Обсуждения записок
Возникло бурное обсуждение записки про электронное голосование – в комментариях уже рукой подать до системы, где центральный сервер уполномочен хранить персонализированные логи голосования (по каждому избирателю). В принципе, отсюда уже очень близко до концепции машины, которая и результаты выборов сама будет объявлять, ну или там ещё какие-нибудь определяющие решения выносить.
Адрес записки: https://dxdt.ru/2008/12/04/1838/
Похожие записки:
- Ретроспектива заметок: январь и февраль 2012
- DNSSEC для dxdt.ru
- Техническое описание TLS: обновление 2023
- Смартфон-шпион: восемь лет спустя
- Техническое: переезд некоторых ресурсов
- День Космонавтики: ракета
- Обновление "Избранных записок"
- Реплика: время по доменам
- Реплика: о языках программирования, из практики
- День Космонавтики
- Экспериментальный TLS-сервер: обработка TLS-записей
Комментарии читателей блога: 17
1 <t> // 5th December 2008, 02:47 // Читатель Name написал:
Как раз наоборот, сервер не должен хранить айпишники или номера телефонов или другую персонализированную информацию. Как это обеспечить, описано в вышеупомянутой дискуссии.
2 <t> // 5th December 2008, 03:33 // Читатель Кликер написал:
Ну ведь согласитесь такая ситуация практически недопустима ! Чтобы судьбу человека решала машина пусть даже умная! А если она себя возомнит умнее человека! Стоп это уже где то было!
3 <t> // 5th December 2008, 20:10 // Читатель Name написал:
На данном этапе развития технологий, такая ситуация действительно недопустима. Что будет, когда машина станет действительно умнее человека, это вопрос для другой дискуссии. В этой же дискуссии никто не предлагал, чтобы машина делала больше, чем просто подсчитывала количество голосов. А считать машина уже умеет лучше человека.
4 <t> // 6th December 2008, 08:15 // Читатель Name написал:
Краткое содержание предыдущих серий :)
—–
1st December 2008, 8:27 pm // Александр Венедюхин ответил:
С телефонным звонком проблема в том, что нужно как-то обеспечивать анонимность. Простых схем тут нет.
—–
1st December 2008, 11:33 pm // Читатель Name написал:
Обеспечить анонимность звонка проще простого. …
—–
1st December 2008, 11:42 pm // Александр Венедюхин ответил:
…
Ну раз легко, то предложите схему, пожалуйста.
—–
2nd December 2008, 4:34 am // Читатель Name написал:
…
Глядя на этот id нельзя сказать за кого проголосовал юзер, потому-что …
—–
3rd December 2008, 12:35 am // Александр Венедюхин ответил:
…
голосование типа ?заходит на сайт? – по умолчанию не анонимное: сохраняются логи доступа (прокси у провайдеров и т.д.);
…
—–
3rd December 2008, 1:53 pm // Читатель arcman написал:
…
> 2) голосование типа ?заходит на сайт? – по умолчанию не анонимное: сохраняются логи доступа (прокси у провайдеров и т.д.);
Тут такое не прокатывает – известно лишь что пользователь голосовал,
…
—–
4. December 2008, 23:45 blog
…
в комментариях уже рукой подать до системы, где центральный сервер уполномочен хранить персонализированные логи голосования (по каждому избирателю).
…
—–
5th December 2008, 2:47 am // Читатель Name написал:
Как раз наоборот, сервер не должен хранить айпишники или номера телефонов или другую персонализированную информацию. Как это обеспечить, описано в вышеупомянутой дискуссии.
—–
4th December 2008, 11:30 pm // Александр Венедюхин ответил:
Name, фундаментальное изменение – отказ от анонимности, а не переход на другую технологию.
—–
6th December 2008, 4:40 am // Читатель Name написал:
Я уже несколько раз говорил, что отказываться от анонимности не предлагаю.
—–
5 <t> // 6th December 2008, 10:53 // Александр Венедюхин:
Полные тексты: https://dxdt.ru/2008/11/30/1825/#comments
Смысл копирования сюда одностроковых цитат – не ясен. Схемы, сколь-нибудь гарантирующей анонимность, предложено не было. “Решения” Name сводятся к одному: он предлагает: а давайте верить, что операторы не сохраняют логи, что id удаляются с серверов и т.п. Такой подход – это не решение.
6 <t> // 6th December 2008, 19:26 // Читатель Name написал:
Смысл копирования в том, чтобы указать, что я ни разу не предлагал отказываться от анонимности, а мне все время приписывается обратное.
Если есть претензии к схеме то давайте ее и обсуждать. Типа, логи с записанными фамилиями/айпишниками/телефонами будут сохранены если …
Я говорил не верить, а проверить. Собирается техническая коммисия, получает исходники, изучает их. Публикует хэш сумму дистрибутива. Не задолго до выборов, небольшая группа инженеров с представителями от всех кандидатов и международных наблюдателей, выезжает в серверный центр и устанавливает систему с диска. Каждый представитель может засунуть диск в свой ноутбук и убедится, что хэш сумма совпадает.
7 <t> // 6th December 2008, 19:35 // Александр Венедюхин:
По-моему, Вы просто не желаете войти в курс дела. Вы получать/изучать исходники будете у всех существующих интернет-провайдеров и операторов связи, в том числе у иностранных? Так что ли?
8 <t> // 6th December 2008, 22:47 // Читатель Name написал:
Ну сколько можно говорить? Если провайдер увидит, какой id был послан, это никак не поможет никому узнать, за кого был отдан голос. Соответствие id -> кандидат хранится только на сервере. Сервер проверен и опечатан, наружу выдает только результаты подсчета.
Давайте конкретно, кто и как может узнать, за кого был отдан голос каким-то определеннным человеком?
9 <t> // 7th December 2008, 00:00 // Александр Венедюхин:
Это, конечно, удобно – спрашивать “кто конкретно”, не предлагая со своей стороны вообще никакой конкретной системы, как-то способной решить проблемы голосования, а только напирая на волшебный “проверенный и опечатанный сервер” из сказки.
Я ж говорю, что всё склоняется к волшебной машине, недоступной ни единому админу и сразу объявляющей результаты подсчёта, без возможности проверки. Вот Вы сейчас это и предлагаете. Некий оракул. Понятно, что в реальности такого быть не может.
Вы, кстати, и ещё кучу моментов упускаете. Скажем, вот есть “проверенный опечатанный сервер”, и на него из внешней сети сыпятся некие id – как узнать-то, что это голоса избирателей? Ну и что, если id якобы совпал с неким числом из базы сервера: во-первых, база опечатана и никто не знает, что там внутри; во-вторых, мог и хакер угадать id (ну да, да, можно сделать id огромным числом, чтобы вероятность была мала и т.д., и т.п.).
А “проверенный и опечатанный сервер”, который способен автономно на лету обработать десятки миллионов запросов и терабайты данных – Вы себе как представляете? Что-то типа холодильника, верно?
Конкретно же результаты могут узнать владельцы базы, сопоставив логи с логами провайдеров. Можно узнать в рамках процедуры “отзыва голосов”. И так далее. Я об этом писал в комментариях. Но вообще не интересно дальше обсуждать банальную схему, имеющую кучу уязвимостей, и априори позволяющую злоумышленнику отменить результаты голосования всякого добросовестного избирателя.
10 <t> // 7th December 2008, 02:56 // Читатель Name написал:
не предлагая со своей стороны вообще никакой конкретной системы
—–
Мне что исходники выложить? :) Я предлагаю вполне конкретный алгоритм. Ничего волшебного в нем нет.
—–
мог и хакер угадать id (ну да, да, можно сделать id огромным числом, чтобы вероятность была мала и т.д., и т.п.)
—–
Есть вероятность, что молекулы чернил на бумаге, под воздействием теплового движения пепреползут на соседнюю графу. Ну и что? Что хакер может угадать? Это будет фактически тепловой шум. Ну совпадут 10 хакерских id с id в базе данных и эти совпадения уйдут случайному кандидату. Это все равно что вероятность того, что избиратель на бумажном биллютене ошибся и не в ту графу галочку поставил.
—–
А ?проверенный и опечатанный сервер?, который способен автономно на лету обработать десятки миллионов запросов и терабайты данных – Вы себе как представляете? Что-то типа холодильника, верно?
—–
На каком на лету? База данных состоит всего из одной таблицы, с одним столбцом и вставить туда миллиард (если голосование в Китае) значений, для современных технологий, труда не составит. Не надо мне холодильники приписывать, обычный кластер. Ну мало кластера, сделайте 2, 3, по одному для каждого региона. Это то, что касается требуемой производительности для регистрации голосов. Подсчитывать же их можно не торопясь, все равно будет быстрее чем вручную.
——
Конкретно же результаты могут узнать владельцы базы, сопоставив логи с логами провайдеров. Можно узнать в рамках процедуры ?отзыва голосов?. И так далее.
—–
К серверам никто не допускается до окончания выборов. После окончания, все логи стираются.
В рамках процедуры отзыва голосов, ничего нельзя узнать, так же, как и в процессе самого голосования. Все id отсылаются на сервер с командой “удалить” и все. Глядя на эти id снаружи системы, ничего понять нельзя.
Никакого “так далее” не существует.
—–
А теперь мои придирки к бумажной системе:
Где гарантия, что под урной не сидит “кто-надо” и через небольшой люк, не достает биллютени и не уничтожает неугодные?
Где гарантия, что в будке не установлена туча скрытых камер, под всеми углами смотрящих на то, что избиратель пишет в биллютене?
Где гарантия, что в биллютене, в нужной графе, нет какого ни-будь вещества, которое под воздействием, например, ультрафиолета не обесцвечивает чернила?
Где гарантия, что никто, незаметно, не подкинул левые биллютени?
Как избиратель может проверить, что его голос был подсчитан?
Смешные возражения? Не достаточно аргументированные? Так вот и Ваши возражения, мне кажутся такими-же.
11 <t> // 7th December 2008, 09:25 // Читатель WOOMP написал:
есть такая книжка , Гигабайты власти , автор – Киви Берд . в одной из глав рассказывается об использовании в сша систем электронного голосования , хотя информация и подается в несколько популяризированном виде , но я думаю что каждый найдет для себя что-нибудь полезное
12 <t> // 7th December 2008, 11:29 // Александр Венедюхин:
ОК, уровень понимания проблемы понятен (типа, Google может сделать каждый), больше вопросов не имею.
Вот это и есть та самая машина-оракул (знающая персональный состав голосующих), которой Вы и предлагаете заменить систему выборов. Особенно хорош пассаж про “логи стираются”.
13 <t> // 7th December 2008, 19:04 // Читатель Name написал:
Стало быть, технические возражения кончились и началась демагогия, типа автор глуп и пассажи его такие же. Мои же вопросы остались проигнорированны.
14 <t> // 7th December 2008, 19:33 // Александр Венедюхин:
Да ну бросьте, Вы просто не в курсе. Ну вот я Вас спрашивал, каким образом будете контролировать, что приходящие id – это от избирателей. Вы проигнорировали. Ну а как будете обеспечивать достоверность соединения? Скажем, хакеры подделали ответ DNS и пользователь отправился не на тот сайт? И так далее.
Ну а утверждение, что гарантировано обработать миллиард транзакций менее чем за сутки “труда не составит” – это ж правда смешное утверждение, сигнализирующее о непонимании проблемы.
15 <t> // 7th December 2008, 20:40 // Читатель Name написал:
7th December 2008, 11:29 am // Александр Венедюхин ответил:
…
ОК, уровень понимания проблемы понятен (типа, Google может сделать каждый), больше вопросов не имею.
—–
А у меня, сответственно, кончилось желание на Ваши вопросы отвечать. Считаю их не достойными внимания “моего высочества”. Как говорится, один глупец, может задать столько вопросов, что и сотня мудрецов не справится.
16 <t> // 7th December 2008, 20:59 // Александр Венедюхин:
Это всё вот, конечно, забавно.
Я вам вот что скажу интересное: я весьма близко наблюдаю то, какие проблемы накрывают регистраторов доменов, когда возникает по тем или иным причинам шквал заявок от клиентов. В принципе, задача та же, о которой вы высказывались – базы данных, заявки принимаются через Интернет. Но там и масштабы поменьше (о сотнях миллионов доменов речь не идёт), и запросы идут с авторизацией по строгим API. А вот всё равно проблемы бывают серьёзные, хотя у разработчиков многолетний опыт и системы непростые. Не удивительно, когда больше ста тысяч запросов в минуту сыпят на серверы.
Систему же голосования, “принимающую id кандидатов”, будут “валить” гораздо серьёзнее. А между тем, каждый id нужно проверить, чтобы хотя бы понять, что это не валидный id. Да. И это не касаясь проблем с контролем источника и достоверности соединения, о которых, понятное дело, вы не слышали.
Вы же, очевидно, просто никак не сталкивались с системами массового обслуживания, работающими в Интернете, поэтому вам всё кажется элементарным. Такое, кстати, очень часто бывает с начинающими “прикладными программистами”.
17 <t> // 7th December 2008, 22:08 // Читатель Name написал:
Я несколько лет работал в системе обслуживания запросов от мобильных телефонов. На каждый WAP запрос, пользователь аутентицировался и авторизировался. Для этого, на каждый запрос, происходили относительно сложные манипуляции с базой данных и запросы к стороннему LDAP серверу. Система обслуживала всех основных провайдеров сотовой связи по всей стране. И все работало с достаточно высокими требованиями uptime-а, уже не помню, сколко там было девяток после запятой.
Если некие регистраторы доменов имеют проблемы, во время пиковых нагрузок, так это, наверное, потому, что они не хотят вкладывать дополнительные средства, для обеспечения работы в редких ситуациях. Ну пришел миллион заявок на домен модное_слово.ком, ну и фиг с ними, все равно их все удовлетворить нельзя. Пусть завтра приходят.
Если извинитесь, за выпад, насчет “больше вопросов не имею” и про “пассаж”, могу продолжить отвечать на технические вопросы о валидации id и о проверке соединения.