Comments 62
Не понятно, это хорошо, или это дыра в безопасности?
Окучивают Заманивают. :)
Раз для подписи отправляет в госключ – скорей всего, это штатное его использование, и такую интеграцию может сделать кто угодно – например, прямо на веб-сайте.
Не знаю, есть ли реальная польза (надо ли подписывать документы через чат-бота), но вреда не вижу.
Польза в том, что собирают в одной куче сервисы и чаты. Последний штрих - связка с банком-деньгами.
Для чего? А для того что ты бы тупой пользователь просто задал в чате вопрос типа: как перевести деньги бабушке и бот дал готовую кнопку. Ну или как продать машину? - вот вам сервис с заполненными данными, просто подтвердите.
Подкинуть в Госключ на подписание можно много чего. От договора на реставрацию бабушкиного комода до договора на дарение бабушкиной недвиги.
И дождаться пока бабушка нажмёт на кнопку. Ну либо убедить её сделать это.
А Госключе может быть не только НЭП на подписание Приказа об отпуске, но и КЭП, которую по хорошему лучше удалять после каждого использования ибо стрём. Ей можно много чего юридически значимого подмахнуть.
Я так для себя считаю эту фичу предельно бесполезной (мне не лень открыть Госключ, почитать что мне прислали на подпись, решить что с этим делать), зато реально небезопасной. Сценариев, при которых человек подпишет что-нибудь не то, можно нафантазировать десятки.
Ну и да. Макса снёс с телефона. Может, позже поставлю на планшет, куда вообще ничего существенного не привязано, но пока не вижу смысла. Пока это был просто чат-бот, стоял он себе и стоял. Не мешал. Но с такими фичами - я пас.
Если я правильно понимаю, "подкинуть на подписание" может любое приложение.
Отправка? Не только приложение. Вы, похоже, немного путаете.
Отправка документа на подпись через Госключ - уже отработанный и проверенный механизм.
Это реально удобно для заключения онлайн-договоров.
Другое дело - подписание. В Госключ чтобы войти, нужно прорваться через двухфакторную аутенификацию и там ещё немного повозиться чтобы подписать.
Здесь же чат-бот мессенджера, геймификация и прочая жизнь без включения мозга. И где-то в интерфейсе зарыта кнопка подписи юридически значимого документа, которую можно нажать просто "карманом".
Я никого ни за что не агитирую, все люди взрослые и сами вольны оценивать соотношение удобства/рисков. Для меня это перебор
Здесь же чат-бот мессенджера, геймификация и прочая жизнь без включения мозга. И кнопка подписи.
Которая ничего не делает, если на смартфоне настроенного Госключа нет.
Ну так он есть. С живыми подписями.
Он мне нужен, я им пользуюсь периодически. Удобно.
Ну так он есть. С живыми подписями.
Значит, там не должно быть MAX-а. Ну и, если я правильно понимаю (проверить не могу - у меня именно на другом телефоне и 'ничего не работает') при запуске Госключа все равно придется его долго открывать (опять же пример меня: я свой 24-символьный случайный пароль на него все равно не помню и надо еще менеджер паролей открывать и этот пароль руками переносить), читать в нем, что это на подпись пришло и уже в нем нажимать 'подписать'.
Так что не понимаю поводов для паники.
У вас поставлен Макс? Если да, буду благодарен, если вы проверите. По моим представлениям, раз подпись идёт через приложение госключа – вам придётся все те же действия в приложении госключа проделать, упрощается лишь отправка документов в него.
А если не затруднит - можно в 2 словах, как это сейчас работает? Вот банк мне отправляет, скажем, кредитный договор - какой мой контакт ему для этого нужен и где я увижу, что этот договор подписи ждёт?
Для организаций это более раняя новость была
В Max пояснили, что процесс подписания организован так: компания направляет клиенту договор на подписание в мессенджере, вместе с файлом приходит ссылка для бесшовного запуска сервиса «Госключ», где пользователь подписывает документ электронной подписью, предварительно оформляя сертификат, если делает это впервые. Пользователь подтверждает действия в «Госключе», по завершении которых возвращается в Мax, где может скачать или переслать подписанный документ с электронной подписью.
Обсуждаемый бот - это когда хочешь сам что-то подписать, по собственному желанию, без инициации другой стороной. Эквивалентен по смыслу соответствующему сервису в Госуслугах.
Оно так странно - потому что в Госуключе просто выбрать файл и сказать 'подпиши его' - нельзя.
По поводу как выглядит именно с этим ботом:
Кто-то левый или не очень присылает мне документ (на самом деле любым способом, не обязательно через месседжер) и говорит "подпиши его".
Нахожу бота.
Бот говорит "подтверди учетку на Госуслугах"
Кликаю, открывается Госуслуговский OAuth.
Там даю разрешение на доступ к ФИО и дате рождения. (на удивление мало, кстати)
Иду снова к боту
Просто загружаю в чат с ботом документ
Бот предлагает выбор между УКЭП и УНЭП.
Показывает кнопочку 'подписать'
Я на нее жму.
А дальше не знаю, потому что у меня на этом смарте Госключ не стоит и все ломается.
Если Вас интересует как это происходит БЕЗ Макса, то вкратце - через Госуслуги по СМЭВ или API (возможно и руками можно загрузить, не знаю)
Тут подробно
Ага, спасибо.
Ну то есть самый главный вывод из всего этого - без Макса документы на подпись отправляются только на аккаунт на ГУ, т.е. конкретному лицу.
С Максом они будут отправляться на номер телефона, т.е. всего лишь носителю SIM-карты.
С Максом они будут отправляться на номер телефона, т.е. всего лишь носителю SIM-карты.
Бот через Госуслуги учетку все-таки проверяет. Т.е. лицо, которое стоит за номером телефона, тоже становится известным.
Ну и сама подпись - конкретного лица, а не номера телефона.
Так что непонятно, чем это существенно. Так-то заспамить "Подпиши это! Миллиард подарим." можно через что угодно.
Не переживай! Банк тебе и договор на кредит отправит и сам за тебя кнопку нажмёт! 🤗
Скоро узнаем. Ставлю на второй вариант.
Подпись осуществляется на платформе бота - это облако Минцифры,
Бот является лишь механизмом передачи документа в платформу для подписи и регистрации.
В сам Макс ничего не прилетает, что можно раскрыть. В Максе лишь сохраняется телеметрия - кто что загрузил и когда.
Не понятно, это хорошо, или это дыра в безопасности?
Это хорошая дыра в безопасности./s
То что одноразовый код приходит в мессенджер - это явно менее надежно чем смс. Как минимум, это лишнее звено и мессенджер может стоять не только на телефоне. Надеюсь, это можно будет отключить.
Те что мне предлагается отправлять документы, которыми я бы не хотел делиться с кем не попадя, в приложение частной коммерческой компании, которая среди прочего ничем не рискует, не соблюдая режим хранения - мне лично не нравится.
А вот теперь пора сносить эту штуку :))))
Подписание договоров УКЭП-ом -это уже не мифическая "передача данных тщмайору"
Там всё равно Госключ задействован, пусть и ботом; если в нём подписей нет - то и проблем тоже.
Впрочем, для тех, у кого есть - утешение слабое.
И тут третий вопрос. Окей, предположим у меня есть Госключ, в нём ЭЦП, я её для чего-то использую - но в сложившемся процессе Макс как таковой мне не нужен. Что безопаснее: вообще не регаться, рискуя, что кто-то за меня заведёт акк на мой номер, или таки создать аккаунт и не трогать его больше?
Я потыкался.
Госключ задействован, судя по всему, не только ботом. Само приложение Госключа тоже используется. Наверное. В моем сценарии при нажатии 'Подписать' дернулся браузер с линком куда-то в Госуслуги и больше ничего не произошло.
Судя по всему, оно требует (что моей точки зрения - очень плохо) чтобы Госключ стоял на том же смартфоне, что и сам MAX и бот дергает это приложение диплинком.
Так что ну его, да.
бот дергает это приложение диплинком.
А как иначе? Любой другой вариант использования выглядит опасным: не передавать же и правда кючи в Макс?
А как иначе?
Делать так, как оно с Госулугами работает. Чтобы Госключ сам тащил файл, когда я его запускаю. Где чей файл - он (бот) очевидно, знает, т.к. в начале связывает учетку MAX с учеткой Госуслуг.
Тогда этот Госключ будет работать как работал - на специально выделенном (и обычно выключенном) телефоне.
Писали MAX примерно те же руки, что RuStore.
Опыт RuStore показывает, что стоит на пару пикселей мимо "обновить" промахнуться - и у тебя выкачано на полтелефона "рекомендуемых" игрушек и '...-инвестиций".
А тут промахнёшься на пару пикселей - и хлобысть, ты уже продал квартиру и завещал почку. Ну или наоборот, что не сильно важно.
Лесом такие эксперименты
...
А, ну естестественно в процессе подписания документа нам обязательно покажут пару рекламных роликов каких-нибудь онлайн-достигаторов или ещё какой ереси, предложат отключить это за подписку, установить десяток партнёрских приложух и ещё чего. Без этого у них вообще никак.
Опыт RuStore показывает, что стоит на пару пикселей мимо "обновить" промахнуться - и у тебя выкачано на полтелефона "рекомендуемых" игрушек и '...-инвестиций".
Но как, Холмс? Андроид на каждое устанавливаемое приложение спросит у вас разрешения, как бы RuStore ни пыжился.
“выкачано", а не "установлено"
Но в общем ставить и удалять их по-любому пришлось уже поштучно. Я чёт не смог найти как их аккуратно удалить из очереди на установку.
А, понятно. Хотя мне казалось, что если при попытке установить приложение отказать – всё, второй попытки не будет, т.е. ставить и удалять не надо.
Будет не лень – проверю, как рустор живёт, если ему стереть кэш и/или данные в этой ситуации. Так-то я его держу в second space, как тут кто-то советовал, чтобы у него лишних желаний не возникало (а поставленные через него приложения использую в первом пространстве).
Update: докладываю: чистка кэша не помогает, а вот чистка данных сбрасывает очередь. Правда, придётся заново логиниться в vk id.
Может я конечно чего-то не понимаю,но с каких пор андроид потерял возможность автоматической установки приложений из маркетов?Я сейчас нажал на кнопку установить в гугл плей,и сама система у меня не потребовала подтверждения установки на смартфон.Ок,это маркет самого гугла,он в доверенных ,так и рустор работает по тому же принципу.Вспомни кейсы про автоматическую ,скрытую установку того же макса без подтверждения.
Вот в том-то и дело, что гугл плей – из доверенных. Ставя на нерутованный телефон маркет самостоятельно – доверенным его не сделаешь, насколько я знаю (хотя надо изучить вопрос подробнее – может быть, можно через adb). У меня рустор стоит (во втором пространстве), я в курсе :-)
У китайцев ещё свои доверенные маркеты есть.
Вот если начнут рустор предустанавливать, как системное приложение – будет хуже.
Повторю. Я писал не об установке
RuStore + HyperOS на Xiaomi
Выкачивание приложки из магазина происходит по клику. Если кликнул на что-то типа "дайте мне всё рекомендуемое" - выкачается всё, что там лежит.
Приложухи встают в очередь на "обновление". Там действительно требуется подтвердить установку каждого + дождаться пока ось его проверит и отказаться от немедленного запуска.
Проблема в том, что при отказе от установки приложка не удаляется из очереди и остаётся висеть там пока не поставишь. Если тебе накачали пару десятков “рекомендаций" - это уже начинает реально мешать обновлять то, что нужно
Удалить мусор из очереди, вот подсказали чуть раньше, можно. Но полным сбросом данных. Что тоже не очень удобно.
Давайте мы заставим всех передавать свои важные документы, левой комерческой структуре у которой нет никакой ответственности по отношению к клиентам.
Казалось бы, что может пойти не так.
Как-то... чрезмерно параноидально. Вроде бы про 'заставим' (т.е. выключение работы через сайт Госуслуг) никто не объявлял. И даже причины, по которым это могут сделать - у меня как-то не придумываются.
Писали, что именно Макс должен быть основным каналом передачи документов на электронное подписывание.
О Госуслугах вообще речь не идёт, по крайней мере тут.
Писали, что именно Макс должен быть основным каналом передачи документов на электронное подписывание.
Это где? О том, что можно будет через Макс - да, обещали. И вот сделали. А про то, что это будет основной канал - что-то не помню.
О Госуслугах вообще речь не идёт, по крайней мере тут.
Ну так о Госключе же говорится. А он изначально через Госуслуги работал. В нем, собственно, без их использования ничего и нельзя было подписать.
А про то, что это будет основной канал - что-то не помню.
Опираюсь на вот эту новость: https://www.rbc.ru/technology_and_media/30/07/2025/688328d09a7947ce5778077b
Написано, конечно, странненько - без отсылок к пунктам закона и с формулировками разной степени жёсткости непосредственно по тексту.
Опираюсь на вот эту новость:
Там же опровержение было.
Да-да, а завтра я зайду в Спар/Пятерочку, а там мне скажут, что пиво продадут только после биометрической проверки, или в самолет пустят после сканирования радужки - нет-нет, никто не заставляет меня ее проходить, просто без нее вдруг станет "никуда и ничего".
Так же и с Максом. Какого хрена при каждом входе на глсуслугах мне предлагают подключить второй фактор в виде этого произведения коммерческой организации, которая, кстати, в любой момент может TOS сменить - никаких пояснений.
Те понятно, что и госуслуги, и мифический госмессенджер, случись такому появиться, был бы плодом труда той или иной команды, и, если честно, контрактной работой того же ВК в интересах минцифры, но тогда бы вопросы было к минцифре - а к ВК какие у меня вопросы могут быть?
И, да, сколько раз утечка данных с их серверов уже случалась - но в Максе-то такого не будет!
Те понятно, что и госуслуги, и мифический госмессенджер, случись такому появиться, был бы плодом труда той или иной команды, и, если честно, контрактной работой того же ВК в интересах минцифры, но тогда бы вопросы было к минцифре - а к ВК какие у меня вопросы могут быть?
Его же буквально постановлением правительства (даже не Минцифры) назначили "многофункциональным сервисом обмена информацией"
... определить, что создание и функционирование многофункционального сервиса обмена информацией обеспечиваются обществом с ограниченной ответственностью "Коммуникационная платформа", обладающим исключительным правом на программу для электронных вычислительных машин "Цифровая платформа МАХ", которая обеспечивает функционирование многофункционального сервиса обмена информацией.
Так что 'мифический госмесседжер' - это MAX и есть, несмотря на всю репутацию ВК.
Да-да, вот тот самый вопрос!
Но без аудитов алгоритмов и кода, без каких-то хотя бы заверений и юридических уточнений, что мои данные (даже если это фото моего свидетельства о рождении, которая ценность имеет, полагаю, больше ностальгическую) будут передаваться через непонятную систему, хранится вообще непонятно где (вроде как в России, но никто же не обещал), обрабатываться ботом, которых в Максе, как известно, есть, но нет - я пешком постою по возможности пока.
Ссылка ведёт на "распоряжение", а не "постановление".
Распоряжение - не нормативка. Внутренний документ.
Не вижу разницы с точки зрения практики. Если правительство по своим внутренним документам считает это госмесседжером - то остальным придется так же считать.
Так внутренний документ какой-то организации "остальные" жители страны игнорировать могут?
В случае “Распоряжения", не важно Министерства ли, Правительства ли, даже Президента РФ, гражданам и организациям РФ безусловно стоит принимать это к сведению. Но делать ещё ничего не нужно. Это не законодательный акт. Вот когда в ремках исполнения этого Распоряжения некое Министерство разработает Постановление, которое примет ГД РФ, вот тогда - пора :)))
Кто эти люди, что плюсуют эту джинсу?
Причём, голосами с весом +2.
А при чем национальный и частная контора? Такого как бы не должно быть.... Или нацию уже передали в частные руки? Хотя такое ошущени уже давно, вот и наглядный пример приехал
подтвердить профиль для первого использования бота с помощью Госуслуг
Любопытно, если на Госулугах (и банках) один номер телефона, а Макс зарегистрирован на другой, то какие возможны коллизии при этом? На Госулугах пропишется другой номер? Для интеграции с Госуслугами можно использовать только Макс, зареганный на тот же номер телефона? Что-то еще?
В Max появился официальный чат‑бот «Госключа» для подписания документов