Навіщо ДІЯ відкрила код?
Вставка
- Опубліковано 20 чер 2024
- Дія відкрила свій вихідний код. Тепер будь-хто може зайти по посиланню і подивитись той код який відпрацьовує у вас на телефоні чи комп'ютері. Багато людей зустріли цю новину зі страхом. Тому я хочу розібрати всі заперечення. А також поділитись припущенням навіщо дія відкрила код
Магазин Даріус який виділив локацію для зйомки - cfy.li/darius
І його інстаграм / darius_community
00:00 Вступ
00:43 Дані будуть видимі всім
01:25 Проглядаючи код легше знайти баги
04:42 Зможуть зробити клон дії з коду і підроблювати документи
07:07 Відкритий код і код дії не ідентичні
08:38 Навіщо відкрили код дії
10:03 Дані дії можуть "злити"
12:11 Навіщо Мінцифрі безкоштовно віддавати дію
13:18 Висновок
Станьте спонсором цього каналу, щоб отримувати бонуси:
/ @alex-kovalchuk
Telegram - t.me/AlexKovalchukTg
З питань співпраці і реклами пишіть - t.me/Kelli_Nixe або alex.kovalchuk.media@gmail.com
Під'єднуйтесь до телеграм каналу - t.me/AlexKovalchukTg
Відкритий код дії - це круто. Але у нашому випадку, на жаль, зроблено "навідчепись", бо цього вимагає ЄС у рамках розробки загальноєвропейської платформи цифрових ідентифікаційних документів.
Ні базової супровідної документації, ні намірів приймати покращення, ні намірів приймати звіти про вразливості немає. Маємо що маємо.
Я тобі більше скажу, все державне зроблено на від`єбись. Там зазвичай працюють люди які і дарма нікому не потрібні. Бо ні росту, ні зарплати, ні доброго слова ви там не заробите. А бажання звалити з цього дурдому у вас буде кожен день.
Я сприймаю це так - краще відкритий код дії ніж такий самий, але закритий. Якщо вони не робили внутрішню документацію, то її не буде.
Але коли відкрили є шанс що комусь стане не все одно і він зробить нормальну документацію.
Про наміри зараз не можу сказати, бо ще прийнятих як і відхилених PR не було (декілька граматичних правок прийняли, але не більше). Сподіваюсь вибудують взаємодію і будуть приймати PR.
"Злив бази податкової через те, що наприклад Гетьманцев виявився агентом кремля" - бля, просто убив🤣 Я тільки за це хотів би поставити біля мільйона лайків.
🤣🤣🤣🤣
Він агент держави. І не важливо якої саме - вони всі розглядають людину як гусака для общипування.
@@arkadijk.4116 тут було для прикладу, але ... :)))
програмісте - пам'ятай. Коли наступного разу читатимеш код дії і смятимешся з нього, колись хтось буде читати і твій код
лол, дію підроблювали веб застосунком ще у 2020, і це набагато простіше ніж лізти в її код, а потім міняти джерело даних на свої, а при спробі сканування коду - помилка
Факт, але ж розповідь про інше
Відео хороше, але є одне зауваження.
Не додаток, а застосунок.
Додаток це помилково впроваджена (на багатьох сайтах) перекладом в деяких місцях з російського "приложение". У нас же натомість є відповідник слову "application" - застосунок.
Просто трохи ріже вухо.
Додаток до пристрою який розширює його функціонал. Все логічно. І так і так вірно.
@@Death_bot666 не зовсім. Додаток може бути вже до самого застосунку. Тоді це буде вірно.
Як завжди все цікаво та корисно 👍
Хай квітне Український ютуб ❤❤❤
Дякую за підтримку
Дякуємо за нове відео! Було би дуже цікаво дізнатися більше про історію та аналіз коду DOOM. Ця культова гра завжди викликала інтерес, і є бажання дізнатися про неї ще більше. З нетерпінням чекаю наступних відео з новими цікавими фактами! Такі матеріали дійсно надихають мене на більш глибоке вивчення програмування. Ще раз дякую за чудову роботу!
Дякую за роз'яснення)
Дякую Вам за як завжди дуже цікавенне, файнецьке, корисне та пізнавальне відео!!! Все чітко і зрозуміло!)
як завжди, цікаве відео!)
Дякую за підтримку)
Думаю, відкрили для того, щоб нарід перестав боятися Дії. А там далі, бац, повістка :)
А потім будуть десятки PR які її забирають з функціоналу 😅
Чого перестануть боятися? Скільки відсотків населення може проаналізувати код? Чи викладають код при кожному оновленні?
Дивись ширше.
Дію європейські країни впровадять.
А там бац і німцю чи поляку повістка до українського війська.
😀
головне не пушити сикретні ключі в репозиторій
😅😅😅Ставлю лайк бо дуже добре памʼятаю цей момент =)Я навіть десь зберіг посилання де розказно за це факап =)
Дякуємо за висвітлення цікавої та трендової теми, що важлива для українського кола глядачів та нашого суспільства.
Дякую за підтримку
Дуже цікаво 😮
Based Ukrainian programmer moment
Як завжди дякую, як завжди - круто! Комент в підтримку відео.
Дякую за підтримку
Здається хеш не гарантує, що два додатки однакові. Хеш гарантує, якщо вони різні то це не рівні додатки.
Наприклад, у вас є три коробки в які ви заглянути не можете. І вам сказано що в одній з них лежить 1кг картоплі. Ви кладете на ваги кожну коробку і дві з них показують 1кг. Але при відкриті коробок в одній коробці картопля, а в іншій залізо
Так, теоретично два файли можуть мати однаковий хеш, проте підробити так щоб це було ідентично прям дуже складно, не думаю що спеціально будуть заморочуватись. тим більше що буквально зміна даних урла чи внутрішнього ключа зробить хеш не однаковим
Тому навіть якщо хеш не сходитися буде ймовірність що код однаковий, але просто щось з .env трішки інше
Головна вимога до хеша - щоб результат був кардинально відмінним при найменших змінах данних. Також хеш не має якусь обернену функцію, бо це лише відбиток, тому залишається лише хешувати версії зі змінами з надією на співпадіння хешів. Тому малоймовірно з перевіреним алгоритмом хешування знайти ту зміну, яка видасть той самий хеш, та ще й буде робити саме те що ти хочеш. Є навіть алгоритми хешування, які дозволяють обрати складність хешування по типу Bcrypt, що дозволяє відсіяти спроби брутфорсити перевірку зловмисних змін у додатку на рівність хешів. Якщо що, я не експерт у цьому, просто трохи читав про це
@@alex-kovalchukшось про коллізії чули?
Хеш код коробки картоплі - її вага з точністю до десятої долі грама. Інша коробка картоплі теоретично може мати таку саме вагу, але практично - ні
@@makarplakhotnyk9026 Це некоректне порівняння. Вага коробки картоплі дуже передбачувана і взагалі не підходить під вимоги до хеш-функції. У реальному житті додаш 1 кг картоплі - вага зміниться на 1. У хеш-функції дані змінилися у одному байті - хеш вже отримується зовсім інший
дякую за пояснення. Кинув людям, які дуже переймалися відкриттям коду Дії. Та й самому подивитися було цікаво.
Захищаємо Україномовне населення!! Слава Україні!!
Вчуся на IT. Канал цікавий. Простими словами пояснює цікаві речі. Я підписуюсь!❤
Наче за барною стійкою стоїте 😅
За прилавком магазину)
Можно було порівняти з користуванням банку, онлайн, у браузері. Весь код вам доступний і копирсайся скільки завгодно. Теж саме і дія. Тому нічого страшного.
Саме так ) backend & frontend. А нам дали html-ку подивитись.
@@VitaliyNET Ну якщо ви не знаєте як переглянути інші ресурси сторінки, то щож... Там все доступно в сучасних браузерах. Але основна логіка відбувається на сервері. Сторінка тільки генерує правильну послідовність запитів та ключів аунтефікації.
@@MrHazurВи мене не так зрозуміли. Це була аналогія frontend=html. Від того що я подивлюсь як там UI вони малюють, яку кнопочку ітп.., нiчого не зміниться. Вся бізнес логіка на backend. Так що, не те вони відкрили)
Дякую за Український вміст.
Відосик вартий поширення! Дякую пане!
Дякую
Цікаве відео, дякую за роботу
безпека...дія...аякже!
База. Я коли читав коментарі на ДОУ та інших ресурсах що до цього релізу, то постійно ловив себе на думці що для рекрутера дана новина - чудовий детектор низькопрофесійних інженерів та телепнів у сфері. Бо від криків про "безпеку" і т.п. хотів пробити лице рукою.
А як люди можуть цікавитися за айтішку та не знати що віткритий код то не є доступ до баз даних?
Ну, зустрілись і такі питання. Тому подумав що важливо розказати. Здається що очевидне але виявилось що ні
За айті не цікавлюсь, в темі не працюю, але це якісь елементарні знання.
Аудиторія домогосподарки? Мимо вони нічо не зрозуміють, дітям то не треба, тому аудиторія данного відео не зовсім зрозуміла, тк більшість питаннь дурнуваті від дуже далекого обивателя, а відповідь така що він ні слова не зрозуміє😂😅
А проблема як раз в самих БД, точніше в доступі до них всяких мутних осіб. А видалити свої данні з бази дії неможливо, що є серйозним порушенням.
Тому нікому не рекомендую влізати у це лайно.
@@lord.k Наче секрет що в нас можна купити всі данні людини при потребі))) та пробити все третім лицям 😄 може пару запаяних у вакуумі петриків хіба думають що хтось береже їх дані😄
А на болотах то взагалі легше простого,
@@mrpinekindasneaky
Слово "всі" не використовуємо ні до чого на 100%. Тому ніяких всіх даних немає ні в яких БД. Вони розкидані по сотням і тисячам баз.
Тому ствердження, що можна купити ВСІ дані на когось - це звичайний міф.
Після відповіді на прохання додати Дію до F-droid: "Ми використовуємо тільки офіційні майданчики для розповсюдження нашого продукту.". Можна сказати, що могли б і не викладати код
10й issue - мій)
Інтересно
Оце в тебе інвайронмент офігенний. Хочу собі привидів)
Ти можеш в магазині Даріуса купити їх (якщо купиш конкретно їх, то наступного разу я буду без привидів 🥲)
@@alex-kovalchuk хаха, не можу залишити тебе без них)
А чому б не зробити додаток на блокчейн або сайт. Тобто щоб можна було зайти на сайт і бачити бюджет, села, міста, області і так далі в режимі реального часу і щоб жителі тер громади могли впливати на бюджет, тобто вирішували куди його потратити, і щоб можна було також впливати на виборність посад на місцевому рівні. Можливо таке реалізувати на вашу думку?
зробити все можна, але ніхто такої прозорості не допустить
❤❤❤❤❤❤
Чим код Дії відрізняється від любого Frontend сайту? ) Фронтенд завжди відкритий, на виході javascript + html/css. А ось вершина айзбергу backend i що там хз ))
хеш сума не збереться оскільки apk архів як і бандл підписується сертифікатом який є також в дії. хіба спробувати зробити зрівняти dex файли вже всередині. томуууу таке. але певен візуально повинно бути видно
звісно такий собі аргумент але це більш як поправка автора відео
так і хочеться поконтрібютити її)))аби був час
8:58 хахахаххах
💙💙💛💛
Так зрозуміло пояснюєш, я а шоках 😮👍
Не впевнений, що наша дія комусь треба.
Естонія уже брала консультацію при розробці аналога дії, зараз Польща приглядається до аналогічного проекту
10:47 а я знав! Я знав!
Неможливо встановити чи проект опенсорсний, чи нi. Неможливо встановити який саме код на хостингу.
opensource🤟👍
мені сподобався двіж в ішюсах одного з проєктів, валявся під столом ще довго))
Зібрати саою версію і порівняти хеш - не буде прцювати, бо треба мати рівно тий самий набір софту і бібліотек, тих самих версій, під ту ж ОС, з такими ж конфігураціями, що і у розробника. А це м'яко кажучі малоймовірно.
А ще, основні функції мережесих додатків знаходяться саме на бекенді, а долаток на смартфоні - це мала частка, яка аідсилає, запитує і відібражає інформацію.
Алекс 0:00: Дія відкрила свій вихідний код
Я: Ого, вони нарешті вилікувались від хвороби security through obscurity!!!
Алекс 1:13: Саме алгоритми шифрування не викладені у відкритий доступ
Я: А ні... у дурці все стабільно.
Вони тільки перші репозиторії виклади. Я думаю поступово буде все більше
так, то дуже чудово знати вміст вуглеця в сокирі який нам бошку відтяпають. А ще більша тупість покращювати ту сокиру..
Камон. Цікавого з того що вони відкрили код - хіба робота з документами і базове API. Інтерфейс і тому подібне + Якийсь нещасний електрон - нікому не треба. Кодери хочуть м'яса, а їх годують дешевою сосискою трирічної давності
Видео явно для хайпу а не в пошуках істини
Код треба було давно відкрити або кожен міг зайти і запулити fix.
Залетів в перші години відкриття в ішью, це було весело
Досить дивно було особисто для мене бачити, що суворий ентерепрайз написаний на ТС ніж на тому самому Шарпові чи Джаві, хоча бачучи що навіть банальний банк монобанк згідно інсайдів на писі написаний в основному (в плані беку) то вцілому розумієш і все і нифіга😅😅😅
+
Алекс, ви робите велику момилку, утотожнюючи поняття "дія не зберігає чутливі дані" і "дія не має доступу до чутливих даних". По суті, зламавши дію, хакери зможуть передивлятися дані, що проходять крізь неї, або навіть робити запити до реєстрів від її імені. Все залежить від того, як саме вона була зламана.
то треба скачати ліву дію для такого
А я думав що дія написана на скрейчі
пу пу пу данні користувачів Дії які і так уже зливали
Аххахаххаххахахахахаххахах ужс , ді виклала код , тепер всі знають мої паролі! Шок!😂😂😂😂😂😂
Як користувач лінукс, я дуже люблю опен сурс. ( я використовую арч )
Ну так, це ж одно те саме - копирсатися в декомпілєному коді та в сирцах. Ніякої різниці, ага.
Різниця суттєва, але це не критична перешкода якщо росія таки захоче покопирсатись
@@alex-kovalchuk та я згоден що код аплікухи то не про що - там нема чого хакати, - всі дані на серверсайді. Головне як апішки захищені та клауд налаштован. І дуже часто що ніяк - логін/пасворд і... здрастє.
1. Навіть якщо там все добре, що можна гарантувати після оновлення додатка, може буде передавати дані з камери та мікрофона, геолокацію, документи, повідомлення?
2. При збої в реєстрі або недоступності інтернету ви залишитеся без документів і ваш автомобіль може вилучити прліція через підозру в угоні, а вас затримати для встановлення особи.
По суті, те що в репозиторії, це фронтенд апка-демка для продажу вже сервісів для інших держав 😅
Ахахахахах, скрін мого іш'ю в відео, хотів спочатку створити іш'ю Rewrite in C, але поки збирався, мене вже випередили.
Шкода що всі рофляні issues вже видалили.
Так, на момент запису відео вони всі були. Добре що зробив скріншоти до того як їх видалили
Дуже здивований, що воно не на похапе.
Ну да, в даркнеті вже лежать данні усіх, хто в ній зареєструвався
Шиз, ти не реєструєшся в дії. Вона підтягує твої уже наявні документи
@@prisoska1129 шиз, зайди в даркнет і знайди себе і своїх рідних
Application = Застосовувати ; App = Застосунок ; Додаток = допалнєніє
qr код в дії дійсно часто підводить, хоча додаток у мене оригінальний. Вже кілька разів приходилось від пошти бігати до дому за паспортом тому що qr код дії не зчитувався:)
Ще швидше до цифрового рабства, одні плюси.
Польща впроваждує подібну систему!
Ого аж ціла польща, ну то є значить рівень!
1:31 що за фільм?
Брюс всемогутній
@@marvinmars1609 дуже вдячний
3:40 я не програміст
Дія це Застосунок а не додаток. Додаток може бути до договору.
Щодо безпеки - бекенд не декомпілюєш. Можна декомпілювати чорний ящик? Хіба що вкрасти кож в розробників.
Щоб поржати)
Де посилання на код ?
Ось репозиторій - github.com/diia-open-source
@@alex-kovalchuk thanks
можливо покажусь душним але правильно не додаток а застосунок
Дякую за підтримку
Ну про продавця що перевіряє вік куар кодом то щось із ідеального всествіу у якому ніхто з нас не живе, у 99% випадків просто дивляться на цифри. Але опять таки, тоді нащо вихідний код щоб зробити собі чисто фронтенд копію із потрібною тобі датою народження.
Так, аналогічно як можна id карту підробити. Але тут уже проблема не в дії
Ну так може час казати продавцям хай свою роботу виконують належно
Скільки зусиль щоб купити в магазині рево
@@user-bb4kf5cf8h ахахаха, та вже за той рево краще який флаттер щоб дитина опанувала, ніж просто так ходила убухувалася)
Надіюсь дію зроблять на лінукс, шоб я нею зміг користуватися на свому лінуксфоні 😎
Хіба такий застосунок є лише в Україні? А як же Китай, де УСІ дані про людину можна зчитати зі смартфона?
А що сталося зі звуком і картинкою? Якесь таке.
Дістав CANON EOS 80D і хотів на нього зняти, але вийшло гірше ніж на iphone 🥲
Чому дане відео в якості 360 не набагато менше ніж в якості 720 ?
Забув зняти захистну плівку з камери 😅
Так а посилання на репозиторій? Бо в Гуглі якась шляпа
Ось - github.com/diia-open-source
В мене є до вас серйозне питання , вже не перше відео дивлюсь але дуже стурбувало! Це схоже на зраду! мене насторожує що в кадрі немає пакмена!
Так я ж в центрі😅
За весь час використання Дії жодного разу QR код у мене не сканували
що з якістю відео?
Хотів знову спробувати камеру, але експеримент невдалий. Буду повертатись знімати на айфон. Але наступні два відео краще більше слухати, а не дивитись 🥲
@@alex-kovalchuk ok 👍
@@alex-kovalchukприїхали😩камера знімає як утюг, прогрес кудись ми туди звернув
10:09 це до чого тут?
Люди добровільно заганяють себе в цифрове рабство, спочатку всі дружно добровільно злили свої дані в фейсбук і вконтакті, тепер добровільно зливають свої документи в дію, і всі такі раді і щасливі 🤣 а я знаю випадки, коли після початку війни, в людей з дії пропали діти, був багатодітний батько, зупинили на блокпосту - а дітей нема 🤣 або були випадки коли з дії пропадали документи на машину - зупинив поліцай, а документів в тебе нема 😁
США - набагато розвинутіша країна, але ніякої ДІЇ в них нема, і не тому що вони такі дурні, а українці такі розумні, а тому що це безпека країни і громадян. Яке б надійне шифрування не використовувала дія - завжди в серверній сидить адмін, який має ROOT пароль від бази даних. І якщо цьому адміну дати мільярд баксів - ніяке шифрування вас не спасе.
@@asdfghjkdfghjk3141 ти щось чув про log-и входу, контракт в якому прописано що ти маєш обовʼязок таємниці, поліцію і інтерпол? Таке відчуття що ні
@@asdfghjkdfghjk3141 Не так все просто -- будь який доступ до чутливих даних завжди вимагає санкціонування його іншими сторонами і завжди реєструється і якщо треба провести розслідування, то такі журнали зберігають усю інформацію, хто і коли це робив і для чого. Якщо навіть адмін має доступ, то ключа розшифровки він не має. Потім, наприклад у Північній Америці є кілька типів ідентифікаційних документів (головним є водійське посвідчення, а не паспорт, як в Україні). Це як мінімум говорить про те, що загальна база існує і активно застосовується! Але я не вірю, що у Україні все настільки ж толково організовано, як у США, наприклад ви не знайдете у Даркнеті баз даних американців!
Коли цю дію вже закриють як загрозу нацбезпеці країни. Шо за бл##ядство, вибачте на слові.
А яким чином саме дія є загрозою? Усі реєстри існували і без дії. Усі документи відцифровані в реєстрах і без дії.
Тобто навіть якщо ти не установив дію усі дані про тебе і так є. Якби не існувало дії вони також були б
@@alex-kovalchukнаявність дії породила багато ініціатив, як-от вибори у смартфоні. А це дуже висока ймовірність фальсифікації, оскільки право обробляти результати виборів належить обмеженій групі людей. І це я назвав тільки одну причину... Їх десятки. В цілому дія - це загроза днмократії і нацбезпеці.
@@bioplanet8436 єдиний спосіб уникнути цих загроз - повернутися у кам'яний вік. Або краще та найдійніше - повністю знищити людство :)
так вот вам Оберiг
одна база, с кучей инфы
скоро будем всю свою инфу смотреть в интернете
Бачив злиту базу. Але мої там чомусь на щастя не знайшов😊
Чому не продавати це ПЗ ?
Мені здається що продавати збираються послуги консультації і підтримки.
А відкритий код це демо і гарант якості (типу у нас все достатньо надійно щоб ми не боялись показати код усім)
просто дія зроблена за рахунок платників податків і тут її нате тримайте, замість продавати її другим країнам як готовий продукт і на цьому отримувати прибуток в казну країни. @@alex-kovalchuk
Взагалі, на гітхабі є різні ліцензії для відкритих репозиторіїв. І, якщо я не помиляюсь, то відкритий код не гарантує, що хтось інший може легально користуватись твоїм кодом
знову цей "вихідний код", як і "додаток". ну годі вже мавпувати з московитської.
є ж нормальні терміни "початковий код", "програмний код", "застосунок".
хм... продавець навіть не перевіряв мій QR просто прочитав дату народження і все, тому таки можна клонувати дію для окремих випадків
Як завжди людина найлегша ланка для хакінгу 😅
@@alex-kovalchuk ага, як артилерія - богиня війни, так соціальна інженерія - богиня хакінгу
ну пивасика підліток зможе купити.
але він також зможе його купити якщо попросить когось з дорослих :)
только никто почему-то не хочет делать аналоги Дiя у себя в странах
интересно почему?
Мабуть тому шо хочуть, а вам аби написати якись негатив)
Ніхто? От же баба допитлива, пробігла по всім странам, взнала де немає аналогів.
Бо вони таке не вміють як мудрі українці
@PROGRAMMATOR а давайте без "баби", гаразд?
@@goansichishig5292 не гаразд.
Застосунок
Стосовно інших країн то це тотальне вибачте наєбалово і спосіб використати аби мати своє і краще ніж у авторів ідеї і це фігово дуже і сумно😢
у них метод на 140 строк☠️
method
DiiaActionExecutor.execute
Наголошую - додаток для держави і точно не для людей !!! Звичайний контроль , не факт що цей додаток не вмикає мікрофон або камеру без вашого відома як це робить гугл . Вже не вперше помічав що після розмови з людиною в мене вискакує реклама саме того про що говорив мій знайомий і при цьому іноді поомічаю як на секундочку вмикаєтся геолокація. На телефоні не маю жодного телеграма або вайбера або скайпа , телефон суто для дзвінків . Так що пам'ятайте що все що нам подають як безпека , зручність , простота - це звичайна ільюзія для повного контролю за людьми .
ФБ вмикає мікрофон і потім рекламу показує.
випиляля ФБшні апплікухи з телефону, більше такої фігні нема
@@Nadezhda1986 в мене навіть акаунту там не має . Телефон у мене новий , не має нічого на ньому крім тих додатків які були з заводу але я не користуюсь на ньому не ютубом ні поштою , можу подивитися стрічку новин , подзвонити або смс . Саме для цього і брав його . Але в стрічці новин проскакує реклама і о чудеса поговорив з сусідом біля двору про шуруповерт і ось тобі реклама про шуруповерт !?!? ....
Не зрозуміло чудеса після розмови по звичайному телефону чи смартфону ? Чи недалеко все таки лежить ще який небудь ноутбук ?
Вивчи typescript, прочитай сорс код дії і припини нести маячню
да да да, дия ничего не хранит говорят они... а тогда откуда она берет данные когда на смартфоне нету интернета?! прекращайте вводить в заблуждение..
в кэшэ приложения ,телефон его загружает с серверов после установки или после действий с приложением(кэш кстсати можно чистить в настройках приложений)
@@koliadazt236 автору ролика расскажи, а то у него так и не хватило смелости признать что дия хранит данные