wumini
@wumini has joined the channel
news
Month: 2017-02
- 2016-11 (24)
- 2016-12 (73)
- 2017-01 (141)
- 2017-02 (217)
- 2017-03 (132)
- 2017-04 (91)
- 2017-05 (31)
- 2017-06 (99)
- 2017-07 (163)
- 2017-08 (91)
- 2017-09 (6)
- 2017-10 (6)
- 2017-11 (75)
- 2017-12 (95)
- 2018-01 (19)
- 2018-02 (21)
- 2018-03 (13)
- 2018-04 (9)
- 2018-05 (38)
- 2018-06 (17)
- 2018-07 (14)
- 2018-08 (9)
- 2018-09 (2)
- 2018-10 (36)
- 2018-11 (28)
- 2018-12 (4)
- 2019-01 (1)
- 2019-03 (3)
- 2019-04 (9)
- 2019-05 (9)
- 2019-06 (1)
- 2019-07 (5)
- 2019-08 (55)
- 2019-09 (19)
- 2019-10 (40)
- 2019-11 (2)
- 2019-12 (18)
- 2020-02 (11)
- 2020-03 (8)
- 2020-04 (33)
- 2020-05 (1)
- 2020-07 (2)
- 2020-08 (36)
- 2020-09 (1)
- 2020-10 (2)
- 2020-11 (1)
- 2020-12 (2)
- 2021-01 (5)
- 2021-02 (6)
- 2021-03 (1)
- 2021-04 (1)
- 2021-05 (11)
- 2021-06 (1)
- 2021-07 (4)
- 2021-09 (2)
- 2021-10 (1)
- 2022-03 (1)
- 2022-04 (1)
- 2022-06 (47)
- 2022-07 (10)
- 2022-08 (3)
- 2022-09 (2)
- 2022-10 (2)
- 2022-11 (19)
- 2022-12 (1)
- 2023-01 (1)
- 2023-02 (3)
- 2023-05 (3)
- 2023-07 (1)
- 2023-08 (3)
- 2023-10 (1)
- 2024-01 (2)
- 2024-02 (2)
- 2024-03 (1)
2017-02-02
2017-02-04
canadian_aaron
Medium
Open Data VS. Taiwan’s Largest Petrochemical Plant
A Taiwan environmental group is working to take pollution data out of the government’s hands, and make it open for the public.
canadian_aaron
這是致昕的34 根六輕煙囪與 「被失蹤」的 2 萬 5 千筆資料 ─ 當《綠盟》遇上開放資料的英文版
canadian_aaron
可是因為六輕,台塑,台灣的整個環保狀態需要多解釋給外國人,我補充蠻多新內容。有g0v.news的朋友有時間的話,求求你們校對一下
canadian_aaron
啾咪
ttcat
++
canadian_aaron
Medium
Open Data VS. Taiwan’s Largest Petrochemical Plant
A Taiwan environmental group is working to take pollution data back from petrochemical companies and the government, and make it open to…
canadian_aaron
抱歉g0v.news的朋友們,請看一下最新的網站連結
wumini
👌
yoyo
@yoyo has joined the channel
mglee
@canadian_aaron just read your article and thought it’s nice that you added those background info & links!
2017-02-05
mglee
不過因為文章長,讀前面&summary會有點誤會, 以為是目前汙染資料不是open data。但我記得問題應該是每日監測的即時資料是有open的,但是環保署會幫它用各種例外給cover過去?
canadian_aaron
Hmm, maybe you're right. I'll take a look and clarify that
canadian_aaron
Open Data VS. Taiwan’s Largest Petrochemical Plant
By collecting real-time pollution data, an environmental group discovered Taiwan's largest petrochemical plant exceeded the emissions quota…
canadian_aaron
@mglee 新的六輕英文版有採納mgのideas
2017-02-08
Jason致昕
@yutin @chihao 早安,明天下午兩點在OCF news team會在米妮加入之後開個專題內容的會議,阿端說會先是內容為主的討論,但如果你們有時間,或許先從後製觀點來試試由形式決定內容走向也不錯。有空的話一起來喔(歹勢太晚說)
我二十號那週會在台北,開完第一次會之後再來揪個時間,跟大家開會~
我二十號那週會在台北,開完第一次會之後再來揪個時間,跟大家開會~
chihao
@jsl 早安。明天(週四)下午兩點我在沃草有討論會,就沒辦法到OCF了。不過我還是蠻想知道你們討論內容的脈絡和結論,如果有紀錄(白板、筆記)的話我可以事後跟上,也可以在二十號見面討論之前先生出一些視覺、互動設計的點子。 cc @ttcat(做紀錄!)
yutin
@jsl 現在人在日本, 我事後閱讀會議記錄. 如果有即時問題 直接在這個 channel at 我, 我會 即時 follow 回覆. 有必要也可以 LINE / facebook 語音通話
20 號那週… ok
20 號那週… ok
Jason致昕
感謝倆位🙏
下下週見喔
下下週見喔
🕳️ 1
wumini
@chihao @yutin 哈囉,請問2/24(五)晚上的時間有空嗎?
要跟 @jsl @ttcat @aelcenganda 一起討論專案網站
要跟 @jsl @ttcat @aelcenganda 一起討論專案網站
chihao
@wumini 可以 🙂 `@` 前後都要空一格才會成功 tag 人喔 😛
yutin
@wumini: ok
wumini
哈,有。我試成功了,呵呵,謝謝啊
😄 2
🙌 1
2017-02-09
ael
In 5 min
ael
今天開會共筆
chihao
@wumini @ttcat 關於專案網站,今天開會有什麼結論嗎?我想在24日開會之前就開始想設計,這樣時間比較充裕一點。
chihao
上面的兩份共筆,HackMD是空的,Hackpad redirect回首頁了
ttcat
@chihao 今天討論好多好多事就是沒討論網站 😛
ttcat
主要是 g0v.news 經營的幾件事,包含可能三月想開個 news 松
ttcat
還有 jason 要寫的專題,請教了 Eileen 一些方向
ttcat
和 jason 四五六月都會住在歐洲,可以做的採訪規劃
ttcat
設計需要的話,我跟你可以先 sync 發想一下?
chihao
@yutin 什麼時候回到台北?
chihao
@ttcat 我是希望越早開始越好,讓我把事情擺在心上,慢慢發酵(什麼)
ttcat
😛
ttcat
需要雨停嗎
ttcat
還是我跟你
chihao
需要 @wumini
ttcat
++
ttcat
他明天傍晚會來 OCF 誒
ttcat
還是你要早點翹班
chihao
我可以七點到之類的
ttcat
七點不是傍晚吧
ttcat
XDDD
wumini
@chihao: 有跟jason討論出整個文章的架構和層次,但就是需要跟你轉譯成網站的視覺
chihao
@wumini 耶太好了就是要這個!聽說你明天「傍晚」會到OCF?
wumini
我猜我我四點半到五點左右可到(看上一個會開到多久)
chihao
那我猜我六點左右可以到,也是要看上一個會開到什麼時候
chihao
這樣有交集嗎?
wumini
你等我喬一下,我晚上有個復健的看診,看可否晚一點或取消
chihao
@wumini 啊,不要啦,這樣太不好意思了!我們可以好好的約一個時間 🙂
chihao
身體比較重要!
wumini
@chihao: 哈小毛病啦。
如果要約明天,晚上七點前是否有可能談完?再來最快就是週三下午到晚上後皆可?
如果要約明天,晚上七點前是否有可能談完?再來最快就是週三下午到晚上後皆可?
chihao
感覺明天時間的交集有點短,如果我們約視訊呢? @wumini @ttcat 這樣也許時間能夠比較彈性,因為只是想同步想法,遠端應該也還能做到
ttcat
好哇
ttcat
我可以
wumini
我也可!
chihao
那要約明天晚上嗎?
wumini
我可喔,幾點
chihao
我六點之後都可以
Jason致昕
(路人表示,視訊討論視覺好難想像喔)
跟知澔說過了,跟米尼溝通完畢之後我會衝內容產生(吐),之後就麻煩米妮做前後製的整合說故事囉
跟知澔說過了,跟米尼溝通完畢之後我會衝內容產生(吐),之後就麻煩米妮做前後製的整合說故事囉
yutin
@chihao 2/14 回台灣
yutin
如果明晚要視訊的話 可以 cc 我一下. 也許我可以 join
chihao
@wumini @ttcat 明天我六點以後都可以,看你們兩個的時間 😄
chihao
@jsl 路人有興趣旁聽嗎 💪
chihao
@yutin 決定時間就會在這裡tag大家!
wumini
@jsl: 我會先把我們今天說的架構和層次說給 @chihao @yutin 聽,哪幾個篇章會屬於同一層次之類的、完整合起來又是什麼呈現,然後用紙畫一下我今天筆記上那種層次,我大概想到是這樣先溝通:sweat_smile:
Jason致昕
jsl工作爆炸,大概目前被四套封面纏身這樣,抱歉
wumini
我看完診吃個飯,九點左右可以嗎
chihao
九點我OK!
wumini
那看 @ttcat @yutin 九點可以嗎
ttcat
++
yutin
@wumini 視訊 ok
chihao
OK!
2017-02-10
ael
@wumini ,今天 Kirby 不會來喔,看你斟酌一下要不要來
mglee
關於三月專題,我有個餿主意。我們可以邀請這些採訪的對象用discourse (或其它更適合的tool) 做一些線上對話&討論。一方面覺得對話會激發更多想法,一方面讓專題頁面更活潑多元。我們只要設定一些問題跟討論時間,其他讓他們自由發揮。大家覺得?
wumini
@aelcenganda: 好喔,謝謝你的通知。我今天會議的確大delay,那就看下次有沒有其他機會囉。
wumini
@mglee: 規劃題目時,有和Jason聊到讓受訪者直播,但就是看誰適合做直播以及又有人想看的:joy:
mglee
太長的直播如果沒有很好的採訪人/主持人curation,可能會只有我這種研究者在看XD
所以我在想也許 discourse 可能比較好操作。vTaiwan 的討論就是運用 discourse 可以參考看看~
https://vtaiwan.tw/directors-election/init/1/
所以我在想也許 discourse 可能比較好操作。vTaiwan 的討論就是運用 discourse 可以參考看看~
https://vtaiwan.tw/directors-election/init/1/
vtaiwan.tw
yutin
等一下會議 要用哪個軟體呢?
chihao
chihao
也不排斥Google Hangout
wumini
我booking會議是用Google Hangout,OK嗎
chihao
OK啊!
chihao
我準備好ler
yutin
ok
chihao
@wumini https://discuss.grants.g0v.tw/ 使用discourse的一個例子
discuss.grants.g0v.tw
g0v 公民科技創新獎助金 | g0v civic tech prototype grants
wumini
Code for America Fellowship:美國政府這樣開外掛,台灣呢?
這篇是個前言,從剛結束的 Code for America Summit 現場的專案介紹談起,解釋什麼是 CfA Fellowship,上百個地方政府用這樣的平台與上千位科技人才合作,台灣呢?試圖走向數位國家的我們,可以看出什麼端倪?我們要走什麼樣的路?開發者們,你們願意如何…
chihao
@wumini @yutin Good meeting! 💪
claire
@claire has joined the channel
claire
Hi, 我是剛進g0v civc tech grant,負責社群報導的Claire~想進來看看news的大家,學習這裡的經營 😄
2
2
🙌 2
2017-02-11
Jason致昕
早上跟 @wumini 通完電話之後,關於內容的開頭跟結束,剛剛有了新想法,已寫進google doc上(綠底),請 @yutin @chihao 有空看一下,完全不急,我只是怕我忘掉然後大家沒發現先NOTE一下
👍 2
chihao
@jsl 關於發言內容的進一步整理、呈現應該可以做出很有意思的東西哦!WP的這個專案給大家參考 https://www.washingtonpost.com/graphics/national/how-lawmakers-responded-to-the-orlando-mass-shooting/
Washington Post
Everything lawmakers said (and didn't say) after the Orlando mass shooting
Soon after the news broke June 12 that a gunman had killed 49 people in a shooting at a gay nightclub in Orlando, members of Congress began issuing statements about the tragedy.
✈️ 1
yyaayyuuyyoo
@yyaayyuuyyoo has joined the channel
wumini
@chihao @yutin 關於我們昨晚討論的所謂的主文部分,其實負擔的功能就是「快速讓讀者知道這專題要幹嘛」&「吸引讀者想來看」,所以在符合這目的下,再去填入我們覺得適合的內容和形式。 @jsl 丟出一種說故事的開頭,我們(大家)也可以從設計或文字等不同角度去想,然後丟上google document,週一晚我們再就提案來討論,就更有方向進行草圖。
🙌 1
2017-02-13
canadian_aaron
各位g0v.news愛好者您好,我要翻譯g0v.news版權disclaimer變成英文。翻譯這樣是對的嗎?本文章授權條款為以下:
文章發佈 48 小時內,採創用CC BY-NC-ND (姓名標示-非商業性-禁止改作) 3.0 台灣。
文章發佈 48 小時後,採創用CC BY (姓名標示) 3.0 台灣。This piece can be used under the following copyright terms:
Within the first 48 hours of posting this article, the authors use creative commons license terms CC BY-NC-ND 3.0 Taiwan.
After 48 hours of the article’s release, the authors use creative commons license CC BY 3.0 Taiwan.
文章發佈 48 小時內,採創用CC BY-NC-ND (姓名標示-非商業性-禁止改作) 3.0 台灣。
文章發佈 48 小時後,採創用CC BY (姓名標示) 3.0 台灣。This piece can be used under the following copyright terms:
Within the first 48 hours of posting this article, the authors use creative commons license terms CC BY-NC-ND 3.0 Taiwan.
After 48 hours of the article’s release, the authors use creative commons license CC BY 3.0 Taiwan.
canadian_aaron
你們覺得如何?
au
Within the first 48 hours of posting, this article is released under the CC BY-NC-ND 3.0 Taiwan license.
canadian_aaron
ah, ok
au
After 48 hours, this article is released under the CC BY 3.0 Taiwan license.
👍 1
canadian_aaron
many thanks Minister @au !!!!
2
canadian_aaron
I wish there was a live long and prosper hand sign emoji....
au
🖖
🖖 6
2017-02-16
chihao
sproutsocial.com
Social Media Image Resizing Tool | Landscape by Sprout Social
Landscape is a free tool that allows you to resize images at the perfect dimensions across Twitter, Facebook, Instagram and more.
yutin
突然發現有 code for japan summit 2016
http://summit2016.code4japan.org/
http://summit2016.code4japan.org/
Code for Japan SUMMIT 2016 VOYAGE
【参加費無料】Code for Japan SUMMIT 2016
テーマは『 Voyage 』新たな仲間との出会い、活動のスタート、知らない世界との交流といった想いを込めています。横浜市金沢区総合庁舎にて11月19、20日に開催したします。
ttcat
@yutin 對阿本來要去但是去年完全沒英文翻譯
👍 1
ttcat
聽說今年在神戶
ttcat
and Code for Japan Summit will be hosted Sep. 22-24 in Kobe city
yutin
也許可以找日文翻譯 呵呵
ttcat
想去嗎 ❤️
ttcat
++
chihao
🛫✈️🗾🏯🐮
2017-02-17
ael
@chihao @yutin 想問現在 g0v.news 的網站規劃有規劃社群新聞的區塊嗎?社群新聞的區塊是指由社群自由投稿的 blog post。因為像現在 grant 的文章是掛在 medium 上,有個標題【社群新聞】。
yutin
流程會是 就跟一般報導的上稿方式 一樣,然後加上「社群新聞」的 label
chihao
⬆️
ael
@yutin 謝謝!
wumini
也許可以討論看看用專欄方式的規劃
2017-02-18
paulpengtw
@paulpengtw has joined the channel
ael
@jsl 在網路中立性讀書會遇到 NCC 的大哥,自稱是老鄉民,在第一線上跟社群討論數位傳播服務法草案,保護網路中立性,不要設立網路主管機關。雖然你的採訪已經滿了,但如果還有空缺,他應該是個很棒的採訪對象。或是之前說請公務員提供意見的共筆,有他加入應該也很棒
🙌 1
ael
噢,但這不算是開外掛啦。是本來就是公務員XD
canadian_aaron
dear smart g0v coders/hackers: I have questions for you about security on Telegram! I’m writing a story about popvote.hk (普及投票)
canadian_aaron
it’s a website that allows you to choose a preferred candidate for the Hong Kong Chief executive election in march
canadian_aaron
to vote for your favourite candidate, the website requires you to use telegram to register your phone number and local ID.
canadian_aaron
Telegram版【普及投票PopVote】20/2 上午10:00啟動!!(民間提名期延至24/2結束)
我地宜家係銅鑼灣,呢幾日大家四出努力話比市民知:「突破小圈子,提名要及時!」
.
.
Telegram版【普及投票PopVote】點用?
第一步:下載手機程式/應用Telegram網上版Telegram(http://web.telegram.org/ )
第二步:登入/建立Telegram賬戶
選取地區(Hong Kong SAR China)、
輸入手機號碼;
稍後會在手機收到一組SMS認證碼,輸入認證碼,就能登入/建立個人賬戶
第三步:啟動【普及投票PopVote】
用同一裝置,開啟普及投票網頁 http://popvote.hk;
按入「立即提名 」鍵(在頁面綠色部份,會自動啟動Telegram的【普及投票PopVote】)
第四步:提名
按【Start】大鍵/鍵入「 /start」及按確定鍵,完成提名
離開電腦前,宜先登出Telegram;請勿應用公眾電腦登入。
網上版Telegram登出方法:按入左上“三”標誌/ Settings/Log out
參選人簡介👇
https://www.hkupop.hku.hk/chinese/features/cee2017_info.html
~~提提大家,舊系統的提名已妥善記錄,不用重新再提名~~
我地宜家係銅鑼灣,呢幾日大家四出努力話比市民知:「突破小圈子,提名要及時!」
.
.
Telegram版【普及投票PopVote】點用?
第一步:下載手機程式/應用Telegram網上版Telegram(http://web.telegram.org/ )
第二步:登入/建立Telegram賬戶
選取地區(Hong Kong SAR China)、
輸入手機號碼;
稍後會在手機收到一組SMS認證碼,輸入認證碼,就能登入/建立個人賬戶
第三步:啟動【普及投票PopVote】
用同一裝置,開啟普及投票網頁 http://popvote.hk;
按入「立即提名 」鍵(在頁面綠色部份,會自動啟動Telegram的【普及投票PopVote】)
第四步:提名
按【Start】大鍵/鍵入「 /start」及按確定鍵,完成提名
離開電腦前,宜先登出Telegram;請勿應用公眾電腦登入。
網上版Telegram登出方法:按入左上“三”標誌/ Settings/Log out
參選人簡介👇
https://www.hkupop.hku.hk/chinese/features/cee2017_info.html
~~提提大家,舊系統的提名已妥善記錄,不用重新再提名~~
web.telegram.org
Welcome to the Web application of Telegram messenger. See <https://github.com/zhukov/webogram> for more info.
canadian_aaron
facebook.com
Telegram版【普及投票PopVote】20/2... - 特首選舉民間全民投票 (2017 特首民投) | Facebook
Telegram版【普及投票PopVote】20/2 上午10:00啟動!!(民間提名期延至24/2結束) 我地宜家係銅鑼灣,呢幾日大家四出努力話比市民知:「突破小圈子,提名要及時!」 . . Telegram版【普及投票PopVote】點用?...
canadian_aaron
However! A rival tech group in Hong Kong, says that this method has security problems
pm5
@canadian_aaron do you have a reference to what the other tech group have said?
canadian_aaron
yes! i do.
canadian_aaron
one second
canadian_aaron
前線科技人員 - 【PopVote 安全問題未解決 再發現新問題】 除了早前被發現的嚴重的保安問題和資料外洩風險... | Facebook
【PopVote 安全問題未解決 再發現新問題】 除了早前被發現的嚴重的保安問題和資料外洩風險 [1] 外,前線科技人員的團隊經過調查,昨日再發現 PopVote 系統存在其他的保安和設計漏洞,已即時通知 PopVote 普及投票及負責系統技術的 Civic Data...
canadian_aaron
【PopVote 安全問題未解決 再發現新問題】
除了早前被發現的嚴重的保安問題和資料外洩風險 [1] 外,前線科技人員的團隊經過調查,昨日再發現 PopVote 系統存在其他的保安和設計漏洞,已即時通知 PopVote 普及投票及負責系統技術的 Civic Data 公民數據的負責人,該漏洞增加資料外洩的機會和影響投票可信性。
登入憑證外洩風險
PopVote 把用戶的 Telegram 登入憑證(Session Authentication Key)存放在瀏覽器的本地儲存(localStorage)內,即使關閉瀏覽器或重新啓動電腦,該登入憑證不會被清除而且繼續有效。該瀏覽器的任何使用者,例如公共圖書館或學校的公用電腦的其他用戶,可以取得這個憑證,登入該用戶的 Telegram 戶口,存取該用戶的所有通話記錄及收發新訊息。
該系統在2月8日的更新中修正了投票程序完成後未有登出 Telegram 的問題。這個修正本應能減低上述漏洞的影響,可是我們發現這個修正未有妥善處理用戶未完成投票程序時的情況。如果用戶沒有完成投票程序,就算關閉瀏覽器,重開後仍然保持登入。故此,用戶仍然可以因為這個漏洞而被竊取 Telegram 戶口。
投票結果可信性
在 2012 和 2014 年的民間投票當中,系統要求用戶以香港網絡登入,並且使用本地電話號碼透過短訊(SMS)確認。這個設計的原意是確保只有香港居民才能參與投票,並且增加種票的成本。
然而,新的 PopVote 系統改為以 Telegram 登入後,取消了只限本地網絡的規定。雖然系統要求用戶填寫本地電話號碼登入 Telegram,我們卻發現 PopVote 存在明顯的設計漏洞,以致未能有效防止其他國家的電話登入投票。利用這個漏洞,前線科技人員成功在海外以外國電話投票。
這個漏洞令種票成本下降,減低投票結果的可信性。
電話和身份證號碼外洩風險
PopVote 在他們的聲明 [2] 和 Q&A [3] 中聲稱用戶的身分證和電話號碼會在客戶端「產生散列(hash value)」,用戶的個人資料「絕不會直接傳給 PopVote 後台系統」,「不論是 PopVote 系統還是駭客,都極難還原成有用的資料」。
我們的團隊發現,該系統在客戶端所用的散列算法(hash function)是單純的 SHA256。SHA256 本身是安全的,可是 PopVote 在使用該算法時未有留意輸入的資料本身的組合有限。我們的實驗顯示,根本無需破解散列算法,只需十分鐘就能製作所有香港身分證和電話號碼「散列」的對照表。任何人(包括 PopVote)只須持有該對照表,便能即時解讀任何「散列」所代表的個人資料。
這個問題本身並非安全漏洞,可是從 PopVote 的系統設計,以至團隊的對外宣傳當中,顯示出團隊對加密算法的特性以及資訊安全缺乏認知,使我們對 PopVote 團隊是否有能力合理地保障用戶的敏感訊息抱有疑問。
建議
基於之前所發現的嚴重保安漏洞仍未修正,我們維持之前的建議,呼籲市民立即停用該系統。
任何曾經使用該系統的市民,應了解基於之前發現的嚴重保安漏洞而引致的通訊紀錄外洩風險,並採取適當措施保護各下的資訊安全 [1]。
對於所有依賴 PopVote 普及投票結果或對結果進行分析的市民,請留意雖然該系統要求用戶填寫本地電話號碼和通過短訊確認,該系統並未能保證投票人持有或控制一個本地電話號碼,投票結果的可信性可能受影響。
對於 PopVote 普及投票,我們認為對方未有妥善考慮公眾安全,而且對結果的可信性有疑問。前線科技人員團隊、曾參與 2012 和 2014 民間投票系統設計和審核的工程師、資訊安全專家等,於系統開放的第一天起已經和他們進行多場會議,指出問題並提出協助。然而,PopVote 團隊及其負責人不但未有認真回應各項安全和設計上的漏洞,反而不斷接受傳媒訪問,以技術語言隱瞞問題,讓大眾誤以為漏洞已處理。我們對 PopVote 團隊及其負責人處理用戶安全的輕率態度感到失望。
盡責披露
我們已在發佈上述漏洞和風險前一天通知 PopVote 普及投票及 Civic Data 公民數據負責人。
參考文件
[1] 香港電腦保安事故協調中心《對 PopVote 普及投票系統資訊保安問題的建議》
https://www.hkcert.org/my_url/zh/blog/17020901
[2] 普及投票《個人資料收集聲明》https://cast.popvote.hk/#/pics
[3] 公民數據《保安疑問 Q&A》https://www.facebook.com/CivicDataHK/posts/1806538089597738
除了早前被發現的嚴重的保安問題和資料外洩風險 [1] 外,前線科技人員的團隊經過調查,昨日再發現 PopVote 系統存在其他的保安和設計漏洞,已即時通知 PopVote 普及投票及負責系統技術的 Civic Data 公民數據的負責人,該漏洞增加資料外洩的機會和影響投票可信性。
登入憑證外洩風險
PopVote 把用戶的 Telegram 登入憑證(Session Authentication Key)存放在瀏覽器的本地儲存(localStorage)內,即使關閉瀏覽器或重新啓動電腦,該登入憑證不會被清除而且繼續有效。該瀏覽器的任何使用者,例如公共圖書館或學校的公用電腦的其他用戶,可以取得這個憑證,登入該用戶的 Telegram 戶口,存取該用戶的所有通話記錄及收發新訊息。
該系統在2月8日的更新中修正了投票程序完成後未有登出 Telegram 的問題。這個修正本應能減低上述漏洞的影響,可是我們發現這個修正未有妥善處理用戶未完成投票程序時的情況。如果用戶沒有完成投票程序,就算關閉瀏覽器,重開後仍然保持登入。故此,用戶仍然可以因為這個漏洞而被竊取 Telegram 戶口。
投票結果可信性
在 2012 和 2014 年的民間投票當中,系統要求用戶以香港網絡登入,並且使用本地電話號碼透過短訊(SMS)確認。這個設計的原意是確保只有香港居民才能參與投票,並且增加種票的成本。
然而,新的 PopVote 系統改為以 Telegram 登入後,取消了只限本地網絡的規定。雖然系統要求用戶填寫本地電話號碼登入 Telegram,我們卻發現 PopVote 存在明顯的設計漏洞,以致未能有效防止其他國家的電話登入投票。利用這個漏洞,前線科技人員成功在海外以外國電話投票。
這個漏洞令種票成本下降,減低投票結果的可信性。
電話和身份證號碼外洩風險
PopVote 在他們的聲明 [2] 和 Q&A [3] 中聲稱用戶的身分證和電話號碼會在客戶端「產生散列(hash value)」,用戶的個人資料「絕不會直接傳給 PopVote 後台系統」,「不論是 PopVote 系統還是駭客,都極難還原成有用的資料」。
我們的團隊發現,該系統在客戶端所用的散列算法(hash function)是單純的 SHA256。SHA256 本身是安全的,可是 PopVote 在使用該算法時未有留意輸入的資料本身的組合有限。我們的實驗顯示,根本無需破解散列算法,只需十分鐘就能製作所有香港身分證和電話號碼「散列」的對照表。任何人(包括 PopVote)只須持有該對照表,便能即時解讀任何「散列」所代表的個人資料。
這個問題本身並非安全漏洞,可是從 PopVote 的系統設計,以至團隊的對外宣傳當中,顯示出團隊對加密算法的特性以及資訊安全缺乏認知,使我們對 PopVote 團隊是否有能力合理地保障用戶的敏感訊息抱有疑問。
建議
基於之前所發現的嚴重保安漏洞仍未修正,我們維持之前的建議,呼籲市民立即停用該系統。
任何曾經使用該系統的市民,應了解基於之前發現的嚴重保安漏洞而引致的通訊紀錄外洩風險,並採取適當措施保護各下的資訊安全 [1]。
對於所有依賴 PopVote 普及投票結果或對結果進行分析的市民,請留意雖然該系統要求用戶填寫本地電話號碼和通過短訊確認,該系統並未能保證投票人持有或控制一個本地電話號碼,投票結果的可信性可能受影響。
對於 PopVote 普及投票,我們認為對方未有妥善考慮公眾安全,而且對結果的可信性有疑問。前線科技人員團隊、曾參與 2012 和 2014 民間投票系統設計和審核的工程師、資訊安全專家等,於系統開放的第一天起已經和他們進行多場會議,指出問題並提出協助。然而,PopVote 團隊及其負責人不但未有認真回應各項安全和設計上的漏洞,反而不斷接受傳媒訪問,以技術語言隱瞞問題,讓大眾誤以為漏洞已處理。我們對 PopVote 團隊及其負責人處理用戶安全的輕率態度感到失望。
盡責披露
我們已在發佈上述漏洞和風險前一天通知 PopVote 普及投票及 Civic Data 公民數據負責人。
參考文件
[1] 香港電腦保安事故協調中心《對 PopVote 普及投票系統資訊保安問題的建議》
https://www.hkcert.org/my_url/zh/blog/17020901
[2] 普及投票《個人資料收集聲明》https://cast.popvote.hk/#/pics
[3] 公民數據《保安疑問 Q&A》https://www.facebook.com/CivicDataHK/posts/1806538089597738
hkcert.org
對 PopVote 普及投票系統資訊保安問題的建議
cast.popvote.hk
公民數據 Civic Data - 若有更多疑問,或想就問題提出討論,請到 https://civicsq.com... | فيسبوك
若有更多疑問,或想就問題提出討論,請到 <https://civicsq.com> 民間提名期: 2月7日至2月22日 全民投票期: 3月10日至3月19日 即刻上 <https://cast.popvote.hk> 請各位大力到眾籌平台集資支持~~ <http://bit.do/supportcecr2017|bit.do/supportcecr2017>
canadian_aaron
most of all, i want to know if the group 前線科技人員 are right to criticize the security problems in 普及投票?
canadian_aaron
have civicdata.hk put Hong Kong people’s personal data in danger by using telegram?
pm5
I think you need a security expert to get a more complete view on this. Based on hkcert’s post I’d say the concern is valid. That is, I would think twice before I allow popvote to have my Telegram password. The problems mentioned by 前線科技人員 are also valid to me and I believe requires answers from civicdata.hk.
canadian_aaron
hmmm, interesting.
canadian_aaron
@yutin what do you think of this problem?
canadian_aaron
I’m talking to Richard Cheng now, he says you’re helping him out with checking the security problems
yutin
Session Authentication Key <= fixed.
popvote will get user phone number of Telegram and then hash it in database, that is safe. <= finished
but "前線科技" say hacker can get message history of Telegram, if hacker
invasion popvote server. <= TODO
I fixing sql injection now, that can avert invasion server.
popvote will get user phone number of Telegram and then hash it in database, that is safe. <= finished
but "前線科技" say hacker can get message history of Telegram, if hacker
invasion popvote server. <= TODO
I fixing sql injection now, that can avert invasion server.
yutin
hash => SHA256(SALT + tel_no)
2017-02-19
canadian_aaron
How common are SQLi's? Are they easy to carry out?
canadian_aaron
@yutin also, what's your opinion on this? Is it safe for Hong Kong people to use popvote after these problems are fixed?
poga
sql injection is the top 1 vulnerability on OWASP(Open Web Application Security Project) 2013. It's super easy to exploit and automatic scripts are everywhere.
canadian_aaron
How easy would it be for hackers from say China, find the popvote.hk server and use an SQLi then?
poga
well they don't really need to find the server since SQL injection is a vulnerability on the API. If there's one(which I didn't see on the 前線科技人員's post), then it's really easy for any cracker to exploit it IMO.
poga
but still, I'm not a security expert. Above are just based on my experience
yutin
Never have a project is absolutely safe, this is a war hacker to hacker.
🏯 1
🛡️ 1
⚔️ 1
canadian_aaron
@yutin hmmm, that’s true.
canadian_aaron
i have a feeling Hong Kongers understand that there information is at risk, but i imagine Hong Kongers don’t feel the risk is from the civicdata.hk programmers, but from China.
canadian_aaron
has there ever been a g0v project similar to popvote.hk, that requires phone number and 身分證 input?
2017-02-20
canadian_aaron
香港明報最近有寫civicdata.hk相關的報導
canadian_aaron
寫得非常好
2017-02-21
ttcat
這次大松預計還要來挖坑討論嗎? @yutin @chihao
yutin
關於 g0v.news 嗎? 可以呀!! 24號 會有個討論. 當天討論 要挖什麼坑 這樣 @@?
🙌 2
ttcat
好啊
2017-02-22
ael
hi,大家,今天下午 Grant 想要訪問 Code for Germany 的 eileen 談 Prototype Fund,Code for Germany 就交給Aaron。我列了一些簡單的訪綱,如果 @wumini 有空可以幫忙事先或事後看一下嗎?https://hackpad.com/-Eilleen-from-Prototype-Fund-EfoCTMtbsWi
wumini
@aelcenganda 目前覺得滿豐富的。但我自己會特別想知道:1.她投入這領域的動機是什麼? 2.她怎麼看台灣g0v的grant?跟她在做的Prototype Fund有何相似/異處?她會覺得彼此需要截長補短什麼嗎?
然後請問,這個訪問和寫稿,跟 @jsl 的三月的專案有關嗎?
然後請問,這個訪問和寫稿,跟 @jsl 的三月的專案有關嗎?
ael
@wumini 跟專案無關
ael
所以是放在人,還有跟台灣對話上?
wumini
未必是核心(我設想你們的核心應該還是放在介紹PrototypeFund給讀者,是吧),但想透過她的動機,去理解她背後想解決什麼問題。(而且期待這裡會有一點故事感)
第二個問題則是我作為一個讀者會好奇的點。別人怎麼看我們?怎麼一起更好?這樣。但這點就須跟你們設定的主題去調配比重
第二個問題則是我作為一個讀者會好奇的點。別人怎麼看我們?怎麼一起更好?這樣。但這點就須跟你們設定的主題去調配比重
Jason致昕
路人舉手:好奇Eileen怎麼看我們(但採訪好像結束了哈哈哈)
ael
有喔,問了喔,問說對於 g0v 社群有什麼看法。她覺得我們真的落實超級透明的
🇩🇪 2
Jason致昕
好喔歹勢
下次改進
下次改進
ael
@jsl 有一點想提醒一下, g0v.tw 的粉絲專頁習慣是不煽風點火,就是提供資訊,歡迎提供意見回饋並附連結,或呼籲協作行動。我覺得 g0v news 也要拿捏一下,尤其是關於非自產的內容。我覺得這樣有點像蘋果
Jason致昕
收到
chihao
@aelcenganda 我覺得你的訊息讀起來有點指示,而非詢問或開啟討論的語氣,不知道你有沒有這樣的意思?我並不是說不能討論 g0v.news 的粉絲團要不要有一些準則,但 g0v.news 不是 g0v.tw,據我的了解,貢獻者、工作流程都不一樣?
Jason致昕
新手上路,跟社群不熟,感謝大家的指教啦,不然我刪掉好了這次分享太多爭議了
歹勢歹勢
歹勢歹勢
ael
@chihao 有,謝謝你指出我的問題,我打完之後覺得語氣不太對,還在想怎麼調整,就不小心送出去了,在這裡跟 @jsl 道歉。我之後會再注意,應該以詢問或討論開啟對話,然後引導向可以一起做的事情,例如建立貼文守則。我只是想要表達,我不樂見 g0v.news 轉文時預設立場,在這個訊息中指的是預設老闆(慣老闆)會因為求職天眼通上線而睡不好,很俏皮,但有失公允。
ael
@jsl 不用刪掉啦,我也不是管理者,也不代表社群。只算是個人表達的一種看法。在網路上把東西刪掉比把東西留著被人罵危險。
ael
@chihao 很謝謝你的提醒,這是我覺得我之前在 g0v.news 開會時沒做好的部分,希望你又發現我這樣時,請用力敲醒我
🙌 2
Jason致昕
感謝大家~~
上次有提到,其實一直覺得自己沒辦法勝任g0v news,但最後稍微能夠說服自己的一點,是覺得大眾俗氣媒體出身的我可能的一點功能就是跟大眾溝通,讓更多人關心這類的訊息,所以還是習慣用一般路人的感受在接收訊息,試著引起共鳴,但這需要練習跟精準,要到真正的幽默又不讓大家覺得白眼或是「嘖」,深深覺得道行不夠啊(掩面)
抱歉抱歉,會繼續努力的
上次有提到,其實一直覺得自己沒辦法勝任g0v news,但最後稍微能夠說服自己的一點,是覺得大眾俗氣媒體出身的我可能的一點功能就是跟大眾溝通,讓更多人關心這類的訊息,所以還是習慣用一般路人的感受在接收訊息,試著引起共鳴,但這需要練習跟精準,要到真正的幽默又不讓大家覺得白眼或是「嘖」,深深覺得道行不夠啊(掩面)
抱歉抱歉,會繼續努力的
6
chihao
感謝 @aelcenganda 與 @jsl 的分享,能異時異地一起有這樣一段對話,蠻開心的。我自己覺得,要在社群沒有人能代表、做事的人最大、還有時常有「也許這樣做能更好」幾個想法之間平衡真的是需要一直努力,也是請大家繼續不吝「指教」🙂
4
🎉 1
2017-02-24
clkao
ghost.org
A $45,000 journalism accelerator program to help build new and exciting online publications. What can we help you build?
😱 1
✈️ 1
Jason致昕
@wumini 我們約六點去畫黑板先準備好嗎
今晚把握時間衝一下別讓大家太晚回家
今晚把握時間衝一下別讓大家太晚回家
🌃 1
🍸 1
ttcat
@jsl 今晚開會在哪邊呢
wumini
我大概五點就會到,在OCF辦公室
ttcat
OK!
chihao
好!
mglee
歡迎來吃拉麵 就在OCF對面停車場!
https://www.facebook.com/NipponRamen/
https://www.facebook.com/NipponRamen/
chihao
@mglee 賣的拉麵嗎?
mglee
我只負責吃 🍜
😛 1
ael
也想吃拉麵 +1
ael
@wumini 總之是個五六十歲 NCC 立網路相關法案的公務員。他說網路就不該是被管的的老鄉民。加入二三十歲的社群討論。以上供參考
chihao
看板第一次:2/27(一)9pm @林森北路89號
chihao
看板第二次:3/6(一)9pm @林森北路89號
chihao
看板第三次:3/9(四)12pm @OCF
2017-02-25
ael
@wumini
wumini
@aelcenganda 但我點0224的檔案沒有東西欸(抖)
2017-02-26
canadian_aaron
Civic Hall
In Taiwan, Using Open Data to Expose Rampant Pollution | Civic Hall
By collecting real-time pollution data, an environmental group discovered Taiwan's largest petrochemical plant exceeded the emissions quota for pollution over 25,000 times. The plant didn't pay a cent for it.
3
2
canadian_aaron
first g0v.news post on the civicist went up yesterday
🔝 3
2017-02-27
canadian_aaron
歡迎大家來評論一下我土石流有關的新聞報道
👍 1
ttcat
@canadian_aaron 我看完了,意見補在上面!覺得很適合翻成中文 @aelcenganda 有興趣?
canadian_aaron
若要翻譯的話,我可能需要提供錄音,為了陳博士的quotes是正確的
ttcat
其實我一直在想像是我們 g0v 採訪 + report 採訪
ttcat
如果錄音都是(在受訪者同意下)公開的
ttcat
那後續要延伸不同的文章、不同需求的都可以在已經採訪的錄音檔上面,再另外加其它問題
👍 1
canadian_aaron
我覺得陳博士會贊成我公開錄音
ttcat
或是做更深入的報導、跨專案跨受訪者的、或是過一兩年再回過頭來看
ael
@ttcat 同意錄音可以共用。開個news 的資料夾吧,有興趣可以翻
ael
然後很抱歉我人還在客運上,不知道來不來得及去看板QAQ
mglee
沒關係呦~
chihao
小班辛苦了
chihao
大家到樓下之後請按在《群島》招牌下面,黏在門上的電鈴
ael
我猜我十點半到大家也差不多要散會了?QQ
chihao
我們才到一半 😆
2017-02-28
wildsky
@wildsky has joined the channel