Comments 12
Ну странная предъява от медузы и адекватный на неё ответ.
Изначальная статья явно нацелена на технически неподкованную аудиторию.
Да, текущий метод шифрования позволяет "взломать себя". Да, можно было бы применить какое-то асинхронное шифрование, чтобы расшифровать обратно зашифрованное тобой можно было только после публикации дополнительного ключа в конце голосования.
Но это никак не увеличило бы общую стойкость системы: если мы имеем полный доступ к браузеру жертвы, мы можем довесить свой обработчик на кнопку "голосую за" и отправить информацию налево.
А если цель, как написано в оригинальной статье, принудить к голосованию, то "стоять за плечом" или "установить следящее расширение" отлично работает вне зависимости от алгоритма шифрования: можно украсть информацию до того, как она шифруется браузером.
Можно просто видео записать, сайт от этого никак не защитит.
мы можем довесить свой обработчик на кнопку «голосую за» и отправить информацию налево
Нет гарантии что жертва не подменит этот обработчик, и отправит налево нужную информацию, а сама проголосует другой кнопкой.
Можно просто видео записать, сайт от этого никак не защитит.
Можно записать видео и вообще не проголосовать. Гарантий правильного голоса, неправильного голоса, или вообще факта голосования, запись видео сайта не даёт. Интернет полнится шутками и мемами со скриншотами «забавных» переписок, и существенная часть этих скриншотов — фейк, созданный в графическом редакторе.
А вот как раз указать транзакцию с голосом и выдать ключ от неё — это гарантия. От чужой транзакции ключ юзер выдать не может — не подобрать за разумное время ключ от чужой транзакции. Выдать от своей транзакции ключ эквивалентно сказать как ты проголосовал, причём со 100% криптографической гарантией — не отвертишься никак.
А, ну и ещё я не обратил внимание на заголовок.
Автор явно метится в премию "самый желтушный заголовок года".
Однако издание «Медуза» разобралось в процедуре шифрования и проверило, что расшифровать голос может и постороннее лицо, если оно получит ключ для расшифровки.
Оказывается, если у вас есть ключ от замка, то им можно открыть замок!
Предлагаю продолжить тему кэпства от медузы. В данной новости они говорят, что любой голос можно расшифровать… если есть ключ от конкретного голоса в конкретном браузере (как бы для этого и сделано). Ну что же, начну первым:
Медуза провела исследование и выяснила, что любую квартиру можно обнести, если у вас есть от нее ключ!
Медуза провела исследование и выяснила, что любую машину можно угнать, если оставить машину открытой, а ключ в замке зажигания!
Предлагайте ваши варианты )))
В системе интернет-голосования можно расшифровать чужие голоса, выпущено расширение для браузера