Comments 22
Даже в условиях недостатка времени на разработку лучше заложить максимум проверок
Кто бы еще заложил на эти проверки максимум времени и денег — жили бы мы в идеальном мире.
А так получается, что за государственные деньги на 2-3 уровне субподряда условные разработчики будут лепить новые ошибки поверх уже существующих.
Когда деньги на разработку потрачены (я уж не говорю — сперты) про качество разработки вспоминать как-то не принято.
Дана ссылка на уязвимость.
Эту уязвимость уже исправили? Вы сообщили о ней разработчику? Или это «смотрите что я нашел!»
По поводу недостатков — да не идеальна системка, с государством тяжело делать хорошие вещи.
В статье не нашел никакого конструктива, больше на помои похоже.
Эту уязвимость уже исправили? Вы сообщили о ней разработчику? Или это «смотрите что я нашел!»
По поводу недостатков — да не идеальна системка, с государством тяжело делать хорошие вещи.
В статье не нашел никакого конструктива, больше на помои похоже.
Упоминанию почти месяц, учитывая обычную расторопность о этой проблеме сегодня они и узнают.
Ждем новой публикации миллионов ПД в виде ФИО + Город для проверки наличия в базе.
Ждем новой публикации миллионов ПД в виде ФИО + Город для проверки наличия в базе.
Есть уверенность, что ресурс forum.ege.edu.ru читают разработчики? Это их система обратной связи, техподдержки или еще один форум на популярную тему?
Его вообще кто-то читает из специалистов читает?
Соответственно после этой публикации может быть большой слив перс данных детей.
Единственно что спасает — ресурс похоже в некоторой закрытой, но очень большой сети.
Его вообще кто-то читает из специалистов читает?
Соответственно после этой публикации может быть большой слив перс данных детей.
Единственно что спасает — ресурс похоже в некоторой закрытой, но очень большой сети.
Дайте логин: пароль, завтра выложу базу.
Логин и пароль от чего?
я с нашей системой образования ничем не связан
я с нашей системой образования ничем не связан
Вам ещё нужен будет комп, с установленным vipnet с сертификатами именно этой сети.
В любом случае, ограничение доступа к системе не является альтернативой устранению уязвимостей в ней.
При целевой атаке ограничение доступа не будет серьезной проблемой. Любой, кто работал в гос.учреждениях, знает как там обстоят дела с компьютерной грамотностью сотрудников. Вставить личную флешку, полную вирусов, в компьютер предназначенный для обрабтки секретной информацией — обычное дело.
При целевой атаке ограничение доступа не будет серьезной проблемой. Любой, кто работал в гос.учреждениях, знает как там обстоят дела с компьютерной грамотностью сотрудников. Вставить личную флешку, полную вирусов, в компьютер предназначенный для обрабтки секретной информацией — обычное дело.
Работал и работаю в ОГВ и абсолютно согласен. Нужен ещё грамотный специалист по ИБ и сотрудники не из разряда «мне бы 2 годика до пенсии до сидеть».
Проблема менталитете. Четко следуешь должностным инструкциям — жди ответных санкций.
К примеру, если при проверке режима секретности в бухгалтерии я укажу в акте все нарушения, то начнутся «случайные» ошибки при подсчете моей премии, задержки зарплаты, обнаружится нехватка средств для предоплаты проезда к месту проведения отпуска. Проверка в отделе кадров — в графике отпусков я с июля перемещусь на ноябрь. Связь — начнет чаще падать сеть в кабинете.
К примеру, если при проверке режима секретности в бухгалтерии я укажу в акте все нарушения, то начнутся «случайные» ошибки при подсчете моей премии, задержки зарплаты, обнаружится нехватка средств для предоплаты проезда к месту проведения отпуска. Проверка в отделе кадров — в графике отпусков я с июля перемещусь на ноябрь. Связь — начнет чаще падать сеть в кабинете.
Из личного опыта общения с ФИС ЕГЭ/ГИА:
— в этом году некоторые пакеты с данными абитуриентов обрабатывались рекордные восемь суток;
— в документации приведены неправильные названия некоторых полей. Настоящие названия выявлялись путём «общения» с API и анализом «ошибок», которые возвращал интерфейс; об ошибках в документации разработчикам сообщали неоднократно, но опечатки всё ещё есть. Проблема, помимо очевидной, заключается ещё и в том, что филиалы ВУЗа тоже должны производить выгрузку информации, и делают они это через «головной» ВУЗ, т.к. оборудование рабочего места для работы с системой стоитбольших денег;
— вся система «тормозит» даже в дни, когда нагрузки ещё/уже нет;
— «отладка» пакетов — отдельное приключение. В системе предусмотрено два вида сообщений об ошибке — одни выдаются при валидации пакета на входе и отвечают за несоответствие пакета предложенной схеме, вторые сообщают об отсутствии целостности в переданных данных. Соответственно, первые выдаются по одной штуке и блокируют выгрузку пакета, вторые выводятся уже после совершения выгрузки. Из-за постоянных тайм-аутов отправка одного пакета с последующим его исправлением поначалу затягивалась на полчаса (пока мы не выправили на своей стороне предложенную разработчиками схему XSD; о её несоответствии действительности в статье уже было упомянуто). Второй вид валидации ещё страшнее: из-за скорости действительной обработки пакета (повторюсь: до восьми суток) об «ошибках», выявленных в заявлениях, узнаёшь спустя неделю, хотя по идее выгрузка сведений должна идти почти непрерывно. Ошибки, кстати, тоже бывают весьма эзотерическими и не всегда связаны с целостностью данных.
Сервис постоянно развивается; в этом году, например, появилась форма для добавления новых программ обучения к своему учебному заведению (раньше проблема решалась письмом со списком специальностей, отправленным на адрес тех. поддержки). Но из-за долгого времени отклика (веб-морда открывается обычно за минуту-полторы) интерфейсные «фичи» оценить в полной мере не удаётся.
— в этом году некоторые пакеты с данными абитуриентов обрабатывались рекордные восемь суток;
— в документации приведены неправильные названия некоторых полей. Настоящие названия выявлялись путём «общения» с API и анализом «ошибок», которые возвращал интерфейс; об ошибках в документации разработчикам сообщали неоднократно, но опечатки всё ещё есть. Проблема, помимо очевидной, заключается ещё и в том, что филиалы ВУЗа тоже должны производить выгрузку информации, и делают они это через «головной» ВУЗ, т.к. оборудование рабочего места для работы с системой стоит
— вся система «тормозит» даже в дни, когда нагрузки ещё/уже нет;
— «отладка» пакетов — отдельное приключение. В системе предусмотрено два вида сообщений об ошибке — одни выдаются при валидации пакета на входе и отвечают за несоответствие пакета предложенной схеме, вторые сообщают об отсутствии целостности в переданных данных. Соответственно, первые выдаются по одной штуке и блокируют выгрузку пакета, вторые выводятся уже после совершения выгрузки. Из-за постоянных тайм-аутов отправка одного пакета с последующим его исправлением поначалу затягивалась на полчаса (пока мы не выправили на своей стороне предложенную разработчиками схему XSD; о её несоответствии действительности в статье уже было упомянуто). Второй вид валидации ещё страшнее: из-за скорости действительной обработки пакета (повторюсь: до восьми суток) об «ошибках», выявленных в заявлениях, узнаёшь спустя неделю, хотя по идее выгрузка сведений должна идти почти непрерывно. Ошибки, кстати, тоже бывают весьма эзотерическими и не всегда связаны с целостностью данных.
Сервис постоянно развивается; в этом году, например, появилась форма для добавления новых программ обучения к своему учебному заведению (раньше проблема решалась письмом со списком специальностей, отправленным на адрес тех. поддержки). Но из-за долгого времени отклика (веб-морда открывается обычно за минуту-полторы) интерфейсные «фичи» оценить в полной мере не удаётся.
Тут описана вполне рабочая система. Пусть и с ошибками и с возможностью получить чужие данные.
Это вы просто в региональные проекты здравоохранения, которые интегрируются с федеральной системой никогда не заглядывали ;)
Осенью в 2012году у меня были чудесные бесплатные 1.5 дня работы на ознакомление с проектной документацией в «центре компетенций» компании в Мск. Документацией регионального мед. сервиса с противоречивыми параграфами, требованием интеграции с федеральным сервисом, прототипом в коде «готовым на 50%» из 5 полей в объекте, чудесным фреймворком flextera и нереальными сроками проекта, который надо было сдать позавчера.
Сразу честно сказал что не буду ввязываться в тот нереальный проект в котором даже утвержденного ТЗ на тот момент не было и моя команда разработчиков была только в планах набрать ее в Новосибирске(для проекта который надо было сдать вчера)
Это вы просто в региональные проекты здравоохранения, которые интегрируются с федеральной системой никогда не заглядывали ;)
Осенью в 2012году у меня были чудесные бесплатные 1.5 дня работы на ознакомление с проектной документацией в «центре компетенций» компании в Мск. Документацией регионального мед. сервиса с противоречивыми параграфами, требованием интеграции с федеральным сервисом, прототипом в коде «готовым на 50%» из 5 полей в объекте, чудесным фреймворком flextera и нереальными сроками проекта, который надо было сдать позавчера.
Сразу честно сказал что не буду ввязываться в тот нереальный проект в котором даже утвержденного ТЗ на тот момент не было и моя команда разработчиков была только в планах набрать ее в Новосибирске(для проекта который надо было сдать вчера)
Из личного опыта общения с ФИС ЕГЭ (ещё тогда, в прошлом году):
— оборудование рабочих мест операторов стоит больших денег (ручной труд). Для автоматизированной отправки данных (вот этими XMLями) нужны просто нереальные деньги (для регионального вуза) с учётом того, что нужно строить и аттестовать защищённую сеть. Поэтому ручной труд — наше всё.
— во славу всему, на присланной за большие деньги хилой машине стоял некий линукс и, алиллуйя, Firefox. С учётом того, что с этой машины оказались видны наши сервера во внутренней сети — решение оказалось простым: с сервера вытаскиваем JSON-интерфейс, в файрфокс втыкаем букмарклет. Оператор вводит паспортные данные, тыкает в закладку — остальное подтягивается из нашей системы (для последующих страниц помогает localStorage). Скорость ввода заявления сокращается в десятки раз — до минуты-двух, практически исключаются ошибки в данных. Операторы начинают меня любить очень страстно.
— то, что система любит поваляться и понежиться — ну что ж, делать нечего… курим, болтаем…
Очень жалко, конечно, операторов, вынужденных заниматься мартышкиным трудом (особенно ДО написания букмарклета они просто зашивались), но финансовый вопрос тогда перевесил.
Изменилось ли что за год — уже и не знаю, хотя скриншоты в этой статье, вроде, отличаются.
— оборудование рабочих мест операторов стоит больших денег (ручной труд). Для автоматизированной отправки данных (вот этими XMLями) нужны просто нереальные деньги (для регионального вуза) с учётом того, что нужно строить и аттестовать защищённую сеть. Поэтому ручной труд — наше всё.
— во славу всему, на присланной за большие деньги хилой машине стоял некий линукс и, алиллуйя, Firefox. С учётом того, что с этой машины оказались видны наши сервера во внутренней сети — решение оказалось простым: с сервера вытаскиваем JSON-интерфейс, в файрфокс втыкаем букмарклет. Оператор вводит паспортные данные, тыкает в закладку — остальное подтягивается из нашей системы (для последующих страниц помогает localStorage). Скорость ввода заявления сокращается в десятки раз — до минуты-двух, практически исключаются ошибки в данных. Операторы начинают меня любить очень страстно.
— то, что система любит поваляться и понежиться — ну что ж, делать нечего… курим, болтаем…
Очень жалко, конечно, операторов, вынужденных заниматься мартышкиным трудом (особенно ДО написания букмарклета они просто зашивались), но финансовый вопрос тогда перевесил.
Изменилось ли что за год — уже и не знаю, хотя скриншоты в этой статье, вроде, отличаются.
Обслуживаю несколько серверов, которые работают с федеральными порталами. Поделюсь наблюдениями (какое счастье, что не личным опытом работы с):
— формат XML может меняться несколько раз в месяц, поэтому разработчикам ПО, которое стоит на серверах, приходится переписывать код, формирующий ответ для сервиса, неоднократно;
— нет утверждённой спецификации для некоторых сервисов, т.е. люди, которые эти сервисы разработали, в принципе не понимают, как они должны работать — методом тыка разработчики выясняют, что же всё-таки надо написать в ответной XMLке, чтобы данные ушли и правильно отобразились; какая-то документация есть, но соответствует реальности она совсем чуть-чуть;
— вёрстка на порталах ужасна — любой пятиклассник в Word'е сверстает лучше. И уж точно не станет для создания кнопки с градиентом рисовать картинку в Paint'е, которую поместит в тег button и которую будет выравнивать с помощью тегов span и pre (образец из реальной жизни)
— «Java не тормозит»
— формат XML может меняться несколько раз в месяц, поэтому разработчикам ПО, которое стоит на серверах, приходится переписывать код, формирующий ответ для сервиса, неоднократно;
— нет утверждённой спецификации для некоторых сервисов, т.е. люди, которые эти сервисы разработали, в принципе не понимают, как они должны работать — методом тыка разработчики выясняют, что же всё-таки надо написать в ответной XMLке, чтобы данные ушли и правильно отобразились; какая-то документация есть, но соответствует реальности она совсем чуть-чуть;
— вёрстка на порталах ужасна — любой пятиклассник в Word'е сверстает лучше. И уж точно не станет для создания кнопки с градиентом рисовать картинку в Paint'е, которую поместит в тег button и которую будет выравнивать с помощью тегов span и pre (образец из реальной жизни)
— «Java не тормозит»
Sign up to leave a comment.
Как не надо делать федеральные информационные системы