Pull to refresh
225
1.7
Send message

CAA и DNSSEC вкратце: как, зачем и поверхность атаки

Level of difficulty Medium
Reading time 6 min
Views 2.6K

В рамках проекта «Монитор госсайтов» мы стараемся не только демонстрировать, какие все кругом неумехи и лодыри (а мы – в белом жабо), но и показать, что безопасность веб-сайта – это просто, приятно и полезно. Сегодня расскажем о паре технологий, поддержка которых относится к группе А+ нашей методики, то есть желательно, но не обязательно – CAA и DNSSEC.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Comments 0

Импортозамещение пишем, Valve в уме, или железное болеро от мастеров художественного фиджитала

Level of difficulty Easy
Reading time 2 min
Views 1.8K

Давеча вице-премьер Чернышенко посулил, что «Игры будущего» продемонстрируют миру технологический и спортивный суверенитет России. Площадки для лапты в каждом дворе, городки вместо физры, орлянка в каждой подворотне, подумали вы? Я тоже решил заранее изучить правила суверенного лаптабола, но все оказалось куда прозаичнее (спойлер: художественным фиджиталом свистом).
Читать дальше →
Total votes 12: ↑1 and ↓11 -10
Comments 13

Надзор 404: о саботаже запрета вымогать персональные данные

Reading time 5 min
Views 3.4K
Мы опубликовали доклад, в котором рассказываем про практику применения запретов вымогать персональные данные у потребителей, которые не исполняются от слова «совсем», но покарать нарушителей все же удается. Из статьи вы узнаете, что не все депутаты Госдумы одинаково бесполезны, почему ФАС защищает субъектов ПД лучше, чем Роскомнадзор, хотя это и не его дело, и причем тут защита конкуренции.

Это я, когда второе лицо в Роскомнадзоре заявило, что получение рекламы от банка не требует согласия вкладчика.

Краткое содержание доклада


  • Уже больше года действует «двойной» запрет вымогать персональные данные у потребителей.
  • Роснепотребнадзор с Роспаноптикумом уклоняются от обязанности надзирать за исполнением запретов, хотя это их прямая обязанность.
  • Суду и прокуратуре наплевать: госорган всегда прав, даже если несет откровенный бред или откровенно бездельничает.
  • Защита прав субъектов ПД – не головная боль ФАСа, но она смогла.
  • «Сберу» запретили рассылать клиентам спам рекламу. Фактически любую, всем и совсем (как он там, держится?)
  • Организовать такой же запрет своему банку (и не только лишь банку) может не только лишь каждый: инструкции и образцы документов.
Читать дальше →
Total votes 19: ↑17 and ↓2 +15
Comments 27

Минцифрова гора, суверенная мышь и 0,0037%-ное импортозамещение

Level of difficulty Medium
Reading time 7 min
Views 24K

Процесс обилечивания российских сайтов суверенными TLS-сертификатами идет в лучших традициях плановой экономики: бодрые рапорты с дутыми цифрами.
Читать дальше →
Total votes 82: ↑73 and ↓9 +64
Comments 74

Рег.ру объяснил обещание дать п***ы технической ошибкой

Level of difficulty Easy
Reading time 3 min
Views 40K

В рамках проекта «Монитор госсайтов» мы изучаем сайты, обозначенные как сайты госорганов (кстати, очередной доклад по региональным госсайтам – уже через неделю), и регулярно проверяем, кто на самом деле является администратором соответствующих доменных имен. Например, администратором доменного имени сайта МВД мвд.рф еще в прошлом году было ФКУ «ГЦСиЗИ МВД РФ», а не просто МВД РФ, поэтому с точки зрения закона у Министерства внутренних дел Российской Федерации до недавнего времени просто не было официального сайта.
Читать дальше →
Total votes 77: ↑73 and ↓4 +69
Comments 93

ИИ: протез сознания как объект карго-культа

Level of difficulty Medium
Reading time 18 min
Views 5K

Искусственный интеллект – очередное средство производства или новый этап развития цивилизации? Помощник человека или угроза человечеству? Мы одни во Вселенной или просто не способны воспринять иные формы сознания? Об этом в своей новой статье рассуждает доктор философии Михаил Опенков.
Читать дальше →
Total votes 14: ↑9 and ↓5 +4
Comments 34

Что WCAG грядущий нам готовит?

Level of difficulty Hard
Reading time 7 min
Views 929

Этой осенью W3C, вероятно, утвердит наконец текст новой редакции Руководства по обеспечению доступности веб-контента (WCAG) – версии 2.2. Какие изменения ожидаются по сравнению с действующей редакцией 2.1? Желаете обсудить их или принять участие в переводе новой редакции на русский?
Читать дальше →
Total votes 1: ↑1 and ↓0 +1
Comments 0

Переписка про спамеров: избранное

Level of difficulty Easy
Reading time 6 min
Views 3.7K
Сотрудник ФАС, задремавший над спамом, в представлении художника эпохи романтизма

В предыдущих статьях (первая, вторая) я рассказывал, как спамеры и прочий «солидный бизнес», будучи пойманы за руку надзорным органом, начинают выкручиваться, отрицать очевидное, лгать и подделывать документы – в общем, вести себя как обычная шпана, пойманная за кражей яблок. Однако надзорный орган подчас даст фору самому изобретательному спамеру.
Читать дальше →
Total votes 21: ↑18 and ↓3 +15
Comments 6

Переписка со спамерами: избранное – 2

Level of difficulty Easy
Reading time 6 min
Views 13K

Спамер демонстрирует комиссии ФАС свою полную неуиноуность (доллары подкинули враги, спам – ветром надуло).

Я радуюсь, получая спам, ведь у меня появляется возможность пополнить бюджет любимой страны (откуда берутся деньги на пенсии, больницы, школы и домики для уточек). Каждое полученное от спамеров сообщение я аккуратно пересылаю в ФАС, давая ей возможность пополнить бюджет на 2-500 тысяч рублей штрафа, а потом наслаждаюсь материалами «расследований», проливающих свет на грязную подноготную «солидного бизнеса» и его подручных. Вранье, подтасовка документов и далее со всеми остановками…

Читать дальше →
Total votes 91: ↑88 and ↓3 +85
Comments 67

Не все TLS-сканеры одинаково полезны

Level of difficulty Easy
Reading time 5 min
Views 2.7K

Получив рейтинг A+ за настройки администрируемого веб-сервера от одного из популярных TLS-сканеров, вы можете впасть в эйфорию, и совершенно безосновательно.
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Comments 0

Минцифры и очки

Level of difficulty Easy
Reading time 10 min
Views 3.2K
Результат 10-тилетних попыток Минцифры изобрести стандарт доступности веб-контента для госсектора укладывается в 3 абзаца корявого текста. Как гора рожала мышь и каковы ее творческие планы на ближайшее будущее?


Минцифры изучает проблематику обеспечения доступности контента для инвалидов по зрению.
Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Comments 4

Минэкономразвития отменило требования к безопасности госсайтов

Level of difficulty Medium
Reading time 5 min
Views 3.7K
Как Минэкономразвития опубликовало фальшивый проект НПА, чтобы отменить требования к безопасности сайтов ФОИВ и доступности размещенной на них информации.


Минэкономразвития демонстрирует общественности проект НПА: легким движением руки 4 страницы превращаются… превращаются 4 страницы… всего в 2!
Читать дальше →
Total votes 17: ↑11 and ↓6 +5
Comments 8

НУЦ сурка

Reading time 6 min
Views 21K

Как Минцифры «забыло», что уже создавало «национальный удостоверяющий центр», как фейковые сертификаты стали «государственными» и почему никто за это до сих пор не вылетел из мягкого кресла.

Последние месяцы регулярно получаю уведомления с Хабра, что мою майскую статью упомянули в публикации, посвященной очередному этапу обилечивания россиян «надежными» «суверенными сертификатами». Также регулярно комментирую эту тему для СМИ и почти всегда сталкиваюсь с выпадением собеседника в BSOD. Казалось бы, вот все факты, вот официальные документы и прочие «пруфы», но поверить в услышанное все равно невозможно: федеральный орган исполнительной власти не первый месяц открыто нарушает закон, раздает филькины грамоты для «защиты» важнейших сайтов и… ничего.

Давайте и вам расскажу эту историю: как Минцифры не имея на то полномочий «создало» т.н. «национальный удостоверяющий центр», да не один раз, как несуществующий УЦ выпускает «государственные» TLS-сертификаты, и как вся эта деятельность проходит по разделу перехода на отечественную криптографию, а не превышения должностных полномочий, а то и чего похуже.

Итак, на сайте Минцифры сообщается, что сертификаты выдает Национальный удостоверяющий центр. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Однако «Портал государственных услуг Российской Федерации», утверждает, что российский сертификат безопасности для интернет-сайтов, заверенный «российским корневым сертификатом» предоставляется самим Минцифры. Да и сертификате указано, что его выпустило «The Ministry of Digital Development and Communications», а не какой-то «национальный удостоверяющий центр».

Читать далее
Total votes 115: ↑102 and ↓13 +89
Comments 56

Как я «взломал» госпортал НПА и… ничего

Reading time 3 min
Views 13K

«Приходите когда убьют» – принцип инфобеза в госсекторе. Как пользователи Портала для размещения НПА могут попасть в чужую учетку и почему это не беспокоит поддержку портала.
Читать дальше →
Total votes 41: ↑39 and ↓2 +37
Comments 10

Изгнание гугляндекса из госвеба

Reading time 4 min
Views 34K

Сайты госорганов начали избавляться от россыпи счетчиков и прочего кода, собирающего «аналитику» об их посетителях для третьих лиц. Почему государство выпинывает на мороз интернет-шпионов и причем тут кадровые перестановки в Генпрокуратуре?
Читать дальше →
Total votes 84: ↑72 and ↓12 +60
Comments 80

Прокурор как фактор повышения информационной безопасности госсайтов

Reading time 3 min
Views 5.3K

Через неделю после публикации нашего предыдущего доклада «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», основным выводом которого было «96% госсайтов не соответствуют требованиям НПА по информационной безопасности», Международный телекоммуникационный союз (ITU) выпустил свой доклад – Global Cybersecurity Index 2020, и воодушевившееся им Минцифры раскудахталось: Россия заняла 5 место, на 21 позицию выше по сравнению с предыдущим рейтингом, есть потенциал роста, ко-ко-ко!
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Comments 6

Вымогательство персональных данных запретят: хотели как лучше…

Reading time 4 min
Views 10K

С 1 сентября в России будет запрещено вымогать персональные данные потребителей под угрозой отказа от заключения договора. То есть, почти ничего не изменится.
Читать дальше →
Total votes 43: ↑39 and ↓4 +35
Comments 23

Information

Rating
1,101-st
Registered
Activity