Две ночи подряд я ковырял код, чтобы добавить того, чего даже в steemit.com нет - юзерпики.
А все потому, что ты классненький, ты достоин лучшего.
PS: спасибо @pio за помощь в распутывании клубка по созданию транзакций. Без него все это было бы невозможно.
Great work misha, but this is a security/privacy vulnerability! I just tested by hooking my display picture to one of my servers, and I can see everyones IP addresses and user agents being leaked!
we had no image proxy week ago - so regular images in posts were a threat, too.
now we use proxy both for images in posts and userpics, thanks to steem team for sharing.
also, our clone of imageproxy supports svg images (that steem does not). not sure it does this correctly - but for my purposes seems working good enough
This can be easily resolved by using images proxy.
yup, seems now we have to.
i plan raising ipfs node soon
use https
хотя я тут не шипко понимаю о чем речь)
Перевод - отлинчая работа, но, есть проблема в плане секьюрити - Когда подцепляется аватрака к серверу, то можно узнать IP - сейчас к примеру я вижу все IP адреса пользователей
Владимир Владимирович - перелогиньтесь!
Говорит через "обходилку" ; говорит Шойгу так в ОК в ген штабе заходит
ааа Васерман... а я то думаю, что мне Димка в твитере пишет "палево"
Ты же ему Твиттер заблочил, он снова через прокси зашел?
Это может только администратор сервера узнать?
А если картинка с хостинга картинок указывается?
Seriously? Image link is a security issue?
Correct, because it exposes IP addresses, user agents, and even tells me what article they viewed! I can effectively use my avatar to get a list of all IP's who view different articles, and with some pattern/location analysis, I may even be able to identify who that IP belongs to.
It also gives me the potential to send malicious images to all GOLOS users if there is ever an exploit in browser image handling (it happens sometimes)
Thank you very much for reporting this issue.
In next few days we are going to create a proxy for images to solve this.
В ближайшее время мы решим эту проблему, используя прокси для изображений.
Can't you do the same using a picture included in a post?
No, because the images use a proxy, which prevents your details being leaked.
Чтобы избежать этого - можно локально сохранять картинки пользователей на фронтенд Голоса и выдать уже с него.
Это не децентрализованный подход
IPFS
Спасибо за реализацию аватарки! Отличная работа! Wooohooo!
Думаю нужна кнопка сохранить)
Не сразу догадался, что нужно enter нажать.
Окей, потом добавлю
ты не Миша. Миша с бородой!)
Тест
Зачем ты все сломал((
Починил
ломатель всего
<3
спасибо @misha
это очень приятный кусочек индивидуальности и узнаваемости
между прочим, все кто говорит спасибо - упоминайте в посте @misha
так и персонализированно и + 0.001 GOLOS от mention.bot
А откуда деньги берутся у mention.bot?
Разработчик бота их туда положил =)
ты круглый
Не плохо, не плохо) Давно пора
Кодами бы смайлы добавили - больше толк был бы.
Ха-ха! То что надо. Юзеры в Steemit кусают локти))
Может и им отгрузить эту секретную технологию?
Круто! Спасибо =)
Надо чтобы еще в профиле юзерпик красиво отображался!
Сделаю обязательно.
https://github.com/GolosChain/tolstoy/issues/113
Вы лучшие! Стимит отдыхает! :)
Обалдеть! Это свершилось!
круто
ну вы даете..аватарки конечно прикольно для юзров покажется, но не ценой такой уязвимости...а после еще что-то про анонимность и свободу спорите .
была бы тут сейчас спорная инфа - все вы всех сдали и подставили
С непросируемыми картинками в постах есть и всегда была ровно такая же уязвимость. А те кому есть, что скрывать всегда могут VPN использовать.
ну все сводится что каждый пусть сам радеет за свою безопасность, тогда в чем отличие площадки по данному вопросу от любой другой?
нече противоправного писать незя, анонимность ну обеспечьте кому надо сами...
да еще и говорите что подобные уязвимости это как бы в порядке вещей..тк мол "нормальным то людям скрываться не надо"
Сажают конечно не по конституции, а по УК, но суть в том, что законы США, хотя бы на словах, дают полную свободу слова и действий, вплоть до права граждан с оружием противостоять государству если оно с ним не согласно. У нас же по сути свободы слова или действий нет даже на уровне закона. Посадить могут почти за что угодно, вон недавно за одиночный пикет посадили и не известно останется ли человек жив, а в США ты можешь хоть сутками ходить вокруг белого Дома, хоть один хоть с друзьями и любыми плакатами и никто тебе слова не скажет.
тут я с вами конечно согласен.
Не согласен - это тупиковый путь, у людей будет создаваться ложное чувство безопасности и когда их будут сажать за репост, они будут ныть, что их не предупредили, что нельзя писать пост когда рядом лежит включенный мобильник или что на них настучал умный холодильник. Идеально обучить безопасности массы все равно объективно не получится, а полумеры скорее навредят, чем помогут.
Если имеется ввиду:
То подстава тут в отличие от США где это звучит как:
Именно в пункте 2:
У нас сажают за репосты именно по нему. В США же нет каких либо оговорок о свободе слова.
ну на самом деле не только по этому пункту наскок я знаю..да и проблема в том что у нас не оглядываются на закон и конституцию а просто сажают..половина дел просто фикция
Каковы ваши предложения по этому поводу, какие именно меры тут можно принять?
для начала предоставить максимально анонимную площадку по умолчанию, и давать юзерам реальную информацию об анонимности и рисках сразу, расписывать максимально подробно и на самом видном месте, до регистрации.
ведь все таки о том что за деньги никто не отвечает и пароль не восстановит уведомили помоему так чтобы стало ясно всем..
а по данным тематикам не слово
вы со мной не согласны?
в том числе можно тем самым проводить ликбез населения, раз вы сами говорите: "Заметный процент населения до сих пор черпает информацию из телевизора, с очевидными последствиями."
в том числе:
давать ссылки на практику правоприминения и судоделопроизводство, чтоб развивать понимания и кругозор.. чтобы не было вопросов дубовых: "а что мне скрывать я нече такого не пишу.."
Основная разница тут во первых в тех данных которые сохраняются: ФБ и ВК хранят все, в Голосе можно поднять свой сайт или писать прямо из кошелька и тогда не будет хранится практически ничего кроме тех данных что лежат в блокчейне, а там записано только то, что данный аккаунт создал тогда-то такую-то запись и все.
И разница в регистрации - в Голосе можно создать аккаунт майнингом и он нем при соблюдении небольших осторожностей не будет никто ничего знать, в ФБ или ВК требуется емейл (который да создать анонимно не большая проблема) и телефон, а вот тут если получить анонимную симку это несложно, то в любой момент времени физическое положение любого телефона записывается и как минимум будут знать где находился человек который создал этот аккаунт и где он еще бывает если телефон и симка не были сразу выкинуты на помойку после создания аккаунта.
ну кто хочет позаботится такие мелкие меры как взять зарегется из хз какой точки и тут же все выкинуть уж сможет..да это некоторые затраты но что же делать...
Я IT специалист и я вижу как развиваются технологии, с каждым днем отслеживание становится все проще, а защита все сложнее, вот простой пример - до последнего времени браузеры сообщали любому сайту, который их об этом спрашивал, каков текущий заряд батареи на нотубуке, если человек сидящий через 10 VPN пишет одновременно пост в соц сеть и у него открыт какой-то другой сайт где он идентифицирован, то можно про динамике разрядки его батареи сравнить и идентифицировать этого человека. Так же по движениям его телефона и его колебаниям (гироскопу), а в последних экспериментах и по изменении в wi-fi сигнале можно понять что именно и когда он печатал. И таких методик становится все больше, через 10-20 лет все будет усыпано нано-пылью с камерами наблюдениями... Поэтому я понимаю, что объективно у людей нет шанса сохранить приватность и, в долгосрочной перспективе, сопротивление тут обречено на провал, можно лишь временно скрываться, но вряд ли долго.
в целом зерно разума есть, отчасти вынужден согласится..но технологии развиваются во всех направлениях..
а так да на Black Hat показывали и более "революционные" способы взлома нежели чем вы описали..которые и правда уже напоминают фантаску
Заметный процент населения до сих пор черпает информацию из телевизора, с очевидными последствиями.
Мы не в США, у нас нет в Конституции права на свободу слова. Да и там оно не особо соблюдается. Те с одной стороны я категорически согласен, что именно так и должно быть, но при наших текущих законах это невозможно.
Если вести себя максимально осторожно:
То вероятность идентификации будет гораздо ниже чем при использовании ФБ, которое любую инфу сливает по запросу или ВК, которое фактически управляется КГБ.
другой вопрос что цитировать или ссылаться на конституция у нас де-факто уже стало моветон ))))
и еще не несите пургу про конституцию...
прочитайте конституцию рф Глава 2.
надеюсь ссылок давать не надо, вы вроде человек не глупы так что странно, что вообще такие вещи говорите
ну если вы соблюдали все меры то та инфа которую они смогут слить особо ценности не представляет это раз.
и при всех прочих она будет по сути одинаковая что у фб, что у вк, что у Голоса...так что вы не ответили на мой вопрос..
а два если к разработчикам голоса придет дяденька на "беседу" и попросят слить, каковы будут их действия?))
Утопия это то что реально можно создать и мы неизбежно придем либо к утопии либо антиутопии подобной описанной Оруэллом. От нас зависит куда мы пойдем.
Насчет другого общества, мне не нравится как сейчас устроено общество, что в России, что в США или других местах мира, у нас сажают за репосты, в США сажают за шутки в твиттере про теорорризм. И там и там обсуждают как занять людей которые становятся ненужны из-за автоматизации любого производства и другой деятельности человека, вместо того что-бы думать как ввести Универсальный базовый доход. И много другое. Но изменить общество провокационными постами вероятно нельзя, нужны другие пути. То что за любые посты или репосты могут посадить, это конечно плохо и это надо менять, но не путем попыток создать анонимность, КГБ все равно всех найдет, а изменением общества, что-бы перестали сажать.
"КГБ все равно всех найдет" а это вы впитали как прививку?
пока вы будете "менять общество" и убеждать народ в подобной херне про утопии, будет сломано тысячи людских жизней в жерновах системы..
так что лучше было бы принять меры, а уже потом думать о том чтобы "менять общество"...
есть оперативное решение проблем - порвались штаны сделай заплатку.
а вы предлагаете перекраивать все заново..
Я и говорю, что сейчас мы живем в совершенно другом обществе, поэтому то, что в Голосе возможна куда большая анонимность, чем в ФБ или тем более в ВК, это тоже плюс, но для анонимности нельзя доверять никому, в том числе какому было сайту, в том числе сайту Голоса, нужно принимать и свои дополнительные меры. Впрочем я лично сильно сомневаюсь, что постами подобными тем за репосты которых сажают в ВК можно что-то изменить, сами эти инциденты меня очень печалят, тем более часто под раздачу попадают вообще случайные люди, но пользы от таких постов я все равно не вижу.
и еще за счет чего это возможна большая анонимность поведайте? если все свели к тому что пусть каждый сам заботится о ней...так я могу сделать себе связку всего перечисленного ранее и быть таким же анноном и вк и фб не меньше не больше чем тут...даже создается впечатление что там больше нежели чем тут тк там уязвимостей думаю меньше (хотя бы в силу того что здесь пока проект сырой)
а у других соответственно должна быть такая же возможность это мнение/репост прочитать и дальше лайкнуть/дизлайкнуть..
или вообще не читать и пройти мимо..выбор каждого
по поводу другого общества не понял что вы имели ввиду...
а кто говорит что этими постами кто-то собрался что то менять?
что вообще за отвратительная постановка вопроса..?
раз нет пользы - можно сажать? или цензить?
не достаточно взять за аксиому то что просто у человека должна быть возможность репостнуть или высказать то что он хочет?
Репрессии общество или государство применяет при неких деструктивных действиях в его отношении. В тотально открытом обществе все решения принимаются через обсуждение и нет необходимости в каком-то деструктивном поведении. Но разумеется это мир Утопии, создать который сложно и от которого мы пока очень далеки, тем не менее я считаю, что к нему нужно двигаться.
а за утопиями это пожалуйста к фантастам...и давай не забывать то утопии могут быть как "положительные" так и "отрицательные"..за примерами допустим к Оруэллу
скажите это тем людям кто сидит за репост в ВК...
вообще периодически создается впечатления по комментам что часть людей живет в каком-то информационном ваакуме и не ведают что творится в мире..
Лично я за тотальную открытость общества - что-бы все обо всех все знали =)
Блокчейн вообще не совсем про анонимность, в нем наоборот все всем видно и ничего нельзя удалить.
КГБ все равно обо всех все знает и кого надо всегда найдет. =)
Но тем не менее если человек хочет именно анонимности то он должен сам принять к этому максимальные меры, VPN, Tor, создание аккаунта через майнинг и тп, а не доверять кому либо или чему-либо. В частности администраторы любого сайта по любому знают о любом посетителе все эти данные.
это уже смешно просто, скок можно одно и тоже, как при тотальной открытости вы хотите обеспечивать отсутствие репрессий? - просто сказать что все в рамках закона...ну так тогда зачем говорить что нет цензуры? и приводить табличку сравнения с вк и fb ? там ее в рамках закона тоже как правило нет..как и везде...
ну так про все можно сказать...
главное предоставить максимально полную и открытую информацию, и как я сказал предупреждать о РИСКАХ..
а так да конечно кто-нибудь накосячит и будет ныть...
но это не повод лишать остальных от всего вышесказанного.
если допустим система будет такого рода:
заходим только из мест массового скопления людей, только 4g, левые симки, отдельный ноут или смартфон, которым не пользуются в других сервисах. симку после сессии вынимаем и не юзаем нигде больше кроме как для новой такой же сессии.
децентрализованная система(без классического DNS и хостинга): как привели пример типа Emercoin, или Zeronet
плюс
могу ошибаться пусть спецы по инф. безопасности тогда поправят...
мне кажется такая система обеспечит неплохой уровень конфеденциальности...и мне кажется что даже не будут тратить силы чтобы после такого искать(для этого должны быть ОЧЕНЬ веские мотивы а не просто обмен запрещенной инфой) - просто вероятно придут к тому несчастному у кого сокс прокси развернут...(если он будет в доступной юрисдикции..теоретически возможно это лучше даже - это будет как индикатор того что взялись))
По поводу активации симки: типичный паттерн поведения человека это включенный телефон с постоянно симкой, любое от него отклонение - смена симки, выключение давно не включаемой или новой симки это все флаги для наблюдения за этим человеком, особенно если это происходит не в салоне сотовой связи, а в каком-то другом месте.
В данный момент конечно, но не потому что не хотят, а потому что у них тоже каменный век и не хватает специалистов, железа и ИИ, но они непременно подтянутся и будут более эффективно работать по куда большему количеству инакомыслящих....
а так спасибо за содержательные ответы, пожалуй пока беседа с вами самая интересная)) пишите по больше на технические темы, просвящайте народ..уверен найдется целый стек читателей кому это будет интересно хотя бы для кругозора..
остальные если отвечают то просто какую-то ахинею городят
в целом согласен, но это вопрос мне кажется не быстрый раз, и два за это время могут изменится приоритеты да и вообще ситуация в стране
по сути постоянно что-то меняется..
Массовым это никогда не станет, людей которые готовы и могут так заморачиваться что-бы что-то такое эдакое написать в России всего думаю несколько тысяч человек.
Тут вопрос в том, что сначала идентифицировать потенциально подозрительную личность:
Вычленяем такие аномалии и ведем их по камерам, логим, что они говорят или печатают и т.д.
С технологической стороны можно ввести требование, что-бы в любой стол в общественном месте был встроен логгер постукиваний, который фактически позволяет логить все что печатают на ноуте стоящем на этом столе.
наверно чисто технчески все что вы описали возможно, другой вопрос возможно все это реализовать на практике? массово.
один из факторов - огромные финансовые затраты как на этапе ввода так и эксплуатации, в стране херово с экономикой, будут ли в приоритете такие меры, чтобы просто следить за инакомыслящими?
а по поводу обозначенных флагов понимаю хотя на мой взгляд они спорные..тв не смотрит огромное кол-во народу - у меня допустим большинство знакомых, но ни один из них даже не потенциальный диссидент))
в вк и фб..ну лан пусть по вашему)
идет дергается? ну так столько дерганных бес повода или просто странных..я вот все время почему-то дергаюсь...)) без повода...
а симка телефон не понял почему это явный злодей...новые симки и телефоны как грязь в течении дня активируются и выкидываются..в конце концов если будет известно о таких "условностях" начнут торговать просто не новыми симками)) а чуть полежавшими специльно отьюзанными, телефон в конце концов можно взять б/у или тоже спецом юзанный впустую...
Тут вопрос не конечно не столько массового скрининга, хотя и он будет при помощи ИИ делаться весьма эффективно. Сколько именно о поимке одного конкретного персонажа, который уже привлек внимание своей активностью, по разовому посту с мобильника его конечно не поймают, но каждое следующее включение будут увеличивать вероятность того что его поймают и это будет лишь делом времени и стечения обстоятельств.
практика показывает что спец службы так четко работают только по конкретной указке а не по массам...допустим когда есть политическая воля, заказ
вот именно по одному персонажу конечно можно работать...но мы то говорим вроде как о массах..
и если у вас таких только по мск будет допустим 10к пользователей...?)
Телефон или ноут тут уязвимое место, у телефона есть уникальный ИД (не только у симки) и его координаты постоянно логятся. Ноут если подключается к wi-fi опять же выдает свои координаты и скорее всего его можно уникально идентифицировать по разным следам. Достаточно в месте где тусуется такой конспиратор поставить больше скрытых камер и следить за тем что он печатает сопоставляя звук или вид нажатий на клавиши с последующим текстом. Методом статистического анализа можно рано или поздно его вычислить. Да это будет не так просто и принцип Неуловимого Джо может какое-то время будет его спасать, но это игра обреченная на поражение рано или поздно.
Не говоря о том, что уже лет через 5-10 все перемещения всех людей будут централизованно отслеживаться КГБ и оно сразу будет флагать тех кто ведет себя как-то странно и пытается что-то скрыть или мутить. Уже сейчас разрабатываются методики более качественного отслеживания и трекинга людей по камерам наблюдения в Москве, а например в Лондоне уже сейчас человека ведут по камерам по всему городу. В частности только по походке человека можно уникально идентифицировать за несколько секунд видео и по ней же можно многое узнать о том, что он сейчас думает, волнуется ли он и тп.
а каждый ТЦ напичкать датчиками, чтобы собирать звуки клавиш и тп в таком шуме это не уверен что сейчас реально..там ведь куча народу, все говорят, и музыка и тп.
про уникальный ИД понимаю, я поэтому сказал, что смарт или ноут отдельный ТОЛЬКО для этой деятельности, которые после сессии отрубаются. и включаем только для след. сессии.
а места использовать типа ТЦ, где сразу пара тысяч человек и у всех с собой носимые устройства...это создаст шумок..
я не прав?
и при всем этом вести анализ по-моему уже оч сложно..(при том что мы говорим об целой массе юзеров а не то что тут кого то одного пытается правительство поймать как допустим была обьявлена охота на эскобара...)
а по поводу камер дя знаю что вести всех можно, только непонимаю как это к данной теме будет относится? я ж вам не говорю гопстопом в оффлайне заняться))
а пришли вы обычный гражданин в ТЦ, посидели поели в кафешке среди тысячи других таких же.., посидели за смартфоном... ну и что камеры?
может что-то даже можно и упростить...думаю тут есть знающие пусть поправят/подскажат
но в любом случае могу ошибаться гдето...так что прошу прокомментировать сведующих
Profile picture url
есть такое в стимите
@misha, так может отключить аватарки, пока прокси нет?
И мне привезли? :)
ЛЮТО плюсую! :)
Одна мечта сбылась, а можно куда—то рассказать об остальных?
Типа ремонта кнопки обновления поста и решения проблемы с отображением изображений с части хостингов (почему—то многие не подхватываются в посте, хотя миниатюра работает)
Все будет.
О проблемах нам известно. К сожалению, решать их можно лишь одну за одной, потому что специалистов нет.
Наверное, нужно будет написать пост о том, на что собираюсь тратить время и в каком порядке решать проблемы.
В идеале замутить опросы пользователей на тему что нужно и что не нужно. Что нужно срочно, а что не очень. И это не только по поводу интерфейса. Конечно, для этого необходимо реализовать сами опросы на блокчейне ;)
Для привлечения и мотивации сторонних разработчиков можно подумать над интеграцией голоса в Github. К примеру, чтобы можно было голосовать за каждый issue, commit или pull request. Конечно, желательно, чтобы все это фильтровалось во фронтэнде golos.io, дабы не засорять эфир обычным пользователям, которые читают статьи и смотрят котиков).
Интеграция голоса в github это очень интересная мысль.