Comments 199
Ну а Вы, как законопослушный и сознательный гражданин, сразу сообщили об этом авторам сайта, чтобы они успели все исправить? — спасая персональный данные наивных пользователей от всяких мудаков.
Обычно я сообщаю разработчикам об ошибках. Но когда перед нами дыра из-за того, что ленивые программисты поленились элементарно оттестить написанный код, то лучший урок — публичное наказание. Статья на Хабре поможет это исправить гораздо быстрее, я вас уверяю.
Гораздо сильнее Вы наказываете пользователей, которые заполнили форму.
А то что авторы сайта Хабр могут не читать — в голову Вам естественно не пришло?
Так же Вас явно не смущает то, что надо было пройти на сайт авторов (ссылка справа внизу), затем жмакнуть на контакты и заполнить форму. Вуаля!
ЗЫ Можете не спешить, я уже это за Вас сделал.
А то что авторы сайта Хабр могут не читать — в голову Вам естественно не пришло?
Так же Вас явно не смущает то, что надо было пройти на сайт авторов (ссылка справа внизу), затем жмакнуть на контакты и заполнить форму. Вуаля!
ЗЫ Можете не спешить, я уже это за Вас сделал.
Авторы сайта — веб-студия. Если они и по каким-то странным причинам эти ребята не знают о Хабре, то уж точно до них дойдёт ссылка на этот топик.
Как там было, «отправил ссылку дизайнеру, пусть посмотрит» кажись.
ГИБДД никак не должна страдать из-за неумелых рук веб-студии. О подобных дырках надо сообщать сначало администратору сайта, а уж после публикуйте на здоровье какой вы умный, что нашли дырку.
PS. Вы специально опубликовали в выходной?
PS. Вы специально опубликовали в выходной?
UFO just landed and posted this here
А скажите, кто из вас сидит теперь с кнопкой Ф5 и сохраняет персональные данные случайных потенциальных жертв? :)
Понятия «этика» и «сознательность» существуют вне возможной выгоды злоумышленников. Да и написать скрипт, дёргающий данные из форм, большого труда не составит.
Согласен. Но наивно полагать, что кто-то будет тратиться на этот скрипт, когда у нас в стране можно просто купить всю базу :)
Не будьте наивным, Фата1екс.
Пост в топике — не повод для паники, а всего лишь конструктивная критика.
Не будьте наивным, Фата1екс.
Пост в топике — не повод для паники, а всего лишь конструктивная критика.
Я и не говорю, что «кто-то будет тратиться на этот скрипт, когда у нас в стране можно просто купить всю базу».
Пост в топике — не повод для паники, просто то что сделал автор — некрасиво. Реакция сообщества — вот это уже повод для размышлений. Хотя пора уже перестать удивляться, что мы зачастую ищем не здравых мыслей, интересных рассуждений или глубокой аналитики в постах, а просто хлеба, зрелищ и возможность опустить сильных мира сего.
Пост в топике — не повод для паники, просто то что сделал автор — некрасиво. Реакция сообщества — вот это уже повод для размышлений. Хотя пора уже перестать удивляться, что мы зачастую ищем не здравых мыслей, интересных рассуждений или глубокой аналитики в постах, а просто хлеба, зрелищ и возможность опустить сильных мира сего.
Какой пафосный комментарий!
Это темя для дискуссии — корректно или нет публиковать данные об уязвимостях.
Правильного и точного ответа ещё нет, и обществу в будущем предстоит решить, что здесь хорошо а что плохо.
Это можно увидеть на примере того же WikiLeaks.
Эту тему уже поднимали тут habrahabr.ru/blogs/infosecurity/105708/
И недавно была новость о создании международного сайта по публикации подобных дыр в IT, но не смог найти через поиск. ASZIC или как-то так проект называется.
Думаю, что если явный есть риск для жизни или фатальный экономический риск — уязвимость всегда должна сначала направлятся авторам уязвимости, и публиковаться уже ПОСЛЕ закрытия этой дыры, в остальных случаях можно сразу публиковать.
Почему? Потому что это спасет тех, кто не попадется на эту удочку.
Веть не известно — сколько и как давно хакеры уже знают об этой дыре. А те, кому подобная информация нужна, наверняка быстро и сами их находят, без помощи Ёлок.
Это темя для дискуссии — корректно или нет публиковать данные об уязвимостях.
Правильного и точного ответа ещё нет, и обществу в будущем предстоит решить, что здесь хорошо а что плохо.
Это можно увидеть на примере того же WikiLeaks.
Эту тему уже поднимали тут habrahabr.ru/blogs/infosecurity/105708/
И недавно была новость о создании международного сайта по публикации подобных дыр в IT, но не смог найти через поиск. ASZIC или как-то так проект называется.
Думаю, что если явный есть риск для жизни или фатальный экономический риск — уязвимость всегда должна сначала направлятся авторам уязвимости, и публиковаться уже ПОСЛЕ закрытия этой дыры, в остальных случаях можно сразу публиковать.
Почему? Потому что это спасет тех, кто не попадется на эту удочку.
Веть не известно — сколько и как давно хакеры уже знают об этой дыре. А те, кому подобная информация нужна, наверняка быстро и сами их находят, без помощи Ёлок.
Сейчас разговор не о фатальном экономическом риске или риске для жизни, разумеется, несколько формочек с данными большой погоды скорее всего не сделают. Просто некрасивый самопиар, который поощрается сообществом, потому что ГИБДД.
> Можно сразу публиковать. Потому что это спасет тех, кто не попадется на эту удочку.
Да ну?
> Можно сразу публиковать. Потому что это спасет тех, кто не попадется на эту удочку.
Да ну?
А вы самопиаритесь, публикуя тут комментарии.
Уважаемый хабраколлега, напомните, какая заповедь в библии, или какая статья в Конституции пишет «11. Не пиарься, %юзернейм%, ибо в Аду бана гореть будешь, аминь».
С каких пор пиар это плохо? Не важно, какая у человека мотивация, важно — какой результат. А результат — полезные статьи, которые другим нравятся.
Уважаемый хабраколлега, напомните, какая заповедь в библии, или какая статья в Конституции пишет «11. Не пиарься, %юзернейм%, ибо в Аду бана гореть будешь, аминь».
С каких пор пиар это плохо? Не важно, какая у человека мотивация, важно — какой результат. А результат — полезные статьи, которые другим нравятся.
Вы это меня спрашиваете?
Жаль нет фотографий тех долбоебов которые назвали себя веб-студией.
Да, именно долбоебы, т.к. верстать меню своей же студии .gif картинками в 2010 году это нонсенс. Про их выкидыш (сайт гибдд) я уже не говорю.
Да, именно долбоебы, т.к. верстать меню своей же студии .gif картинками в 2010 году это нонсенс. Про их выкидыш (сайт гибдд) я уже не говорю.
Они у себя на сайте повесили новость, что не имеют отношение к этим формам, они только сайт делали.
А я про сайт и говорю.
Чего стоят эти ЧПУ вида gibdd74.ru/GRAFIK_PRIJoMA_GRAZhDAN_I_OBRAZCY_ZAJaVLENI и ихняя верстка.
Чего стоят эти ЧПУ вида gibdd74.ru/GRAFIK_PRIJoMA_GRAZhDAN_I_OBRAZCY_ZAJaVLENI и ихняя верстка.
UFO just landed and posted this here
Действительно. Меня завела в заблуждение фраза из поста:
«Управление ГИБДД по Челябинской области решило пойти в ногу со временем и предоставлять государственные услуги посредством своего сайта — gibdd74.ru»
Я ее воспринял как «Управление ГИБДД по Челябинской области решило пойти в ногу и сделать сайт gibdd74.ru чтобы предоставлять государственные услуги».
А «веб-студию» (у которой в футере написано на одной странице «2002-2009» а на другой «2002-2007») этот факт не может оправдывать, т.к. и сейчас их сайт построен таблицами, а меню — гифками.
«Управление ГИБДД по Челябинской области решило пойти в ногу со временем и предоставлять государственные услуги посредством своего сайта — gibdd74.ru»
Я ее воспринял как «Управление ГИБДД по Челябинской области решило пойти в ногу и сделать сайт gibdd74.ru чтобы предоставлять государственные услуги».
А «веб-студию» (у которой в футере написано на одной странице «2002-2009» а на другой «2002-2007») этот факт не может оправдывать, т.к. и сейчас их сайт построен таблицами, а меню — гифками.
Объясните-ка мне в двух словах, чем плоха для пользователя табличная вёрстка, если она работает и не вызывает багов?
Речь шла не только о таблицах.
Код с таблицами объемнее чем код с блоками, соотв страница дольше загружается. Вот теги в дизайне страницы это просто ппц, а тем более если они идут вместо текста.
Код с таблицами объемнее чем код с блоками, соотв страница дольше загружается. Вот теги в дизайне страницы это просто ппц, а тем более если они идут вместо текста.
* теги img
А теги <img>- то вам чем не угодили, если они НЕ вместо текста?
ЧПУ могут формироваться при публикации материала автоматически CMS по алгоритму в ТЗ заказчика или вручную редактором/администратором/«копирайтером» сайта, то есть тоже представителем заказчика, а не исполнителем.
То что делает веб-студия на своем сайте — это их дело. То что делает на сайтах клиентов — одобренное тех.задание + здравый смысл при составлении подобного тех. задания.
ГИБДД должна страдать. Да и другие гос. органы тоже должны страдать.
Вы молодец, сразу видно настоящий современный человек. Так им, публично выпороть их на хабре!
Я когда вижу на дороге, в темном месте открытый нерадивыми работниками «водоканала» колодезный люк без ограждений, я не ставлю перед ним никаких препятствий, что бы бабка не провалилась, а спешу домой, за компьютер, скорее писать в жж. Вот прочитает «водоканал» мой жж, устыдится, и сразу накажет своих сотрудников за такую работу.
Кстати, можно еще постоять рядом, заснять телефоном несколько эффектных падений и приобщить их к статье, это по идее усилит публичную порку организации.
Я когда вижу на дороге, в темном месте открытый нерадивыми работниками «водоканала» колодезный люк без ограждений, я не ставлю перед ним никаких препятствий, что бы бабка не провалилась, а спешу домой, за компьютер, скорее писать в жж. Вот прочитает «водоканал» мой жж, устыдится, и сразу накажет своих сотрудников за такую работу.
Кстати, можно еще постоять рядом, заснять телефоном несколько эффектных падений и приобщить их к статье, это по идее усилит публичную порку организации.
прикольный ник у Вас =)
Вы почему-то отошли от собственной метафоры. В случае с люком гораздо эффективнее сообщить о проблеме не бригаде, которая устанавливала люк, а кому-то выше. И, да, бригада должна получить порку, потому что бабки уже упали в колодец. Сейчас же в колодец падают только тролли.
Конечно эффективнее, я ж разве спорю? Особено через жж получается эффективно. Тем более какие бонусы, рейтинг, карма… короче одни плюсы. А звонить по телефону в аварийку не надо… тарапица нэ надо(с) Это нормально, в мире вообще все взаимосвязано, и мы взаимосвязаны с миром, удачи вам, на дорогах =)
Хватит юлить. Сначала о подобных багах сообщают разработчикам, а потом уже хвастаются сообществу. Это факт. Вы же решили попиариться засчет «слива ГИБДД».
Пока автор пиариться, десятки суровых челябинских Читателей Хабра избегут этой опасности и не будут ничего писать на сайт ГИБДД, пока те не убьются об стену не исправят дыры.
Шишки сыпать сюда, это мой коммент, забыл разлогиниться :(
Два аккаунта неплохое подспорье в дискуссии :)
да это корпоративный акк ) Им не подискутируешь особо.
Вы можете поступить компромиссно — обратиться к Ёлке в личку, попросить до понедельника убрать в черновики аккаунт, и самому предупредить ГИБДД о дырке на сайте.
Но вся эта проблема выеденного яйца не стоит на фоне более серьезных дыр и проблем.
Например, диски с базами данных прошлой переписи населения месяц на третий на развалах появились (стоили тыщи по 2 рублей за диск).
А вы тут про какую-то формочку воюете. Вы правильно копаете, но не в ту сторону.
Вы можете поступить компромиссно — обратиться к Ёлке в личку, попросить до понедельника убрать в черновики аккаунт, и самому предупредить ГИБДД о дырке на сайте.
Но вся эта проблема выеденного яйца не стоит на фоне более серьезных дыр и проблем.
Например, диски с базами данных прошлой переписи населения месяц на третий на развалах появились (стоили тыщи по 2 рублей за диск).
А вы тут про какую-то формочку воюете. Вы правильно копаете, но не в ту сторону.
Автор узнал об уязвимости не сегодня. И тем не менее он не потрудился написать о ней разработчикам. Не понимаю, о чем вообще может быть разговор.
А вы когда последний раз что-то пытались написать государству?
Вы хоть примерно представляете, какая цепочка лежит от такого письма или звонка до живого исполнителя? Я — нет, даже не представляю.
Чисто формально, конечно, вы, как идеалист, правы. Но даже такое письмо ничего бы не изменило.
Вы хоть примерно представляете, какая цепочка лежит от такого письма или звонка до живого исполнителя? Я — нет, даже не представляю.
Чисто формально, конечно, вы, как идеалист, правы. Но даже такое письмо ничего бы не изменило.
Я не рассматриваю проблему в разрезе «государство/не государство», просто есть некоторые нормы, которых я придерживаюсь в (почти) любом случае.
Ещё насчет государства.
Студия Артемия Лебедева. Вроде не государство. Вроде солидные ребята, которые делают солидные заказы. Пару недель назад написал им об этом и этом. Ни ответа, ни результата. Вот им можно было бы попенять, а бедным ГИБДДшникам, которые пытаются наконец-то выйти в интернеты, надо помочь, вместо того чтобы поливать их грязью.
В общем, мне кажется, мы друг друга поняли. Мир :)
Ещё насчет государства.
Студия Артемия Лебедева. Вроде не государство. Вроде солидные ребята, которые делают солидные заказы. Пару недель назад написал им об этом и этом. Ни ответа, ни результата. Вот им можно было бы попенять, а бедным ГИБДДшникам, которые пытаются наконец-то выйти в интернеты, надо помочь, вместо того чтобы поливать их грязью.
В общем, мне кажется, мы друг друга поняли. Мир :)
Ну я и не воевал.
Я вижу вашу миссию — убедить всех вокруг, что автор поступил плохо. Но ему уже больше 120 плюсов выдали и 4 человека зачем-то добавили в избранное.
Думаю, эффективнее было бы попросить автора так же внизу поста от вашего имени написать обращение, с просьбой во всех будущих подобных случаях сначала писать хозяевам сайта об уязвимости, а затем публиковать её. Тогда это будет ваша маленькая победа над Хаосом.
В моём аналогичном посте я так и сделал — сначала связался с саппортом мейл ру.
Я вижу вашу миссию — убедить всех вокруг, что автор поступил плохо. Но ему уже больше 120 плюсов выдали и 4 человека зачем-то добавили в избранное.
Думаю, эффективнее было бы попросить автора так же внизу поста от вашего имени написать обращение, с просьбой во всех будущих подобных случаях сначала писать хозяевам сайта об уязвимости, а затем публиковать её. Тогда это будет ваша маленькая победа над Хаосом.
В моём аналогичном посте я так и сделал — сначала связался с саппортом мейл ру.
Поминая бедных ГИБДДшников, имейте ввиду что бюджеты на такие системы сравнимы с бюджетами САЛ.
Пока автор пиарится, сотни ничего не знающих автомобилистов сольют свои данные злоумышленникам. Если бы автора-мудака интересовали автомобилисты, он бы нашёл адреса местных форумов и создал топики там.
Но там кармочки нет, тема «Роисся вперде» не встречается радостным повизгиванием и всеобщей любовью, и вообще неинтересно. То ли дело хабр — и мало волнует, что его читает куча скрипт-киддисов, кулцхакеров и прочей вебшпаны. Ну огребёт проблем водила незадачливый — чо, сам виноват, на хабр не заходит.
Но там кармочки нет, тема «Роисся вперде» не встречается радостным повизгиванием и всеобщей любовью, и вообще неинтересно. То ли дело хабр — и мало волнует, что его читает куча скрипт-киддисов, кулцхакеров и прочей вебшпаны. Ну огребёт проблем водила незадачливый — чо, сам виноват, на хабр не заходит.
Повыше бы ваш комментарий, а то народ как всегда в экстазе — госструктуры снова облажались. А то что автор просто пиарящийся эгоист в данном случае и что он сделал совершенно неверный выбор, решив запостить это сюда до сообщения разработчикам, это ок
про фотографии было уже
автор фото знал о люке и ждал когда кто-нибудь свалится.
автор фото знал о люке и ждал когда кто-нибудь свалится.
автор фото — мудак
дорожные службы тоже **аки.
Один nimoff дартаньян. Да ладно вам, ничего опасного в таком падении нет, но зато смешно. Я тоже так падал, правда не в дождь.
Один nimoff дартаньян. Да ладно вам, ничего опасного в таком падении нет, но зато смешно. Я тоже так падал, правда не в дождь.
ну правильно, поэтому это страна так и будет жить в дерьме, потому что людям смешно смотреть на тот, как другие ебануться
мол, я тоже так падал, пусть теперь и другие
а я сниму, народ поржет…
давайте, продолжайте
мол, я тоже так падал, пусть теперь и другие
а я сниму, народ поржет…
давайте, продолжайте
Тогда не кликайте по ссылке.
Нимофф, не, ну, серьезно — расскажите нам, что бы вы делали на месте фотографа? И, кто вам дал право предполагать, что он знал о люке?
Нимофф, не, ну, серьезно — расскажите нам, что бы вы делали на месте фотографа? И, кто вам дал право предполагать, что он знал о люке?
по какой ссылке-то?
«автор фото знал о люке и ждал когда кто-нибудь свалится.»
суде по фото, его делали не быстро поворачиваясь от неожиданности
можно что-нить найти и поставить перед люком, как предупреждение или просто препятствие, которое объедут
у вас есть проблема, вы привыкли, что за ВАС КТО-ТО ВСЁ сделает
ну лоханулись дорожные службы, кстати они не имеют отношения к люкам)
и ВЫ ждете, что кто-нибудь это исправит, ну ждите
«автор фото знал о люке и ждал когда кто-нибудь свалится.»
суде по фото, его делали не быстро поворачиваясь от неожиданности
можно что-нить найти и поставить перед люком, как предупреждение или просто препятствие, которое объедут
у вас есть проблема, вы привыкли, что за ВАС КТО-ТО ВСЁ сделает
ну лоханулись дорожные службы, кстати они не имеют отношения к люкам)
и ВЫ ждете, что кто-нибудь это исправит, ну ждите
Ну да, у нас никто ни к чему не имеет отношения :)
Вот по этой.
Зачем вам ссылка, если я просил по ней не ходить?
Вот так всегда, делаем что хотим ) А вы уже все люки пометили флажками?
Вот по этой.
Зачем вам ссылка, если я просил по ней не ходить?
Вот так всегда, делаем что хотим ) А вы уже все люки пометили флажками?
извините, у меня закончилась еда для вас
ну правильно, поэтому это страна так и будет жить в дерьме, потому что людям смешно смотреть на тот, как другие ебанутьсяТогда вот
Во всем мире принято сначала сообщать разработчикам, ждать закрытия бага (хотя бы неделю), а только потом вываливать все в новости.
То, что сделал автор — бездумное желание попиариться, называемое в народе «шило в жопе».
То, что сделал автор — бездумное желание попиариться, называемое в народе «шило в жопе».
UFO just landed and posted this here
А нету там информации о разработчиках. И кому сообщать, тоже не понятно. Явно не в ГИБДД
Почему вы такие вещи называете багами? Это как надо тестировать, чтобы не знать что у тебя данные предыдущего пользователя выводятся? Я считаю что это сделано умышленно. Не так конечно «ой, а давайте будем предыдущие данные выводить», а так: «давайте наймем студентов за 3 рубля, они парни перспективные и все сделают нам, а сдачу мы себе оставим». Кто-то здесь виноват, кто-то должен быть наказан на самом деле (152ФЗ); при огласке на это есть шанс.
Если вы торгуете гнилой хурмой на рынке, вам инспекция не будет выносить предупреждение. Вас оштрафуют. Выходя на рынок вы должны обеспечить надлежащее качество товара. Почему с госуслугами должно быть как-то иначе?
Если вы торгуете гнилой хурмой на рынке, вам инспекция не будет выносить предупреждение. Вас оштрафуют. Выходя на рынок вы должны обеспечить надлежащее качество товара. Почему с госуслугами должно быть как-то иначе?
но ведь это вина не ГИБДД, а подрядчиков, нет?
UFO just landed and posted this here
Распил распилом, а вот у Новосибирского ГИБДД кажется все наоборот. Правда сайт в большей мере только информационный ресурс (по крайней мере я не нашел там пунктов для регистрации ТС через интернет и элетронной очереди).
Оказывается у нашего гибдд (красноярского), не такой и бестолковый сайт, по сравнению с приведенными здесь. Ничего лишнего, да и найти можно практически все нужное сразу.
Согласно новому закону, ГИБДД должна будет сайт привести в порядок до 1 января. Многие челябинские сайты уже обновились (к примеру gubernator74.ru). Другие просто пока ждут, либо не могут решить как быть с новым законом о хранении персональных данных (сотрудникам ИТ-отдела нужно получить специальную лицензию у ФСБ).
А насчет вышеприведенного сайта, просто стоимость разработки была ~30-40 тыс. рублей, а запросы ГИБДД на все 80к-100к. Это не профессиональность веб-студии. Есть вина и ГИБДД, т.к. они одобрили такой сайт.
А насчет вышеприведенного сайта, просто стоимость разработки была ~30-40 тыс. рублей, а запросы ГИБДД на все 80к-100к. Это не профессиональность веб-студии. Есть вина и ГИБДД, т.к. они одобрили такой сайт.
Да, только думаю что в итоге государство за разработку сайта заплатила несколько миллионов минимум.
Сейчас наблюдается интересная тенденция: если ты слишком скупишься и выделяешь очень маленький бюджет для сложной разработки: то ты получишь кривой продукт.
И в противоположность, если выделяются огромные суммы на разработку (изначально завышенные), то тоже будет получен откровенно плохой продукт так же.
Сейчас наблюдается интересная тенденция: если ты слишком скупишься и выделяешь очень маленький бюджет для сложной разработки: то ты получишь кривой продукт.
И в противоположность, если выделяются огромные суммы на разработку (изначально завышенные), то тоже будет получен откровенно плохой продукт так же.
Интересен был бы сравнительный обзор всех гибддэшных сайтов…
«отличная» реклама для студии, которая сделала этот сайт. Я кстати даже знаю этих ребят, к сожалению, это не первый их epic fail
И какие же у них есть еще fail-ы?
Я хотел бы сказать об Oracle XE. Да, в лицензионном соглашении есть пункт о разработке и тестировании. Но там же и есть фраза «and running your applications for your own internal data processing operations». Если мы погуглим в интернете, то увидим ответы, что ДА, вы можете использовать XE для коммерческих нужд. Желающие даже могут позвонить в представительство Оракла в Москве.
Другое дело — ограничения версии XE — до 4Гб пользовательских данных, 1 сервер, 1 инстанс, 1 процессор, до 1Гб оперативной памяти.
Если вас устраивает данная конфигурация, то вперед. Так что ребята эти тут чисты, но вот с данными такой сервер будет работать очень медленно, если со временем у них будет очень много пользователей в интернете.
Пруфлинк с ответами Асов форума Оракла
forums.oracle.com/forums/thread.jspa?threadID=700100
Другое дело — ограничения версии XE — до 4Гб пользовательских данных, 1 сервер, 1 инстанс, 1 процессор, до 1Гб оперативной памяти.
Если вас устраивает данная конфигурация, то вперед. Так что ребята эти тут чисты, но вот с данными такой сервер будет работать очень медленно, если со временем у них будет очень много пользователей в интернете.
Пруфлинк с ответами Асов форума Оракла
forums.oracle.com/forums/thread.jspa?threadID=700100
Есть кстати на этом сайте ещё и ",a href=«gibdd74.ru/include/b_compute_click.asp?key=41»>Проверка состояния предварительной записи" (со включенным дебагом). Там в урле фигурирует уже другой IP. Это катит за 2-й сервер? :)
значит можно использовать, храня только данные последнего пользователя :) и для электронной очереди очень удобно
UFO just landed and posted this here
PostgreSQL на корпоративном рынке?! О госпади, да вас надо держать подальше от этого сектора, раз не знаете, в чем преимущество технологий того же Oracle, и для каких целей все это используется.
Преимущество с точки зрения производительности? Давайте прикинем сколько в Челябинской области автомобилистов, у скольких из них есть интернет, скольким требуется пройти ТО и сколько из них знают об этом сайте. Для этой цели вполне хватит PostgreSQL. К тому же в данном случае нет даже никаких хитрых запросов — просто запись в таблицу с последующей отправкой куда-то.
Речь не про конкретное решение для сайта ГИБДД, а про решения корпоративного уровня, куда никто в здравом уме не будет ставить всякие PostgreSQL и MySQL просто потому, что кроме базы данных требуются значительно более серьезные программные продукты для поддержания всей инфроструктуры предприятия в рабочем состоянии. Microsoft или Oracle могут такое предложить своим клиентам. PostgreSQL — нет.
UFO just landed and posted this here
У Google, Facebook, Twitter десятки тысяч специалистов, которые напильниками допиливают «бесплатные решения» и подстраивают все под себе, в т.ч. разрабатывают собственные решения под свои нужны. И да, от того же MySQL в гугле уже осталось, наверное, одно лишь название.
Надеюсь, не надо рассказывать, откуда и почему берутся всякие «NoSQL базы», «компиляторы php» и т.п. технологии.
Надеюсь, не надо рассказывать, откуда и почему берутся всякие «NoSQL базы», «компиляторы php» и т.п. технологии.
Вот это — мудрый, взвешенный коммент. Плюсую в коммент и в карму.
Кричащим по поводу крутизны мускулы и постргеса.
Да. Эти базы хороши в ряде задач. Вернее — достаточны по функционалу + бесплатны.
Да, они имеют ряд фич, которые позволяют в определенных случаях очень быстро выполнять простейшие операции в больших объемах. В этих случаях такие базы очень легковесны, если их настроить руками и выкинуть все лишнее. Когда схема данных весьма проста (как, например, в фейсбуки или твиттере), и дело только в количестве простейших транзакций, которых идут миллионы и миллионы — да, они работают неплохо.
Да. Они хорошо горизонтально масштабируются.
Да. Они чрезвычайно широко распространены в вебе.
Да. Google, FB etc используют базы данных с такими названиями.
НО.
Первое — в деплойментах на огромных масштабах используются кастомные сборки, которые допиливаются, как тут было сказано, командами системных программистов высочайшего класса. Точно Так же, как допиливаются драйверы файловых систем, стек TPC-IP, os kernel etc.
Второе. Саппорт. Даже не так. САППОРТ. В критических бизнес системах нужен постоянный высококачественный саппорт от вендоров всех компонентов. Без комментариев.
Третье. По соотношению цена / качество. У того же оракла очень много фич, которые многим не нужны, и многие (особенно веберы, коих тут более чем дохуя) толком не знает как использовать.
Четвертое. Аналитика на огромных объемах данных. У мускула и пострге она хреновато сделана, если вообще есть. ПРосто потому, что не их эта ниша.
Посмотрите статистику по делпойментам, где СЛОЖНАЯ схема данных, и требуется быстрая и сложная их аналитика / интеграция. Системы крупных банков, бирж и прочее. Обычно там используется Oracle.
Если туда ставить мускул — он будет там работать плохо.
Кричащим по поводу крутизны мускулы и постргеса.
Да. Эти базы хороши в ряде задач. Вернее — достаточны по функционалу + бесплатны.
Да, они имеют ряд фич, которые позволяют в определенных случаях очень быстро выполнять простейшие операции в больших объемах. В этих случаях такие базы очень легковесны, если их настроить руками и выкинуть все лишнее. Когда схема данных весьма проста (как, например, в фейсбуки или твиттере), и дело только в количестве простейших транзакций, которых идут миллионы и миллионы — да, они работают неплохо.
Да. Они хорошо горизонтально масштабируются.
Да. Они чрезвычайно широко распространены в вебе.
Да. Google, FB etc используют базы данных с такими названиями.
НО.
Первое — в деплойментах на огромных масштабах используются кастомные сборки, которые допиливаются, как тут было сказано, командами системных программистов высочайшего класса. Точно Так же, как допиливаются драйверы файловых систем, стек TPC-IP, os kernel etc.
Второе. Саппорт. Даже не так. САППОРТ. В критических бизнес системах нужен постоянный высококачественный саппорт от вендоров всех компонентов. Без комментариев.
Третье. По соотношению цена / качество. У того же оракла очень много фич, которые многим не нужны, и многие (особенно веберы, коих тут более чем дохуя) толком не знает как использовать.
Четвертое. Аналитика на огромных объемах данных. У мускула и пострге она хреновато сделана, если вообще есть. ПРосто потому, что не их эта ниша.
Посмотрите статистику по делпойментам, где СЛОЖНАЯ схема данных, и требуется быстрая и сложная их аналитика / интеграция. Системы крупных банков, бирж и прочее. Обычно там используется Oracle.
Если туда ставить мускул — он будет там работать плохо.
UFO just landed and posted this here
Nenakhov, я отвечал на вторую часть сообщения, где вы собираетесь сразу же уволить людей, которые откажутся использовать PostgreSQL и выберут MS SQL или Oracle при разработке корпоративных решений. Вот это свидетельствует о вашей крутости и знании темы. Увольняйте дальше — вы же гуру и в теме.
Как это, блин, какие. Oracle дает рекомендованные требования к оборудованию, исходя из которых можно попилить деньги с пары-тройки дополнительных серверов и с их настройки.
UFO just landed and posted this here
DBA здесь не при чем. Нужно сдать проект гос.структуре, для чего каждая часть должна быть «прикрыта» соответствующими бумагами, чтобы в случае чего спихнуть вину с себя на ответственных за эту часть. ORACLE, MS SQL — хорошие варианты. А то, что будет тормозить и пр. — в этой стране никого не ебет. «Мы никуда не торопимся».
А так же можно еще дополнительно попилить денежки, аргументируя тем, что специалисты на Oracle стоят значительно дороже, разработка на ней дороже, а сам Oracle — это мега круто уже само по себе.
Что там на самом деле — ведь никто не пойдет разбираться.
Что там на самом деле — ведь никто не пойдет разбираться.
Я думаю, потому что планируется (или существует) связь с внутренней базой. Тогда решение разработчиков очень логично: вместо ведения двух дублирующих баз, используется одна. И в этом случае надеюсь, что DBA у них получше разбираются в вопросах безопасности :)
Еще там есть пункт
(b) you may also distribute the programs with your applications;
(b) you may also distribute the programs with your applications;
UFO just landed and posted this here
UFO just landed and posted this here
а мне понравилось решение с подтверждением согласия с лицензионным соглашением в виде радиокнопки, которая уже заботливо отмечена
> К сожалению, это очередной пост о дырявости и криворукости сайтов государственных учреждений.
Как-то не по-русски, не правда ли? Криворукость сайтоваятелей — да. Криворукость сайта — бред.
Как-то не по-русски, не правда ли? Криворукость сайтоваятелей — да. Криворукость сайта — бред.
UFO just landed and posted this here
Спасибо, улыбнуло в субботнее утро.
В очередной раз обидно. Ведь есть же в Челябинске хорошие специалисты, почему заказ получили эти? Ответ, к сожалению, очевиден.
Это студия при кафедре ЭВМ в ЮУрГУ. Сайт судя по копирайтам и портфолио, сделан в далеком 2003ем году.
Возможно за это время для новых фишек они привлекли других специалистов.
Возможно за это время для новых фишек они привлекли других специалистов.
UFO just landed and posted this here
Так заказчик был ГИБДД. Работа была сдана 7 лет назад. Судя по скрину с портфолио там было в меню в 2 раза меньше пунктов. Да и на сайте видно что урлы разных разделов написаны на разных языках, значит разные люди делали.
Я думаю ГИБДД допиливала своими силами или нашли знакомого умельца и попросили его допилить за сумму менее 100к.
Я думаю ГИБДД допиливала своими силами или нашли знакомого умельца и попросили его допилить за сумму менее 100к.
Сообщение касательно статьи «Хранение личных данных на примере сайта ГИБДД Челябинской области» на сайте habrahabr.ru www.labdotnet.ru/novosti#153
В нужное время подсуетились. Заказ от гос. органов не так просто получить. Либо это «хорошие знакомые», либо «уже проведенные работы» с другим гос. сайтом, либо «рекомендация» от влиятельных бизнесменов. Мы получили первый заказ на гос. сайт именно через рекомендацию. И хотя платят за гос. сайты не очень много, работать с ними интересно на перспективу.
В прокуратуру надо писать, а не сюда.
LAB.Net те ещё кудесники :-)
UFO just landed and posted this here
Полнейшая безалаберность тех, кто делал все это, и тех, кто принимал работу.
Челябинские студии настолько суровы, что… :)
Не понятно, причем тут собственно ГИБДД Челябинска? Они заказали сайт, его сделали какие-то не совсем профессиональные разработчики. Вас удивляет что в ГИБДД не оказалось специалистов по сетевой безопасности?
Лично меня удивило другое. ГИБДД идет навстречу людям! Они нашли средства для того чтобы хоть в какой-то мере предоставить информацию в удобной форме, доступной 24 часа в сутки. Да уже за это — памятник нужно начальнику поставить! Да, скорее всего, сайт делал «кум» начальника, да и денег на него ушло больше, чем в действительности надо. Но это, как и некоторые ошибки безопасности на сайте — сущие пустяки по сравнению с ситуацией которая царит в подобных органах. Я проходил ТО в течении недели, из которых — только оплаты потребовали каких-то трех часов. Потому что оплатить можно только в одном месте (в банке, касса которого в помещении МРЭО) а там, разумеется, километровая очередь. Даже просто чтобы получить список того, что мне нужно предоставить для ТО — мне пришлось ехать к ним, и еще отстаивать очередь, где давали разъяснения и эти самые «бегунки».
Чтобы госструктуры шагали в ногу со временем в ИТ-технологиях, потребуется не один год. Пугает вовсе не дыра на сайте, а то, что такой переход может вообще не происходить еще десятки лет. А дыры — есть у всех, в том числе и у матерых ИТ-компаний. Наш народ вообще интересно мыслит: все любят поговорить об отсталости нашей страны на фоне запада. И вот, кто-то не на словах, а действием, пытается ликвидировать отставание. Приходит тот же народ и начинает тыкать пальцем в недостатки, хохотать и стебаться на ту же, что характерно тему, о том как у нас все херово
Лично меня удивило другое. ГИБДД идет навстречу людям! Они нашли средства для того чтобы хоть в какой-то мере предоставить информацию в удобной форме, доступной 24 часа в сутки. Да уже за это — памятник нужно начальнику поставить! Да, скорее всего, сайт делал «кум» начальника, да и денег на него ушло больше, чем в действительности надо. Но это, как и некоторые ошибки безопасности на сайте — сущие пустяки по сравнению с ситуацией которая царит в подобных органах. Я проходил ТО в течении недели, из которых — только оплаты потребовали каких-то трех часов. Потому что оплатить можно только в одном месте (в банке, касса которого в помещении МРЭО) а там, разумеется, километровая очередь. Даже просто чтобы получить список того, что мне нужно предоставить для ТО — мне пришлось ехать к ним, и еще отстаивать очередь, где давали разъяснения и эти самые «бегунки».
Чтобы госструктуры шагали в ногу со временем в ИТ-технологиях, потребуется не один год. Пугает вовсе не дыра на сайте, а то, что такой переход может вообще не происходить еще десятки лет. А дыры — есть у всех, в том числе и у матерых ИТ-компаний. Наш народ вообще интересно мыслит: все любят поговорить об отсталости нашей страны на фоне запада. И вот, кто-то не на словах, а действием, пытается ликвидировать отставание. Приходит тот же народ и начинает тыкать пальцем в недостатки, хохотать и стебаться на ту же, что характерно тему, о том как у нас все херово
Согласен с вами, идея ГИБДД предоставлять услуги он-лайн безусловно хороша. В данном случае полностю вина разработчиков, которые просто впарили им сайт. Но заказчик принимая эту «работу» (я даже закрываю глаза кривизну реализацию и используемые технологии) мог хотя бы посмотреть какие данные прилетают в форму.
Ни фига это не вина разработчиков. Это вина человека, который отвечает у них в ГИБДД за сайт или вина его руководителя, если этот человек не знает что и как проверять.
UFO just landed and posted this here
То есть, вы хотите сказать, что наивный заказчик, положившись на профессиоанлизм и адекватность исполнителя при заключении сделки виноват в том, что ему в итоге впарили говно?
Не «впарили», а «принял работу» и дал команду на запуск сервиса. Да, виноват.
UFO just landed and posted this here
Принимая во внимание тот факт, что эту форму на Оракле делали, оказывается, вообще какие-то левые ребята — да, ГИБДДшники сами виноваты.
На момент же написания мною комментария все думали, что это баг Lab.Net'a. В этом случае данный пример некорректен, потому что так или иначе получается, что все веб-студии для технически неподготовленного человека, который просто хочет сайт — безликая «подворотня». И тогда он становится жертвой обмана. И виноват он только в своей наивности и вере в честность.
На момент же написания мною комментария все думали, что это баг Lab.Net'a. В этом случае данный пример некорректен, потому что так или иначе получается, что все веб-студии для технически неподготовленного человека, который просто хочет сайт — безликая «подворотня». И тогда он становится жертвой обмана. И виноват он только в своей наивности и вере в честность.
Человека «отвечающего за сайт» может просто и не быть, а начальник — не может разбираться во всем, тем более, если речь идет о новых для него технологиях. По сути, вы подразумеваете что ГИБДД должно иметь не только спеца по вэб-технологиям, но еще и тестера как минимум. Вот вам, к примеру, сантехник сделал прокладку труб, а через две недели они стали течь. Причина — некачественная работа. Получается виноваты вы: еще бы, вы же не попробывали повысить давление, не меняли температуру в помещении, чтоб проверить воздействие перепадов на стыки и тому подобное. Как будто такое явление как некачественно выполненная работа это что-то новое в нашей стране! Причина, по которой стебутся над тупостью ГИБДД для меня очевидна: их, гаишников, никто не любит :) Если смотреть на ситуацию отвлеченно, без учета кто именно заказчик, то ситуация же банальная. На сайтах всегда находят дыры, надо просто связаться с ними и сообщить о проблеме, как это делают всегда в таких случаях (конечно, когда нет причин ненавидеть жертву проблемы безопасности на сайте :)
Как раз благодаря людям, которые «тыкают пальцем в недостатки» и существует прогресс.
Тыкать можно по-разному. В данном случае, надо было воспользоваться общемировой практикой и сообщить в ГИБДД о проблеме безопасности. И только в случае если ответной реакции нет какое-то время и дыру никто не закрывает — тогда уже писать подобный пост. А тут, получается что тыкают не для того чтобы помочь прогрессу, а просто забавы ради. К сожалению, это слишком по-русски
Я уже это говорил, и ещё раз повторю.
Не нужны регионам и городам отдельные сайты гос-услуг. Не нужна самодеятельность на местах. Нужны единые стандарты, единый формат, единый сайт с выбором города (и поддоменами). Зачем 89 раз изобретать велосипед в каждой из сотен возможностей гос-услуг ???
Житель страны в совершенно любом городе России должен иметь единую точку входа, единую систему авторизации, единый интерфейс и набор документов. Законы то ведь у нас единые на всю страну? Чтобы не дай бог приехал в коммандировку или на временное место жительства в другой город, и не пришлось тра*аться с «изобретёнными на местах велосипедами», расположенными на хрен знает каких местных адресах.
Пока не придёт осоздание этого в голове каждого — мы будем отсталой страной с очередями за каждой бумажкой. С неработающими и глючными сайтами, сделанным на коленке для каждого города нашей необъятной страны.
Не нужны регионам и городам отдельные сайты гос-услуг. Не нужна самодеятельность на местах. Нужны единые стандарты, единый формат, единый сайт с выбором города (и поддоменами). Зачем 89 раз изобретать велосипед в каждой из сотен возможностей гос-услуг ???
Житель страны в совершенно любом городе России должен иметь единую точку входа, единую систему авторизации, единый интерфейс и набор документов. Законы то ведь у нас единые на всю страну? Чтобы не дай бог приехал в коммандировку или на временное место жительства в другой город, и не пришлось тра*аться с «изобретёнными на местах велосипедами», расположенными на хрен знает каких местных адресах.
Пока не придёт осоздание этого в голове каждого — мы будем отсталой страной с очередями за каждой бумажкой. С неработающими и глючными сайтами, сделанным на коленке для каждого города нашей необъятной страны.
Я полностью согласен что нужна единая система и стандарты. Это понимает любой школьник. Но покуда их нет, я благодарен тем людям, которые хоть что-то делают на местах. Большинство чиновников именно этим и занимается: сидит и ждет, пока сверху не сделают или скажут что делать. До этого момента — он и палец о палец не ударит. Проблема в том, что между тем «как надо» и «как есть» — огромная пропасть. Особенно в наших реалиях. Будь в моем регионе такая «самодеятельность» как у ГИБДД Челябинска — я был бы избавлен от необходимости вставать в 5:00 утра и ехать за 15 км. к районному управлению ГАИ для того, чтобы занять очередь, в которой выдают бумажки со списком документов для ТО.
Я лично не разделяю вашего оптимизма, что единая система появится сама собой с чистого листа. А вот то, что кто-то задумается над систематизацией и объединением региональных «велосипедов» — на это шансов больше. По мне лучше велосипед в руках, чем боинг в небе
Я лично не разделяю вашего оптимизма, что единая система появится сама собой с чистого листа. А вот то, что кто-то задумается над систематизацией и объединением региональных «велосипедов» — на это шансов больше. По мне лучше велосипед в руках, чем боинг в небе
всё по-россеянски.
сначала сделают 89 сайтов и попилят бабла.
а потом сделают один большой — и еще попилят бабла.
всё пучком!
сначала сделают 89 сайтов и попилят бабла.
а потом сделают один большой — и еще попилят бабла.
всё пучком!
Думаю это не благодать ГИБДД Челябинска, а требования закона и установки «сверху». Поэтому чтобы отчитаться перед начальством, чтобы не попасть под «раздачу» им и приходиться это реализовывать. Вот о потребителях они в меньшей степени они думают.
По работе периодически приходиться делать сайты для гос. структур. И их отношение очень удивляет. Очень часто после сдачи сайта они о нем вообще забывают и даже не меняют тестовый контент.
Так же, если ты хочешь предложить свои услуги по созданию сайта для гос. структуры не стоит говорить о пользе и удобстве для пользователей. Нужно говорить о том, чем лично будет полезен сайт самой этой структуре (соблюдение закона, возможность проявить себя перед начальством и т. п. и т. д.)
По работе периодически приходиться делать сайты для гос. структур. И их отношение очень удивляет. Очень часто после сдачи сайта они о нем вообще забывают и даже не меняют тестовый контент.
Так же, если ты хочешь предложить свои услуги по созданию сайта для гос. структуры не стоит говорить о пользе и удобстве для пользователей. Нужно говорить о том, чем лично будет полезен сайт самой этой структуре (соблюдение закона, возможность проявить себя перед начальством и т. п. и т. д.)
Интересно, сколько миллионов стоил сайт?
Теперь разработчикам придется решить проблему, написав в условиях «Я согласен с вышеперечисленными условиями. А так же с тем, что мои данные увидят другие люди, смогут ими воспользоваться по своему личному усмотрению и даже продать, ежели на то будет их воля». И нам предлагают им доверять :)
На самом деле не всегда вина есть и разработчикам и тестировщиках. Ещё и заказчик как то ответсвеннен за то, какой продукт получится «на выходе». Для меня вот совсем не зазорно проверить за нашими тестерами что-то, ведь как обычно бывает — одно исправили, а другое отвалилось, или что-то раньше не заметили, всякие ситуации в общем.
Почему здесь заказчик даже не прошерстил слегка по сайту, не посмотрел на то, как работают формочки, не попробовал поставить себя на место простого пользователя — не понятно. Я бы сделал именно так.
Почему здесь заказчик даже не прошерстил слегка по сайту, не посмотрел на то, как работают формочки, не попробовал поставить себя на место простого пользователя — не понятно. Я бы сделал именно так.
Сейчас эта форма у меня выглядит вот так:
habreffect.ru/files/b2b/42db858dc/gibdd.gif
habreffect.ru/files/b2b/42db858dc/gibdd.gif
Апофеоз распила! Кто бы хакнул сайт ФСБ?
Вы сайт разработчиков-то видели? По-моему всё становится понятно.
Может это так и было задумано. Функция «Кто последний?» :)
Написал в ГИБДД о творящемся в раздел «Жалобы и предложения» и позвонил им на телефон доверия
а мне непонятно почему все эти электронные госуслуги каждый регион делает на собственных региональных сайтах организаций, в то время как они должны вводиться на распиаренном gosuslugi.ru, который по идее и создавался для объединения этого дела
автору — это ваш первый пост на хабре :) поздравляю с дебютом, вполне удачным.
а что касается госсайтов — не судите строго, это первые попытки государства «заметить» Интернет. С учетом того, насколько государство медленная и инертная махина, радоваться надо. Поправят, исправят.
Нам тут в песочнице всем кажется, что все это «можно одной левой сделать», чтобы правильно работали.
Хабрагении, а попробуйте написать сервис проверки паспортных данных для 146000000 пользователей, так чтобы он был соглассован с их гиганской оффлайн-частью, и за обозримые сроки?
а вы учли полный абсурда закон о тендерах, по которому подрядчик должен выбираться ежегодно? Если подобные проекты по автоматизации требуют больше года на разработку, БИНГО!
А чего стоит правило "расходования всего бюджета до определённой даты", иначе на следующий год меньше выдадут?
Добавим сюда ещё распил 30-50% бюджетов по карманам начальства. При учете всего этого тем ребятам, которые сидят внизу всей этой пищевой пирамиды — нужно респекты выдавать, что они хоть что-то сделали.
Радоваться надо, что при всей несуразности и бюрократичности хоть что-то там происходит айтишно-иновационное. Конечно, о косяках надо и нужно писать, но не забывайте чуть-чуть порадоваться за наших чиновников, не все ведь плохо.
А с Ораклом у нас, наверное, как с тракторами Форда. Отнять, поделить и раздать :) Русский мент-алитет :-D
а что касается госсайтов — не судите строго, это первые попытки государства «заметить» Интернет. С учетом того, насколько государство медленная и инертная махина, радоваться надо. Поправят, исправят.
Нам тут в песочнице всем кажется, что все это «можно одной левой сделать», чтобы правильно работали.
Хабрагении, а попробуйте написать сервис проверки паспортных данных для 146000000 пользователей, так чтобы он был соглассован с их гиганской оффлайн-частью, и за обозримые сроки?
а вы учли полный абсурда закон о тендерах, по которому подрядчик должен выбираться ежегодно? Если подобные проекты по автоматизации требуют больше года на разработку, БИНГО!
А чего стоит правило "расходования всего бюджета до определённой даты", иначе на следующий год меньше выдадут?
Добавим сюда ещё распил 30-50% бюджетов по карманам начальства. При учете всего этого тем ребятам, которые сидят внизу всей этой пищевой пирамиды — нужно респекты выдавать, что они хоть что-то сделали.
Радоваться надо, что при всей несуразности и бюрократичности хоть что-то там происходит айтишно-иновационное. Конечно, о косяках надо и нужно писать, но не забывайте чуть-чуть порадоваться за наших чиновников, не все ведь плохо.
А с Ораклом у нас, наверное, как с тракторами Форда. Отнять, поделить и раздать :) Русский мент-алитет :-D
Я считаю что для подобных сайтов должен быть какой-то стандарт, может быть даже движек, проверенный и надежный. На котором создавались бы подобные сайты. Законодательство ведь для всех одно. Что-то поменялось, внесли изменения в движек, и все обновились до последней версии. В итоге тестируется все в одном месте, меняется тоже, не нужно тратить лишние деньги на каждый отдельный ресурс, гибкость и еще куча преимуществ. Но не стоит забывать и о недостатках, если эту систему напишут кривыми руками, то она будет кривой везде. Но если будет госстандарт на это дело, то надеюсь подберут команду профессиональных разработчиков.
UFO just landed and posted this here
А Open Source?
Я скорее имел в виду не широко-распространяемые движки. А именно свой специальный, заточенный под такие гос сайты и подобные им, который бы писался командой программистов не со стороны. Ну например кто у вас поддерживает сайт Думы, или обеспечивает работоспособность других государственных сайтов.
А зачем? Подобный проект будет слишком «громоздкий», нужно вносить отдельные законодательные акты (иначе это монополия), необходимо работать с каждой пресс-службой (мера, губернатора, гор. думы и пр.). Постоянно добавлять/убирать фишки. Помогать консультативной деятельности. Даже приводить сайт впорядок для поисковиков, чтоб сайт соотвествовал последним постановлениям правительства. Самые большие силы тратяться не на первоначальное создание, а на последующую техническую поддержку.
Если создать какую-то CMS, то придется для одних писать одни плагины, для других — другие. Возможно Вам сложно представить, как тяжело работать с гос. органами и сколько «наездов» приходится от них слышать. Буквально неделю назад мы переезжали в новый офис. За этот день нам позвонили из 2 разные пресс-службы, и попросили добавить функцинал для интернет-приемной в соотвествии с новыми актами. И все «доделки» нужно производить в течении 1-2 суток.
После этого даже 6к-8к рублей, получаемые в месяц на поддержку, не окупят вложенные силы и рабочие часы. Но чтоб город и область имела хороший сайт, мы готовы на это.
Если создать какую-то CMS, то придется для одних писать одни плагины, для других — другие. Возможно Вам сложно представить, как тяжело работать с гос. органами и сколько «наездов» приходится от них слышать. Буквально неделю назад мы переезжали в новый офис. За этот день нам позвонили из 2 разные пресс-службы, и попросили добавить функцинал для интернет-приемной в соотвествии с новыми актами. И все «доделки» нужно производить в течении 1-2 суток.
После этого даже 6к-8к рублей, получаемые в месяц на поддержку, не окупят вложенные силы и рабочие часы. Но чтоб город и область имела хороший сайт, мы готовы на это.
То, что сразу сюда, а не разработчикам — это мы уже проходили.
А у вас есть сайт? }:)
А у вас есть сайт? }:)
Комментарий веб-студии, которую вы тут пинаете.
У них нету аккаунта на хабре — попросили меня дать эту ссылку здесь.
Дословная цитата из новостей с их сайта:
У них нету аккаунта на хабре — попросили меня дать эту ссылку здесь.
Дословная цитата из новостей с их сайта:
Касательно статьи «Хранение личных данных на примере сайта ГИБДД Челябинской области» на сайте habrahabr.ru
Обращаем внимание интернет-общественности, что факты «дырявости и кривизны», изложенные в статье «Хранение личных данных на примере сайта ГИБДД Челябинской области» (ссылка на хабру) не имеют отношения к разработанному компанией Lab.NET сайту ГИБДД Челябинской области (gibdd74.ru). Изложенные в статье вопиющие факты безалаберного отношения к безопасности и процессам разработки и тестирования программных продуктов относятся к ресурсу по адресу 109.233.211.147:8080, к которому наша компания не имеем никакого отношения.
Со своей стороны мы постараемся как можно скорее обратить внимание руководства ГИБДД Челябинской области на допущенные при разработке приведенного ресурса ошибки.
lab.net
Кафедра ЭВМ ЮУРГУ.
Именно на ней у нас проходит предмет «методы программирования», где препод — старпер толкает речи «о какой замечательный язык delphi», и при проверке, если сделано правильно и красиво, но не так как делает он, отправляет переделывать.
Видимо lab.net — подобные люди.
Кафедра ЭВМ ЮУРГУ.
Именно на ней у нас проходит предмет «методы программирования», где препод — старпер толкает речи «о какой замечательный язык delphi», и при проверке, если сделано правильно и красиво, но не так как делает он, отправляет переделывать.
Видимо lab.net — подобные люди.
Прочитал выше, извините, lab.net.
UFO just landed and posted this here
«Методы программирования» и «Языки программирования» — это все кафедра ЭВМ. Нам было очень весело, когда после изучения C/C++ и Assembler (кстати тоже ЭВМ, но был хороший преподаватель и хорошо рассказывал), нас посадили делать текстовой редактор с «негласным стандартом интерфейса», который был модным, году эдак в 2000.
UFO just landed and posted this here
который был модным в 2000 году
Я про интерфейс.
Как раз вышел Office 2000 (я его застал позже конечно же), и я помню у него фишку скрывать неиспользуемые пункты меню, это самая ужасная и ненужная штука. Многие не видя этой стрелочки, начинали кричать что нет у них нужной им функции.
А еще предмет называется «Методы программирования» а не «Методы напейсания блокнотов мышкой с кучей ненужных ужасных функций».
Добавим ко всему этому sql-иньекции и безопасность личной информации граждан видна в еще более ярком и прекрасном свете.
пруф
gibdd74.ru/QUESTS/Voprosy_po_administrativnym_vzyskanijam?PairId=[sql inj]
пруф
gibdd74.ru/QUESTS/Voprosy_po_administrativnym_vzyskanijam?PairId=[sql inj]
Автор статьи молодец, пусть родина знает как «хорошо» организовывают работу руководители ГИБДД. Как они зарабатывают, все и так знают.
Смешно.
В середине этого года я писал через форму обратной связи сайта guvd74.ru о SQL injection в форме логина в CMS.
Причем писал это через пол года после того, как случайно обнаружил дыру.
Вернее, обнаружил, что сайт входит в семейство с дырой.
Закрыли.
Может стоит силами Хабра провести слепой аудит безопасности правительственных сайтов и отчет вывесить здесь?
В середине этого года я писал через форму обратной связи сайта guvd74.ru о SQL injection в форме логина в CMS.
Причем писал это через пол года после того, как случайно обнаружил дыру.
Вернее, обнаружил, что сайт входит в семейство с дырой.
Закрыли.
Может стоит силами Хабра провести слепой аудит безопасности правительственных сайтов и отчет вывесить здесь?
Тут сидишь штудируешь этот #$#%$ ФЗ-152 и коллекцию подзаконных актов к нему, чтобы найти способ предоставить свои услуги, не рискуя отправиться за решётку, а на сайтах госорганов такое…
Я уже это говорил, и ещё раз повторю.
Не нужны регионам и городам отдельные сайты гос-услуг. Не нужна самодеятельность на местах. Нужны единые стандарты, единый формат, единый сайт с выбором города (и поддоменами). Зачем 89 раз изобретать велосипед в каждой из сотен возможностей гос-услуг ???
Житель страны в совершенно любом городе России должен иметь единую точку входа, единую систему авторизации, единый интерфейс и набор документов. Законы то ведь у нас единые на всю страну? Чтобы не дай бог приехал в коммандировку или на временное место жительства в другой город, и не пришлось тра*аться с «изобретёнными на местах велосипедами», расположенными на хрен знает каких местных адресах.
Пока не придёт осоздание этого в голове каждого — мы будем отсталой страной с очередями за каждой бумажкой. С неработающими и глючными сайтами, сделанным на коленке для каждого города нашей необъятной страны.
Не нужны регионам и городам отдельные сайты гос-услуг. Не нужна самодеятельность на местах. Нужны единые стандарты, единый формат, единый сайт с выбором города (и поддоменами). Зачем 89 раз изобретать велосипед в каждой из сотен возможностей гос-услуг ???
Житель страны в совершенно любом городе России должен иметь единую точку входа, единую систему авторизации, единый интерфейс и набор документов. Законы то ведь у нас единые на всю страну? Чтобы не дай бог приехал в коммандировку или на временное место жительства в другой город, и не пришлось тра*аться с «изобретёнными на местах велосипедами», расположенными на хрен знает каких местных адресах.
Пока не придёт осоздание этого в голове каждого — мы будем отсталой страной с очередями за каждой бумажкой. С неработающими и глючными сайтами, сделанным на коленке для каждого города нашей необъятной страны.
А зачем природе 8 миллиардов копий ДНК человека?
Возможно, в разных регионах пробуют разные методы, а потом растиражируют наиболее удачный из них на всю страну, заодно распилив денег за их повторную разработку.
Возможно, в разных регионах пробуют разные методы, а потом растиражируют наиболее удачный из них на всю страну, заодно распилив денег за их повторную разработку.
Понимаю, что оффтопик, но в природе не 8 миллиардов копий ДНК человека, а 8 * 10^24. 8 миллиардов человек и в каждом 10^15 клеток, каждая содержит не менее одной копии ДНК; некоторые (мышцы) — содержат сотни копий.
Слово «пробует» звучит так, ка будто у нас 89 разрознённых государств с разными законами, а «пробуют» школьники на коленке, изолированные от окружающего мира, не знающие о коллективной работе, о разработке единых стандартов и удобстве пользователей.
«Пробует» надо гнать долой, в школу. Этим должны заниматься профессионалы, и после составление подробного ТЗ, а не «пробуя», и должно охватывать сразу всю страну.
«Пробует» надо гнать долой, в школу. Этим должны заниматься профессионалы, и после составление подробного ТЗ, а не «пробуя», и должно охватывать сразу всю страну.
Да сколько же можно всяким странным студиям доверять разработку сайтов? В конце концов тут надо вообще думать, что делать! Ну конечно сначала надо было искать качественную компанию + ответственную (что бы там 10-20 тестеров сидело).
Заказчиком лично приходить в эту студию смотреть на работу сайта. Тестировать.
Проводить экспертизу всех лохматых программистов. А то прямо обидно сидишь тут всю жизнь пытаешься доказать, что код бывает качественным, а тут тебе такое…
P.S. Очень обидно, что государственные структуры вместо того что бы быть впереди всех имеют странные очень репутации…
Заказчиком лично приходить в эту студию смотреть на работу сайта. Тестировать.
Проводить экспертизу всех лохматых программистов. А то прямо обидно сидишь тут всю жизнь пытаешься доказать, что код бывает качественным, а тут тебе такое…
P.S. Очень обидно, что государственные структуры вместо того что бы быть впереди всех имеют странные очень репутации…
Исправили похоже
Закрыли показ последнего, но дыра по моему висит. Можно сбрутить ID и получить все данные типа
109.233.211.147:8080/apex/f?p=101:13:2509469572771360::NO::P13_SERVICE_ID:1:
109.233.211.147:8080/apex/f?p=101:13:2509469572771360::NO::P13_SERVICE_ID:1:
Sign up to leave a comment.
Хранение личных данных на примере сайта ГИБДД Челябинской области