Есть стокгольмский вариант кнопки для пешехода. Коробочка висит около метра от земли. Постоянно издает постукивающий звук, на метроном похоже. Как дочки сказали: «маленькая обезьянка сидит внутри с молоточком». Так понятно, что да, коробочка работает, и да, понятно где она находится. Кнопка сенсорная, при срабатывании издает писк, что дает знать о том, что кнопка нажалась. Когда включается зеленый, то звук «молоточка» меняется на более частый и более громкий. С противоположной стороны перехода стоит такой же ящичек и его слышно. Вот и направление. Плюс подсветка, которая меняется, когда кнопка нажата.
Ну, нет истерии потому, что немножко всё не так.
1) Права доступа не предполагают доступа всех ко всем PNR. Если вы агент, то вам доступны только брони вашего агентства, если вы перевозчик, то только те, которых повезёте. Да, работники GDS, возможно, подчеркну. возможно увидят все бронирования. Права доступа более-менее правильно нарисованы в презентации.
2) Аутентификация. Ну, тут как-бы и да, и нет. Получить доступ к GDS можно зная имя, пароль, и ещё одно-два значения, в зависимости от GDS. Доступ по имени пассажира и PNR — это доступ предоставляемый не GDS, а агентством или авиакомпанией, поэтому вопросы к ним. Ну, да, дальше то, что вы можете сделать с бронированием — зависит от того, что они вам там предоставят. Но это не доступ к GDS напрямую.
3) Данные. Не всё доступно и не всем в плане данных. Например, номер карты может быть частично закрыт звёздочками. Может — зависит от GDS, настроек, сохранения данных.
4) Мошенничество. Ну, опять же, как и в PDF сказано, Airlines typically only authenticate passengers with the PNR locator. Ключевое слово тут — Airlines. А вовсе не GDS. Но и тут, максимум, что удастся сделать — это нагадить пассажиру: отменить билет или перенести поездку. Деньги вернут на карту, с которой платили. Пассажир их получит себе обратно, только если купил билет напрямую у авиакомпании, иначе ему нужно «трясти» агентство. Вернут в бонусах? Может быть, но бонусы запишутся только если у этого пассажира есть бонусная карта и она была в брони. Даст ли система вписать чужой номер? Не знаю. Что там ещё? Изменить имя? Сильно сомневаюсь, что вам понадобится лететь такой авиакомпанией. Практически никто не разрешает замену имени. Перебронируйте заново.
А уж требования в докладе совершенно странные:
1)Limitations on which agents (and governments!) can access what information
Кто что видит я уже написал, а от правительства спрятать всю GDS? Даже не смешно. Думаю, что там, наоборот, ещё и фильтры правильные стоят, чтобы нужные фамилии вылавливать.
2)Passwords for booking — Ха-ха-ха. И пароль должны знать все, начиная от агентства и заканчивая авиакомпанией. Можно и самому пассажиру, так и быть.
3) Minimum web service security for all exposed interfaces.
Ну, да, вот тут есть над чем работать. Но, в основном — это не проблема GDS.
4) Strict logging of any access to personal information — Это запрос настоящего гика. Никто не будет читать эти логи. А, вообще, логи, конечно, есть. Но на изменения, а не на чтение. Если логировать чтение, то это сродни хранению всего траффика абонентов.
Вот и нет истерии. А у GDS-ок есть куча своих других проблем. Вой может быть относительно каких-то авиакомпаний или агентств, когда их хакнут.
Что-то много получилось.
1) Права доступа не предполагают доступа всех ко всем PNR. Если вы агент, то вам доступны только брони вашего агентства, если вы перевозчик, то только те, которых повезёте. Да, работники GDS, возможно, подчеркну. возможно увидят все бронирования. Права доступа более-менее правильно нарисованы в презентации.
2) Аутентификация. Ну, тут как-бы и да, и нет. Получить доступ к GDS можно зная имя, пароль, и ещё одно-два значения, в зависимости от GDS. Доступ по имени пассажира и PNR — это доступ предоставляемый не GDS, а агентством или авиакомпанией, поэтому вопросы к ним. Ну, да, дальше то, что вы можете сделать с бронированием — зависит от того, что они вам там предоставят. Но это не доступ к GDS напрямую.
3) Данные. Не всё доступно и не всем в плане данных. Например, номер карты может быть частично закрыт звёздочками. Может — зависит от GDS, настроек, сохранения данных.
4) Мошенничество. Ну, опять же, как и в PDF сказано, Airlines typically only authenticate passengers with the PNR locator. Ключевое слово тут — Airlines. А вовсе не GDS. Но и тут, максимум, что удастся сделать — это нагадить пассажиру: отменить билет или перенести поездку. Деньги вернут на карту, с которой платили. Пассажир их получит себе обратно, только если купил билет напрямую у авиакомпании, иначе ему нужно «трясти» агентство. Вернут в бонусах? Может быть, но бонусы запишутся только если у этого пассажира есть бонусная карта и она была в брони. Даст ли система вписать чужой номер? Не знаю. Что там ещё? Изменить имя? Сильно сомневаюсь, что вам понадобится лететь такой авиакомпанией. Практически никто не разрешает замену имени. Перебронируйте заново.
А уж требования в докладе совершенно странные:
1)Limitations on which agents (and governments!) can access what information
Кто что видит я уже написал, а от правительства спрятать всю GDS? Даже не смешно. Думаю, что там, наоборот, ещё и фильтры правильные стоят, чтобы нужные фамилии вылавливать.
2)Passwords for booking — Ха-ха-ха. И пароль должны знать все, начиная от агентства и заканчивая авиакомпанией. Можно и самому пассажиру, так и быть.
3) Minimum web service security for all exposed interfaces.
Ну, да, вот тут есть над чем работать. Но, в основном — это не проблема GDS.
4) Strict logging of any access to personal information — Это запрос настоящего гика. Никто не будет читать эти логи. А, вообще, логи, конечно, есть. Но на изменения, а не на чтение. Если логировать чтение, то это сродни хранению всего траффика абонентов.
Вот и нет истерии. А у GDS-ок есть куча своих других проблем. Вой может быть относительно каких-то авиакомпаний или агентств, когда их хакнут.
Что-то много получилось.