяких утечек могут показать)

Там официальные СМИ помогают. Из каждого утюга вещается какой сайт не безопасный этот с УГ. Ну и не забывают добавить, что за помощь экстремистам есть наказание. Мое мнение, что они очень сильно потеряли на таких сливах.

По заслуживающей доверия информации за 20 дней никакой реакции на резюме и тестовое задание от них не последовало. Выводы делайте сами.

Вроде речь не про собеседование, а про то что хорошим тоном для любой компании считается ответить на посланное резюме. В том числе и сообщить соискателю что он в данный момент не подходит для данной должности.

На мой взгляд письмо с резюме без ответа - это вид хамства.

Ну, если комментарий про то, что там бывает не очень хороший тон - соглашусь.

Но любим мы их не за это.

Извините за глупый, но совершенно искренний вопрос от человека, последние годы ввиду места жительства следящего за политическим климатом совсем другой страны и видящего много новых имён и названий в тексте и комментариях, но, короче, а за что вы их любите?

Провокационный вопрос задаёте, а мне потом карму чистить.

Каждый за своё. У нас не так много оппозиции вообще, так что одно это уже повод любить.

А ещё УГ, интересные расследования да и вообще не сталинисты какие-нибудь. Тут вон недостатки то какие выискивать приходится - на почту не и отвечают, да банят особо навязчивых.

банят особо навязчивых.

Вы ведь понимаете, что недопуск оппозиционных журналистов на какие-нибудь пресс-конференции можно точно так же обосновать? Они просто особо навязчивые.

Можно. Только пресс-конференцию тогда надо переименовать в "мой уютный бложег"

Полное право политика фильтровать допускаемых на свои пресс-конференции.
Полное право избирателей оценивать, отвечает ли банный лист их избранника их предпочтениям.

Проблема еще в реакции, когда волкова буквально тыкали в морду тем что яндекс имеет доступ ко всему, да и вообще ставить я.метрику на подобный сайт, это верх непрофессионализма.

В прошлый раз на УмГ была гугл-аналитика, за что их первый домен РКН заблокировал.

Их заблокировали бы даже если бы там вообще никакой аналитики не было. Предлог бы любой нашелся, да и кому он сейчас уже нужен.