Comments 50
UFO just landed and posted this here
Давненько я столько бреда не читал
Тратить бюджетные деньги, чтобы было красиво, то что работает мягко говоря по совковому? Отличная идея для распила. Пример: Регистрируемся в ГОСУСЛУГАХ, вводим паспорт, СНИЛС, ждём 15 минут пока всё это проверится и… обламываемся, потому что с проверенным паспортом и СНИЛС у нас неподтверждённый профиль с которым ни в ПФР, ни в налоговую не пускают. Для подтверждения профиля требуют придти с паспортом и СНИЛС в МФЦ или получить заказное письмо, которое придётся 2 недели ждать, и даже если мы подтвердили письмом, то в налоговую всё равно не пускают. Вопрос, если предоставленная пользователем уйма данных не является подтверждением, то нафига её вообще проверять? В платёжных системах и цивилизованных странах можно подтвердить личность счётом за электричество и прочие бытовые услуги. А тут что не дай, всё равно не верим, ты никто. Отличный дизайн, лучше только в аду.
Я понимаю, что текст читать не хочется, но комментарии можно уж было бы глянуть ;)
Выбранное вами направление в данный момент далеко не в приоритете. Не находите? Напоминает тюнинг заниженного таза, чтоб как у стритрейсеров тачка была. Дизайн это не шрифтами играть, а проектировать взаимодействие с продуктом, призванный упростить пользователю решение проблемы и удовлетворить потребность, на которую нацелен этот самый продукт. В вашей статье дизайн это игра шрифтами и какая-то вода, никакого отношения к технической направленности хабра не имеющая, минусите дальше, раз такие нежные.
Тут о проектировании как раз. Просто тут речь идет об открытом проекте. Кто-то специализируется в области типографики и работает с ней, а кто-то анализирует нюансы юзабилити.
Согласен. Мало кто сейчас за свои деньги что-то делает для государства. А вот ребята делают.
Выбранное вами направление в данный момент далеко не в приоритете
Согласен. Мало кто сейчас за свои деньги что-то делает для государства. А вот ребята делают.
Может это от того, что государство за деньги налогоплательщиков мало что делает для граждан? Почему ребятам приходится делать за свои деньги? На порталы выделяются миллионы и миллиарды. Их получают определённые компании. Вы я так понимаю предлагаете дизайнерам присоединиться к проекту и совместно выработать гайдлайн даром, чтобы сократить расходы тех самых компаний? Щикарно)
Не расходы, а бюджеты на проекты.
Все проще: чтобы сократить расходы государства на дизайн госсистем.
Стандартизация решений и методические рекомендации.
Стандартизация решений и методические рекомендации.
С чего вы взяли что расходы в РФ сократятся? Многие пользователи хабра замечают, что корреляция между стоимостью и расходами подрядчика отсутствует. Вы сами знаете как это называется.
В Великобритании есть команда создающая гайдлайны? Прекрасно, как только всё остальное будет как в Великобритании приходите. А пока сходите в поликлиники Москвы и регионов, посмотрите как там прекрасно, лучше чем в Великобритании, осталось только о гайдлайнах беспокоиться.
Понимаю, многое наболело. Мы и хотим создать все условия для того чтобы человек (дизайнер или проектировщик) смогу думать о решении задачи и сокращении пути, забыв о декоративности.
и… обламываемся, потому что с проверенным паспортом и СНИЛС у нас неподтверждённый профиль с которым ни в ПФР, ни в налоговую не пускают.
Упрощенно, проверено только то, что паспорт, действительно существует, но не то, что вы действительно являетесь тем гражданином, которому он выдан. Доступ к реквизитам документов может быть у ваших родственников, и даже например у незнакомых вам людей, если вы например, кредит оформляли.
Госуслуги — это несколько посложнее, чем интернет-магазин.
Это бессмысленно. Есть миллион и один способ завладеть ключами к госуслугам без ведома или согласия того, кому эти ключи принадлежат. Создавать тонну неудобств ради того чтобы исключить один из этого миллиона способов — это не разумно. Можно добавить, например, дополнительную проверку по кредитной карте, если уж хочется заморочиться.
В США, к примеру, чтобы заплатить налоги/получить возврат налогов — нужен SSN, никаких личных визитов, никаких личных ЭЦП. А деньги приходят или на указанный счет в банке или чеком по почте. И вроде ничего не обвалилось.
В США, к примеру, чтобы заплатить налоги/получить возврат налогов — нужен SSN, никаких личных визитов, никаких личных ЭЦП. А деньги приходят или на указанный счет в банке или чеком по почте. И вроде ничего не обвалилось.
То есть, когда вот находится баг в openssl — это «ужас-ужас», а когда кто-то может путем социальной инженерии получить доступ к Вашим данным это ничего, ведь «вроде ничего не обвалилось»?
«Добавить, например, дополнительную проверку по кредитной карте». Что это будет значить? что у человека есть кредитная карта? Я знаю двух человек, которым один банк выпустил кредитные карты и предлагал забрать их, при том что люди их не заказывали.
Например тут недавно обсуждали, что деньги с карты VISA могут снять, зная только номер карты, при этом не нужны всякие CVC и CVV. Но это же нормально, главное чтобы «удобно было»?
Для простого человека «не подтвержденная», «подтвержденная», «подписанная ЭП» — это разные «уровни доступа» к разным категориям услуг. Для интересующихся — порядок применения расписан в постановлениях правительства РФ от 25.06.2012 № 634, от 25.01.2013 № 33 ну и еще несколько других этой темы касаются.
Минусующим — я не говорю что это идеал и так и надо. Я говорю, что по факту — на сегодняшний день реальность такова. Хотите поменять реализацию — добейтесь внесения соответствующих изменений в нормативку. Поэтому и сложнее, чем интернет-магазин, где вы на коленке можете запилить что хотите.
«Добавить, например, дополнительную проверку по кредитной карте». Что это будет значить? что у человека есть кредитная карта? Я знаю двух человек, которым один банк выпустил кредитные карты и предлагал забрать их, при том что люди их не заказывали.
Например тут недавно обсуждали, что деньги с карты VISA могут снять, зная только номер карты, при этом не нужны всякие CVC и CVV. Но это же нормально, главное чтобы «удобно было»?
Для простого человека «не подтвержденная», «подтвержденная», «подписанная ЭП» — это разные «уровни доступа» к разным категориям услуг. Для интересующихся — порядок применения расписан в постановлениях правительства РФ от 25.06.2012 № 634, от 25.01.2013 № 33 ну и еще несколько других этой темы касаются.
Минусующим — я не говорю что это идеал и так и надо. Я говорю, что по факту — на сегодняшний день реальность такова. Хотите поменять реализацию — добейтесь внесения соответствующих изменений в нормативку. Поэтому и сложнее, чем интернет-магазин, где вы на коленке можете запилить что хотите.
То есть, когда вот находится баг в openssl — это «ужас-ужас», а когда кто-то может путем социальной инженерии получить доступ к Вашим данным это ничего, ведь «вроде ничего не обвалилось»?Да, потому что баг в OpenSSL позволяет выполнять веерные атаки, без конкретной жертвы и без особых трудозатрат.
Что это будет значить? что у человека есть кредитная карта? Я знаю двух человек, которым один банк выпустил кредитные карты и предлагал забрать их, при том что люди их не заказывали.Это будет значить что регистрирующийся имеет доступ к паспорту, к социальному номеру, к кредитной карте и к привязанному телефону/интернет банку. Всем почему-то этого более чем достаточно. Да и я посмотрел вот эти госуслуги — там вообще можно по одному номеру паспорта регистрироваться. Почему? Да потому что там ничего кроме как записаться на услугу сделать нельзя. Ну еще какую-нибудь жалобу подать. Ну и еще налоговая, где можно заплатить налоги (вот уж хорошо если кто-то взломает и за вас налоги оплатит). Почему-то в тех же США, я привел выше — для налоговой вполне хватает одного номера, который светится всем кому не лень (мобильные операторы, интернет провайдеры, банки, аренда жилья...) и никаких танцев с бубном.
Например тут недавно обсуждали, что деньги с карты VISA могут снять, зная только номер карты, при этом не нужны всякие CVC и CVV. Но это же нормально, главное чтобы «удобно было»?Знаете, вот у нас распространена такая вещь как чеки, там все еще проще, вы получили платеж, сделали чек с такими же цифрами, написали любую сумму, подпись и идите обналичивать, можно даже дистанционно. Т.е. я могу сфотографировать в приложении подделку, написать что это чек на 1000 долларов и через секунду (деньги зачисляются сразу в том количестве которое я ввел) снять их в банкомате. И это нормально, удобство тоже выражается в денежном эквиваленте, если у вас будет фрода на миллион долларов в год из-за фичи, но эта фича сделает «удобно» и вы ожидаете что это «удобно» принесет вам косвенно большие деньги — вы в плюсе.
ЭП в россии, последний раз когда я смотрел — это вообще курам на смех. Ее обязательно было обновлять раз в год (сказали по закону нельзя больше чем на год выдавать). При этом обновлять надо было лично, и даже по доверенности это сделать нельзя, не то что электронно/по почте.
«баг в OpenSSL позволяет выполнять веерные атаки, без конкретной жертвы и без особых трудозатрат.»
Я все же думаю, что жертвы все таки будут конкретными. Как и в любом случае. Представьте ситуацию, когда без вашего ведома перерегистрируют в ГИБДД ваш автомобиль, в Росреестре — вашу квартиру…
Налоги я спокойно плачу через терминал сбера. Но сколько мне их начислили — это мое личное дело. Для налоговиков — 102 ст. НК РФ, они должны налоговую тайну хранить (считаете что не надо — внесите изменения в НК РФ, потом требуете изменения в интерфейсе). Бухгалтера давно уже отчетность ЭП подписывают и не ходят никуда.
«Да и я посмотрел вот эти госуслуги — там вообще можно по одному номеру паспорта регистрироваться. Почему? Да потому что там ничего кроме как записаться на услугу сделать нельзя.»
Для выдачи/замены паспорта вы действительно должны придти ЛИЧНО. Для некоторых других достаточно вашего заявления с портала госуслуг. Для некоторых других вы должны заявление подписать ЭП. Для некоторых вы должны приложить документы, подписанные ЭП тех органов/организаций, которые выдавали вам такие документы (а вот с этим пока еще сложно).
ЭП на год — это да, проблема… Но согласитесь, что не все еще понимают что ЭП это аналог собственноручной живой подписи, передают ее спокойно. Нужно видимо время какое-то, чтобы ЭП в оборот вошла. Сейчас уже вроде даже возможность подачи электронных документов в суд реализовывают (наконец-то).
Чеки по законодательству у нас есть. Другое дело, что доверия к ним нет. Желаете острых ощущений — продайте свою квартиру с оплатой по чеку. Даже если мошенника потом находят, деньги вернуть не реально. Удобство для части граждан не должно перевешивать возможность наступления таких последствий в масштабах всей страны.
Я все же думаю, что жертвы все таки будут конкретными. Как и в любом случае. Представьте ситуацию, когда без вашего ведома перерегистрируют в ГИБДД ваш автомобиль, в Росреестре — вашу квартиру…
Налоги я спокойно плачу через терминал сбера. Но сколько мне их начислили — это мое личное дело. Для налоговиков — 102 ст. НК РФ, они должны налоговую тайну хранить (считаете что не надо — внесите изменения в НК РФ, потом требуете изменения в интерфейсе). Бухгалтера давно уже отчетность ЭП подписывают и не ходят никуда.
«Да и я посмотрел вот эти госуслуги — там вообще можно по одному номеру паспорта регистрироваться. Почему? Да потому что там ничего кроме как записаться на услугу сделать нельзя.»
Для выдачи/замены паспорта вы действительно должны придти ЛИЧНО. Для некоторых других достаточно вашего заявления с портала госуслуг. Для некоторых других вы должны заявление подписать ЭП. Для некоторых вы должны приложить документы, подписанные ЭП тех органов/организаций, которые выдавали вам такие документы (а вот с этим пока еще сложно).
ЭП на год — это да, проблема… Но согласитесь, что не все еще понимают что ЭП это аналог собственноручной живой подписи, передают ее спокойно. Нужно видимо время какое-то, чтобы ЭП в оборот вошла. Сейчас уже вроде даже возможность подачи электронных документов в суд реализовывают (наконец-то).
Чеки по законодательству у нас есть. Другое дело, что доверия к ним нет. Желаете острых ощущений — продайте свою квартиру с оплатой по чеку. Даже если мошенника потом находят, деньги вернуть не реально. Удобство для части граждан не должно перевешивать возможность наступления таких последствий в масштабах всей страны.
Я все же думаю, что жертвы все таки будут конкретными. Как и в любом случае. Представьте ситуацию, когда без вашего ведома перерегистрируют в ГИБДД ваш автомобиль, в Росреестре — вашу квартиру…Еще раз. Веерная атака это значит «вот у нас база с миллионом потенциальных целей, давайте попробуем по одному паттерну атаковать и насобирать гешефта», а целевая атака это «вот у нас есть Вася, надо получить доступ к его данным». Жертвы конкретные в обоих случаях, но изначально веерная атака не нацелена на кого-то конкретного, подобные уязвимости позволяют атаковать по площадям с целью взять количеством.
Налоги я спокойно плачу через терминал сбера. Но сколько мне их начислили — это мое личное дело.А я говорю что это надо на показ выставить? Нет, я говорю о том, что не нужно фанатичных мер «защиты», которые по факту мало чем отличаются от мер адекватных.
Для выдачи/замены паспорта вы действительно должны придти ЛИЧНО. Для некоторых других достаточно вашего заявления с портала госуслуг. Для некоторых других вы должны заявление подписать ЭП. Для некоторых вы должны приложить документы, подписанные ЭП тех органов/организаций, которые выдавали вам такие документы (а вот с этим пока еще сложно).Я не нашел ничего сверхъестественного что можно было бы сделать плохого имея учетную запись там. Но опять же — зачем такие заморочки? Почему есть страны где это работает без таких заморочек? Почему вообще мне нужно за заменой паспорта/ВУ идти лично? Почему нельзя это отправить по почте? Почему нельзя курьером? Я могу перевыпустить ВУ без всяких ЭЦП, просто по логину/паролю и оно придет по почте, почему нельзя сделать так же?
Но согласитесь, что не все еще понимают что ЭП это аналог собственноручной живой подписи, передают ее спокойноИ именно поэтому ее нельзя получить даже по доверенности, даже если в доверенности написано «даю право получать ЭЦП»? Да и если человек отдает ЭЦП — какая разница, он и перевыпущенную отдаст.
Удобство для части граждан не должно перевешивать возможность наступления таких последствий в масштабах всей страны.Не вижу таких проблем с ЭЦП.
Кстати, не знаю как сейчас, но в довесок — они эти ЭЦП даже нормально внедрить не могут. У налоговой были одни требования, у госуслуг другие, у росреестра третьи, в УЭК реализованы четвертые, в ЭЦП выдаваемах банком — пятые, и все это далеко не всегда было совместимо друг с другом. Кроме того — что за волшебство с установкой корневых сертификатов? Почему нельзя получить сертификат у существующего корневого УЦ и использовать его как цель проверки на сайтах эту ЭЦП принимающих? Тогда софт не будет ругаться и не нужно будет устанавливать сомнительный сертификат в список доверенных. Одно это уже подрывает всю идею, ставить черт знает что как доверенное в свою систему — это нужно отдельную виртуалку под эту под это дело минимум, а с виртуалкой не все токены работают, поэтому — отдельный компьютер. Да, сверх удобное решение.
К слову, вся инфраструктура для ЭЦП практически везде уже существует. Надо просто ввести единый сертификат подписи и стандарт шифрования, дальше можно просто обязать всех принимать подписанные документы на официальный email (компьютеры сейчас везде есть с интернетом), никаких хитрых порталов и прочих полу-работающих решений не нужно. Просто приравнять на уровне закона — ЭЦП везде и всегда аналог собственноручной подписи и все гос. органы обязаны принимать эту ЭЦП. Но нет, надо пойти по трудному пути.
Ситуацию с openssl я привел для примера. Можно ведь и так рассуждать — «говорили, что баг такой критичный и опасный, существовал много лет, а много ли от него пострадало?»
«что можно было бы сделать плохого имея учетную запись там.»
Представьте, две семьи живут в одной квартире — ну вот жизнь такая. Одна семья хочет сделать перепланировку, другая против. Тогда по вашей схеме подается «заявление» в электронном виде и получается разрешение. Что делать этой другой семье и как доказывать «это был не я»?
Другое дело, что действительно каждое министерство поутверждало свои требования к электронным услугам — в том числе форматы файлов, виды ЭП + есть еще 634 постановление с ребусом для определения вида эп для всех остальных случаев.
«Надо просто ввести единый сертификат подписи»
В законе об ЭП с декабря 2015. Смотрим на Минкомсвязь РФ.
«Дальше можно просто обязать всех принимать подписанные документы на официальный email» — тоже уже есть в 59-ФЗ «О порядке рассмотрения обращений граждан в РФ». Пишите, отказать в рассмотрении не имеют права.
Портал госуслуг фактически должен упростить подачу заявлений + ведет реестр самих услуг (не существует постановления, утверждающего список всех услуг в РФ) + решает другие задачи — например у нас есть органы гос власти субъектов + муниципалитеты. Вы легко сможете разобраться без такого портала как госуслуги, кто за какие услуги отвечает? А еще есть СМЭВ, куча систем завязанных на ЕСИА и т.п.
«что можно было бы сделать плохого имея учетную запись там.»
Представьте, две семьи живут в одной квартире — ну вот жизнь такая. Одна семья хочет сделать перепланировку, другая против. Тогда по вашей схеме подается «заявление» в электронном виде и получается разрешение. Что делать этой другой семье и как доказывать «это был не я»?
Другое дело, что действительно каждое министерство поутверждало свои требования к электронным услугам — в том числе форматы файлов, виды ЭП + есть еще 634 постановление с ребусом для определения вида эп для всех остальных случаев.
«Надо просто ввести единый сертификат подписи»
В законе об ЭП с декабря 2015. Смотрим на Минкомсвязь РФ.
«Дальше можно просто обязать всех принимать подписанные документы на официальный email» — тоже уже есть в 59-ФЗ «О порядке рассмотрения обращений граждан в РФ». Пишите, отказать в рассмотрении не имеют права.
Портал госуслуг фактически должен упростить подачу заявлений + ведет реестр самих услуг (не существует постановления, утверждающего список всех услуг в РФ) + решает другие задачи — например у нас есть органы гос власти субъектов + муниципалитеты. Вы легко сможете разобраться без такого портала как госуслуги, кто за какие услуги отвечает? А еще есть СМЭВ, куча систем завязанных на ЕСИА и т.п.
Представьте, две семьи живут в одной квартире — ну вот жизнь такая. Одна семья хочет сделать перепланировку, другая против. Тогда по вашей схеме подается «заявление» в электронном виде и получается разрешение. Что делать этой другой семье и как доказывать «это был не я»?А как вам доказывать что «это был не я» если подделали вашу подпись? Запретить подписи? А еще можно придумать для пущей драмы братьев-близнецов, которые украли друг у друга паспорт и взяли кредит, и сделать вывод — запретить паспорта. Ой, в таком случае и ЭЦП можно же получить неавторизованно. Смысл приплетать такие случаи? Да, все не идеально, но работает же.
Как в вашем примере люди получили пароль? Нет, ну ладно, флешку украсть еще можно, но надо же еще и пароль выпытать. Таким макаром можно пригрозить убить и человек сам пойдет лично подпишет все у нотариуса, толку то.
«А как вам доказывать что «это был не я» если подделали вашу подпись? Запретить подписи?»
Проводится подчерковедческая экспертиза.
«драмы братьев-близнецов, которые украли друг у друга паспорт и взяли кредит,»
Опять подчерковедческая экспертиза.
«Как в вашем примере люди получили пароль? Нет, ну ладно, флешку украсть еще можно, но надо же еще и пароль выпытать.»
Да это же вы предлагаете «не усложнять», в результате по вашей схеме посторонний человек вместо вас регистрируется на госуслугах, ну и получает пароль. А логин — ваш СНИЛС и/или ваш номер телефона.
Вам финал Эндрю Дюфрейна в «Побег из Шоушенка» ничего не напоминает?..
или анекдот «Вижу сидят мужики и в покер играют. Я к ним подсел, играем по малой, и тут один мужик говорит: „У меня очко“. Я ему: „Покажи! “, а он мне говорит: „У нас здесь все джентльмены, все друг другу на слово верят… “. И тут у меня такая карта поперла!..»
Кстати, получение ЭП по доверенности вполне законно.
По вопросу срока действия ЭП — на форуме криптопро говорили 7 лет назад, что 1 год- это срок «неявной компрометации закрытого ключа», «Срок устанавливает ФСБ в процесе сертификации продукта и прописывает его в документации на продукт»
http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=11636#post11636
Ну а выгодно это наверное только удостоверяющим центрам (ИМХО)
Представляется, что в УЭК срок действия должен был быть больше (но да, не взлетело), проверить уже не могу.
«Да, все не идеально, но работает же.» :)
Проводится подчерковедческая экспертиза.
«драмы братьев-близнецов, которые украли друг у друга паспорт и взяли кредит,»
Опять подчерковедческая экспертиза.
«Как в вашем примере люди получили пароль? Нет, ну ладно, флешку украсть еще можно, но надо же еще и пароль выпытать.»
Да это же вы предлагаете «не усложнять», в результате по вашей схеме посторонний человек вместо вас регистрируется на госуслугах, ну и получает пароль. А логин — ваш СНИЛС и/или ваш номер телефона.
Вам финал Эндрю Дюфрейна в «Побег из Шоушенка» ничего не напоминает?..
или анекдот «Вижу сидят мужики и в покер играют. Я к ним подсел, играем по малой, и тут один мужик говорит: „У меня очко“. Я ему: „Покажи! “, а он мне говорит: „У нас здесь все джентльмены, все друг другу на слово верят… “. И тут у меня такая карта поперла!..»
Кстати, получение ЭП по доверенности вполне законно.
По вопросу срока действия ЭП — на форуме криптопро говорили 7 лет назад, что 1 год- это срок «неявной компрометации закрытого ключа», «Срок устанавливает ФСБ в процесе сертификации продукта и прописывает его в документации на продукт»
http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=11636#post11636
Ну а выгодно это наверное только удостоверяющим центрам (ИМХО)
Представляется, что в УЭК срок действия должен был быть больше (но да, не взлетело), проверить уже не могу.
«Да, все не идеально, но работает же.» :)
Проводится подчерковедческая экспертиза.Серьезно? Какой там precision/recall для задачи «определить что это писал Вася»?
Да это же вы предлагаете «не усложнять», в результате по вашей схеме посторонний человек вместо вас регистрируется на госуслугах, ну и получает пароль. А логин — ваш СНИЛС и/или ваш номер телефона.Посторонний человек имеющий доступ к вашему паспорту, СНИЛСу телефону и кредитке — тут уже надо о другом беспокоиться.
Кстати, получение ЭП по доверенности вполне законно.Может быть, когда я получал и спрашивал — мне сказали «нет».
По вопросу срока действия ЭП — на форуме криптопро говорили 7 лет назад, что 1 год- это срок «неявной компрометации закрытого ключа», «Срок устанавливает ФСБ в процесе сертификации продукта и прописывает его в документации на продукт»Это, простите, бред сивой кобылы.
«Какой там precision/recall для задачи «определить что это писал Вася»?»
Петя заявляет «я это не подписывал», обращается за проведением экспертизы.
получает заключение. Либо Петя обращается в суд с иском, в процессе заявляет ходатайство о назначении судебной экспертизы.
«Посторонний человек имеющий доступ к вашему паспорту, СНИЛСу телефону и кредитке»
По отдельности — да где только их не оставляют. Почта, банки, страховые, поликлиники, мобильные операторы. В бухгалтерии учебного заведения в которой учились или организации, в которой работаете есть вообще все вместе.
«Это, простите, бред сивой кобылы.»
мотороллер не мой, а Юрия Маслова, коммерческого директора компании «КРИПТО-ПРО»
А где и кем этот срок на самом деле определяется? Поделитесь секретом…
Петя заявляет «я это не подписывал», обращается за проведением экспертизы.
получает заключение. Либо Петя обращается в суд с иском, в процессе заявляет ходатайство о назначении судебной экспертизы.
«Посторонний человек имеющий доступ к вашему паспорту, СНИЛСу телефону и кредитке»
По отдельности — да где только их не оставляют. Почта, банки, страховые, поликлиники, мобильные операторы. В бухгалтерии учебного заведения в которой учились или организации, в которой работаете есть вообще все вместе.
«Это, простите, бред сивой кобылы.»
мотороллер не мой, а Юрия Маслова, коммерческого директора компании «КРИПТО-ПРО»
А где и кем этот срок на самом деле определяется? Поделитесь секретом…
Петя заявляет «я это не подписывал», обращается за проведением экспертизы.Вы о чем говорите? Вы заявили о этой экспертизе, так вот я повторяю вопрос — P/R у нее какой?
получает заключение. Либо Петя обращается в суд с иском, в процессе заявляет ходатайство о назначении судебной экспертизы.
По отдельности — да где только их не оставляют. Почта, банки, страховые, поликлиники, мобильные операторы. В бухгалтерии учебного заведения в которой учились или организации, в которой работаете есть вообще все вместе.Непосредственно сим-карта и доступ к транзакциям банковской карты оставляется «где угодно»? Ну ок. Кстати, выше вы упомянули про вашу экспертизу, ну так давайте приложим к списку документов высококачественное фото/скан собственноручно написанного заявления. Раз вы так уверены в вашей экспертизе.
А где и кем этот срок на самом деле определяется? Поделитесь секретом…Понятия не имею кто и где, лишь говорю что вот это все про год — бред.
«Вы о чем говорите? Вы заявили о этой экспертизе, так вот я повторяю вопрос — P/R у нее какой»
если интересует, погуглите сами: https://www.google.ru/search?q=подчерковедческая+экспертиза+вероятность
«Непосредственно сим-карта и доступ к транзакциям банковской карты оставляется «где угодно»?»
Проблема не в том, что оставляется «где угодно» или «не где угодно», а в доверии таким механизмам и наличии ответственности за эти вещи.
http://www.banki.ru/services/responses/bank/response/10024465/
Как вы предлагаете такими вещами что-либо удостоверять?
" ну так давайте приложим к списку документов высококачественное фото/скан собственноручно написанного заявления."
Я думаю, что если ваше фото фото/скан будут настолько высококачественным, что позволит исключить возможность внесения изменений, вы совершите революцию. Оборудование только будет недешевым, проще ЭП получить.
А более серьезно — в ходе экспертизы исследуется и сама бумага, в т.ч. сила нажатия и т.п., короче советую почитать.
«Понятия не имею кто и где, лишь говорю что вот это все про год — бред.»
железный аргумент
если интересует, погуглите сами: https://www.google.ru/search?q=подчерковедческая+экспертиза+вероятность
«Непосредственно сим-карта и доступ к транзакциям банковской карты оставляется «где угодно»?»
Проблема не в том, что оставляется «где угодно» или «не где угодно», а в доверии таким механизмам и наличии ответственности за эти вещи.
http://www.banki.ru/services/responses/bank/response/10024465/
Как вы предлагаете такими вещами что-либо удостоверять?
" ну так давайте приложим к списку документов высококачественное фото/скан собственноручно написанного заявления."
Я думаю, что если ваше фото фото/скан будут настолько высококачественным, что позволит исключить возможность внесения изменений, вы совершите революцию. Оборудование только будет недешевым, проще ЭП получить.
А более серьезно — в ходе экспертизы исследуется и сама бумага, в т.ч. сила нажатия и т.п., короче советую почитать.
«Понятия не имею кто и где, лишь говорю что вот это все про год — бред.»
железный аргумент
если интересует, погуглите сами:Так вы приводите это как какой-то метод защиты в контексте ЭЦП, т.е. надо понимать что раз ваша экспертиза адеватна и вы не приемлете предложенный мной варианты для ЭЦП — значит она лучше. Так вот я и спрашиваю, P/R какой?
Как вы предлагаете такими вещами что-либо удостоверять?Потому что нет идеальных средств, а на практике доверяют и гораздо более слабой защите, такой как подпись.
Я думаю, что если ваше фото фото/скан будут настолько высококачественным, что позволит исключить возможность внесения измененийВы опять возводите в абсолют. Нам не нужна абсолютная защита, нам нужна защита в целом не хуже чем существующая для старых методов.
железный аргументЖелезный аргумент что «Вася сказал год — значит год». Обычно для исключения возможности взлома ключа используется практика получения новой ЭЦП при помощи старой. Т.к. срок взлома ЭЦП больше чем интервал между обновлениями сертификата — то проблема со взломом решается (это при учете даже что кому-то захочется на вас время суперкомпьютера потратить). Проблема с копированием решается применением адекватных токенов. А если кто-то окажется способен украсть ваш токен и сможет таки извлечь ключ — то это значит что лично вам не поможет ничего, хоть каждый месяц получайте новый токен, если вами заинтересовались — все уже бесполезно.
Зачем проверено? Чтобы уровень доступа остался тем же, как и без паспортных данных? Отличная логика работы. Если у мошенника есть данные паспорта и СНИЛС, то разглашение данных это проблема гражданина.
С госсайтами самая неприятная, имхо, проблема, что они сделаны для галочки:
1. Неактуальная информация, в том числе адреса и телефоны
2. Нет ответственного за сбор фидбека с сайта: данные из «написать специалисту» улетают куда угодно, письма по адресу в разделе «контакты» фильтруются по неясному алгоритму с рандомным временем ответа
То, что они неудобные и вызывают кровь из глаз — это уже неважно, если функция предоставления информации и связи с учреждением не работает.
1. Неактуальная информация, в том числе адреса и телефоны
2. Нет ответственного за сбор фидбека с сайта: данные из «написать специалисту» улетают куда угодно, письма по адресу в разделе «контакты» фильтруются по неясному алгоритму с рандомным временем ответа
То, что они неудобные и вызывают кровь из глаз — это уже неважно, если функция предоставления информации и связи с учреждением не работает.
Более того, разрозненность баз данных поражает воображение, как и знание законов РФ чиновниками на местах. Иной раз гражданам говорят паспорт у тебя ненастоящий или ты не гражданин. На вопрос «с чего вы так решили?» приводится аргументация в стиле «вот когда с другого конца света подтвердят, тогда и поверим, ждите ответа». С другого конца света конечно не приходит вообще никакого ответа, видимо там всем лень, и после обращений в прокуратуру оказывается, что ты сам дурак и следовало наорать на дебила, чтобы он действовал в рамках законодательства РФ. Лучший гайдлайн для РФ, дарю)
Проблема в том, что если тебе говорят «а это не так», «нет справки о получении справки» или «ты вообще кто?», нельзя получить письменное требование/возражение/отказ, а если такое получишь, а оно неправомочное — косячнику ничего не будет. Беготня «левая инстанция — прокуратура — обратно» занимает самое меньшее 2 недели и никакой компнсации, кроме моральной, не даёт.
Как с точки зрения безопасности обеспечить связность БД госучреждений, чтобы стало одно [работающее] окно? Чтобы данные не украли на месте или при передаче (коррупция, превышение полномочий, социнженерия, взлом), учитывая квалификацию и компьютерную грамотность среднего госслужащего и матобеспечение госучреждений?
Наорать — это вообще хороший способ, даже если ты неправ, а вопрос «можно ли изменить насилием мир к лучшему» в принципе бессмысленен :)
Как с точки зрения безопасности обеспечить связность БД госучреждений, чтобы стало одно [работающее] окно? Чтобы данные не украли на месте или при передаче (коррупция, превышение полномочий, социнженерия, взлом), учитывая квалификацию и компьютерную грамотность среднего госслужащего и матобеспечение госучреждений?
Наорать — это вообще хороший способ, даже если ты неправ, а вопрос «можно ли изменить насилием мир к лучшему» в принципе бессмысленен :)
Согласен, гайдлайн нужен юридический для начальства и граждан, чтобы у чиновников была ответственность, а нам тут про шрифты толкуют. У авторов статьи и юридическое и экономическое образование есть, а не занимаются данной проблемой, видимо не могут. Они могут возразить, что я тоже не могу, так я и не берусь, и в окологосударственном окружении не вращаюсь.
По поводу безопасности конечно, есть нюансы, но есть и решения, в крайнем случае посадить везде прокладку биологическую для ответов. Денег в ведомствах нет, потому что 3/4 мозгоклюев следует уволить и денег окажется больше чем требуется. Отсуствие порядка приводит к раздуванию штата, раздувание штата к отсутствию порядка.
По поводу безопасности конечно, есть нюансы, но есть и решения, в крайнем случае посадить везде прокладку биологическую для ответов. Денег в ведомствах нет, потому что 3/4 мозгоклюев следует уволить и денег окажется больше чем требуется. Отсуствие порядка приводит к раздуванию штата, раздувание штата к отсутствию порядка.
Если честно, я поражен, что у такой великой страны только сейчас начинают писаться «брендбуки» — даже у нас «Книги стилей» (дословный перевод с латышского) появились около 7 лет назад.
С другой стороны, я поражен, что все-таки возможно выставлять на редакцию даже герб! Да и вообще все обсуждаемо.
Очень неожиданная статья :)
С другой стороны, я поражен, что все-таки возможно выставлять на редакцию даже герб! Да и вообще все обсуждаемо.
Очень неожиданная статья :)
Почитал еще раз внимательно Федеральный конституционный закон от 25.12.2000 № 2-ФКЗ «О Государственном гербе Российской Федерации» + Указы Президента РФ по использованию герба РФ.
Описание герба и картинка приводится в № 2-ФКЗ.
Указом президента Б.Н. Ельцина № 856 от 29 июня 1999 года создан геральдический совет при Президенте РФ., задачами которого является "… — геральдическое обеспечение в установленном порядке работ по созданию и использованию официальных символов и отличительных знаков;
— разработка рекомендаций по вопросам учреждения и использования официальных символов и отличительных знаков для федеральных органов исполнительной власти, органов государственной власти субъектов Российской федерации, органов местного самоуправления...".
Так что вот очень интересно, как нашли вывод о возможности самостоятельного редактирования (видоизменения) изображения герба РФ…
Описание герба и картинка приводится в № 2-ФКЗ.
Указом президента Б.Н. Ельцина № 856 от 29 июня 1999 года создан геральдический совет при Президенте РФ., задачами которого является "… — геральдическое обеспечение в установленном порядке работ по созданию и использованию официальных символов и отличительных знаков;
— разработка рекомендаций по вопросам учреждения и использования официальных символов и отличительных знаков для федеральных органов исполнительной власти, органов государственной власти субъектов Российской федерации, органов местного самоуправления...".
Так что вот очень интересно, как нашли вывод о возможности самостоятельного редактирования (видоизменения) изображения герба РФ…
Да и еще есть вопрос по легитимности размещения изображения, визуально напоминающего герб РФ (https://habrastorage.org/getpro/habr/company/c0e/44f/bd3/c0e44fbd3b3b3cc44b9c5fca94ac5138.png) в качестве логотипа компании
ФЗ о Государственном гербе отвечает и на этот вопрос http://flag.kremlin.ru/gerb/
да, действительно:
1) по вашей ссылке — «Допускается несколько вариантов изображения герба:» и приводятся эти допустимые варианты.
2) по вопросу «логотипа»
Статья 8. Гербы (геральдические знаки) субъектов Российской Федерации, муниципальных образований, общественных объединений, предприятий, учреждений и организаций независимо от форм собственности не могут быть идентичны Государственному гербу Российской Федерации.
Государственный герб Российской Федерации не может быть использован в качестве геральдической основы гербов (геральдических знаков) субъектов Российской Федерации, муниципальных образований, общественных объединений, предприятий, учреждений и организаций.
Конечно, вы вправе иметь свое мнение на этот счет. Может быть данное осуждение позволит вам заранее подобрать нужные аргументы, если таковые когда нибудь еще вдруг потребуются.
1) по вашей ссылке — «Допускается несколько вариантов изображения герба:» и приводятся эти допустимые варианты.
2) по вопросу «логотипа»
Статья 8. Гербы (геральдические знаки) субъектов Российской Федерации, муниципальных образований, общественных объединений, предприятий, учреждений и организаций независимо от форм собственности не могут быть идентичны Государственному гербу Российской Федерации.
Государственный герб Российской Федерации не может быть использован в качестве геральдической основы гербов (геральдических знаков) субъектов Российской Федерации, муниципальных образований, общественных объединений, предприятий, учреждений и организаций.
Конечно, вы вправе иметь свое мнение на этот счет. Может быть данное осуждение позволит вам заранее подобрать нужные аргументы, если таковые когда нибудь еще вдруг потребуются.
Согласно Федеральному конституционному закону «О Государственном гербе Российской Федерации» ( http://kremlin.ru/acts/bank/16414 ), герб России представляет собой: Широко распространено изображение Е. Ухналёва. И хотя эта иллюстрация прилагается к закону, она не является обязательным эталоном. Каждый художник может создавать собственный рисунок по официальному описанию.
«… четырёхугольный, с закруглёнными нижними углами, заострённый в оконечности красный геральдический щит с золотым двуглавым орлом, поднявшим вверх распущенные крылья. Орел увенчан двумя малыми коронами и — над ними — одной большой короной, соединенными лентой. В правой лапе орла — скипетр, в левой — держава. На груди орла, в красном щите, — серебряный всадник в синем плаще на серебряном коне, поражающий серебряным копьём черного опрокинутого навзничь и попранного конём змея».
«… четырёхугольный, с закруглёнными нижними углами, заострённый в оконечности красный геральдический щит с золотым двуглавым орлом, поднявшим вверх распущенные крылья. Орел увенчан двумя малыми коронами и — над ними — одной большой короной, соединенными лентой. В правой лапе орла — скипетр, в левой — держава. На груди орла, в красном щите, — серебряный всадник в синем плаще на серебряном коне, поражающий серебряным копьём черного опрокинутого навзничь и попранного конём змея».
«И хотя эта иллюстрация прилагается к закону, она не является обязательным эталоном.»
Каждый художник может создавать собственный рисунок по официальному описанию."
приложение к ФКЗ не является обязательным? Завтра какой-нибудь художник карикатуру нарисует со всеми перечисленными в ФКЗ элементами — и все нормально, можно использовать?
Каждый художник может создавать собственный рисунок по официальному описанию."
приложение к ФКЗ не является обязательным? Завтра какой-нибудь художник карикатуру нарисует со всеми перечисленными в ФКЗ элементами — и все нормально, можно использовать?
Удивительно то, что у компании разрабатывающей сайт Президента (всмысле лаб аг), свой сайт выглядит совершенно убого из одной картинки. Как так?
Sign up to leave a comment.
Зачем нужен проект «Дизайн государственных систем»