ifap Sep 15 2021 at 12:42

«Монитор госсайтов»: регионы просят ремня – 2021

5 min

3.7K

Domain names administrating*Legislation in ITInformation Security*

+12

Comments 23

sonor Sep 15 2021 at 13:24

Я до сих пор не понимаю, почему не могут сделать единый шаблон для всех госучреждений, в том числе правительств, больниц и т.д. Чтобы был единый дизайн, качество и защищенность и все хостилось у одного хостера, тот же государственный РТ имеет много региональных цодов. И доменные имена единообразные .gov.ru, .med.ru и т.п. А то сделали для больниц обязательными сайты и кто во что горазд, а деньги не меньшие пилят, чем ушло бы на централизацию.

ifap Sep 15 2021 at 13:38

Вроде как допинали до этого habr.com/ru/post/560892

Eriksanny Sep 15 2021 at 13:43

Поидее есть давно система дизайна для гос.учреждений но почему то он до сих пор не используется на уровне страны. Хотя инициаторы там весомые.

http://gov.design/

ifap Sep 15 2021 at 13:45

Gov.design — важная часть проекта Минкомсвязи
<...>
Дизайн-система Gov.design — это общественная и профессионаьная инициатива

Ну-ну… https бы чтоль сперва прикрутили к общественной инициативе.

Tenebrius Sep 15 2021 at 14:41

Простите за профанский вопрос, но зачем https сайту-лендингу. где пользователь ничего не отправляет?

ifap Sep 15 2021 at 15:14

Хотя бы для того, чтобы сайт отображался у посетителей как и было задумано, без «дополнений» недобросовестных провайдеров.

amarao Sep 15 2021 at 13:53

С таким доменом нужно слоган хороший.

Gov. design - когда качество и сроки не важны.

ifap Sep 15 2021 at 13:55

Не передразнивайте Артёмия Татьяновича ;)

amarao Sep 15 2021 at 13:56

Я вас не совсем понял. О чём речь?

ifap Sep 15 2021 at 14:10

Он форсил слоган свой студии: долго, дорого, о*уенно, который приобрел известность в ширнармассах в виде: долго, дорого, *уево и прочих производных.

hack3r Sep 15 2021 at 15:41

Единый дизайн это классно, но слишком поздно они решили делать что-то вместе. Те, кто только пилит свой сайты, могут не знать о таком, а те, кто уже давно занимается поддержкой, наврядли захочет из бюджета брать деньги на переработку того, что и так работает. А за бесплатно такое точно не будут переписывать, ибо don't change this block because legacy doesn't work w/o it. Так что придется нам мириться с разнообразием всех ресурсов :с

hack3r Sep 15 2021 at 15:36

С нынешней ситуацией очень интересно искать то, что тебе нужно по обычному запросу в гугле, выбирая из десятка левых сайтов. Занимательно, когда на оф.сайте нужно вводить какие-то личные данные, а там хттп. Зачем же лишать людей такого прекрасного опыта!?

Vorchun Sep 15 2021 at 16:22

Шаблоны делали. Ссылку выше кидали. Я даже видел пару презентаций. Добавлю, что надо и шаблон и структуру спускать. Причем разные для министерства, уловной думы/парламента региона, администрации города, министерства.

Сразу напрашивается единое решение для всех. И хорошо бы под руководством / кураторством головной организации. Чтобы сайт министерства строительства какого-то региона был созвучен минстроя России. А федеральные были по единым шаблонам.

Но нет. Кто в лес, кто по дрова.

ZAZmaster Sep 15 2021 at 13:24

Приятно что не забыли!)

ifap Sep 15 2021 at 13:39

Ну а как, рейтинг-то подрос даже ;) Признавайтесь, правительственный сайт — тоже Ваша заслуга?

David_Osipov Sep 15 2021 at 21:59

Даже лидер рейтинга, Тульская областная Дума, выглядит так себе в плане защищённости https://www.hardenize.com/report/tulaoblduma.ru/1631728097

Хотя, по сравнению с другими, у них хоть более-менее нормально подобраны шифронаборы в TLS 1.2, да и я удивился, что они настроили в email инфраструктуре SPF и DMARC - респект за это.

ifap Sep 15 2021 at 22:00

Тульская облдума — лидер в XSS-рейтинге, в HTTPS-рейтинге ей гордиться совсем нечем ;)

David_Osipov Sep 15 2021 at 22:22

Печально это(
Кстати, а вы не планируете ещё сделать рейтинг сайтов крупных банков, в том числе на тех субдоменах, куда входят через ЛК клиенты? Там тот ещё трындец творится: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/

ifap Sep 15 2021 at 23:09

Вряд ли, коммерческий сектор — не наша тема, если только на коммерческих же условиях ;) Немного касались этого сектора здесь, для сравнения habr.com/ru/post/542604 И таки да, тот же сайт ЛК Сбера — это нечто…

David_Osipov Sep 15 2021 at 23:25

Я тут задумываю пнуть прокуратуру по этому поводу. Не подскажите, какие законы, госты и прочие плоды усиленной законотворческой деятельности нашего гос-ва могли бы помочь убедить прокуратуру взять лупу и посмотреть на предмет лажовой защищённости важных сайтов? В идеале, если прокуратура потом эту лупу запихнёт провинившимся, но это уже в идеале.

ifap Sep 16 2021 at 00:23

Не хочу Вас демотивировать, но сам уже скоро год как пинаю прокуратуру по поводу нарушения госорганами совершенно конкретных НПА по этой части, и не наблюдаю рвения от слова совсем :( Последнее телодвижение — спихнули вопрос Роскомнадзору, который предсказуемо (и справедливо) ответит, что это не его компетенция. А по части банков… наверняка есть какая-то нормативка по этому поводу у Центробанка, но я ее не копал, так что не подскажу.

David_Osipov Sep 16 2021 at 12:55

Значит добавим им головной боли) Я когда почитал эти доклады, а потом сам просканил несколько сайтов, то у меня волосы на голове дыбом встали.

Вот мой самый большой concern - это банковские приложения для смартфонов. И всё руки не доходят врубить Wireshark и посмотреть, куда именно подключаются приложения и насколько безопасно само их подключение.

В общем, спасибо вам за мониторинг, вы делаете реально нужную работу! :)

ifap Sep 16 2021 at 13:26

Так держать, вода камень точит! И хотя после не значит вследствии, кой-какие подвижки я все-таки вижу.