Pull to refresh

Comments 71

на предпоследнем скрине есть полный адресс сайта. и еще интересно, вы администрацию сайта уведомили до поста?
Да конечно, все были уведомлены. Но я уверен, что дело с мертвой точки не сдвинется.
UFO just landed and posted this here
Ну это по всей стране так — всё министрам)
Нужно исправлять ситуацию. Если ничего не делать, лучше точно не станет. Кто что покупает, кто как ворует — все это дело десятое. Возможно, что «подобные разработчики» увидять этот пост и у них проснется совесть, возможно, вы и правы, и я наивен.
Человек в состоянии стыда непредсказуем. Может быть, они вас попытаются в суд затащить (надеюсь, до такого не дойдёт).
UFO just landed and posted this here
Я, допустим, такой эникейщик и взялся бы за «крохи» (не тыща рублей же там «дошло»?". У меня совести нет? Пускай. Но экранировать sql запросы и/или приводить id к int это даже не совесть, это рефлекс, у нас, у эникейщиков, всё на рефлексах :) У кого рефлексов нет, тот не эникейщик, а «разбирается в компьютерах».
Так надо выложыть министра и митсубисю на главную министерства культуры, пусть страна знает своих героев ;)
Даже если от трёх до семи процентов — это разве повод не экранировать данные?
UFO just landed and posted this here
Сталкивался с подобным. Простой и эффективный вариант все пароли хранить в web.config.
Да. Можно так, можно создать файл конфигурации и закрыть к нему доступ средствами IIS.
UFO just landed and posted this here
Самое главное, тогда и стэк не будет виден.
Помогает, но обычно после отладки кто-то забудет поставить debug=«false». Так, что не стоит надеяться только на это.
а нафига вообще делать отладку на боевом сервере?
с открытой для записи папкой files в этом примере можно что угодно вытащить.
>Да, в этом не было бы ничего особенного, если бы это не был сайт госучреждения.
Я бы удивился, если бы это был НЕ сайт госучреждения.
Наверное, лучше так:
"Да, в этом не было бы ничего особенного, если бы это был сайт госучреждения."
нет нет, format1981 судя по всему имел ввиду то что частные компании защищают получше данные чем госсектор…
И не только сайты, но и терминалы. Был на хабре пост, где на гос. терминале (в Питере) была простая убунта с автоскрытием панели.)))
Помню.
Вот еще, не много не в тему, но на терминале в больнице (можно оплачивать больничные услуги) я косынку раскладывал пока ждал очередь… Так что знакомая ситуация))
Однажды я хотел заплатить через банкомат сбербанка за услуги доступа в интернет, и также вывалился стек вызовов. Но правда это было пару лет назад.
кому придёт в голову хакать госсектор НАШЕЙ страны?
Меня удивляет Ваше удивление. По-моему сайты госучреждений давно показали себя. Я хочу сказать, что государство не выделяет ресурсы на это и ждать от таких сайтов качества совсем не стоит. В цивилизованной стране лучшие умы работают именно на государство, потому как создаются условия для этого, а у нас чаще всего это выглядит так: взяли на работу парня молодого, а он оказывается ещё и сайты в универе делал, давайте ему поручим сделать нам сайт.
Да, обычно так и бывает. Но вот риторический вопрос. Региональное министерство не может найти порядка 500р в год для домена и привязать его к яндексу?!
Выделять можно много на что. Но вот кто-то считает, что нужно выделить деньги на домен, кто-то, что на свой сервер, кто-то ещё много на что, а кто решит? Должны быть компетентные люди задействованы.
Проблема не в том, что не может, а в том, что исполнители об этом просто не задумываются. Само министерство-то ничего не пишет.
А нахрена? Зачем вообще каждому региону отдельный сайт?
Все министерства, все регионы, засунуть на www.gov.ru (или gosuslugi), и всё. Сделать единый движок и механизм для всех регионов.
А то каждый изобретает и пилит по своему 89 раз. А порой ещё и в n раз больше, для каждого города каждой области изобретается велосипед.
Стандарты должны быть единые на всю страну. Как Gosuslugi. Единая точка оплаты ЖКХ, без привязки к региону, единый стиль карт и мониторинга транспорта, а не сотни разрознённых непохожих никому не нужных сайтов.
Вот вам и мысль для стартапа: сделать компанию, которая будет специализироваться на создании сайтов и различного ПО для государства.

Но не факт, что прокатит.
Да, и к сожалению с тем же качеством… Придя на один из их проектов — первым делом закрыл directory browsing и индексацию всего этого дела в поисковиках.

Примечательно, что код очень сильно разнится. Есть очень приличные куски, с хорошей продуманной архитектурой, EventBus и всё такое, а есть прямая манипуляция объектами в DAL прямо из button_Click().

То ли сильно разные уровни программистов и полное отсутствие Code Review, то ли дикое управление приоритетами и сроками со стороны руководства…
Я помню сайт единой россии, написанный на python/django выдавал страницу с дебаг-информацией(в которой светил много чем интересным) вместо страницы ошибок. Хотя их делала тоже солидная компания с красивым портфелем (ссылка на сайте внизу), хотя не знаю может в обязанности компании не входило деплоить проект на сервере и так и осталось с включенным дебагом).
> Я хочу сказать, что государство не выделяет ресурсы на это и ждать от таких сайтов качества совсем не стоит.
Государство выделяет громадные бюджеты на сайты но до разработчиков доходят копейки, потому, что берутся их делать те кто себе забирает все деньги и за эти самые копейки нанимает реальных исполнителей. Бывает и что разработчики хорошенько навариваются. Да и то даже до того кто берется это делать доходят уже сильно урезанные от начального бюджета суммы.

>В цивилизованной стране лучшие умы работают именно на государство, потому как создаются условия для этого, а у нас
Мне предлагали сделать один из сайтов для NASA, через американского посредника — студию моего знакомого у которого есть лицензия и он может даже брать заказы от государственных учреждений. Естетсвенно по документам про меня и не слышали бы там.
Поправьте скрины повнимательнее. В частности второй скрин. Всё равно слишком много информации. Гугл по запросу:
site: ( ... ).*.ru

Сразу же выдал результат. Первый. Проверил папку files — всё сходится.
Столько жеманства, аж противно.

Сайт ищется одним запросом в гугл, даже без всякого второго скриншота.
На скрине со списком файлов — очень неплохо называется последний файл)))
честно, поставил бы и плюс и минус за статью, потому что:
минус за простоту и банальность уязвимостей
плюс за напоминание что творится в госсекторе.
Ваш пост совпал с информацией от так называемого российского анонимуса (https://twitter.com/#!/Op_Russia) — об устройстве веб-почты еще более крупного гос-сайта goo.gl/lTuhE (ссылка на твит)
UFO just landed and posted this here
Накидал записочку в приёмную головного сайта. Посмотрим, как быстро СБ отреагирует.
Угу, теперь будут пилить…
UFO just landed and posted this here
UFO just landed and posted this here
Система программирования прежде всего должна решать поставленные задачи. Бездарно написанный код — бездарен даже в самой совершенной системе.
Даёшь госсайты на платформе ucoz или narod.ru! Там уровень абстракции довольно высокий :)
Пожалуйста, заминусуйте мой коммент, и слейте карму, если я не прав:
Проблема на самом деле не в том, что, существуют такие сайты, а, в том, ПОЧЕМУ такие сайты существуют.
Причина кроется в политике, разрушающей государство.
Я понимаю, что, хабр — не место для холиваров и политических баталий, но:
Как, например, правительство Китая материально заинтересовано в массовом выпуске некачественной продукции,
так, и в нашей рашке:
Исполнители для госпроектов выбираются по принципу аукциона: кто за меньшие бабки пообещает сделать — тому и отдадут проект.
Вот и появляются всякие-там гов-сайты, ответственных за которые найти потом не так-то просто.
Именно поэтому у нас никогда не будет нормальных дорог.
Никогда наши межпланетные космические корабли так и не пробороздят дальше просторов большого театра.
И, соответственно, сайтов у госструктур нормальных не будет никогда.
Зато мы за счет такой экономии раздадим долги всему миру, и простим всем кто нам самим должен.
Так к слову о почте… Несколько дней назад ехал в маршрутке, рядом сидела девушка и, своему коллеге, бодро диктовала в телефон логин (email) и пароль от почты. Я, естественно запомнил. Оказалось, что это мыло крупной торгово-закупочной конторы: контракты, сканы счетов и пр. Написал им, попросил изменить пароль на почту и больно стукнуть по голове той девочке. Так что, как ни проектируй безопасность, всегда найдется «девочка в маршрутке».
Можно добавить ещё один пункт в список рекомендаций — всегда давать сайт на тестирование профессиональным QA, а не свободной девочке из бухгалтерии. QA будут больно бить по шапке хотя бы за элементарные уязвимости.

Но почему-то много заказчиков, особенно наших но и среди западных часто такое встречается, пренебрегают тестированием как обязательным элементом в жизни продукта — а зачем, итак покатит
Чтобы пренебрегать надо хотя бы знать. Подавляющее большинство заказчиков даже не знают, что это такое. В лучшем случае считают это обязанностью исполнителя.
Это точно… sad but true. Или считают, что это должен делать девелопер — я бы и рад протестить, но свой код качественно тестить невозможно.
Интересно всегда получается: у гос-структур напряженно-раздраженно-параноидальная защита (но только по проявляемым оттенкам), куча бумажных пропусков, куча бесполезных действий, вагон нормативов, описывающих можно/нельзя… и все это венчает совершенно усыпленное внимание. Все это — синдром вахтера, характерная черта которого — вечно цепляться к тем, кто не опасен.

И страдают от этих параной не злоумышленники, а обычные люди — как с капчей. При этом те, кто хотят хитрить с системой хитрят и так. Толку от этого тогда (я не про капчу)?

Паранойя никогда не обеспечит безопасность, а куча флешек, ключей, паролей, кодов доступа на 15 минут и т.д. обычно обходятся вот так, как показал автор статьи. Отсюда вывод: люди совершенно не контролируют информацию, если она не проявлена материально, если у них нет прямого с ней контакта. Государству проще защищать информацию автоматами и страхом, чем головой, но в it-сфере это не работает.

И они намеренно не пускают it внутрь, потому что знают, что с таким подходом к информации у них все быстренько рухнет.

Так что, дорога, как и всегда, открыта для денег, но не для информации. Печально это все.
Интересно, а если неквалифицированные специалисты установят дверной замок в этом учреждении, автор тоже пролезет внутрь сфотографирует все, а потом выложит гайд по проникновению в сеть?

То что объект взлома не защищен, не является разрешает вам совершать преступление (или подстрекательство, пособничество потенциальным преступникам, как хотите). Или то, что автор открыл почту, но не читал, тоже является оправданием?
Я закон не нарушал. Вы можете доказать обратное в суде?
Окей. Значит ваш пост вранье и вы не получили доступ к личной переписке.
по-моему всех скриншотов этого поста будет достаточно доказать неправомерный доступ к информации.
В нашей стране только суд вправе определять виновен человек или нет. Что является доказательством, а что нет также определяет суд.
Но не любой неправомерный доступ наказуем.
Недостаточно =(. Доступ к данным предоставлен свободный — для их получения не надо использовать особые программы или методы «взлома». Точно так же вы можете зайти на «секретный» объект, если найдете пару отсутствующих секций в заборе. Забор должен быть сплошным. Так же и для приватных данных должна быть обеспечена защита.
Ладно если дверь. Но, получается, квартиру с открытой форточкой, тоже можно безнаказанно обворовывать? Или вытащить кошелек из сумки, для открытия которой не нужно использовать специальные технические средства?
До выкладывания статьи автор сообщил администрации сайта об уязвимости. Об этом было сказано чуть раньше.

Если человек знал, что через его открытую форточку можно пролезть, ему это даже продемонстрировали, а он её не закрыл… Кто, спрашивается, виноват?
Я недавно начал работу с госсектором.
За спиной не один год создания ERP\CRM\WMS-систем (и успешного внедрения), чего только не насмотрелся.
Но когда я начал работу над проектом — у меня волосы на голове зашевелились.
Как отдаются госконтракты я думаю все знают, поговорим об ИТ-стороне.
Зачастую там сидят «программисты», около 35 лет, с базовым знанием html, js и первые 50 страниц книги «С# для идиотов» и получают over 100k денег в месяц, за то, что они ваяют страшный бред. И вот, когда они даже руководству не могут объяснить как эта хрень работает (или не работает), создается контракт, пишутся сроки из головы этого " программиста", и объяснение, типа — «модернизация текущей системы».
Если это не контракт на стотышьмильонов, то его могут взять достаточно мелкие подрядчики, и вот они передают это просто на субподряд.
Три месяца согласований. Никто ничего толком не знает и не отвечает. ТЗ переписывается походу.
Сроки никто не согласовывает. За две недели до сдачи проекта вдруг — «концепция изменилась», все с ног наголову.
— Какие новые сроки? Вы подписали? Вот и делайте!
over 30 000 срок кода в топку (итог работы архитектора и двух программистов и верстальщика\дизайнера за 3,5 месяца, до дедлайна три недели), архитектор бьется в судорогах, программисты ушли в запой, дизайнер поет «ай шот зе шерифф».
— Мы хотим чтобы пользователь оставлял свои паспортные данные! Что? Шифрование? Ключи? За день сделаете?
Какая архитектура? Какой код? Какие паттерны? Слои? А что это?
Всем наплевать, что из старой системы даже отчет выгрузить из-за битых ключей и их отсутствия. Что там нет безопасности как таковой и доступ можно получить ко всем документам и сделать с ними что угодно.
Покажи картинку, и все. Все меряется картинками. Только картинки имеют цену. Красивую картинку можно отправить начальству и объяснить трату денег.
— Мы хотим гибкую workflow-систему, чтобы все сущности и документы, кароче, весь документооборот были полностью настраиваемы, и редактируемы через браузер, без вмешательства программистов.
(архитектор с менеджером три дня пишут план)
— 8 месяцев и только для 12 документов, и все сделать гибким не получится, вы понимаете (объяснение на пальцах).
— Что? Два месяца, вы же молодцы, мне вас рекомендовали как хороших специалистов! Иначе я на вас в суд подам, у вас контракт!
И вот, если вы дочитали коммент до конца я объясню в чем дело.
В сроках.
Сроки это камень преткновения.
Они берутся из потолка, головы, и вопросов знакомому «пэхапэшнику» за сколько бы он сделал сайт на 20-30 страниц. Приурочиваются к дню рождения министерского кота или любовницы.
Их невозможно соблюсти, ибо срок начинается ДО утверждения ТЗ, которое может закончится уже после дедлайна.
И вот когда какому-то бедному программисту уже после выделенных на это 9 месяцев на обновление сайта, за два дня до сдачи приходит задание, вот тут-то он и рождает подобные «шедевры».
А теперь байка, знакомый взялся за контракт, официальный, «перенести с одного движка сайта на другой такую-то инфу, срок две недели». Прошло полгода, делают до сих пор. А знаете почему? Админ уволился. А потом они случайно убили сервер с данными. А потом… ой простите, кто-то в дверь стучит

Sign up to leave a comment.

Articles