Комментарии 27
Государственные сервисы и так должны быть открытыми.
Эксперты: взлома федеральных Госуслуг не было, утекли исходные коды регионального портала госуслуг Пензенской области
с поддомена на mos.ru
Захардкоженные закрытые ключи ключи от сертификатов, используемых для доступа к ЕСИА, в таких приложениях - это какая-то прямо-таки преступная неосторожность.
"Правильным конфигурированием" Git-репозитория такие проблемы решаться не должны - всё равно доступ к ключу в этих исходниках имеет непозволительно большое количество людей. Они должны решаться запретом на такое хардкоженье.
А ещё для таких приложений меня коробит от фразы "утечка исходного кода". Их код, я убеждён, должен быть открыт и документирован, как и все API. И, на мой взгляд, должно одобряться использование этих API любыми желающими...
Захардкоженные закрытые ключи ключи от сертификатов, используемых для доступа к ЕСИА, в таких приложениях — это какая-то прямо-таки преступная неосторожность.О, в репах и не такое валяется… Несколько лет назад, сдампив репозиторий с одного домена, я обнаружил там то, что для разработки сайта вообще не требуется — текстовик с учётными данными от личного кабинета одной очень недешевой ПК-программы. Уровень доступа там был корпоративный, можно было нагенерировать себе кучу лицензий на разные имена (с учётом того, что на варезниках этот софт появляется очень редко, можно было бы даже замутить какой-то бизнес...). Зачем это там хранили, одному богу известно. Впрочем, найденным я так и не воспользовался, а потом оно сгинуло вместе с помершим хардом.
мечтать не вредно )))) я с подтвержденными данными инн снил и прочим сопутствующим в налоговую записаться не могу, в гос услугах я подтвержден, а налоговая просит подтвердить (хотя одна общая база) номер инн при записи, говорит нет такого. Какая уж там безопасность! Напоминает фильм "Сеть"
Новость через несколько лет: генетические паспорта россиян утекли в сеть с ресурса госуслуг, хакеры начали продавать куар-гено-коды на поход в продуктовый магазин, нейросетевой президент высказал озабоченность из своего подземного дата-центра, специалисты предложили россиянам обезопасить их данные и передать свои тела на вечное хранение в ячейки федеративной эко-республики Сбера, а так же оставить дела и заботы на плечи своих аватаров.
В тех случаях, когда это поможет распилить больше денег, у нас неожиданно проявляется федерализм и независимость регионов.
Теоретически — чтобы реализовывать государственные услуги, которые не предусмотрены федеральным законодательством. Например, у нас в области есть свой Социальный кодекс с дополнительными льготами. Для их получения оказывается региональная государственная услуга, для ее оказания и должен быть создан региональный портал госуслуг (его до сих пор нет, нужно ходить в МФЦ). На практике — см. опыт Москвы.
А это проблема не порталов госуслуг, а самих госуслуг. Реализация всех вопросов разделена между федеральными, региональными и местными органами власти. У каждого уровня есть свой бюджет под решение вопросов своего уровня. Залезать на чужой уровень нельзя от слова «совсем». Вот и приходится каждому субъекту РФ пилить свой портал госуслуг. А еще есть ≈25 000 муниципальных образований, в которых есть свои муниципальные (их нельзя называть государственными) услугами. Т. е. надо еще ≈25 000 порталов создать, потому что они должны оплачиваться из местных бюджетов, а если они «арендуют» софт регионального или федерального порталов, значит, региональный или федеральный бюджет тратит деньги нецелевым образом и нужно кого-то это посадить...
Это система управления государством, созданная в доцифровую эпоху, которая изжила себя в новых условиях. Но никто этого не видит и не хочет видеть, проще сделать еще один портал за офилигиард рублей.
На главной последняя новость от 2020 года. Ссылки на другие порталы: отдельный портал для записи в детсад, портал для электронного дневника, портал со списком порталов… Услуги типа «Ведение учета граждан, испытывающих потребность в древесине для собственных нужд». Поискал такую услугу на федеральном сайте — есть она там, но за получением отправляют на региональный портал… При этом ссылки на него почему-то нет. Как я должен его найти? И зачем это всё? Это же потраченные впустую деньги, время и силы. А эффект от распределения нагрузки мизерный, да и не такими способами крупные сайты масштабирование делают.
И зачем это всё? Это же потраченные впустую деньги, время и силы.
На сколько нужно быть оторванным от реальности, чтобы не понимать, что вот это (растрата бюджета, откаты, раздача подрядов "кому надо") и есть цель разработки подобного, а всё остальное - побочные эффекты?
На самом деле, есть одна причина, по которой местные услуги может иметь смысл делать отдельно - уменьшение бюрократии. Потому что изменения и добавление новых услуг в таком случае не требует коммуникации с федеральным центром. Но это, боюсь, никого не волнует.
у каждого регионального портала свои исходники?
Очень занятно.
Во-первых, неназванные эксперты занимаются типичной игрой в термины, говоря, что не было "взлома" (хотя это слово не является термином, а потому значит для каждого что-то своё), потому что была "утечка".
Во-вторых, утверждать что сопутствующих этой утечке индидентов ИБ не было, может только тот, кто имеет доступ к логам сервиса и имеет основание доверять этим логам (а также, логам сервисов, доступ к которым можно получить, используя информацию из утекших исходников) а не индивидуумы, которые занимаются прочесыванием "даркнета" на предмет того, что уже выставлено на продажу или опубликовано.
Если "эксперт по ИБ" высказывается в форме "не было взлома", тогда как всё, что он может реально утверждать - это "мы пока не видели, чтобы кто-то продавал украденное благодаря этой утечке", он либо намеренно врёт с какими-то целями, либо он никакой не эксперт.
Что означает "региональные госуслуги"? В чем их смысл то
Эксперты: взлома федеральных Госуслуг не было, утекли исходные коды регионального портала госуслуг Пензенской области