Comments 58
Кто бы не отвечал, за вами уже выехали :)
+7
Чьи сайты смотрели — наши или буржуйские? Весьма познавателен был бы более полный отчет, но низзя, бо кулхацкеры сразу ломанутся, как пройдутся по всем аккаунтам контакта (из недавней темы)
Насколько знаю — единой службы никакой нет, многие сайты вообще создавались и поддерживались руками энтузиастов-сотрудников либо по команде сверху местный админ за недельку на готовой cms ваял
Насколько знаю — единой службы никакой нет, многие сайты вообще создавались и поддерживались руками энтузиастов-сотрудников либо по команде сверху местный админ за недельку на готовой cms ваял
+2
Наши. Подробный отчёт — увольте, не опубликую :)
Я пару раз пробовал писать на адреса поддержки, которые указаны на сайте — нулевая реакция, на одном вообще пришёл ответ, что адреса такого не существует.
Я пару раз пробовал писать на адреса поддержки, которые указаны на сайте — нулевая реакция, на одном вообще пришёл ответ, что адреса такого не существует.
+2
тогда другой вопрос — по статистике изученных сайтов какое соотношение бесплатных\платных CMS либо собственных решений было определено невооруженным взглядом?
+1
Примерно треть — самоделки, по крайней мере не удаётся определить производителя (круче всех ФСТЭК — сайт свёрстан во FrontPage :))
Примерно четверть сделана на Битрикс, Лотус или РБК-Софт (не знаю, как у них CMS называется), кажется где-то видел Joomla.
Остальное — на разных CMS российского производства от разных веб-студий.
Примерно четверть сделана на Битрикс, Лотус или РБК-Софт (не знаю, как у них CMS называется), кажется где-то видел Joomla.
Остальное — на разных CMS российского производства от разных веб-студий.
+3
UFO just landed and posted this here
>Или каждый отвечает сам за себя?
Скорее никто не отвечает ни за что.
Скорее никто не отвечает ни за что.
+6
UFO just landed and posted this here
а www.fsb.ru проверяли? ))
+1
А разве правительственные сайты не для обналичивания денег делаются?
+1
UFO just landed and posted this here
У нас в Украине вообще на сайте Внешнего Независимого Тестирования заявили что на их сайт совершена DDoS атака, хотя я более чем уверен что у них просто сервера не выдержали нагрузки в день опубликования результатов. После этого на сайте поставили проверку на реферера — если реферер не этот сайт то вылазит ссылка на этот же сайт :) Таким образом сделали защиту от людей (бот ведь реферер без проблем поставит)
0
примерно в 2000 году писали софт для управления налоговой по Башкирии
там очень внимательно и вдумчиво проверяли. притом сперва проверял ИТ отдел. а потом уже шла тестовая эксплуатация в целевом отделе для которого собственно этот софт предназначался.
там очень внимательно и вдумчиво проверяли. притом сперва проверял ИТ отдел. а потом уже шла тестовая эксплуатация в целевом отделе для которого собственно этот софт предназначался.
0
Давайте пролоббируем услуги по поддерже всех сайтов министерст и ведомств, ну и заработаем на этом хорошо и пользу принесем.
0
Не знаю, как в России, но в Украине ответственность несет то ведомство, которому принадлежит ресурс.
Есть изданные в виде нормативного документа (НД ТЗІ 2.5-010-03, html-версия) требования по защите от НСД. За их исполнением, по идее, должна следить гос.служба спецсвязи и защиты информации Украины.
Благодаря национальному славянскому разгильдяйству, естественно, никто ничего не соблюдает, и никто за этим не наблюдает.Ну или наблюдает в своих коррупционных целях.
В то же время, сами сайты в подавляющем большинстве случаев существуют только ради галочки, т.к. кто-то свыше сказал «Надо». И создаются они троюродными племянниками двоюродной сестры главы отдела за ящик пива в лучшем случае. А остаток средств, выделенных на это дело, оседает сами знаете где.
Есть изданные в виде нормативного документа (НД ТЗІ 2.5-010-03, html-версия) требования по защите от НСД. За их исполнением, по идее, должна следить гос.служба спецсвязи и защиты информации Украины.
Благодаря национальному славянскому разгильдяйству, естественно, никто ничего не соблюдает, и никто за этим не наблюдает.
В то же время, сами сайты в подавляющем большинстве случаев существуют только ради галочки, т.к. кто-то свыше сказал «Надо». И создаются они троюродными племянниками двоюродной сестры главы отдела за ящик пива в лучшем случае. А остаток средств, выделенных на это дело, оседает сами знаете где.
0
UFO just landed and posted this here
а хотя бы ссылки на сайты что проверяли?
-1
Пожалуйста: www.gov.ru/main/ministry/isp-vlast44.html
0
Осталось пробрутить ЖЖ Медведева по словарю.
+3
Статья ни о чем. Или факты и ссылки в студию, или это просто треп.
Любой может сказать, что «проверил 27 сайтов, из которых 19 — дырявые, но доказывать не буду, ссылки не дам».
Ничего личного :)
Любой может сказать, что «проверил 27 сайтов, из которых 19 — дырявые, но доказывать не буду, ссылки не дам».
Ничего личного :)
-6
А вы из правительства?
0
а мне кажется вы просто хотите напортачить на том единственном, который подвержен SQL-injections
+4
Я и не собирался доказывать, что они дырявые. По-моему так они очень даже ничего, я ожидал худшего.
Вопрос в другом: если я таки обнаружил проблему (ну или не я, а кто-то другой обнаружил) — куда следует сообщить, особенно если администрация самого сайта не реагирует?
Вопрос в другом: если я таки обнаружил проблему (ну или не я, а кто-то другой обнаружил) — куда следует сообщить, особенно если администрация самого сайта не реагирует?
0
Небольшое дополнение.
Конечно, все эти сайты министерств и ведомств — они по сути своей «сайты-визитки», там нет никакой сверхсекретной информации (ну или не должно быть). Поэтому спереть оттуда ничего интересного нельзя.
Однако наличие уязвимости может позволить злоумышленнику сделать дефейс сайта, и мне лично будет неприятно узнать, что какие-нибудь турецкие хакеры оставили неприличную надпись на главной странице какого-нибудь российского министерства.
Поэтому мне в данном конктексте не так важно, кто делал сайт, как при этом попилили деньги. Я не собираюсь тыкать пальцем в кривой дизайн или функционал. Я хочу просто понять, куда надо сообщить, если я обнаружил проблему.
Конечно, все эти сайты министерств и ведомств — они по сути своей «сайты-визитки», там нет никакой сверхсекретной информации (ну или не должно быть). Поэтому спереть оттуда ничего интересного нельзя.
Однако наличие уязвимости может позволить злоумышленнику сделать дефейс сайта, и мне лично будет неприятно узнать, что какие-нибудь турецкие хакеры оставили неприличную надпись на главной странице какого-нибудь российского министерства.
Поэтому мне в данном конктексте не так важно, кто делал сайт, как при этом попилили деньги. Я не собираюсь тыкать пальцем в кривой дизайн или функционал. Я хочу просто понять, куда надо сообщить, если я обнаружил проблему.
+2
вообще-то есл мне не изменяет память — за эти дела ФАПСИ отвечает. Ведь интернет и все с ним связанное в понимании госорганов относится к связи, а госсвязь — это ФАПСИ.
+1
Указом Президента России от 11 марта 2003 года № 308 «О мерах по совершенствованию государственного управления в области безопасности Российской Федерации» Федеральное агентство правительственной связи и информации при Президенте Российской Федерации упразднено, а его функции переданы ФСБ России, СВР России и Службе специальной связи и информации ФСО России.
Цитируется отсюда: ru.wikipedia.org/wiki/%D0%A4%D0%90%D0%9F%D0%A1%D0%98
То есть, видимо, за это теперь должна отвечать ФСО, служба специальной связи и информации. Спасибо, хорошая идея!
Цитируется отсюда: ru.wikipedia.org/wiki/%D0%A4%D0%90%D0%9F%D0%A1%D0%98
То есть, видимо, за это теперь должна отвечать ФСО, служба специальной связи и информации. Спасибо, хорошая идея!
0
>>Но вот что я хотел бы узнать – имеется ли какая-то единая служба, которая отвечает за информационную защищенность всех сайтов министерств и ведомств
есть фсб, но она отвечает насколько я знаю только за kremlin.ru и fsb.ru
есть фсб, но она отвечает насколько я знаю только за kremlin.ru и fsb.ru
0
Однажды заргеил интересный домен, через пару дней позвонили Оттуда и вежливо-настоятельно рекомендовали его не использовать.
Так что, следят…
Так что, следят…
0
А можете в личку написать про сайт Президента? Я всё-таки имею какое-то отношение к этой теме.
0
UFO just landed and posted this here
В США есть us-cert.gov отвечающая за информационную безопасность гос. компьютеров.
0
www.ufms.nnov.ru/form/form.php
я недавно пробовал оставить сообщение на сайте УФМС… не вышло… или не дали…
грустно
я недавно пробовал оставить сообщение на сайте УФМС… не вышло… или не дали…
грустно
0
Не знаю, как другим, но лично мне было бы очень интересно почитать, какие лично Вы используете инструменты, приёмы и «техники» для тестирования и проверки сайтов на ошибки и уязвимости. Разумеется, ни в коем случае не в духе «а теперь набираем SELECT… в адресной строке и получаем рутовый пароль», и не на конкретных сайтах, а в конструктивно-профессиональном стиле с изложением основных принципов. Может напишите отдельную публикацию по этому делу?
Лично я за такой материал был бы очень благодарен.
Лично я за такой материал был бы очень благодарен.
0
предлагаю продолжить тему
0
Sign up to leave a comment.
Защищенность правительственных сайтов