Адрес для входа в РФ: exler.bar
Криворукие испанские программисты
14.07.2021 11:01
10302
Комментарии (69)
Каждый раз, когда мне в Испании приходится сталкиваться с онлайновыми сервисами, я за полчаса расходую месячный запас матерных слов, так что после этого нормально даже и не ругнешься. Потому что эти онлайновые сервисы сделаны жутко криворукими программистами и спроектированы людьми, которые ни черта не понимают в пользовательских интерфейсах. Причем ладно бы еще сайты каких-то частных контор - это хоть как-то понятно. Но какие жуткие кривости, нелогичности и откровенные кретинизмы наблюдаются на сайтах государственных структур, а также на сайтах компаний, официально оказывающих какие-то услуги по контракту с государством - это просто не передать. Там иногда по полчаса нужно разбираться, что они от тебя вообще хотят, когда ты заполняешь какую-то здоровенную форму, нажимаешь "отправить", а тебе выдают какую-то мутную ошибку из серии "неполные данные", при этом форма ОБНУЛЯЕТСЯ - и давай заполнять все сначала.
Недавно прочитал о новой истории, связанной со все той же криворукостью и безалаберностью - "Un fallo en la web de la Sanidad de Madrid deja al descubierto los datos del rey, Pedro Sánchez o Aznar".
Кратко. В Мадридском сообществе сделали портал, на котором любой житель Испании может получить тот самый сертификат о вакцинации, без которого в ЕС нынче уже и не чихнешь. (Во многих странах Европы стали требовать предъявлять такой сертификат или PCR-тест при входе в магазины, рестораны и так далее.)
Ну и эти прекрасные люди ухитрились наступить на совершенно классические грабли: если в запросе указать номер DNI (налоговый номер гражданина Испании) или NIE (налоговый номер иностранца с ВНЖ в Испании), то система преспокойно отдавала полную информацию о данных человека без какой-либо аутентификации запрашивающего. Причем тут еще хохма заключается в том, что DNI №1 - у бывшего короля Хуана Карлоса де Бурбона, а остальные числа от 1 до 10 - у членов королевской семьи. И все данные нынешнего короля, включая его мобильный телефон, адрес его резиденции и так далее - мог получить любой желающий.
Кроме того, все эти номера DNI и NIE любой житель Испании в течение дня может оставлять в десятке различных мест, также DNI или NIE запрашивается практически при каждой почтовой доставке и при многих видах покупок, то есть при желании найти их - не проблема.
(Причем это далеко не первый такой случай, аналогичная история была выявлена в системе, где можно было записаться на вакцинацию - там тоже по запросу с номером DNI или NIE выдавалась персональная информация.)
Был небольшой скандал, портал на некоторое время закрыли, потом открыли, исправив эту уязвимость, ну и ответственные люди заявили, что, во-первых, ничьи данные при этом похищены не были (в статье утверждается, что сотрудники издания преспокойно получили персональные данные членов королевской семьи и каких-то других людей по их DNI/NIE), что, во-вторых, никакого злоумышленника среди команды разработчиков не было, ну и что нет причин беспокоиться, потому что это - обычное испанское раздолбайство. А обычное испанское раздолбайство - есть часть нашей великой культуры.
Неравнодушные граждане встретили это заявление бурными аплодисментами, криками "Bravo", "Cabrónes" и "Por que no te callas, joder", после чего довольные разошлись по домам.
Войдите, чтобы оставить комментарий.
Именно с этой криворукостью я столкнулась,когда начала делать ремонт квартиры на Канарских островах.Все ,без исключения работают на двойку,то есть уровень ужасающий.Перебрала наверное человек 15 и никто из них близко не подходил к настоящему ремонту.И рассуждают ведь все правильно,а когда начинают ,караул!.И попробуй возрази "...зачем Вам гидроизоляция в ванной ?И так все будет хорошо,это же не бассейн. А плитка кривая сама по себе .И вообще не стойте над душой."
А какие у нас в РБ порталы - закачаешься, уммм... МНС, ФСЗН, Минстат - песня! а уж как мы внедряли электронные счёт-фактуры!
Да везде так в госконторах, вон Louis Rossmann на ютубе регулярно рассказывает о своей борьбе с госсайтами NY.
Швейцария перед продакшеном подобную систему выкатила для публичного тестирования на такие дырки.
По сравнению с порталами российского росздравназдора это даже на троечку не тянет. Так, лёгкое неудобство и мелкие недочёты.
REST API без авторизации - зло в кватрате.
Где-нибудь есть описание технических деталей всего этого факапа на английском?
Где-нибудь есть описание технических деталей всего этого факапа на английском?
а рест-то здесь причём? Если бы в чистом хтмл выдавали лучше что ли было бы?
Да и домашний телефон никакая не открытая информация. Надо либо конракт читать, либо в личном кабинете ковырятся. Если нет желания светить номер, то и уберите его из публичного листинга. Те кому надо, чтоб люди знали кто звонит - открывают эту деталь и тогда ваша труба или наземный аппарат показывает имя/фамилию абонента.
Номер телефона + ФИО - являются идентифицирующей информацией, но не являются персональными данными.
Для того что бы они начали представялть для вас угрозу их надо скомбинировать с чем-то более личным - ССН/ИИН, номер паспорта, полная дата рождния, ну и тому подобное.
Номер телефона + ФИО - являются идентифицирующей информацией, но не являются персональными данными.
Для того что бы они начали представялть для вас угрозу их надо скомбинировать с чем-то более личным - ССН/ИИН, номер паспорта, полная дата рождния, ну и тому подобное.
так нарушение - выдача, а не REST - нарушение.
Вопрос не в том, JSON там или нет. Вопрос в том, для получения КАКИХ данных REST API используется.
И все данные нынешнего короля, включая его мобильный телефон, адрес его резиденции и так далее - мог получить любой желающий.
Ну для чего используется видно уже из скриншота - там JSON. Видимо просто закометировали код который проверяет авторизацию, и с DNI=nnnnn в GET request-е. Сервер не делает авторизацию, и вот результат.
Всем кто имеет дело с REST, нужно сначала идти сюда, там API1:2019 Broken Object Level Authorization на первом месте стоит. Именно этот кластерфак и случился там.
OWASP API Security Project
Всем кто имеет дело с REST, нужно сначала идти сюда, там API1:2019 Broken Object Level Authorization на первом месте стоит. Именно этот кластерфак и случился там.
OWASP API Security Project
Лично сталкивался с работой испанских программистов.
Нам в фирме нужно было нанять несколько программистов в Испании, для работы с местными клиентами. Нам нашли двух "ключевых разработчиков испанской таможенной системы отслеживания товаров" и отправили на обучение. Я их 4 часа обучал разработке в нашем приложении, они слушали с умным видом. После этого получили от меня простейшее тестовое задание с подробными инструкциями что нужно делать. Посидели час над этим заданием, а после говорят, у нас есть вопрос. Ну говорю давайте, валяйте. Вопрос был гениальным "А мы вообще ничего не поняли!".
Вобщем поняли мы что разработчики они так себе, и решили доверить им только простейшие задачи по настройке оборудования и т.п. Промучались они с пол года, продали нашему клиенту ни с чем не совместимое оборудование, и были изгнаны с позором и без денег, а мы еще пол года разгребали что они там наворотили. После этого мы в Испанию высылаем только своих программистов...
Нам в фирме нужно было нанять несколько программистов в Испании, для работы с местными клиентами. Нам нашли двух "ключевых разработчиков испанской таможенной системы отслеживания товаров" и отправили на обучение. Я их 4 часа обучал разработке в нашем приложении, они слушали с умным видом. После этого получили от меня простейшее тестовое задание с подробными инструкциями что нужно делать. Посидели час над этим заданием, а после говорят, у нас есть вопрос. Ну говорю давайте, валяйте. Вопрос был гениальным "А мы вообще ничего не поняли!".
Вобщем поняли мы что разработчики они так себе, и решили доверить им только простейшие задачи по настройке оборудования и т.п. Промучались они с пол года, продали нашему клиенту ни с чем не совместимое оборудование, и были изгнаны с позором и без денег, а мы еще пол года разгребали что они там наворотили. После этого мы в Испанию высылаем только своих программистов...
Вопрос был гениальным "А мы вообще ничего не поняли!"
Во многих странах Европы стали требовать предъявлять такой сертификат или PCR-тест при входе в магазины
"Тест на антигенны". Китайский самотест в виде полоски с реагентом и палки. Сунул в нос, поболтал в реагенте, реагент капнул на полоску - оно тебе нарисует.
в Saarland строительный Глобус требует тест, а в rlp - не требует
В Германии - слишком общее понятие.
В каждой земле свои правила. А иногда в соседних округах по разному. В зависимости от уровня заболеваемости.
Смешно было, когда в Saarland строительный Глобус требует тест, а в rlp - не требует. А езды между ними - 20 минут.
В каждой земле свои правила. А иногда в соседних округах по разному. В зависимости от уровня заболеваемости.
Смешно было, когда в Saarland строительный Глобус требует тест, а в rlp - не требует. А езды между ними - 20 минут.
На антиген.
А что такое антиген?
Стоимость практически нулевая, точность такая же. Но ВОЗом одобрен, ибо "пять старушек - уже рупь".
Я понимаю про отели, рестораны и т.п. Я про, ещё раз, магазины.
Обошёлся мне в 40 евро. ПЦР стоил бы 140.
А что такое антиген?
Я понимаю про отели, рестораны и т.п. Я про, ещё раз, магазины.
Ну то есть не сертификат, а тест, не пцр, а обычный антиген, и не стали, а перестали. ?
Ну то есть не сертификат, а тест, не пцр, а обычный антиген, и не стали, а перестали. 😄
Сейчас сильный спад заболеваемости, поэтому достаточно простой регистрации при посещении магазина.Простите, вчера в Саксонии маски отменили в магазинах. Какая регистрация? ? Для посещения внутренних помещений ресторанов, культурных объектов, отелейб салонов красоты, фитнесс уентров и пр. по прежнему нужен дневной тест или подтверждение вакцинацииЭто повсеместно, я в курсе. Только не то чтоб "на входе" а "на случай проверок". Меня конкретно "на входе в магазин" резануло.
ну как на случай проверки? Стричь без него Вас в салоне не будут... и в музей не пустят.
В Германии одно время нужен был тест для всех непродуктовых магазинов или подтверждение полной вакциинации прошествия 14 суток после неё. Это совсем не PCR-тест.
Меня конкретно "на входе в магазин" резануло.
В Германии одно время нужен был тест для всех непродуктовых магазинов или подтверждение полной вакциинации прошествия 14 суток после неё.
Сейчас сильный спад заболеваемости, поэтому достаточно простой регистрации при посещении магазина.
Для посещения внутренних помещений ресторанов, культурных объектов, отелейб салонов красоты, фитнесс уентров и пр. по прежнему нужен дневной тест или подтверждение вакцинации
Меня конкретно "на входе в магазин" резануло.
Правда? А в каких?
Для посещения внутренних помещений ресторанов, культурных объектов, отелейб салонов красоты, фитнесс уентров и пр. по прежнему нужен дневной тест или подтверждение вакцинации и прошествия 14 суток после неё.
В тему о криворукости.
Неделю назад по телефону записывался на вакцинацию. Телефонный автомат спросил у меня фио, адрес, дату рождения. Правильно повторил эти данные, спросил в какую поликлинику я буду обращаться, предложил удобную для меня дату и время. Я было порадовался автоматизации в медицине, но не тут-то было.
Придя к назначенному времени попал в очередь из четырёх человек, которые тоже пришли по назначенному времени. Просидел я там полчаса, а когда зашел понял причину задержки. Терапевт помимо того, что измеряет температуру и давление, ещё и заносит данные пациента в базу! Поликлиника новая, не у всех ещё заведены карточки. В душе обматерил разработчиков их ПО. Нахрена я вам диктовал все эти данные по телефону?! Конечно, никакого подтверждения о записи мне на телефон не приходило, и данных обо мне у них тоже не было. Т.е. можно было не ждать неделю, а идти в любое время. Кто проверит, что я записывался?
Неделю назад по телефону записывался на вакцинацию. Телефонный автомат спросил у меня фио, адрес, дату рождения. Правильно повторил эти данные, спросил в какую поликлинику я буду обращаться, предложил удобную для меня дату и время. Я было порадовался автоматизации в медицине, но не тут-то было.
Придя к назначенному времени попал в очередь из четырёх человек, которые тоже пришли по назначенному времени. Просидел я там полчаса, а когда зашел понял причину задержки. Терапевт помимо того, что измеряет температуру и давление, ещё и заносит данные пациента в базу! Поликлиника новая, не у всех ещё заведены карточки. В душе обматерил разработчиков их ПО. Нахрена я вам диктовал все эти данные по телефону?! Конечно, никакого подтверждения о записи мне на телефон не приходило, и данных обо мне у них тоже не было. Т.е. можно было не ждать неделю, а идти в любое время. Кто проверит, что я записывался?
пограммистами
Интерграция разных систем - вопрос сложный
Если им уже и это сложно - у меня для них плохие новости...
В тему о криворукости. Неделю назад по телефону записывался на вакцинацию. Телефонный автомат спросил у меня фио, адрес, дату рождения. Правильно повторил эти данные, спросил в какую поликлинику я буду обращаться, предложил удобную для меня дату и время. Я было порадовался автоматизации в медицине, но не тут-то было. Придя к назначенному времени попал в очередь из четырёх человек, которые тоже пришли по назначенному времени. Просидел я там полчаса, а когда зашел понял причину задержки. Терапевт помимо того, что измеряет температуру и давление, ещё и заносит данные пациента в базу! Поликлиника новая, не у всех ещё заведены карточки. В душе обматерил разработчиков их ПО. Нахрена я вам диктовал все эти данные по телефону?! Конечно, никакого подтверждения о записи мне на телефон не приходило, и данных обо мне у них тоже не было. Т.е. можно было не ждать неделю, а идти в любое время. Кто проверит, что я записывался?
Т.е. можно было не ждать неделю, а идти в любое время. Кто проверит, что я записывался?
Но это в моем регионе. где запись на вакцинацию открыта в любой день. Наверное в других регионах, где ажиотаж выше, просто так на укол не придти: придется подождать.
такие системы обычно разрабатываются на основе тендера, где цена играет решающую роль. Когда нужно сделать что-то быстро, то правительство отдаёт контракт в рамках рамочного контракта, где обычно цена человеко/дня тоже играла ключевую роль для его выигрыша. Часто вижу цены 300 евро в день. Для сравнения мой опытный сотрудник стоит ~900-1000 в день как себестоимость. Победителями таких тендеров как правило становятся крупные консалтинговые компании, которые сами ничего не разрабатывают, а отдают подряды университетам или мелким компаниям. В итоге с большой вероятностью то, что вы видите было создано студентами подрабатывающими в университете или в какой-то конторе
То есть у вас есть сотрудники, получающие 20килоевро в месяц?
Или вы амортизацию сотрудника тоже считаете?
Или вы амортизацию сотрудника тоже считаете?
Но у нас большие издержки, юристы, налоги, здание и пр. Мы некоммерческая организация получающая частичное гос финансирование, поэтому в тендерах можем участвовать только по себестоимости, но и она у нас вот примерно такая. Для коммерческих компаний вроде Microsoft мы стоим дороже, порядка 1,3-1,4K
Это зурядная практика. Твой час в зарплате раза в два ниже, цены по которой его продают клиенту. На те два процента и живут большие консалтинговые компании.
Кстати, сейчас очень часто госкомпания отдает подряд как раз таки небольшим конторам. Чтоб шагать в ногу со всеми этими diversity, minority, small business support и прочим. В итоге компания "Гулькин и сын" выигрывет конракт, который в принципе не может потянуть, а вот уже у них на субконтракте маячит кто нибудь из биг-5.
Кстати, сейчас очень часто госкомпания отдает подряд как раз таки небольшим конторам. Чтоб шагать в ногу со всеми этими diversity, minority, small business support и прочим. В итоге компания "Гулькин и сын" выигрывет конракт, который в принципе не может потянуть, а вот уже у них на субконтракте маячит кто нибудь из биг-5.
> Часто вижу цены 300 евро в день
Когда контракты на несколько сотен тысяч человеко-дней - не сказать что мало. Особенно, если ты большая транснациональная корпорация с офисами в условной Индии. Хотя я видел и 800, и 1000 в день. СРЕДНИХ человеков, понятное дело.
Когда контракты на несколько сотен тысяч человеко-дней - не сказать что мало. Особенно, если ты большая транснациональная корпорация с офисами в условной Индии. Хотя я видел и 800, и 1000 в день. СРЕДНИХ человеков, понятное дело.
То есть у вас есть сотрудники, получающие 20килоевро в месяц?
Или вы амортизацию сотрудника тоже считаете?
Или вы амортизацию сотрудника тоже считаете?
Вчера провел ночь с девушкой - разработчиком портала Госуслуг. Так и не смог разобраться, где у нее там что и к чему.
(с) С просторов
(с) С просторов
OFF про пользовательские интерфейсы: ссылки из текста блога открываются в той же вкладке Firefox'а; ссылки из комментов - в новой вкладке. Это сделано специально по каким-то необсуждаемым соображениям? Или это баг, который можно попросить поправить? Потому что на воскресных алишных обзорах недельный лимит мата расходуется за четверть часа...
"У меня правильнописание хромает. Оно у меня правильное, только почему-то хромает." (c) Винни-Пух.
И вас не будет волность
А в носу чем ковырять? 😉 Понятно, что вариантов есть, но сингл-клик вбит и в мозги и в руки намертво...
Ну тогда просто открывать с нажатым Ctrl, только и всего 😄
Какой браузер-операционка?
Ссылки Алекса на товар в обзоре - "внутренние"?
У вас в той же открываются? Какой браузер-операционка?
Ну и напомню, что есть простейший способ заставить ссылку открываться в новой вкладке, даже если она открывается в той же.
Только внутренние.
Ладно, пойду смиряться...
UPD: а вот из моего коммента - в новой. Чудеса!
Из двух вариантов единообразия предпочел бы "всегда в той же", ибо ОДНА кнопка "back" присутствует и на мышЕ и на клаве, а закрыть активную вкладку умею только экранным крестиком или Ctrl+W...
Из двух вариантов единообразия предпочел бы "всегда в той же", ибо ОДНА кнопка "back" присутствует и на мышЕ и на клаве, а закрыть активную вкладку умею только экранным крестиком или Ctrl+W...
OFF про пользовательские интерфейсы: ссылки из текста блога открываются в той же вкладке Firefox'а; ссылки из комментов - в новой вкладке. Это сделано специально по каким-то необсуждаемым соображениям? Или это баг, который можно попросить поправить? Потому что на воскресных алишных обзорах недельный лимит мата расходуется за четверть часа...
CTRL + щелчок мыши
Нажатие на колесо скролла (не все модели)
И вас не будет волность каким образом сформирован линк на сайте - всегда новая вкладка.
OFF про пользовательские интерфейсы: ссылки из текста блога открываются в той же вкладке Firefox'а;
И все данные нынешнего короля, включая его мобильный телефон, адрес его резиденции и так далее - мог получить любой желающий.
Интересно это Сбер перенимал передовой опыт у испанских программистов или они у него vc.ru: «СберБанк»: мои персональные данные попали к злоумышленникам — их может предоставлять голосовой робот
Охренеть!!! И это СБЕР!!!!
Нурия вчера прошлась про пофигизм испанцев.
на сайтах государственных структур
при этом форма ОБНУЛЯЕТСЯ
Не скажу про DNI, но NIE даже узнавать как-то не надо: они идут по порядку, а последняя буква зависит от суммы все цифр (гениальная защита, ага). Т.е. пиши скрипт перебора и получай данные всех жителей Испании.
И, кстати, DNI, вроде, что-то типа номера паспорта, а NIE - налоговый номер. Т.е. тот NIE, который тебе присвоили, когда ты в первый раз столкнулся с испанской налоговой (Tax Free, например) или получил ВНЖ, остается у тебя и после получения гражданства Испании (т.е. DNI). Как-то так.
https://es.wikipedia.org/wiki/N%C3%BAmero_de_identidad_de_extranjero
И, кстати, DNI, вроде, что-то типа номера паспорта, а NIE - налоговый номер. Т.е. тот NIE, который тебе присвоили, когда ты в первый раз столкнулся с испанской налоговой (Tax Free, например) или получил ВНЖ, остается у тебя и после получения гражданства Испании (т.е. DNI). Как-то так.
https://es.wikipedia.org/wiki/N%C3%BAmero_de_identidad_de_extranjero
Iberdrola это вообще лютый пц. Пока настраивал себе доступ олнайн, тоже включили сначала почему какого то постороннего человека и начали присылать его счета на мэйл. Раз 5 им писал, пока не включили мне правильный доступ уже на мое имя и мой счетчик. И все равно до сих пор регулярно присылают на мэйл также и счета того человека, данные которого мне показывали с самого начала.
Пару лет назад в личном кабинете Ибердролы я по ошибке ввёл неправильно DNI и, видимо, попал на уже существующий. И мне высветились данные совершенно незнакомого человека. Ручным перебором удалось набрести на ещё троих или четверых. Был бы скрипт - получил бы данные всех их клиентов.
Я не знаю есть ли у нас в Германии возможность самим получить сертификат, но существует возможность сделать его через аптеку. Приходишь в ближайшую аптеку, отдаешь паспорт вакцинации и копию паспорта, и на следующий день забираешь две бумажки с QR кодами. Их можно загрузить в телефон и по надобности показывать.
6 июня делал вторую прививку.
Сказали, что по идее, уже должны отправлять код на электронную почту, но возникли какие-то технические проблемы.
Через пару дней прислали ссылку на файл. Сказали, что ссылка активна 72 часа.
На следующий день прислали такую же распечатку по почте.
За минуту установил программу и сканировал оба кода.
В телефоне - электронная версия, в шкафу - две бумажные копии.
Вот.
Сказали, что по идее, уже должны отправлять код на электронную почту, но возникли какие-то технические проблемы.
Через пару дней прислали ссылку на файл. Сказали, что ссылка активна 72 часа.
На следующий день прислали такую же распечатку по почте.
За минуту установил программу и сканировал оба кода.
В телефоне - электронная версия, в шкафу - две бумажные копии.
Вот.
С недавнего времени после второй прививки врачи (либо центры вакцинации) автоматически либо сразу на руки выдают цифровой сертификат, либо присылают через пару дней на дом по почте.
В аптеке (и с недавнего времени у врачей) нужно получать сертификаты только тем, кто делал прививку еще когда не было цифрового сертификата.
В аптеке (и с недавнего времени у врачей) нужно получать сертификаты только тем, кто делал прививку еще когда не было цифрового сертификата.
О, "углепластиком" ругаются, знакомо!
сертификат о вакцинации
Автоматически.
разобрался. Сказали, что они не успевают вносить. Минимум неделя, а то и полторы.
Хреново.
Пойду завтра разбираться
Пойду завтра разбираться
1. Скажите пожалуйста, после первой прививки в гос. услугах что-то появляется?
О, а
1. Скажите пожалуйста, после первой прививки в гос. услугах что-то появляется? Или только после второй? Меня доктора убеждали, что после первой уже будет информация в гос.услугах. (ХЗ какая)...
2. Мне тут гос. услуги написали, что я никуда не приходил, хотя на самом деле приходил. Я как бы пожаловался, а Гос. услуги послали в больницу (виртуально). Но чувствую реально надо будет дойти ногами
1. Скажите пожалуйста, после первой прививки в гос. услугах что-то появляется? Или только после второй? Меня доктора убеждали, что после первой уже будет информация в гос.услугах. (ХЗ какая)...
2. Мне тут гос. услуги написали, что я никуда не приходил, хотя на самом деле приходил. Я как бы пожаловался, а Гос. услуги послали в больницу (виртуально). Но чувствую реально надо будет дойти ногами
Так у меня на телефон сообщение пришло.
Так у меня на телефон сообщение пришло.
качественно работали.
Когда СНИЛС и телефон привязаны к старой записи, а подтверждение сделали в новой. Поддержка и МФЦ ни хрена не могут сделать, от старой записи данные открепятся через месяц-полтора. В этот период через госуслуги ни чего нельзя сделать. (((
У меня сертификат появился секунд через 30 после второго укола.
У меня сертификат появился секунд через 30 после второго укола.
Хоть и принято тут ругать госуслуги
Теги
Информация
Что ещё почитать
Побег из курятника 2
28.12.2023
39
Фруктовые саши элитных сашими
29.03.2024
112
