Pull to refresh

Comments 34

У меня очень банальный вопрос: под какой лицензией распространяется этот код? Ни в репозитарии, ни в документации, ни в вашем посте не нашел этого.
Спасибо за замечение, лицензия MIT, указал в Readme.
Спасибо за вклад в борьбу с «невидимым врагом»
У меня немного другой вопрос, ребята, а почистили ли вы основную базу, перед тем, как сливать исходники. Не будем говорить кто, хотя это была Настя И, помнится, жестко поимела один из подобных проектов, получив базу зарегавшихся:) и я не хочу, чтобы мои данные утекали через ваши дыры.
Важный вопрос — разумеется, собственно в этом в основном и заключалась подготовка к открытию исходников, пришлось, в том числе, историю в репозитории менять, чтобы личные данные некоторых пользователей не засветить. Имена на демо-сервере сейчас сгенерированы через Faker, а email и телефоны, думаю, очевидно фейковые. Также демо-приложение не записывает ip заявок, чтобы публично его потом не светить.
Я немножко о другом, насколько я помню РосВыборы живой проект. И я про настоящие базы на живых серверах. Соответственно любая бага- это прямой доступ до наблюдателей.
и не говорите, что они потерты, рассылка — доказательство их жизнеспособности
Приложение выключено. Рассылки делаются через другой сервис.
Именно эта часть сейчас отключена в продакшене, то, что висит на rosvybory.org — это отдельный проект, они никак не пересекаются.
В будущем же, конечно, такая опасность существует, как и в любом open source проекте, но тут уже надо работать, чтобы не было таких дырок, что поделать. Скорее всего, если дырка есть, то её при желании и без исходников найдут, тут не стоит надеяться на закрытость кода, тем более в таком технически относительно несложном проекте, в котором можно и без кода в общих чертах понять, как что работает и где могут быть слабые места.
Уже сейчас с данными из вашего кода можно нафигачить сообщений на карту нарушений.
И на mandrill зачем-то логин\пароль в конфигах. Бардак-с.
Все пароли и ключи доступа в примерах конфигов не являются действующими, и оставлены скорее для примера.
Ну на mandrill я точно смог зайти. Хотя там действительно что-то похожее на тестовый аккаунт
Это был тестовый аккаунт одного из разработчиков, сменил пароль. Спасибо!
Для рекаптчи только оставил один из рабочих вариантов, но и то на продакшене другое указано.
Пожалуй, надо будет поставить везде что-то вроде «your password here», чтобы не складывалось впечатление утечки.
Блин, с картой нарушений вы похоже правы — пропустил ключ в коде, прослежу, чтобы он точно не был действительным, спасибо!
Спасибо за код. Подскажите, а что с Росямой? Она где-то доступна?
>> но вы чет вы поздно спохватились с дедлайном.

> совершенно верно, и я с удовольствием расскажу о причинах этого и готов буду обсудить, но давайте сделаем это 9 сентября :)

habrahabr.ru/post/191262/#comment_6644890

Т.е. что там за ситуация сложилась, и как из неё вышли? Как финансировалось? В комментариях сказано, что Вы отказывались от некоторой помощи. Если так, то почему?
Я не имею прямого отношения к фонду, и скорее являюсь волонтёром, взявшимся помогать их IT-проектам, поэтому на все вопросы компетентно не могу ответить. Что касается ситуации, то, в моём понимании, при планировании сильно помешало то, что скорость работы волонтёра, который занимается разработкой в свободное время, фиг спрогнозируешь — проект сам не сильно большой, и на самом деле времени на него было заложено не то, чтобы много, но вполне достаточно, просто в какой-то момент стало понятно, что без фуллтаймеров не успеть и начался их активный поиск. Где-то писали, что нельзя делать ставку на волонтёров, и всё отдавать профессионалам, но, в конце концов, тут всё завязано и стоит только на волонтёрах, поэтому, мне кажется, такой подход вполне имел право на существование.
Вышли из ситуации, найдя программистов, как я понимаю.
Возможно, я в чём-то ошибаюсь, но я так это вижу со своей стороны разработчика, участвовшего в проекте с первых дней (кодинга) с некоторым перерывом. Касательно остальных моментов, к сожалению, не могу ответить, т.к. не знаю.
Насколько я понял, исходники в какой-то момент стали закрыты. Почему такое произошло?
Так они были закрыты с самого начала. Причина — разработка велась в таких темпах и условиях, что через открытый репозиторий и открытую постановку задач точно бы что-нибудь утекло из данных не для распространения, не было времени это отдельно контроллировать, это сильно бы замедлило всё. Разработка, тем не менее, на начальных этапах, когда полагались на волонтёров, по сути была квазиоткрытая, то есть работать над проектом мог, в принципе, кто хотел, но надо было сначала связаться с фондом, и пройти какую-то минимальную премодерацию. Я сам так и начал участвовать в этом.
Скажите, а существует какой то механизм, подтверждающий что на выборах в данный момент используется именно та компиляция проекта что была показана общественности. Можно ли открыто проверить контрольные суммы файлов, их количество, откуда идут правки в базу итп. что то что гарантрирует что на выборах используется именно эта версия (без каких либо хаков под под чьи — либо интересы). Какие вообще предусмотрены возможности для контроля за программой например для оппозиции? Как это было на последних выборах? Кто следил от оппозиции за программой и оборудованием?
п.с. меня всегда интересовало насколько имеют под собой почву утверждения о подтасовках и манипуляциях. Вообще, это тема для отдельной статьи, было бы интересно, а может и посоветовал бы кто потом чтото полезное. Согласитесь, если сделать все достаточно открыто то возможность манипуляции резко упадёт.
Я не уверен, что правильно понял ваш вопрос, на на выборах не используется этот проект, я имею в виду для подсчета голосов. Этот проект используется для регистрации и распределения по участкам наблюдателей, если я не ошибаюсь. Это проект и есть проект оппозиции — а именно фонда по борьбе с коррупцией Навального.
спасибо за разъяснение, я уж было размечтался что Чуров коды открыл. Думаю, надо же, как демократично, где же думаю подвох. Мечты так и остались мечтами. Успехов Вам ребята, хоть Вы пытаетесь что то сдвинуть.

п.с. волшебники не раскрывают своих секретов
Это проблема всех открытых проектов.

В случае компилируемых языков — проверить, соответствует ли бинарник исходникам или нет.
Для проектов, хостящихся на сервере нельзя гарантировать, что исполняется та копия, исходники которой доступны.
Если, например, сделать скрипт, который отдаёт нам контрольные суммы файлов, то, как нам доказать, что скрипт отдаёт реальные данные, а не фейк? А если, открыть, скажем, доступ по ftp только для чтения, то кто может дать гарантию, что этот ftp не проброшен на небоевую, заведомо «чистую» машину?
Ничего лучше, чем дать возможность проведения независимого технического аудита — типа дать любому желающему рутовую консоль под присмотром и контролем хозяев… Или так-экспортировать (после подписания соответствующего NDA.) весь входной поток данных, чтобы желающие могли повторить на отдельно установленной системе весь процесс работы системы, чтобы потом сверить контрольные суммы правильно сфоомированных дампов.
Когда они это анонсировали, я попытался немного вникнуть. Во-первых, это ни разу не опенсорс. Лицензия, по которой они предоставляют доступ не допускает какого-то либо использования или изменения. Во-вторых, в коде у них там творится бардак, переменные на эстонском, какая-то другая магия и ни строчки документации. Т.е. рассчитывать на то, чтобы скачать и запустить локально не приходится. Ну так и нельзя по лицензии.

Ну и они, естественно, не раскрыли клиентскую часть. Что, впрочем, понятно.

В общем, я, если честно, не понял зачем они это сделали и кому это может быть интересно.
Ходил я на это открытие кода в vvk. Демагожили там часа 3. Совершенно ни о чём. Потом при нас залили код на гитхаб и «всем спасибо — все свободны»
А клиентскую часть не открыли, потому что их не интересует, что происходит в клиентсокм компе.
Only those users with full accounts are able to leave comments. Log in, please.