Как стать автором
Обновить

Комментарии 23

Я до сих пор не понимаю, почему не могут сделать единый шаблон для всех госучреждений, в том числе правительств, больниц и т.д. Чтобы был единый дизайн, качество и защищенность и все хостилось у одного хостера, тот же государственный РТ имеет много региональных цодов. И доменные имена единообразные .gov.ru, .med.ru и т.п. А то сделали для больниц обязательными сайты и кто во что горазд, а деньги не меньшие пилят, чем ушло бы на централизацию.

Вроде как допинали до этого habr.com/ru/post/560892

Поидее есть давно система дизайна для гос.учреждений но почему то он до сих пор не используется на уровне страны. Хотя инициаторы там весомые.

http://gov.design/

Gov.design — важная часть проекта Минкомсвязи
<...>
Дизайн-система Gov.design — это общественная и профессионаьная инициатива

Ну-ну… https бы чтоль сперва прикрутили к общественной инициативе.

Простите за профанский вопрос, но зачем https сайту-лендингу. где пользователь ничего не отправляет?

Хотя бы для того, чтобы сайт отображался у посетителей как и было задумано, без «дополнений» недобросовестных провайдеров.

С таким доменом нужно слоган хороший.

Gov. design - когда качество и сроки не важны.

Не передразнивайте Артёмия Татьяновича ;)

Я вас не совсем понял. О чём речь?

Он форсил слоган свой студии: долго, дорого, о*уенно, который приобрел известность в ширнармассах в виде: долго, дорого, *уево и прочих производных.

Единый дизайн это классно, но слишком поздно они решили делать что-то вместе. Те, кто только пилит свой сайты, могут не знать о таком, а те, кто уже давно занимается поддержкой, наврядли захочет из бюджета брать деньги на переработку того, что и так работает. А за бесплатно такое точно не будут переписывать, ибо don't change this block because legacy doesn't work w/o it. Так что придется нам мириться с разнообразием всех ресурсов :с

С нынешней ситуацией очень интересно искать то, что тебе нужно по обычному запросу в гугле, выбирая из десятка левых сайтов. Занимательно, когда на оф.сайте нужно вводить какие-то личные данные, а там хттп. Зачем же лишать людей такого прекрасного опыта!?

Шаблоны делали. Ссылку выше кидали. Я даже видел пару презентаций. Добавлю, что надо и шаблон и структуру спускать. Причем разные для министерства, уловной думы/парламента региона, администрации города, министерства.

Сразу напрашивается единое решение для всех. И хорошо бы под руководством / кураторством головной организации. Чтобы сайт министерства строительства какого-то региона был созвучен минстроя России. А федеральные были по единым шаблонам.

Но нет. Кто в лес, кто по дрова.

Приятно что не забыли!)

Ну а как, рейтинг-то подрос даже ;) Признавайтесь, правительственный сайт — тоже Ваша заслуга?

Даже лидер рейтинга, Тульская областная Дума, выглядит так себе в плане защищённости https://www.hardenize.com/report/tulaoblduma.ru/1631728097

Хотя, по сравнению с другими, у них хоть более-менее нормально подобраны шифронаборы в TLS 1.2, да и я удивился, что они настроили в email инфраструктуре SPF и DMARC - респект за это.

Тульская облдума — лидер в XSS-рейтинге, в HTTPS-рейтинге ей гордиться совсем нечем ;)

Печально это(
Кстати, а вы не планируете ещё сделать рейтинг сайтов крупных банков, в том числе на тех субдоменах, куда входят через ЛК клиенты? Там тот ещё трындец творится: https://www.ptsecurity.com/ru-ru/research/analytics/vulnerabilities-rbo-2019/

Вряд ли, коммерческий сектор — не наша тема, если только на коммерческих же условиях ;) Немного касались этого сектора здесь, для сравнения habr.com/ru/post/542604 И таки да, тот же сайт ЛК Сбера — это нечто…

Я тут задумываю пнуть прокуратуру по этому поводу. Не подскажите, какие законы, госты и прочие плоды усиленной законотворческой деятельности нашего гос-ва могли бы помочь убедить прокуратуру взять лупу и посмотреть на предмет лажовой защищённости важных сайтов? В идеале, если прокуратура потом эту лупу запихнёт провинившимся, но это уже в идеале.

Не хочу Вас демотивировать, но сам уже скоро год как пинаю прокуратуру по поводу нарушения госорганами совершенно конкретных НПА по этой части, и не наблюдаю рвения от слова совсем :( Последнее телодвижение — спихнули вопрос Роскомнадзору, который предсказуемо (и справедливо) ответит, что это не его компетенция. А по части банков… наверняка есть какая-то нормативка по этому поводу у Центробанка, но я ее не копал, так что не подскажу.

Значит добавим им головной боли) Я когда почитал эти доклады, а потом сам просканил несколько сайтов, то у меня волосы на голове дыбом встали.

Вот мой самый большой concern - это банковские приложения для смартфонов. И всё руки не доходят врубить Wireshark и посмотреть, куда именно подключаются приложения и насколько безопасно само их подключение.

В общем, спасибо вам за мониторинг, вы делаете реально нужную работу! :)

Так держать, вода камень точит! И хотя после не значит вследствии, кой-какие подвижки я все-таки вижу.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.