Comments 62
UFO just landed and posted this here
никому не известного Кристофера Пула (Christopher Poole).Это moot-то никому не известен?
Не все же на бордах сидят
Мне неизвестен, например. Как и Сайрус.
Мне и майли не была известна до www.sp-fan.ru/episode/1705/
> Здесь нет ничего страшного, ведь результаты всё равно ничего не решают.
Знакомая история. Где-то я это уже видел…
Знакомая история. Где-то я это уже видел…
Надо, кстати, пропихнуть Майли Сайрус на следующие президентские выборы. Думаю, она справится лучше.
Ну вообще-то не совсем. В данном случае нет прямой голосовалки за человека года. Человека года по версии Time выбирают редакторы Time, а не всякие малолетки пришедшие за своих кумиров поболеть. Тут просто читателям предлагают угадать, кого выберут редакторы журнала, о чем прямо указано на странице голосования.
Какой-то профессиональный юмор
Сдаётся мне, остальные персоны тоже попали в Топ из-за флешмобов. Ну чем, например, известен Нарендра Моди, довольно рядовой провинциальный индийский политик? И с чего вдруг Башар Асад туда попал? Из-за гражданской войны, которую он допустил в своей стране?
официальное новостное агентство с пафосом сообщило известие о победе их лидера в голосовании журнала Time
Ну да, я всё понимаю, в интернете нельзя без пруфов, тем более на Хабре. Но вот положа руку на сердце, вы сами-то в курсе чё там на скрине написано?
Сказали пруф, значит пруф.
Да всё, всё, молчу, там ведь чёрным по белому!
жаль, но оригинала статьи в инете нет…
Вот сайт газеты за 19 декабря 2012, просмотрел все статьи, ничего похожего.
www.kcna.co.jp/item/2012/201212/2012-12-19ee.html
p.s. корейского не знаю :)
Вот сайт газеты за 19 декабря 2012, просмотрел все статьи, ничего похожего.
www.kcna.co.jp/item/2012/201212/2012-12-19ee.html
p.s. корейского не знаю :)
На английском об этом писал сам Тайм. Вполне возможно, что оригинал не переводили или удалили. Проверить лень, сайт Национального Новостного Агентства Северной Кореи в Корее Южной заблокирован, а расчехлять VPN не хочется. По картинке вроде действительно всё так.
UFO just landed and posted this here
Отфильтровать по IP голоса и отсеять, делов-то.
Вы забываете про NAT.
Да всем по барабану, в принципе. Ну заблокируют один внешний айпи с 100500 голосов, ну потеряются при этом 100 реальных пользователей — накрученных-то в процентном соотношении больше! Да и не влияет это ни на что, можно и не фильтровать практически — сами решат, как уже неоднократно выше указали.
У некрупных провайдеров России, которые не могу позволить выдавать всем и каждому белые адреса за NAT может быть гораздо больше 100 человек…
С другой стороны можно сделать для такого случая отдельную проверку, например текущее(пусть и приближенное) местоположение и город в аккаунте facebook
С другой стороны можно сделать для такого случая отдельную проверку, например текущее(пусть и приближенное) местоположение и город в аккаунте facebook
Ну вот на эти «больше 100» и забьют. Да и потом — если в логах был UserAgent, а у проги он не менялся, можно взять IP и затем просто отсеять всех с одинаковым UserAgent. Можно также стереть все голоса, которые были получены в период атаки — тоже соотношение реальных к фейковым мизерное.
можно взять IP и затем просто отсеять всех с одинаковым UserAgent
Что-то мне подсказывает, что в этом случае под банхаммер попадут в первую очередь рядовые пользователи, которые имели несчастье вовремя обновить браузер.
Ну и MrNobody все правильно сказал про NAT и провайдера. У моего прова мизерный пул, так что иногда по вечерам вместо страницы гугла приходится читать заглушку в стиле «из вашей сети идут атаки, приходите завтра». Я теперь, конечно, могу похвастаться нотариально заверенными скриншотами того, что меня забанили в гугле, но иногда это реально бесит. И ведь не какая-то деревня Печного уезда — DC2.
Во всех случаях под раздачу попадают честные юзеры. А авторы могли менять UserAgent и прокси-сервер после 50 атак, например.
UFO just landed and posted this here
Да я не говорю про ограничение доступа к сайту =) Я говорю о самом простом способе очистки статистики по голосованию. В этом ничего такого страшного нет, ну пропадёт в процессе удаления 10000 фейковых голосов даже 1000 реальных — максимум кто-нибудь удивится типа «Блин, про мой голос забыли». И то — можно будет переголосовать и всё станет опять ОК. В вопросе-то ничего реального не решалось, это просто угадайка такая, один фиг журнал сам выбирает.
Помнится тоже баловались с голосовалкой джумлы, curl, cmd файл и список прокси.
Случайным образом, раз в 5-20 сек голосовали (иначе серверу плохело). Отдаваемая html страница с «конкурсом» полностью занимала >600Kb.
Сервер пар раз полёг (видать трафика накрутили много на шареде) в итоге неспешно около 50к голосов сделали ;)
Случайным образом, раз в 5-20 сек голосовали (иначе серверу плохело). Отдаваемая html страница с «конкурсом» полностью занимала >600Kb.
Сервер пар раз полёг (видать трафика накрутили много на шареде) в итоге неспешно около 50к голосов сделали ;)
Странно, что вообще появляются новости про «голосование в интернете».
Все более-менее медиазначимые интернет-голосования всегда накручивают. Поэтому их можно воспринимать исключительно как открытые соревнования по накрутке.
Помню, в своё время, премию Рунета крутили, для смены IP использовался скрипт переподключения ADSL-сессии, этого оказалось достаточно.
Помню, в своё время, премию Рунета крутили, для смены IP использовался скрипт переподключения ADSL-сессии, этого оказалось достаточно.
Если давать возможность голосовать великому Анонимусу, любое голосование теряет смысл.
Интересно, что, даже при наличии постоянного отслеживания накруток этого голосования, программисты сайта не сделали железобетонную защиту.
В конце-концов, анализировать можно столько параметров (в т.ч. и постфактум, просто сохранив все, что известно при подаче голоса, и фильтруя эти данные по мере открытия новых подробностей накруток текущего голосования), плюс, конечно, применяя «то самое действенное средство» (а именно не показывать результаты до завершения всего голосования — проверить накрутку становится куда сложнее) отфильтроваться вполне можно.
Так что подача новости о том, что 2 «хакера» (скорее, программиста, вламываться-то они никуда не вламывались) накрутили что-то там выглядит как «хотели как лучше, но который год не смогли нормально сделать защиту», что ИТ-ников издания никак не красит.
В конце-концов, анализировать можно столько параметров (в т.ч. и постфактум, просто сохранив все, что известно при подаче голоса, и фильтруя эти данные по мере открытия новых подробностей накруток текущего голосования), плюс, конечно, применяя «то самое действенное средство» (а именно не показывать результаты до завершения всего голосования — проверить накрутку становится куда сложнее) отфильтроваться вполне можно.
Так что подача новости о том, что 2 «хакера» (скорее, программиста, вламываться-то они никуда не вламывались) накрутили что-то там выглядит как «хотели как лучше, но который год не смогли нормально сделать защиту», что ИТ-ников издания никак не красит.
2 «хакера» (скорее, программиста, вламываться-то они никуда не вламывались)
ВНЕЗАПНО
Хакер (англ. hacker, от to hack — рубить, кромсать) — слово, имеющее несколько значений:©
- Высококвалифицированный ИТ-специалист, человек, который понимает тонкости работы программ ЭВМ.
- Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым и далеко не всегда элегантным (в контексте используемых в программе стиля программирования и её общей структуры, дизайна интерфейсов) или профессиональным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в ...». См. hacker (programmer subculture) и en:hacker (hobbyist).
- В настоящее время наиболее широко известно значение «компьютерный взломщик» — крэкер (англ. cracker, от to crack — раскалывать, разламывать).
Это как-то влияет на суть моего комментария? Не говоря что толковых словарей существует множество — Вы slovari.yandex.ru/hacker/%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4/#lingvo/ посмотрите, скажем :)
Интересно, что ваша ссылка должна была дать? Там не толковый, а переводной словарь, и он переводит „hacker“ как «хакер».
Это как-то влияет на суть моего комментария?Мало того, что хакер — это не только взломщик, так они ещё и «взломали» (получили неправомерный доступ к накрутке) систему голосования.
Вот мне нравится понятие «неправомерный» в таких случаях.
Изменив отправляемые на сервер данные, они обошли некий механизм блокировки повторных голосований, так? Т.е. весь их «взлом» состоял в том, что набор данных был изменен неким образом, но подмены кода программ в памяти сервера я как-то в заметке не увидел. Как тогда трактовать «правомерность»? Давайте тогда введем подсудное понятие «головотяпство» за непроверку переданных клиентом данных. «Дома мы называем его Дропик», да :)
Вы мне напоминаете уважаемых товарищей из отделов К, которые в свое время, когда не было повода посадить хакера за подбор пароля к некому логину для доступа по модему в интернет, навешивали ему обвинение в во взломе сервера доступа в смысле того, что он, подбирая пароли, оставлял записи в логах сервера, значит, его действиями файлы на диске сервера таки изменялись.
Изменив отправляемые на сервер данные, они обошли некий механизм блокировки повторных голосований, так? Т.е. весь их «взлом» состоял в том, что набор данных был изменен неким образом, но подмены кода программ в памяти сервера я как-то в заметке не увидел. Как тогда трактовать «правомерность»? Давайте тогда введем подсудное понятие «головотяпство» за непроверку переданных клиентом данных. «Дома мы называем его Дропик», да :)
Вы мне напоминаете уважаемых товарищей из отделов К, которые в свое время, когда не было повода посадить хакера за подбор пароля к некому логину для доступа по модему в интернет, навешивали ему обвинение в во взломе сервера доступа в смысле того, что он, подбирая пароли, оставлял записи в логах сервера, значит, его действиями файлы на диске сервера таки изменялись.
Теперь представим, что это было не просто голосование, а, скажем, выборы президента. Вы бы тогда тоже сказали, что это не неправомерное вмешательство в работу голосования?
Если в ваших терминах, то недоработка защиты от накрутки при выборах президента — это не головотяпство?
Если Вы не закрыли окно в квартире, и прошедший дождь намочил Вам ковры — виноват дождь или Вы?
Если Вы не закрыли окно в квартире, и прошедший дождь намочил Вам ковры — виноват дождь или Вы?
Тут не дождь, а гуляющие школьники накидали в форточку снежков, прямо под козырёк от дождя. Там же не сами голоса накрутились.
И? Вы им дали так сделать, или они фомкой отжали форточку, и уже тогда славно покуражились, кидая снежки?
Вы считаете, что защита — это не для джентльменов? Я не говорю, что надо брать все, что плохо лежит, но если программа не умеет проверять граничные условия и при неверных входных данных неверно себя ведет — кто дурак?
Вы считаете, что защита — это не для джентльменов? Я не говорю, что надо брать все, что плохо лежит, но если программа не умеет проверять граничные условия и при неверных входных данных неверно себя ведет — кто дурак?
«Дал» тем, что не запер форточку? Так и хипстер гопникам в подворотне «даёт» отжать айфон, в таком случае. Подошли да взяли, сам дал. Броник не одел, в тренажёрку не ходил, «ОСУ» не купил, айфон с собой таскал.
Давайте к терминам: см. slovari.yandex.ru/~%D0%BA%D0%BD%D0%B8%D0%B3%D0%B8/%D0%AD%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D0%B0%D1%80%D0%BD%D1%8B%D0%B5%20%D0%BD%D0%B0%D1%87%D0%B0%D0%BB%D0%B0%20%D0%BE%D0%B1%D1%89%D0%B5%D0%B9%20%D1%82%D0%B5%D0%BE%D1%80%D0%B8%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0/%D0%9F%D1%80%D0%B8%D0%B7%D0%BD%D0%B0%D0%BA%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%BE%D0%BC%D0%B5%D1%80%D0%BD%D0%BE%D0%B3%D0%BE%20%D0%BF%D0%BE%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F/.
По поводу вопроса: не путайте неверно работающую программу, и разбойное нападение. Набор байтов не может быть законным или незаконным. Программу нужно писать правильно, проверки нужно делать, на неверные входные данные показывать ошибку.
Вы продавщицу в магазине, которая спросила у покупателя «сколько я Вам должна?» (а покупатель по ошибке, или в шутку. или даже для проверки ее IQ, выдал ей «100500 рублей»), и которая без проверки ответа побежала за этой суммой (к удивлению владельца магазина) — назовете нормальной, либо все же укажете, что думать и самой надо?
По поводу вопроса: не путайте неверно работающую программу, и разбойное нападение. Набор байтов не может быть законным или незаконным. Программу нужно писать правильно, проверки нужно делать, на неверные входные данные показывать ошибку.
Вы продавщицу в магазине, которая спросила у покупателя «сколько я Вам должна?» (а покупатель по ошибке, или в шутку. или даже для проверки ее IQ, выдал ей «100500 рублей»), и которая без проверки ответа побежала за этой суммой (к удивлению владельца магазина) — назовете нормальной, либо все же укажете, что думать и самой надо?
Этот путь — тупиковый. «А если я сервисный код на банкомате узнал, и тот мне денег ведро отсыпал — назовёте банкомат нормальным, или укажете, что думать он и сам должен?»
Вы проще посмотрите. Ребята написали браузер, через него заходят на страницу и голосуют за любимую, эту, как ее… ну, девушку эту… ну, вы поняли. Они ее, хм, просто любят, посему решили голосовать часто, чтобы она выиграла.
Программисты они оказались не ахти (а может, наоборот, слишком хорошие — так что случилось «горе от ума»), и накосячили в браузере так, что тот стал отправлять данные с ошибками. На выходе кол-во голосов поползло вверху куда сильнее, чем ребята думали.
Кого тут ругать? Они не нарушали никакого соглашения, они не выходили из рамок закона. Более того, они оказались, по факту, пожалуй, даже честнее тех людей, которые другому участнику голосования принудительно уменьшили кол-во полученных голосов.
Я привел один из вариантов трактовки — и он не хуже любого другого. Вы же зацепились за то, что парни получили эффект более того, что сам бы автор голосования для них ожидал — значит, виноваты перед законом, я правильно понимаю? Это вполне возможное мнение, но — не единственное, и, возможно, не (самое) верное.
Проверка входных данных — важна. С теми же выборами президента, скажем, если бы система голосования позволила вписать свой вариант (не из предложенного списка), и народ понаписал бы такого, что президентом стал бы некто другой, не находившийся в списке, я бы нашел в том вину создателей системы. Вы же, когда в сосуд (стакан, бидон) воду наливаете, проверяете, что он не дырявый, а если дырку видите, не станете отрицать, что ругаться на воду за ее вполне естественное поведение по вытеканию в эту дырку суть глупость? Почему же вполне естественное любопытство по проверке срабатывания на неверные входные данные (причем замена данных происходит на стороне клиента, т.е. там, где разработчик даже не может ожидать контролировать все и всех) Вы считаете поведением, как вы сказали, неправомерным?
Мне вот любопытно, случись на Хабре, где слова «проверка входных данных» не особо испугают аудиторию, задать вопрос, есть ли в действиях «хакеров» подсудная вина — какой бы результат получился бы :)
Программисты они оказались не ахти (а может, наоборот, слишком хорошие — так что случилось «горе от ума»), и накосячили в браузере так, что тот стал отправлять данные с ошибками. На выходе кол-во голосов поползло вверху куда сильнее, чем ребята думали.
Кого тут ругать? Они не нарушали никакого соглашения, они не выходили из рамок закона. Более того, они оказались, по факту, пожалуй, даже честнее тех людей, которые другому участнику голосования принудительно уменьшили кол-во полученных голосов.
Я привел один из вариантов трактовки — и он не хуже любого другого. Вы же зацепились за то, что парни получили эффект более того, что сам бы автор голосования для них ожидал — значит, виноваты перед законом, я правильно понимаю? Это вполне возможное мнение, но — не единственное, и, возможно, не (самое) верное.
Проверка входных данных — важна. С теми же выборами президента, скажем, если бы система голосования позволила вписать свой вариант (не из предложенного списка), и народ понаписал бы такого, что президентом стал бы некто другой, не находившийся в списке, я бы нашел в том вину создателей системы. Вы же, когда в сосуд (стакан, бидон) воду наливаете, проверяете, что он не дырявый, а если дырку видите, не станете отрицать, что ругаться на воду за ее вполне естественное поведение по вытеканию в эту дырку суть глупость? Почему же вполне естественное любопытство по проверке срабатывания на неверные входные данные (причем замена данных происходит на стороне клиента, т.е. там, где разработчик даже не может ожидать контролировать все и всех) Вы считаете поведением, как вы сказали, неправомерным?
Мне вот любопытно, случись на Хабре, где слова «проверка входных данных» не особо испугают аудиторию, задать вопрос, есть ли в действиях «хакеров» подсудная вина — какой бы результат получился бы :)
Подсудной — конечно нет. Но и накрутили они не случайно, а именно намеренно анализировали и использовали уязвимость. Разве это не «взлом»?
Да что же Вам все неспокойно? Утро, начало рабочего дня :)
Вы словами бросаетесь, потом новые термины вводите, но суть-то не меняется: люди ничего с сервером не сделали. Ни в физическом, ни в логическом смысле. Он (сервер) «сам себе данные поменял», основываясь на входных данных, которые он же сам неверно воспринял.
Скажем: Вы пишете программу, которая спрашивает юзера «каков ваш возраст?», собирает ответы, и считает средний возраст по всем ответам. Кто-то опечатался, и вместо 79 лет написал 799 лет (зрение плохое из-за возраста, не разглядел человек). Еще 9 человек ввели цифры «19» каждый. Программа на основе ответов выдает, что средний возраст = 97 лет ( (799+19*9)/10=97 ). Кого винить: подслеповатого пожилого пользователя, либо все же программиста?
Вы же знаете, что информация имеет тенденцию искажаться при передаче по каналам связи — достаточно послушать помехи, мешающие слушать радиопередачу, и никакие хакеры для этого не нужны — и масса технических приемов для борьбы с этим придуманы не случайно. Но если Вам нравится считать «шаг вправо, шаг влево» именно попытками взлома, хммм… не могу же я Вам запретить этого ;)
Вы словами бросаетесь, потом новые термины вводите, но суть-то не меняется: люди ничего с сервером не сделали. Ни в физическом, ни в логическом смысле. Он (сервер) «сам себе данные поменял», основываясь на входных данных, которые он же сам неверно воспринял.
Скажем: Вы пишете программу, которая спрашивает юзера «каков ваш возраст?», собирает ответы, и считает средний возраст по всем ответам. Кто-то опечатался, и вместо 79 лет написал 799 лет (зрение плохое из-за возраста, не разглядел человек). Еще 9 человек ввели цифры «19» каждый. Программа на основе ответов выдает, что средний возраст = 97 лет ( (799+19*9)/10=97 ). Кого винить: подслеповатого пожилого пользователя, либо все же программиста?
Вы же знаете, что информация имеет тенденцию искажаться при передаче по каналам связи — достаточно послушать помехи, мешающие слушать радиопередачу, и никакие хакеры для этого не нужны — и масса технических приемов для борьбы с этим придуманы не случайно. Но если Вам нравится считать «шаг вправо, шаг влево» именно попытками взлома, хммм… не могу же я Вам запретить этого ;)
Ну это уже смешно, даже в новости про Майли Сайрус всё равно надо упомянуть Сноудона. Это тренд что ли? (:
Надо накрутить обратно за Сноудена. :) Благодаря ему громадная шумиха пошла и движения за приватность в интернете. Я за него.
UFO just landed and posted this here
Может я что то не до конца понимаю но голосвалки такого уровня пора бы уже делать с защитой от накрутки с учетом поведенческих факторов. JS позволяет отслеживать поведение пользователей вплоть до точного перемещения мыши.
А так красавчики чо )
А так красавчики чо )
Я может чего-то не знаю, но разве на C# можно писать скрипты?
Может у меня паранойя и АНБ везде мерещится, но раз не фиксят голосовалку, значит кому то это надо. А раз Times один из крупнейших журналов, то дискредитация онлайн системы голосования на обычного раба гражданина может оказать достаточно сильное воздействие.
Т.е. кому то очень не хочется, что бы люди считали онлайн голосование адекватным и показательным.
Но это так, размышления.
Т.е. кому то очень не хочется, что бы люди считали онлайн голосование адекватным и показательным.
Но это так, размышления.
Точно так. Эти хакеры объективно сработали против Сноудена, а раз против Сноудена — значит, за АНБ.
Да не решает это голосование ничего. Редакторы сами выберут того, кто им понравится, это просто симпатии читателей совместно с викториной «угадай-кого-мы-выберем», если угодно. Будет что-то серьёзное — будет нормальная голосовалка с максимальной безопасностью. Будем надеяться, впрочем.
Ну и правильно в общем-то. Зачем людям считать онлайн-голосовании адекватным и показательным? Не видел ни одного значимого онлайн-голосования без накруток.
Sign up to leave a comment.
Хакеры ради смеха накрутили голоса в пользу Майли Сайрус на голосовании «Человек года» журнала Time