Comments 92
Пусть не говорят, что не существует тотальной китайской коммунистической угрозы. Утешает одно: как и заведено у комми, все делается криво.
Осиновый кол вам в процессорное ядро, узкоглазые большевики.
Если бы я был из АНБ (или ФСБ), то я бы тоже подписался китайским псевдонимом, чтобы никто не догадался.
Я сходил почитал несколько его PR. Моя сомнительная интуиция говорит, что если это и китаец, то он очень давно живёт в Европе или США. Люди из разных стран мыслят по разному. Например, китайцам свойственно начинать с "что", а заканчивать "почему".
Типичный китаец пишет: "Люди должны покинуть Землю, потому что Солнце через 4B увеличится настолько, что сожжёт Землю". Британец скажет "Солнце увеличивается с каждым годом и через 4B лет сделает жизнь на Земле невозможной. Нам следует рассмотреть возможность покинуть эту планету". У этого Цзя манера речи европейская.
Да и остальные фейковые аккаунты как из сериала Нетфликса -- тут тебе и Кумар, и Ханс, и Мисоед и даже Крыгорин :)
Люди из разных стран мыслят по разному.
Я, возможно, вас удивлю, но даже люди из одной страны мыслят по-разному. Даже из одного города. Даже из одной семьи!
Человек говорит про привычный порядок слов в предложениях и о том, как эти предложения формируют люди с разным родным языком (читай: думающие на языке). Типа такого, не знаю, как на английском называется.
На сайте по ссылке речь немного про другое. Да и чел выше тоже не совсем про это.
Мне высказывание pbludov напоминает выступления Задорнова, где у него были "типичный американец", "типичный русский" и т.д. Просто кое-кто где-то вычитал некие стереотипы и теперь пытается их притянуть сюда.
Потому что "Люди должны покинуть Землю, потому что Солнце через 4B увеличится настолько, что сожжёт Землю" и "Солнце увеличивается с каждым годом и через 4B лет сделает жизнь на Земле невозможной. Нам следует рассмотреть возможность покинуть эту планету" это практически идентичные по смыслу выражения. Просто второе больше отдает канцелярщиной(и я могу спокойно представить, как это говорит какой-нибудь политик), а первое в каком-то приказном тоне(мне представляется скорее какой-то молодой фанатичный ученый), но в любом случае оба этих варианта может спокойно использовать кто угодно, и от нации это совершенно не зависит.
"отдаёт канцелярщиной" -- вот видите, построение фразы "отдаёт" чем-то, именно об этом оригинальный комментатор и говорит. Только в русском это отдаёт канцелярщиной, потому что вам эти нюансы в родном языке интуитивно понятны. Точно так же, в других языках построение фразы может "отдавать" другими оттенками. Это конечно никакая не точная наука, просто корреляции и интуиция, "ощущение" от предложений (хотя есть и какой-то формальный стилометрический анализ, но там тоже всё вероятностно).
Неужели никогда не замечали, что переведённые статьи зачастую читаются отвратительно, если переводчик переводил просто по смыслу, а не делал фактически творческий пересказ?
Зачастую, например читая научные статьи, можно безошибочно сказать, кто авторы -- китайцы или русские или индусы, потому что они используют разные обороты и не всегда можно чётко ткнуть пальцем на то, что именно смущает.
Я могу определить, что это китайцы, только если куплю что-нибудь на алике, и там внезапно окажется инструкция на английском или русском языке. Удар!
Зачастую, например читая научные статьи, можно безошибочно сказать, кто авторы -- китайцы или русские или индусы
Приведите пример. Я вот не могу понять.
Даже я один мыслю по-разному в зависимости от факторов.
Речь все-таки не о мышлении, а о выражении мыслей на языке. Родной язык накладывает свой отпечаток, так что человека, выражающего свои мысли на чужом языке легко определить не только по акценту, но и по тому, как он строит фразы.
Не обязательно жить в США или Европе, чтобы мыслить по другому. Сам язык во многом дискует то, как мыслить, и это мышление «по-другому» включается в моменты использования иностранного языка.
Человек, хорошо изучивший английский язык будет писать достаточно похоже на того, для кого английский язык родной. И совершенно непохоже на того, кто этот язык знает плохо.
Если в вашем родном языке все предложения обязаны начинаться с действующего лица и заканчиваться прилагательным означающим время "я ел манку вчера. Мой друг отлично плавает с детсва. Солнце встаёт утром." То и в других языках вы будете строить предложения похожим образом даже если язык допускает любой порядок, если у вас не native уровень. Ведь вы будете думать на своём языке а потом переводить. В русском то можно вообще как бог на душу положит порядок слов тасовать сохраняя значения, но вот китайский и английский чуть более строгие.
Ведь вы будете думать на своём языке а потом переводить
Это ведь неправда. И на японском, и на английском языках я всегда сразу думаю на конечном языке (даже раньше, когда хуже их знал). Не думаю, что кто-то реально вначале составляет предложение на другом языке, а потом переводит.
Причём в моём случае, кстати, свои мысли с японского на русский я не смогу перевести (это слишком сложно). Придётся очень долго думать над каждой фразой.
Значит у вас очень высокий уровень владения языком. До уровне upper-intermediate люди скорее составляют текст на родном языке и переводят в процессе формирования мысли, но и после - если всё время не варятся в языковой среде, всё равно думают на другом языке фразами от перевода со своего, с характерной структурой. А еще есть некоторые времена и концепции которые есть только в конкретных языках, их не носитель тоже скорее всего использовать не будет т.к. в процессе обучения ни с чем не сопоставил.
Выше я имел ввиду, что я никогда не переводил с родного языка ни на каком уровне.
Если не знаешь какие-то слова, то да, переводишь. А так нет. Иногда я практиковался в переводе с изучаемого языка, но не на изучаемый.
Вы хотите сказать, что вот так, не зная грамматики и слов - сразу начинали думать на неродном языка? Скорее всего вы просто уже это забыли потому что постоянно пользуетесь языком последние 15 лет. Но каждый раз когда кто-то говорит с вами а потом делает паузу и говорит что-то вроде "как же это будет по русски" - он у себя в голове переводит, ведь на другом языке он эту мысль уже подумал. Общаясь с людми с базовым уровнем языка эту фразу можно услышать очень часто.
А как не зная грамматики переводить? Тут ни думать, ни переводить не получится.
По поводу слов - выше я сказал, что если не знаешь слово, то да, придётся переводить, здесь я не отрицаю. В этом случае ты можешь вспомнить нужное слово на родном или на другом знакомом языке, а потом уже перевести на нужный язык. Хотя это скорее будет перевод конкретного незнакомого слова. Ну или будет полностью смена языка (типа начал думать на одном языке, закончил на другом). Но не полный перевод, когда все мысли формируются на одном языке, а потом переводятся на другой. Такого лично у меня не было.
Впрочем даже без знания грамматики ты всё-равно можешь помнить какие-то выражения/обрывки или мочь составлять очень короткие предложения. Есть языки, которые я плохо знаю, но всё-равно, то, что я могу сказать, я говорю сразу, без внутреннего перевода. Но я просто не могу сказать что угодно на таких языках. При этом я могу даже не знать русских аналогов сказанного (или их просто не существует).
Вы, когда программируете, переводите в уме со своего старого языка программирования на новый или пишете сразу на новом? Мне кажется, что процент тех, кто переводит, не так высок, хотя исследование я не проводил.
Наверное, на начальном уровне можешь быть такое, что не можешь составить фразу, и пока думаешь, у части людей она может всплывать на родном языке. Тут, во-первых, не уверен, что это нужно считать за перевод, а во-вторых, в случае с китайским порядком слов нельзя использовать аргумент "все люди всегда вначале формируют мысль на родном языке, а потом переводят на неродной" - это точно неправда, по крайней мере в такой формулировке.
Вы хотите сказать, что вот так, не зная грамматики и слов
Сферический ребёнок в вакууме начинает говорить в 2-3 года, а про то, что есть какая-то там «грамматика» узнаёт в лучшем случае лет в 7, а то и вовсе никогда.
В вас, похоже, проснулась память про то, как иностранные языки в советской школе преподавались.
Ведь вы будете думать на своём языке а потом переводить.
До уровне upper-intermediate люди скорее составляют текст на родном языке и переводят в процессе формирования мысли
Мне кажется, у вас смешались конелюди. Уметь думать, то есть поддерживать внутренний диалог на иностранном языке — это одно, уметь говорить на иностранном языке без предварительного формирования фразы на родном языке — совсем другое. Второе значительно проще, т.к. требует меньшего словарного запаса как минимум.
Объясняя иначе, язык накладывает ограничение на мысленные абстракции и системы построения "паровозиков" из таких абстракций.
Некоторые вещи ты просто не способен сказать, в каком-то языке будет слово обозначающее ряд действий, когда на родном это будет составное предложение.
Один из таких примеров из японского язык это слово "этот, тот" у японцев же есть по меньшей мере +6 способов сказать "это". Одно слово которое просто означает "это около тебя/около меня/где-то там" и ещё что-то... И японец слышит что ты используешь эти слова как-то "не так" в разговоре, ибо на русском ты не мыслишь этими категориями. (если у тебя не натив уровень)
Забавно, насколько у некоторых граждан нагажено в голове пропагандой.
Достаточно тривиального маркера, в виде китайского псевдонима, и воспалённый мозг пациента уже дорисовывает неопровержимую картину тотальной китайской/американской коммунистической/капиталистической угрозы, с которой надо немедленно побороться. Страшно представить, какой была бы картина, если бы автор бэкдора, помимо китайского псевдонима, поставил на аватарку китайский флаг.
к сожалению, это массовое помешательство. необходим устойчивый маркер в виде врага. и чуть что, если что не проходит штатно - это рептилоиды, китайцы, русские, англичане, анб... виновато. а что самим в зеркало глянуть и просто исправить - нет желания.
Даже если это не китаец, то всё-равно:
Все увидели пример России, и теперь знают, насколько это опасно.
В Китае постоянно говорят, что нужно воевать с Тайванем. Это факт. Т.е. китайцы готовы убивать даже других китайцев.
В Китае диктатура. Это факт. Диктатуры рано или поздно приведут к концу света (если это не произойдёт раньше по другом причинам).
Если к этому раньше не приведут демократии? :)
В каком-то смысле Вы правы, т.к. демократически страны самые развитые и больше всех вносят вклад в глобальное потепление. Но если переформулировать Вашу логику, то это звучит примерно как "Давайте сейчас убьём половину населения Земли, чтобы остановить глобальное потепление и спасти человечество". Наверное, проблему стоит решать по-другому?
Подлучается, весь мир держится на мэйнтенерах
Получил доступ к одному небольшой библиотеки (подкуп, сила, обман) - и все дебианы в твоих руках
Что-то стрёмно.
Весь мир держится на мейнтейнерах. Коммерческий софт от опен-сорса тут не отличается - человеческий фактор работает в компании любого размера и любой структуры. Но в опен-сорсе вы это хотя бы можете обнаружить…
До коммерческого софта по крайней мере не допускаются анонимусы, которые непонятно где находятся и зачем вообще кодят. Как минимум, каждый сотрудник проходит хоть какой-то отбор, а если вдруг что - точно известны его ФИО и координаты, и есть сильно отличная от нуля вероятность наказания. Совать бэкдоры в таких условиях куда более опасно, и соответственно процесс их внедрения обходится на порядки дороже.
>Совать бэкдоры в таких условиях куда более опасно, и соответственно процесс их внедрения обходится на порядки дороже
В любой конторе без принудительного codereview добавить бэкдор даже ПРОЩЕ чем в опенсорс.... с xz надо было 2 года изображать бурную деятельность, а в коммерческой конторе с закрытыми сорцами? Коммитишь с первого дня, если бэкдор спрятан, то даже с review могут не заметить.
с xz надо было 2 года изображать бурную деятельность, а в коммерческой конторе с закрытыми сорцами? Коммитишь с первого дня
Вот только в серьёзной конторе человека с улицы и без опыта работы не возьмут в такой проект, куда можно сразу закоммитить бэкдор. Процесс отбора подразумевает много лет работы без нареканий, иначе даже HR-фильтр пройти не удастся. Не говоря уж о том, чтобы попасть в проект.
А зачем бэкдор жуну без опыта?
Ничего не мешает после того, как не полюбовно расстались что-то сделать, а через годик-два попытать удачу. Не у всех же хорошая инфраструктура с разграничением доступа и логами.
Да-да, расскажите как нанимают индусов на удалёнке. Хехе
Беда еще в том, что в серьезную контору могут прийти представители фбр, анб, цру, кгб, мвд, китайской партии развития, гонконгской мафии и другие местные влиятельные лица, и установить туда бэкдор массой методов от засланных агентов до прямых "добрых пожеланий". И у пользователей софта никогда даже шанса не будет об этом узнать.
В любую серьезную контору уже пришли серьезные люди из силовых структур и внедрили всё необходимое. Без всяких внедрений своих сотрудников. Думать по-другому было бы странно. Потому что если ты правительство и у тебя есть чувак, сделавший Фейсбук, ты по-любому придёшь к нему с предложением, от которого он не сможет отказаться.
Без крепостного права это не работает. Даже в России оказалось, что в некотором смысле нет чувака, который сделал ВК. То есть, он был, но как только захотели взять - его уже не стало. ВК вот смогли удержать, а чувака нет. Думаю, он мог бы и новую соцсеть сделать лучше прежнего, но он решил делать мессенджер.
Подход, что у тебя "есть чувак" и это твердый факт, который не изменится - может работать только в КНДР.
Рано или поздно бэкдор выявят - хотя бы потому, что им начнут пользоваться. После этого найти виновника уже вполне реально. При этом и компания, и виновник, и правоохранительные органы находятся с одной стране.
А в текущем примере надо ловить какого-то анонимуса неизвестно откуда.
Причем пострадавшие, мейнтейнер и анонимус - все в разных странах с разными законами и степенью дружбы друг с другом. А до кучи анонимус за впн, т. е. сначала еще и эту цепочку раскрутить, что добавит еще несколько разных стран в дело.
В итоге этого вашего анонимуса со всеми согласованиями между органами разных стран будут искать лет 10-20. И это если в цепочке стран не окажется какой-нибудь недружественной или с разрушенной государственностью.
При этом и компания, и виновник, и правоохранительные органы находятся с одной стране.
В наше время глобализации, аутсорса, удаленки и фальшивых документов (впрочем, время фальшивых документов, наверное, началось с появления документов) это далеко не факт.
А если к этому добавить, что в проприетарном софте тоже любят пользовать опенсорс, то все становится еще интереснее.
Я здесь вижу, что потратили немало времени, труда, средств, чтобы сделать невинно выглядящий патч. Если это делали спецслужбы, то для них нет проблемы сделать документы, которые подойдут для устройства на обычную работу (не директором в ЦРУ, а в небольшую IT компанию, подрядчика подрядчика подрядчика гугла или боинга), чтобы вот как раз через "цепочку соплей" код из этой компании через N шагов дошел до боинга.
Подлучается, весь мир держится на мэйнтенерах
Весь мир держится на людях, которые работают.
31.03.2024 10:18 Разбор логики активации и работы бэкдора в пакете xz
https://www.opennet.ru/opennews/art.shtml?num=60885
А если на старом компе в виртуалке rsync пароль спрашивал почти сразу, а на новом в клонированной виртуалке уже от 10 секунд, то о чем это может говорить?
А ссылку на оригинал текста ставить нынче не модно?
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Оригинал чего? Эта ссылка в тексте встречается два раза. А оригинал текста — у меня, источники все указаны.
Я чётко сказал "оригинал текста". Ваш текст - это не компиляция всех вами приведённых ссылок, а творческая переработка одного-двух источников.
Сюжет захватывающий, но это не отменяет необходимости аккуратной работы с источниками.
Я понятия не имею, в чём вы меня обвиняте. Думаю, вы сейчас и сами не сможете объяснить суть высказанных претензий. Поэтому объясню как смогу.
Мой текст — это именно компиляция всех приведённых ссылок и именно аккуратная работа с источниками. Я ссылки не для красоты привожу. На всех из страниц по ссылкам я был, у меня в браузере они все фиолетовые, а не синие. Материал этот я искал как самостоятельно, так и переходил по ссылкам из твитов и обсуждений на Hacker News. Написание подобной новости выглядит как перегружающее все органы восприятия нагромождение из десятков открытых вкладок в браузере. Если судить по истории браузера, за время написания новости я открывал более 300 различных веб-страниц.
Даже стрип из xkcd пришлось перевести. Найти его в русском переводе мне почему-то не удалось. Ну для этого достаточно было подобрать подходящий шрифт (распространяемый в Интернете кириллический шрифт xkcd не похож, рекомендую IrinaCTT) и провести пятнадцать минут в графическом редакторе.
Сводная статья по вашей ссылке мне известна. Часть материала из неё я использовал. Ссылка на эту сводную статью в тексте с самого начала стояла два раза.
Сводная статья, на которую вы ссылаетесь, содержит попытку выстроить хронологию события. Ничего уникального или инновационного в такой структуре повествования нет. Более того, если вы про что-то захотите рассказать, лучше всего просто перечислить все события в хронологическом порядке. Я не заимствовал ни текст, ни хронологическую структуру этой сводной статьи.
Написать сводный разбор событий я вообще не собирался. Мне был интересен именно факт про замедление sshd. Остальное — затянувшаяся предыстория, которой на Хабре почему-то никто ещё не описал. Если бы не описание событий, то это всё уместилось бы в публикацию категории «Пост». Выводить что-то в новостной раздел у меня намерений не было.
Пожалуйста, не надо принижать мою работу субъективными характеристиками вида «это перевод одного источника» или, как у вас, «творческая переработка одного-двух источников».
И вообще этот формат общения мне не нравится. Вы не читаете текст (иначе бы видели, что ссылка упоминается два раза), выдвигаете требования, которые и сами описать не можете, а я вынужден оправдываться в несколько абзацев текста.
С одной стороны, мы увидели уязвимость оперсорса, а с другой - в проприетарном ПО эту уязвимость могли и вообще не найти.
Ну стала Windows после очередного обновления грузиться на секунду дольше, и? :)
Хмм, это звоночек. Обычно после обновления Windows грузиться на несколько секунд дольше
Как мы видим, в опенсорс шансов больше, что посторонний имеет доступ к коду.
Уязвимость добавляют, чтобы ей пользоваться. Использование - порождает следы. Следы приведут к дополнительному аудиту даже при отсутствии исходников - такое регулярно и происходит, кстати.
Всё отличие этого опенсорса, что тут уязвимость нашли до её использования, а не после. Да и то, это скорее звёзды так сошлись, а не её кто-то целенаправленно там искал заранее.
Я тут увидел два важных интересных момента:
Это может заметить разработчик или человек как-то иным образом связанный с проектом, компетентный в нем. Если я замечу, что у меня SSH на полсекунды подтормаживает, я попытаюсь исправить, погуглю, не найду решения и забью. Максимум поплачусь друзьям за пивом. Дебажить SSH и XZ я не стал бы.
У людей (инженеров, технарей) должно быть свободное время. Пусть в это время нельзя играть в танчики или пинг-понг, ходить в зал или смотреть котиков - пусть надо "работать", разбираться, исследовать - но работать по своему усмотрению. У меня есть два режима работы - жесткий, когда я делаю что-то одно, тут отвлекают другим срочным делом, берусь за него, отвлекают еще более срочным, пока делаю его, отвлекают неважным, но коротким (можно делать за минуту). Такая матрешка-пирамидка дико бесит и хочется любой ценой из нее побыстрее вырваться. И есть мягкий режим, когда либо дел нет, либо есть, но несрочные, неспешно копаешь их, делаешь "как надо", есть время подумать... Если бы у меня мой собствненный проект начал вдруг чуть странно (но терпимо) себя вести, подтупливать на секунду - то в режиме аврала, жесткой работы - я бы быстро принял единственное верное решение - работает хоть как-то? похер, пляшем! Разберусь потом, в ноябре. И только когда у тебя есть возможность потратить время (и никто от этого не умрет, сроки не сорвутся, оплата не понизится) - только когда я бы из интереса решил разобраться со странным багом.
Помните одну из легендарных историй про Митника или другого хакера, когда взлом нашли начав распутывать из-за расхождения в счетах на 1 цент. Потянули за ниточку, долго тянули, и потом раскрыли, что их взломали. А если бы рядом был эффективный менеджер (я даже не знаю, нужно ли его в данном случае в кавычки заключать, т.к. его логика верная) - он бы сказал: Ты классный дорогой сисадмин. Мы тебе платим дохрена денег за твое время. Ты уже потратил, получается, несколько тысяч долларов на разбор того, где потерялся 1 цент. Да пусть потерялся, пусть даже в тысячу раз больше теряется каждый день - вернись к настоящей работе! И со своей точки зрения он прав.
Захватывающая история.
Думаю, что не последняя.
Механизм загрузки в
sshdполагается наsystemd-notify, которая нужна для того, чтобы загружались другие сервисы при запускеsshd.
openssh ни коим образом не полагается на systemd. Его вообще развивают люди которые вряд ли уважают systemd. Это уже сопровождающие пакетов в конкретных дистрибутивах(debian, fedora) ради одной функции собрали sshd с зависимостью от libsystemd.
Один бекдор случайно нашли, а тысячи других по-прежнему ждут своего часа.
А, так вот почему меня не добавляли в мэинтенеры загнивающего проекта!
Интересное дополнение
31.03.2024 20:03 "В кодовой базе xz выявлено изменение, мешавшее включению механизма защиты Landlock"
Понятно, что FreeBSD не затронута.
Иногда, быть неформалом имеет весьма полезную практическую ценность. :)
Чему нас учит эта история? Миру нужна система аутентификации с "очками авторитета". Ты только что создал аккаунт - у тебя 0 очков. Но и этого достаточно, чтобы общаться в некоторых чатах, форумах. Общаешься, пишешь посты, тебе отвечают, ты отвечаешь - очков добавляется. Какие-то очки по времени добавляются (каждый год +10 очков за стаж).
Контрибутишь в опен-сорс, ведешь свои проекты, которые звездочки получают - тоже очки какие-то. Авторизовался как-то через паспорт, привязал тг, Озон - еще что-то получил. Каким-то образом подтвердил какую-то покупку (затрату денег) - еще очки тебе. Причем, это может быть многомерной системой. За треп - очки по одной шкале, причем, за "человечность" - это одна шкала, постоянно растущая, а "карма" - другая (агрессивные комментарии, срачи - портят карму, но подтверждают человечность). За программирование - по другой шкале. (и какой-то сервис, использующий эту аутентификацию, может запросить данные по разным шкалам)
Что это дает? У нас не просто пулл риквест (вроде норм выглядящий) от Batman2000, а мы знаем, что этот Batman200 - 15 лет в сети, немного коммитит в опенсорс, но много общается в форумах, итд. В общем, у такого аккаунта есть некоторый ВЕС (надежность) и этот вес сложно симулировать. Если я заведу себе два аккаунта на хабре и будут комментить с обоих - оба будут набирать вес, но каждый медленнее. Набирать вес - дорого.
И как только человек профейлил что-то - очки слетают. Здесь мы видим - профиль был не пустой, его создавали, придавали ему реальность, репутацию строили. Ну вот надо чтобы оценивать репутацию было легко (дешево, просто), а создавать ее (особенно фиктивно) - тяжело.
Как в фильме Бессмертные (1995), когда грабили стриптиз-клуб и голая девка подстрелила грабителя. Диалог с ним:
- Не засыпай! Давай поговорим. Ты говорил что у тебя есть своя система, как ты оцениваешь девушек? Расскажи!
- Ну я оцениваю лицо, грудь, зад, ноги. За каждое начисляю от 0 до 2 баллов. Итого, она может набрать максимум 8 баллов.
- А если она в тебя стреляет из дробовика?
- Тогда она теряет все баллы!
Что-то мне это напоминает... https://ru.wikipedia.org/wiki/Система_социального_кредита
Если кому нужен "соцкредит", скорее свой сделает, как на хабре, своими силами. Проблема соцкредита не в доступности (относительно простого) инструмента для него. Проблема в том, что авторитарное государство может его ввести не спрашивая мнения граждан и навязать всем. Принуждение - плохо.
Исходно я про это думал, как систему защиты от спама любого вида. Представляете, кто-то регается а сайте (хабре, к примеру) и тут же постит оскорбительный коммент или рекламу. Его удаляют. А он снова. Скриптом можно хоть тысячу аккаунтов создать. А вот если мы требуем чтобы человек хотя бы 2 года был в сети (где угодно) и имел некоторую жизнедеятельность (пусть даже с отрицательной кармой - эта доп. фишка нам не важна) - тогда такой аккаунт заслуживает бОльшего доверия. Такие аккаунты так просто уже не насоздаешь.
Другая проблема была в тг чате, где тролль постоянно заходил в чат, гадил, его банили. Потом он с нового тг гадил (вероятно, удалял аккаунт телеги и снова ставил). Делать доступ в чат как-то после собеседования и видеозвонка - так ведь можно и аудиторию всю распугать. Так и терпели его. А можно было бы (если бы была такая система) просто временно задрать ограничение по возрасту аккаунта.
Ну и вот пример с опен-сорсом. Кто-то кидает в важный проект (ssh, kernel, mariadb) PR, на первый взгляд, код в нем нормальный. Но код сложный, а аккаунт новый, неизвестный, то ли ему 12 лет и он баги в mariadb патчит, то ли почему-то стесняется своей личности.
Это же не принудительная система (в отличие от соцкредита). Просто, считайте, что у вас есть на вашем новом форуме возможность пускать только людей имеющих положительную карму на "научных" сайтах (чтобы на вашем сайте анти-ковид не завелись те, что 5G вышки жгут). А можно как раньше - пускать всех. В телеграм-чат можете не пускать аккаунты созданные меньше года назад. А можно как раньше - всех. В репозитории на гитхабе дозволяете коммиты только от людей, делавших другие коммиты в проекты с более 100 звезд.
Еще одно отличие от соцкредита - он не может упасть ниже нуля. Запороли аккаунт - делаете новый, чистый. Вот только пока он чистый и не прокачан, доверие к нему будет низкое. (Примерно как в форумах доверие к дешевым кремлеботам, которые только вчера зареганы)
Вы пишете это под статьей, натурально описывающей как некто два года набивал "социальный кредит" для нескольких аккаунтов ради инъекции небольшого бэкдора. И полностью обнулился после раскрытия. Т.е. система и так уже работает как вы просите.
Именно потому и пишу, что увидел схожесть. Он набивал, да. Но система так не работает, потому что нет возможности быстро и дешево получить количественную оценку соц-кредита. Например, если бы что-то подобное использовалось, они бы сказали - "Ага, мы приняли без тщательного рассмотрения патч от юзера с соц-кредитом 10. Теперь повышаем порог до 50". А сейчас, чему научила эта история? Как она сделала нас (хотя бы этот проект xz) сильнее и уберегла от повторения? Да никак.
К тому же, его "историю" можно смотреть глазами только. Вручную. Ну сделал он коммит в проект X. Как нам замерить это вклад? Может быть он опечатку в README исправил, а может быть он реализовал USB для Linux - это вклад совершенно разный же, в миллион раз отличается. И никто не будет вручную анализировать, взвешивать насколько весом его вклад в проект X, а потом в проект Y - это слишком трудоемко (и субъективно. До обеда вы оценили бы его вклад как недостаточный, а после обеда вы добрый, жизнь прекрасна, оцениваете тот же вклад как вполне достаточный). Мне вот очень кажется, что его вклад как-то поверхностно глазами пробежали (кстати, гитхаб вроде даже не позволяет в одном месте увидеть все коммиты юзера).
Так и вертится на языке добавить "блокчейн" к описанному и получится типичная веб3 децентрализованная утопия. Было бы неплохо, но пока имеем то, что имеем, даже трекать финальные зависимости, входящие в итоговую систему и то ещё не для всех очевидная потребность, что уж говорить о следующих шагах, таких как оценка вклада и справедливое вознаграждение разработчикам и мейнтейнерам, а уж тем более иммутабельное отслеживание детальной кросс-платформенной репутации анонимных аккаунтов.
Так и вертится на языке добавить "блокчейн" к описанному и получится типичная веб3 децентрализованная утопия.
Уже не модно. Сейчас - нейросеть обучать надо на предмет принятия этого решения.
К слову сказать, это выглядит как перспективное направление для усилий. Поскрейпить гитхаб, линкедин и прочие девелоперские каналы, чтобы создавать полноценный профиль разработчика с нечётким матчингом -- вполне себе релевантная задача для ллмки.
"Исходя из представленной ниже истории вклада участника Цзя Тан оцени благонадёжность представленого патча:"
дешево получить количественную оценку соц-кредита.
Потому что оно, вообще-то ни разу не одномерное вида "соц-кредит равен 10". Там будет звездочка из целой пачки измерений. И это вот все надо сплющить в бинарную величину "принимаем коммит/не принимаем". Так себе радость формализовывать.
На момент запуска - делаем интуитивно, примерно как попало. Допустим: 1 лайк = 1 балл. коммент = 10 баллов, пост - сто баллов. Вклад в опенсорсе считаем по строчкам кода, помноженным на звездность репозитория.
При запросе рейтинга можно указать, что интересно. Например, вклад в опенсорс интересен, а социальная активность в форумах - нет. (а для форумов может быть наоборот).
Формулу и вот эти вот коэффициенты можно менять со временем. Первые же попытки как-то заэксплойтить рейтинг (например, автоматически расставить миллион лайков на ютубе) - обучит нас и приведет к тому, что мы сможем исправить шкалу (если в ней нашлась грубая ошибка). Например, учитывать не более 1 лайка в день. (за год можно набрать 365 лайков). Или можем понизить "стоимость" поста (или повысить). Рейтинг пользователя может сам меняться (он ничего не делал, но мы изменили формулу) - и ничего страшного в этом нет. Система - как эксперт, сегодня он сказал о ком-то "дааа, это очень опытный программист!", а потом скажет "я был неправ, он не очень опытный".
Так же никакой проблемы, что система что-то оценила в 42, а можно было в 47 - нету. Она не может ошибиться, так как сама является эталоном для себя. Никто не скажет, что "а правильно было бы 47", ибо нет в мире другой эталонной "линейки".
А вот принимать коммит или нет - это уже не задача этой системы рейтинга. Более того, мейнтейнер тоже не обязан принимать, если рейтинг высокий. Она по другому используется.
Сейчас как: Мейнтейнер получил новый код. Допустим, у него умеренная здоровая паранойя, и он открывает профиль контрибутора, смотрит его проекты, коммиты, в общем, пытается "пробить" человека (тратит на это час) и составить в голове какую-то оценку типа "ну... наверное настоящий, но мутный он какой-то" (потому что в голове-то у нас цифр нету). И на основании своих нечетких представлении проверяет код или очень внимательно, или поверхностно (если ему Линус Торвальдс патч прислал).
Как будет: Получил новый код, не тратит час - сразу видит оценку 17. Низкая. Проверяет очень тщательно. Была бы 23 - тоже была бы низкая. Тут главное 17 и 17000000 не перепутать, а в пределах порядка путаться вполне можно. А если придет патч от Торвальдса - там оценка будет в 17 000 000.
При этом правила рейтинга открыты. То есть, если вы получили о ком-то оценку X - вы примерно представляете, что этот X может обозначать. Но можете и всю "розу ветров" посмотреть - опять же, увидеть это за 2 секунды явно удобнее, чем гуглить часами. По сути это автоматизация этого "пробива", плюс учет данных от разных ресурсов (форумы всякие, вроде хабра).
При этом правила рейтинга открыты.
На этом можно сворачивать систему. Аккаунт с любым накрученным как надо рейтингом будет стоить рублей 50.
Вы же знаете что все антифрод системы максимально закрыты? Это неспроста так сделано.
Хотя это пожалуй и к лучшему вы изобретаете соцрейтинг на максималках. Не нужно оно.
Хороший фейк и сейчас невозможно отличить от реальности. Вот мой аккаунт - основной или "я не я", а другой юзер, а это один из трех моих фейк аккаунтов? Вы не можете это знать сейчас (и не сможете узнать с той системой). Не надо пытаться решить невозможные задачи. Она для другого.
Но сейчас, чтобы примерно и ненадежно оценить, насколько аккаунт фейковый - вам нужно время. Первая фича - вместо часа, вы будете тратить полсекунды.
Сейчас вы (как человек, не эмулирующий компьютер) не можете количественно оценить реалистичность аккаунта. Про один скажете "наверное фейк" про другой "наверное реальный". И перепутаете. Потому что надо было все записывать, даты комментов, их размеры, количество откликов - все с карандашиком на листочке. Это вполне себе "бухгалтерская", расчетная задача.
Про "50 рублей".
Если мы требуем возраст аккаунта в 20 лет, то хоть уср.сь, сделать его можно будет только за 20 лет :-)
Мы используем других людей как своего рода "капчи". Можно ли скриптом наставить миллион комментов? Легко! А что если учитывать заплюсованные комменты (причем, заплюсованные реальными людьми, с высоким рейтингом)? Получить плюсы на скриптованных комментах - уже сложно.
Если мы требуем коммиты в популярные репозитории - это тоже можно подделать. Вот только явно не 50 рублей. Да, мошенники могут написать драйвер сетевого устройства и отправить в linux kernel. Могут исправить баг в Firefox. За сколько вы бы подрядились на такую работу?
Иногда, для регистрации на простом форуме может требоваться легкая верификация. Ее можно будет купить за 50 рублей, по вашему сценарию. Ну так и супер! Сейчас спамер может отправить миллион сообщений за час в каждую ветку с рекламой "покупайте щебень тел ...". А потом сможет по цене в 50 р за каждое сообщение... и не станет.
Она не должна решать все проблемы мира, и даже те, что решает, не должна решать совершенно идеально (нет таких продуктов ни в какой сфере). Но должна экономить время-силы-деньги (1 запрос вместо часа с карандашиком)
Боже мой, какие у вас детские представления о фродерах...
Они регают миллионы аккаунтов заранее, чтобы у них был возраст. Они выгуливают куки Яндекса Гугла и тому подобные, чтобы покормить их антифрод. Они имеют огромные фермы настоящих устройств. Они проходят любые капчи пакистанцами. Они умеют проходить вообще любые проверки лучше человека. И продают результат по 50 рублей, ага. Когда у тебя миллион акков это нормальная цена за штучку.
А проблема спама на форумах давным давно сама собой решилась. Вместе с форумами.
При этом проблема целевой профессиональной атаки на опенсорс все равно не решается. Ее делали живые, дорогие люди. У них настоящий код и настоящие коммиты, они настоящие разработчики хорошего уровня. Я практически уверен что у всех нормальных спецслужб таких прокачанных аккаунтов на Гитхабе с запасом. И это реальные люди за ними.
Как схожесть? В китае нет этой системы, это фейк.
Давно уже должна быть обязательная верификация опен-сорс разработчиков крупных проектов, и всех зависимостей этих проектов - паспорт, фото и тп. Никаких анонимусов.
Бэкдор в xz нашли из-за замедления работы sshd в полсекунды