Две ночи подряд я ковырял код, чтобы добавить того, чего даже в steemit.com нет - юзерпики.
А все потому, что ты классненький, ты достоин лучшего.
PS: спасибо @pio за помощь в распутывании клубка по созданию транзакций. Без него все это было бы невозможно.
Great work misha, but this is a security/privacy vulnerability! I just tested by hooking my display picture to one of my servers, and I can see everyones IP addresses and user agents being leaked!
Seriously? Image link is a security issue?
Correct, because it exposes IP addresses, user agents, and even tells me what article they viewed! I can effectively use my avatar to get a list of all IP's who view different articles, and with some pattern/location analysis, I may even be able to identify who that IP belongs to.
It also gives me the potential to send malicious images to all GOLOS users if there is ever an exploit in browser image handling (it happens sometimes)
Thank you very much for reporting this issue.
In next few days we are going to create a proxy for images to solve this.
В ближайшее время мы решим эту проблему, используя прокси для изображений.
Can't you do the same using a picture included in a post?
No, because the images use a proxy, which prevents your details being leaked.
Чтобы избежать этого - можно локально сохранять картинки пользователей на фронтенд Голоса и выдать уже с него.
Это не децентрализованный подход
IPFS
Перевод - отлинчая работа, но, есть проблема в плане секьюрити - Когда подцепляется аватрака к серверу, то можно узнать IP - сейчас к примеру я вижу все IP адреса пользователей
Владимир Владимирович - перелогиньтесь!
Говорит через "обходилку" ; говорит Шойгу так в ОК в ген штабе заходит
ааа Васерман... а я то думаю, что мне Димка в твитере пишет "палево"
Ты же ему Твиттер заблочил, он снова через прокси зашел?
Это может только администратор сервера узнать?
А если картинка с хостинга картинок указывается?
use https
хотя я тут не шипко понимаю о чем речь)
This can be easily resolved by using images proxy.
yup, seems now we have to.
i plan raising ipfs node soon
we had no image proxy week ago - so regular images in posts were a threat, too.
now we use proxy both for images in posts and userpics, thanks to steem team for sharing.
also, our clone of imageproxy supports svg images (that steem does not). not sure it does this correctly - but for my purposes seems working good enough
Спасибо за реализацию аватарки! Отличная работа! Wooohooo!
Думаю нужна кнопка сохранить)
Не сразу догадался, что нужно enter нажать.
Окей, потом добавлю
ты не Миша. Миша с бородой!)
Тест
Зачем ты все сломал((
Починил
ломатель всего
<3
спасибо @misha
это очень приятный кусочек индивидуальности и узнаваемости
между прочим, все кто говорит спасибо - упоминайте в посте @misha
так и персонализированно и + 0.001 GOLOS от mention.bot
А откуда деньги берутся у mention.bot?
Разработчик бота их туда положил =)
ты круглый
Не плохо, не плохо) Давно пора
Кодами бы смайлы добавили - больше толк был бы.
Ха-ха! То что надо. Юзеры в Steemit кусают локти))
Может и им отгрузить эту секретную технологию?
Круто! Спасибо =)
Надо чтобы еще в профиле юзерпик красиво отображался!
Сделаю обязательно.
https://github.com/GolosChain/tolstoy/issues/113
Вы лучшие! Стимит отдыхает! :)
Обалдеть! Это свершилось!
круто
ну вы даете..аватарки конечно прикольно для юзров покажется, но не ценой такой уязвимости...а после еще что-то про анонимность и свободу спорите .
была бы тут сейчас спорная инфа - все вы всех сдали и подставили
С непросируемыми картинками в постах есть и всегда была ровно такая же уязвимость. А те кому есть, что скрывать всегда могут VPN использовать.
ну все сводится что каждый пусть сам радеет за свою безопасность, тогда в чем отличие площадки по данному вопросу от любой другой?
нече противоправного писать незя, анонимность ну обеспечьте кому надо сами...
да еще и говорите что подобные уязвимости это как бы в порядке вещей..тк мол "нормальным то людям скрываться не надо"
Лично я за тотальную открытость общества - что-бы все обо всех все знали =)
Блокчейн вообще не совсем про анонимность, в нем наоборот все всем видно и ничего нельзя удалить.
КГБ все равно обо всех все знает и кого надо всегда найдет. =)
Но тем не менее если человек хочет именно анонимности то он должен сам принять к этому максимальные меры, VPN, Tor, создание аккаунта через майнинг и тп, а не доверять кому либо или чему-либо. В частности администраторы любого сайта по любому знают о любом посетителе все эти данные.
это уже смешно просто, скок можно одно и тоже, как при тотальной открытости вы хотите обеспечивать отсутствие репрессий? - просто сказать что все в рамках закона...ну так тогда зачем говорить что нет цензуры? и приводить табличку сравнения с вк и fb ? там ее в рамках закона тоже как правило нет..как и везде...
Репрессии общество или государство применяет при неких деструктивных действиях в его отношении. В тотально открытом обществе все решения принимаются через обсуждение и нет необходимости в каком-то деструктивном поведении. Но разумеется это мир Утопии, создать который сложно и от которого мы пока очень далеки, тем не менее я считаю, что к нему нужно двигаться.
скажите это тем людям кто сидит за репост в ВК...
вообще периодически создается впечатления по комментам что часть людей живет в каком-то информационном ваакуме и не ведают что творится в мире..
а за утопиями это пожалуйста к фантастам...и давай не забывать то утопии могут быть как "положительные" так и "отрицательные"..за примерами допустим к Оруэллу
Я и говорю, что сейчас мы живем в совершенно другом обществе, поэтому то, что в Голосе возможна куда большая анонимность, чем в ФБ или тем более в ВК, это тоже плюс, но для анонимности нельзя доверять никому, в том числе какому было сайту, в том числе сайту Голоса, нужно принимать и свои дополнительные меры. Впрочем я лично сильно сомневаюсь, что постами подобными тем за репосты которых сажают в ВК можно что-то изменить, сами эти инциденты меня очень печалят, тем более часто под раздачу попадают вообще случайные люди, но пользы от таких постов я все равно не вижу.
по поводу другого общества не понял что вы имели ввиду...
а кто говорит что этими постами кто-то собрался что то менять?
что вообще за отвратительная постановка вопроса..?
раз нет пользы - можно сажать? или цензить?
не достаточно взять за аксиому то что просто у человека должна быть возможность репостнуть или высказать то что он хочет?
а у других соответственно должна быть такая же возможность это мнение/репост прочитать и дальше лайкнуть/дизлайкнуть..
или вообще не читать и пройти мимо..выбор каждого
и еще за счет чего это возможна большая анонимность поведайте? если все свели к тому что пусть каждый сам заботится о ней...так я могу сделать себе связку всего перечисленного ранее и быть таким же анноном и вк и фб не меньше не больше чем тут...даже создается впечатление что там больше нежели чем тут тк там уязвимостей думаю меньше (хотя бы в силу того что здесь пока проект сырой)
Утопия это то что реально можно создать и мы неизбежно придем либо к утопии либо антиутопии подобной описанной Оруэллом. От нас зависит куда мы пойдем.
Насчет другого общества, мне не нравится как сейчас устроено общество, что в России, что в США или других местах мира, у нас сажают за репосты, в США сажают за шутки в твиттере про теорорризм. И там и там обсуждают как занять людей которые становятся ненужны из-за автоматизации любого производства и другой деятельности человека, вместо того что-бы думать как ввести Универсальный базовый доход. И много другое. Но изменить общество провокационными постами вероятно нельзя, нужны другие пути. То что за любые посты или репосты могут посадить, это конечно плохо и это надо менять, но не путем попыток создать анонимность, КГБ все равно всех найдет, а изменением общества, что-бы перестали сажать.
пока вы будете "менять общество" и убеждать народ в подобной херне про утопии, будет сломано тысячи людских жизней в жерновах системы..
так что лучше было бы принять меры, а уже потом думать о том чтобы "менять общество"...
есть оперативное решение проблем - порвались штаны сделай заплатку.
а вы предлагаете перекраивать все заново..
"КГБ все равно всех найдет" а это вы впитали как прививку?
Заметный процент населения до сих пор черпает информацию из телевизора, с очевидными последствиями.
Мы не в США, у нас нет в Конституции права на свободу слова. Да и там оно не особо соблюдается. Те с одной стороны я категорически согласен, что именно так и должно быть, но при наших текущих законах это невозможно.
Если вести себя максимально осторожно:
То вероятность идентификации будет гораздо ниже чем при использовании ФБ, которое любую инфу сливает по запросу или ВК, которое фактически управляется КГБ.
ну если вы соблюдали все меры то та инфа которую они смогут слить особо ценности не представляет это раз.
и при всех прочих она будет по сути одинаковая что у фб, что у вк, что у Голоса...так что вы не ответили на мой вопрос..
а два если к разработчикам голоса придет дяденька на "беседу" и попросят слить, каковы будут их действия?))
и еще не несите пургу про конституцию...
прочитайте конституцию рф Глава 2.
надеюсь ссылок давать не надо, вы вроде человек не глупы так что странно, что вообще такие вещи говорите
другой вопрос что цитировать или ссылаться на конституция у нас де-факто уже стало моветон ))))
Я IT специалист и я вижу как развиваются технологии, с каждым днем отслеживание становится все проще, а защита все сложнее, вот простой пример - до последнего времени браузеры сообщали любому сайту, который их об этом спрашивал, каков текущий заряд батареи на нотубуке, если человек сидящий через 10 VPN пишет одновременно пост в соц сеть и у него открыт какой-то другой сайт где он идентифицирован, то можно про динамике разрядки его батареи сравнить и идентифицировать этого человека. Так же по движениям его телефона и его колебаниям (гироскопу), а в последних экспериментах и по изменении в wi-fi сигнале можно понять что именно и когда он печатал. И таких методик становится все больше, через 10-20 лет все будет усыпано нано-пылью с камерами наблюдениями... Поэтому я понимаю, что объективно у людей нет шанса сохранить приватность и, в долгосрочной перспективе, сопротивление тут обречено на провал, можно лишь временно скрываться, но вряд ли долго.
в целом зерно разума есть, отчасти вынужден согласится..но технологии развиваются во всех направлениях..
а так да на Black Hat показывали и более "революционные" способы взлома нежели чем вы описали..которые и правда уже напоминают фантаску
Основная разница тут во первых в тех данных которые сохраняются: ФБ и ВК хранят все, в Голосе можно поднять свой сайт или писать прямо из кошелька и тогда не будет хранится практически ничего кроме тех данных что лежат в блокчейне, а там записано только то, что данный аккаунт создал тогда-то такую-то запись и все.
И разница в регистрации - в Голосе можно создать аккаунт майнингом и он нем при соблюдении небольших осторожностей не будет никто ничего знать, в ФБ или ВК требуется емейл (который да создать анонимно не большая проблема) и телефон, а вот тут если получить анонимную симку это несложно, то в любой момент времени физическое положение любого телефона записывается и как минимум будут знать где находился человек который создал этот аккаунт и где он еще бывает если телефон и симка не были сразу выкинуты на помойку после создания аккаунта.
ну кто хочет позаботится такие мелкие меры как взять зарегется из хз какой точки и тут же все выкинуть уж сможет..да это некоторые затраты но что же делать...
Каковы ваши предложения по этому поводу, какие именно меры тут можно принять?
для начала предоставить максимально анонимную площадку по умолчанию, и давать юзерам реальную информацию об анонимности и рисках сразу, расписывать максимально подробно и на самом видном месте, до регистрации.
ведь все таки о том что за деньги никто не отвечает и пароль не восстановит уведомили помоему так чтобы стало ясно всем..
а по данным тематикам не слово
вы со мной не согласны?
в том числе можно тем самым проводить ликбез населения, раз вы сами говорите: "Заметный процент населения до сих пор черпает информацию из телевизора, с очевидными последствиями."
в том числе:
давать ссылки на практику правоприминения и судоделопроизводство, чтоб развивать понимания и кругозор.. чтобы не было вопросов дубовых: "а что мне скрывать я нече такого не пишу.."
Если имеется ввиду:
То подстава тут в отличие от США где это звучит как:
Именно в пункте 2:
У нас сажают за репосты именно по нему. В США же нет каких либо оговорок о свободе слова.
ну на самом деле не только по этому пункту наскок я знаю..да и проблема в том что у нас не оглядываются на закон и конституцию а просто сажают..половина дел просто фикция
Не согласен - это тупиковый путь, у людей будет создаваться ложное чувство безопасности и когда их будут сажать за репост, они будут ныть, что их не предупредили, что нельзя писать пост когда рядом лежит включенный мобильник или что на них настучал умный холодильник. Идеально обучить безопасности массы все равно объективно не получится, а полумеры скорее навредят, чем помогут.
Сажают конечно не по конституции, а по УК, но суть в том, что законы США, хотя бы на словах, дают полную свободу слова и действий, вплоть до права граждан с оружием противостоять государству если оно с ним не согласно. У нас же по сути свободы слова или действий нет даже на уровне закона. Посадить могут почти за что угодно, вон недавно за одиночный пикет посадили и не известно останется ли человек жив, а в США ты можешь хоть сутками ходить вокруг белого Дома, хоть один хоть с друзьями и любыми плакатами и никто тебе слова не скажет.
тут я с вами конечно согласен.
ну так про все можно сказать...
главное предоставить максимально полную и открытую информацию, и как я сказал предупреждать о РИСКАХ..
а так да конечно кто-нибудь накосячит и будет ныть...
но это не повод лишать остальных от всего вышесказанного.
если допустим система будет такого рода:
заходим только из мест массового скопления людей, только 4g, левые симки, отдельный ноут или смартфон, которым не пользуются в других сервисах. симку после сессии вынимаем и не юзаем нигде больше кроме как для новой такой же сессии.
децентрализованная система(без классического DNS и хостинга): как привели пример типа Emercoin, или Zeronet
плюс
могу ошибаться пусть спецы по инф. безопасности тогда поправят...
мне кажется такая система обеспечит неплохой уровень конфеденциальности...и мне кажется что даже не будут тратить силы чтобы после такого искать(для этого должны быть ОЧЕНЬ веские мотивы а не просто обмен запрещенной инфой) - просто вероятно придут к тому несчастному у кого сокс прокси развернут...(если он будет в доступной юрисдикции..теоретически возможно это лучше даже - это будет как индикатор того что взялись))
может что-то даже можно и упростить...думаю тут есть знающие пусть поправят/подскажат
но в любом случае могу ошибаться гдето...так что прошу прокомментировать сведующих