Археология кода: что техдолг 2000-х говорит о безопасности регионального финтеха в 2026

[PereslavlFoto]

Время для стратегического решения наступило.

Извините меня за резкость, но из-за вашего «стратегического решения» я не могу запустить на Android 5.1 никакого банковского приложения. Исправляя ваш любимый технический долг, программисты привели к тому, что закрыли мне доступ к моим счетам.

Скажу вам начистоту, прямо от сердца: прежние «стратегические решения» отлично работали безо всяких исправлений. А после исправлений — они перестали работать.

[Fcore]

Да, но в данной статье мы рассматривали только веб-сайты. К сожалению даже крупные технологические гиганты, по типу Сбера не дают возможность установить своё приложение на версию Android ниже 6. Это обусловенно, погоней за новыми функциями, которые на телефоне ниже это версии могут работать некорректно.

Как правило в таком случае можно пользоваться веб версией. Она должна быть идеально защищена и не иметь таких "долгов" как в примерах указанных выше.

Мы сами разрабатываем приложения, и тестируем их на Android от версии 7.0, поддержка приложений для старых версий может стоить определенных средств, а учитывая что доля пользователей Android <7.0 минимальная, компании просто отказываются от этого

[PereslavlFoto]

Это обусловено новыми функциями

Можно дать один пример такой новой функции, без которой моя жизнь превратится в ад? Раньше, без этих функций, всё было очень даже хорошо.

Вы правы, остаётся веб-версия, однако некоторые банки уже догадались отключить её.

[Fcore]

Процитирую с сайта, нашел вот

Сбер прекратил поддержку Android ниже 8 версии, потому что старые операционные системы не обеспечивают должный уровень безопасности, не поддерживают современные технологии шифрования и новые функции приложения.

К сожалению я не разработчик в Сбере и не могу сказать точную причину :(

[PereslavlFoto]

Причём браузер в такой операционной системе всё поддерживает, всё обеспечивает. Умилительный Сбербанк готов принимать деньги, однако не готов давать клиентам доступ к их деньгам. Надо же, какие лапочки.

[Fcore]

Браузер работает иначе, чем мобильное приложение. И даже если у человека Android 3.0, Сбер в нём должен хорошо работать.

[d3d11]

Ну вот из за ваших советов переходить на модно-молодежные веб-технологии, и в браузере не будет работать хорошо.

[pol_pot]

5.1 уже давно вымерли. Претензии надо предъявлять гуглу и андроиду, почему они не позволяют обновлять старые устройства, или к производителям чипов, это вроде они не дают делать новые ядра для своих чипов.

[PereslavlFoto]

Если они вымерли, где я могу получить другой смартфон взамен этого?

[sotland]

В СССР, там не то что смартфоны, там квартиры в замен давали

[MegaHard]

Современный веб - это динамичные веб-приложения, адаптивные интерфейсы и интерактивные элементы.

А ещё куча тормозов при загрузке, скачущий туда-сюда текст при попытке промотать, маленький кусочек окна, оставшийся для основного контента, не работающий Ctrl+V (да как вы этого добились!) и т.д.

[PereslavlFoto]

Да, да, массаракш!!!

[Fcore]

Главное нанимать правильных разработчиков и всё будет хорошо), а то наберут людей которые не знают как компьютером пользоваться

[ermouth]

Главное нанимать правильных разработчиков

Намекните им плиз, что не нужен png на 2 мега там, где достаточно progressive jpeg на 100 кило )

[nerudo]

О, значит и хабр программируют неправильные программисты. Раньше я сразу мог попасть куда надо, а ныне жамкаю на свою рожу справа наверху и меню начинает динамически загружаться. Время загрузки от полусекунды до бесконечности.

[Mr_Cheater]

У Вас опечатка в предложении «компьютеры и телефоны должны быть только у людей, которые умеют ими пользоваться как минимум на уровне гика»

[DjUmnik]

Навигация через перезагрузку страницы устарела? Она ведь применяется на миллионах сайтов до сих пор.

ЗЫ.какой дурак решил писать банковское приложение на php?

Тут дело даже не в самом языке, а в том, что типичных пхп-шников нельзя и близко подпускать к чему-то серьезному.

[Dhwtj]

Всё нормально. Глубже взломщиков встретит надёжный COBOL)

[Fcore]

Мы проверили только 10 банков, у восьми из них php очень старой версии как минимум)

[d3d11]

Потеря клиентов: Более 60% трафика сейчас идёт со смартфонов. Нечитаемый интерфейс = отказ от услуги.

Для понимания: эти фреймсеты, найденные автором, используются в desktop only интерфейсе клиент-банка. (я даже подозреваю какого банка). Десктоп интерфейс для бухгалтеров - какие смартфоны и мобильные клиенты?

Старый конь борозды не испортит. Уязвимости, конечно, надо закрывать, но гнаться за последними писками моды - это наверно не для банковской сферы.

[RichardMerlock]

Автор нарыл ложный техдолг значит.

[nerudo]

Тут на хабре разработчиками рекламировался новый интернет-банк одного крупного регионального банка. Переписали под PWA, от одного вида тошнит и ничего на экран не влезает. Что примечательно - для юриков оставили старый вариант. Видимо понимая, что бухи их с любыми отходами сожрут, если им подпихнуть новый стильный современный дизайн.

[Fcore]

Немного неправильно поняли, я общался с лпром одного из банков насчёт сайта в ответ получил: "У нас же работает, клиенты не жалуются"

[Dhwtj]

Это технологии, которые перестали быть актуальными 15 лет назад. И если так выглядит «лицо» системы, можно лишь догадываться, что происходит «под капотом

Фронт у нас во многом такая же фигня: работает и ладно. Но бэк мы всё же обновляем для исправления логических ошибок и уязвимостей, стек обновляется паровозиком при необходимости.

[Fcore]

Ну когда используется php 5.1.2 для личного кабинета банка, это немного неправильно будто

[Dhwtj]

Пыха обновлена ибо уязвимости. А вот древний jQuery мог и остаться в каком-то чулане

[Cib0rg]

>frameset на фронте

>отсутствие адаптивной верстки

>стек, который стабильно работает 20+ лет

>АААААА, КОТОСТРОФА!

С первых строк не покидало ощущение "Что я, блин, читаю?" То есть кол, который стабильно работает 15 и больше лет - это проблема, а решение - современные пикосервисы, которые рестартятся раз в час или приложения на электроне, которые жрут 2 гига рамы, чтобы показать пару цифр? Автор, если эит кликбейт - то он удался. Если статья на полном серьёзе - то тут, кажется, все очень плохо с логикой и инженерным подходом...

[Mr_Cheater]

Потеря клиентов: Более 60% трафика сейчас идёт со смартфонов. Нечитаемый интерфейс = отказ от услуги.

Если отойти от технической точки зрения - когда вообще крупный бизнес интересовало мнение его пользователей? У них другие подходы к привлечению клиентов (не у всех, но если говорить о банках, то клиентам куда важнее процентная ставка, условия договора и т.д., и т.п.), и веб-морду большая часть клиентов видит уже после того, как начали пользоваться услугами банка. А то и вовсе только если приложение перестало работать.

И так много где в крупном бизнесе. Не везде, разумеется, но я редко когда вижу адекватные сайты у подобных компаний. И дело не всегда упирается в техническую часть. Просто «а зачем?», увы.

[Fcore]

Спасибо за комментарий,

1. Про «стабильно работает».
PHP 5.1.2 не «работает» - он существует. Его поддержка прекращена в 2009-2010 году. Это означает, что все уязвимости, найденные с 2010 по 2026 годы (включая критические RCE), в нём не исправлены. Система «стабильно уязвима» для любого автоматического сканера. Это не вопрос «старого кода», а вопрос гарантированной дыры в безопасности, которую нельзя закрыть легально.

2. Про «решение - пикосервисы».
Я согласен, слепой фанатизм к микросервисам - это болезнь. Но я не предлагаю «всё порубить в микросервисы». Я предлагаю   метод, при котором вы не трогаете старый работающий код. Вы строите новый модуль рядом и постепенно переключаете на него нагрузку, оставляя старый как fallback. Это снижает риск, а не увеличивает его. Именно для того, чтобы не было «рестартов раз в час».

3. Про «логику и инженерный подход».
Инженерный подход - это управление рисками, а не поклонение стабильности до последнего. Когда регулятор (ЦБ РФ, ФСТЭК) требует соответствия стандартам киберустойчивости, а ваш стек (PHP 5.1, jQuery 1.x) физически не может им соответствовать, - это уже не инженерная, а бизнес-проблема. Штрафы, приостановка лицензии, утечка данных клиентов — вот цена «стабильности».

[d3d11]

А в PHP были RCE уязвимости? Я просто не в курсе. Ну, чтоб как в Next.js или Java2Shell?

[Fcore]

Да были, их много

https://cxsecurity.com/issue/WLB-2006040011 - например вот. Ещё можно на сайте https://nvd.nist.gov/ вбить php 5.1.2. и там посмотреть

[Cib0rg]

Я как-то даже не сразу понял, что именно меня так триггернуло.

Во-первых, в статье смешаны реальные проблемы (типа мертвого РНР) и хрень в виде "не можем сделать ультраприложение". То есть дана не вся правда, а ровно столько её, чтобы бОльшая часть читателей решила, что остальные высказывания тоже правда. А это ну вот совсем не так.

Да и по поводу пыхи тут ситуация двоякая. Конечно, для прицельной атаки это прямо подарок... Но в далёком 2017 году был у меня клиент, который идейно сидел на 98 винде по соображениям "да под неё малварь-то уже и вымерла". И, как ни странно, ни одного червя там я не видел, хотя пытался найти регулярно. Так что это в какой-то извращённой мере может быть безопасно.

По поводу МС рядом - гладко было на бумаге. Начиная от квалификации того, кто модуль пишет, заканчивая квалификацией того, кто составляет требования, основываясь на артефактах седой древности, которых может и не быть. То есть это, опять же, замена стабильно работающего модуля ради неизвестно чего. Может, там вообще всё в докере крутится и безопасностью обмазано так, что внутри хоть гопак пляши - выхлоп нулевой будет (да, вряд ли, но оставим такой шанс). Смысл тогда это переводить на что-то другое? Одни операционные расходы.

Ну и это банки, как-никак. Если у них требование регулятора исполняется другими методами - то, опять же, с точки зрения пользователя черного ящика, мне по барабану, из латуни внутри шестерёнки или из модного титано-вольфрамового сплава.