PRoAtom
proatom.ru - сайт агентства ПРоАтом
Журналы Атомная стратегия 2024 год
  Агентство  ПРоАтом. 27 лет с атомной отраслью!              
Навигация
· Главная
· Все темы сайта
· Каталог поставщиков
· Контакты
· Наш архив
· Обратная связь
· Опросы
· Поиск по сайту
· Продукты и расценки
· Самое популярное
· Ссылки
· Форум
Журнал
Журнал Атомная стратегия
Подписка на электронную версию
Журнал Атомная стратегия
Атомные Блоги





PRo IT
Подписка
Подписку остановить невозможно! Подробнее...
Задать вопрос
Наши партнеры
PRo-движение
АНОНС

Вышла в свет книга Б.И.Нигматулина и В.А.Пивоварова «Реакторы с тяжелым жидкометаллическим теплоносителем. История трагедии и фарса». Подробнее 
PRo Погоду

Сотрудничество
Редакция приглашает региональных представителей журнала «Атомная стратегия»
и сайта proatom.ru.
E-mail: pr@proatom.ru Савичев Владимир.
Время и Судьбы

Разместить комментарий

Re: Сотрудников «Росатома» мобилизуют голосовать по поправкам в Конституцию (Всего: 0)
от на 03/07/2020

Ничего не подтасованы. Факты в студию. Голосование прошло. Успокойтесь dolboyoby!


=========

dolboyobu !


>>  Уязвимость тайны голосования при электронгом голосовании- ЭГ: сценарий проверки.
После публикации о проблемах с тайной ЭГ с нами через нашего бота связался аккаунт "ДИТ Москва" и попробовал убедить, что у администраторов нет технической возможности соотнести гражданина с его голосом. Господа, вы нас за кого держите?

Мы публикуем подробный сценарий проверки, понятный для технических специалистов, и каждый, кто записан на электронное голосование, но еще не голосовал, может его проверить до 20:00 мск 30 июня. Для этого нужно в браузере открыть консоль разработчика и проследить сетевые запросы. 

Заранее поясним ключевую мысль: все ваши запросы можно логировать на сервере (ЭГ использует веб-сервер Nginx) ПОЛНОСТЬЮ, вместе с заголовками и потрохами, и складывать с разных серверов в единое хранилище, например, Elasticsearch, для последующей аналитики.

Поехали:

1. Заходим на сайт 2020og.ru и логинимся. В процессе вас перебросит на elec.2020og.ru, login.2020og.ru, потом обратно, и все ответы от этих серверов будут ставить вам cookie laravel_session=abcdef123 (содержимое у каждого из вас будет свое). Это те самые куки для идентификации пользователя, о которых сейчас каждый сайт спрашивает "хотите ли вы их принять". ДИТ не спрашивает, ДИТ просто их ставит.

2. Обратите внимание на запрос при проверке номера телефона на сайте ЭГ, вот он в сокращенном видеPOST https://elec.2020og.ru/common/ajax/confirm/sms/Cookie: laravel_session=abcdef123'type=sms&value=9261234567&voitingId=0'Внимание, гипотеза (неопровержимая): сервер elec.2020og.ru сохранил этот запрос, содержащий ваш cookie и номер телефона, в логи и отправил в единое хранилище.

3. Соглашаемся с условиями и получаем бюллетень. Вот как происходит его выдача, тут происходит несколько переадресаций, видимо, это и есть тот самый "анонимайзер", но спойлер: он ничего не анонимизирует:POST https://elec.2020og.ru/#completeCookie: laravel_session=abcdef123ответ: HTTP/2 302 Foundlocation: https://elec.moscow/election/check/ длинная-длинная-цепочка-из-букв-и-цифр= (на самом деле тут скрыт ваш номер бюллетеня, допустим, 777-ggg-aaa. Как проверить: вставить эту длинную цепочку на сайт https://www.base64decode.org/, раскодировать, потом взять из результата url и еще раз раскодировать. Нас наперстками не проведешь!)

GET https://elec.moscow/election/check/ длинная-длинная-цепочка-из-букв-и-цифр=ответ: HTTP/2 302 Foundlocation: https://elec.moscow/election/ 777-ggg-aaa (тот самый номер вашего бюллетеня, уже в открытом виде)Видите? Сервер (никто не сможет этого опровергнуть) сохранил лог, в котором есть ваш cookie, уже связанный с номером телефона, и номер вашего бюллетеня!

4. Ставим галочку и отправляем голос. Ваш голос зашифровывается, создается транзакция и отправляется на сервер, чтобы потом попасть в блокчейн.POST https://elec.moscow/election/voterawStoreBallotTx=транзакция_с_голосомguid=777-ggg-aaa (номер вашего бюллетеня)
votingId=...
district=...
accountAddressBlock=...keyVerificationHash=...rawTxHash=xxxyyyzzz (вашу транзакцию можно будет найти в выгрузке блокчейна на сайте https://observer2020.mos.ru/observer/blocks-list по этому хэшу)

Что же, время собирать камни! После всего этого процесса в логах ДИТ, по неопровержимой гипотезе, хранится:
- связка cookie - номер телефона (laravel_session=abcdef123 и 9261234567)
- связка cookie - номер бюллетеня (laravel_session=abcdef123 и 777-ggg-aaa)
- связка номер бюллетеня - зашифрованный голос (777-ggg-aaa и транзакция_с_голосом, ищется в блокчейне по rawTxHash=xxxyyyzzz)

Дальше сотрудникам ДИТ остается только расшифровать голоса (что будет сделано при подсчете голосов, либо заранее, потому что ключ-то у ДИТ есть, хоть они разделили его на три части, но и себе могли оставить копию про запас), сопоставить их через логи с номерами телефонов и сделать для начальства красивую табличку в экселе. И вы верите , что они этого не сделают?   >>


Ваше имя: [ Новый пользователь ]

Тема:


Комментарий:

Для вставки HTML кода используйте редактор


наберите код, который вы видите здесь
(сделано против роботов-спамеров):

Секретный код







Информационное агентство «ПРоАтом», Санкт-Петербург. Тел.:+7(921)9589004
E-mail: info@proatom.ru, Разрешение на перепечатку.
За содержание публикуемых в журнале информационных и рекламных материалов ответственность несут авторы. Редакция предоставляет возможность высказаться по существу, однако имеет свое представление о проблемах, которое не всегда совпадает с мнением авторов Открытие страницы: 0.04 секунды
Рейтинг@Mail.ru