Адрес для входа в РФ: exler.world
Криворукие испанские программисты
Каждый раз, когда мне в Испании приходится сталкиваться с онлайновыми сервисами, я за полчаса расходую месячный запас матерных слов, так что после этого нормально даже и не ругнешься. Потому что эти онлайновые сервисы сделаны жутко криворукими программистами и спроектированы людьми, которые ни черта не понимают в пользовательских интерфейсах. Причем ладно бы еще сайты каких-то частных контор - это хоть как-то понятно. Но какие жуткие кривости, нелогичности и откровенные кретинизмы наблюдаются на сайтах государственных структур, а также на сайтах компаний, официально оказывающих какие-то услуги по контракту с государством - это просто не передать. Там иногда по полчаса нужно разбираться, что они от тебя вообще хотят, когда ты заполняешь какую-то здоровенную форму, нажимаешь "отправить", а тебе выдают какую-то мутную ошибку из серии "неполные данные", при этом форма ОБНУЛЯЕТСЯ - и давай заполнять все сначала.
Недавно прочитал о новой истории, связанной со все той же криворукостью и безалаберностью - "Un fallo en la web de la Sanidad de Madrid deja al descubierto los datos del rey, Pedro Sánchez o Aznar".
Кратко. В Мадридском сообществе сделали портал, на котором любой житель Испании может получить тот самый сертификат о вакцинации, без которого в ЕС нынче уже и не чихнешь. (Во многих странах Европы стали требовать предъявлять такой сертификат или PCR-тест при входе в магазины, рестораны и так далее.)
Ну и эти прекрасные люди ухитрились наступить на совершенно классические грабли: если в запросе указать номер DNI (налоговый номер гражданина Испании) или NIE (налоговый номер иностранца с ВНЖ в Испании), то система преспокойно отдавала полную информацию о данных человека без какой-либо аутентификации запрашивающего. Причем тут еще хохма заключается в том, что DNI №1 - у бывшего короля Хуана Карлоса де Бурбона, а остальные числа от 1 до 10 - у членов королевской семьи. И все данные нынешнего короля, включая его мобильный телефон, адрес его резиденции и так далее - мог получить любой желающий.
Кроме того, все эти номера DNI и NIE любой житель Испании в течение дня может оставлять в десятке различных мест, также DNI или NIE запрашивается практически при каждой почтовой доставке и при многих видах покупок, то есть при желании найти их - не проблема.
(Причем это далеко не первый такой случай, аналогичная история была выявлена в системе, где можно было записаться на вакцинацию - там тоже по запросу с номером DNI или NIE выдавалась персональная информация.)
Был небольшой скандал, портал на некоторое время закрыли, потом открыли, исправив эту уязвимость, ну и ответственные люди заявили, что, во-первых, ничьи данные при этом похищены не были (в статье утверждается, что сотрудники издания преспокойно получили персональные данные членов королевской семьи и каких-то других людей по их DNI/NIE), что, во-вторых, никакого злоумышленника среди команды разработчиков не было, ну и что нет причин беспокоиться, потому что это - обычное испанское раздолбайство. А обычное испанское раздолбайство - есть часть нашей великой культуры.
Неравнодушные граждане встретили это заявление бурными аплодисментами, криками "Bravo", "Cabrónes" и "Por que no te callas, joder", после чего довольные разошлись по домам.
Где-нибудь есть описание технических деталей всего этого факапа на английском?
Всем кто имеет дело с REST, нужно сначала идти сюда, там API1:2019 Broken Object Level Authorization на первом месте стоит. Именно этот кластерфак и случился там.
OWASP API Security Project
И все данные нынешнего короля, включая его мобильный телефон, адрес его резиденции и так далее - мог получить любой желающий.
Номер телефона + ФИО - являются идентифицирующей информацией, но не являются персональными данными.
Для того что бы они начали представялть для вас угрозу их надо скомбинировать с чем-то более личным - ССН/ИИН, номер паспорта, полная дата рождния, ну и тому подобное.
Нам в фирме нужно было нанять несколько программистов в Испании, для работы с местными клиентами. Нам нашли двух "ключевых разработчиков испанской таможенной системы отслеживания товаров" и отправили на обучение. Я их 4 часа обучал разработке в нашем приложении, они слушали с умным видом. После этого получили от меня простейшее тестовое задание с подробными инструкциями что нужно делать. Посидели час над этим заданием, а после говорят, у нас есть вопрос. Ну говорю давайте, валяйте. Вопрос был гениальным "А мы вообще ничего не поняли!".
Вобщем поняли мы что разработчики они так себе, и решили доверить им только простейшие задачи по настройке оборудования и т.п. Промучались они с пол года, продали нашему клиенту ни с чем не совместимое оборудование, и были изгнаны с позором и без денег, а мы еще пол года разгребали что они там наворотили. После этого мы в Испанию высылаем только своих программистов...
Для посещения внутренних помещений ресторанов, культурных объектов, отелейб салонов красоты, фитнесс уентров и пр. по прежнему нужен дневной тест или подтверждение вакцинации и прошествия 14 суток после неё.
Меня конкретно "на входе в магазин" резануло.
ну как на случай проверки? Стричь без него Вас в салоне не будут... и в музей не пустят.
А что такое антиген?
Стоимость практически нулевая, точность такая же. Но ВОЗом одобрен, ибо "пять старушек - уже рупь".
В каждой земле свои правила. А иногда в соседних округах по разному. В зависимости от уровня заболеваемости.
Смешно было, когда в Saarland строительный Глобус требует тест, а в rlp - не требует. А езды между ними - 20 минут.
Неделю назад по телефону записывался на вакцинацию. Телефонный автомат спросил у меня фио, адрес, дату рождения. Правильно повторил эти данные, спросил в какую поликлинику я буду обращаться, предложил удобную для меня дату и время. Я было порадовался автоматизации в медицине, но не тут-то было.
Придя к назначенному времени попал в очередь из четырёх человек, которые тоже пришли по назначенному времени. Просидел я там полчаса, а когда зашел понял причину задержки. Терапевт помимо того, что измеряет температуру и давление, ещё и заносит данные пациента в базу! Поликлиника новая, не у всех ещё заведены карточки. В душе обматерил разработчиков их ПО. Нахрена я вам диктовал все эти данные по телефону?! Конечно, никакого подтверждения о записи мне на телефон не приходило, и данных обо мне у них тоже не было. Т.е. можно было не ждать неделю, а идти в любое время. Кто проверит, что я записывался?
Но это в моем регионе. где запись на вакцинацию открыта в любой день. Наверное в других регионах, где ажиотаж выше, просто так на укол не придти: придется подождать.
Если им уже и это сложно - у меня для них плохие новости...
Или вы амортизацию сотрудника тоже считаете?
Когда контракты на несколько сотен тысяч человеко-дней - не сказать что мало. Особенно, если ты большая транснациональная корпорация с офисами в условной Индии. Хотя я видел и 800, и 1000 в день. СРЕДНИХ человеков, понятное дело.
Кстати, сейчас очень часто госкомпания отдает подряд как раз таки небольшим конторам. Чтоб шагать в ногу со всеми этими diversity, minority, small business support и прочим. В итоге компания "Гулькин и сын" выигрывет конракт, который в принципе не может потянуть, а вот уже у них на субконтракте маячит кто нибудь из биг-5.
Или вы амортизацию сотрудника тоже считаете?
Но у нас большие издержки, юристы, налоги, здание и пр. Мы некоммерческая организация получающая частичное гос финансирование, поэтому в тендерах можем участвовать только по себестоимости, но и она у нас вот примерно такая. Для коммерческих компаний вроде Microsoft мы стоим дороже, порядка 1,3-1,4K
(с) С просторов
CTRL + щелчок мыши
Нажатие на колесо скролла (не все модели)
И вас не будет волность каким образом сформирован линк на сайте - всегда новая вкладка.
Ладно, пойду смиряться...
UPD: а вот из моего коммента - в новой. Чудеса!
У вас в той же открываются? Какой браузер-операционка?
Ну и напомню, что есть простейший способ заставить ссылку открываться в новой вкладке, даже если она открывается в той же.
И, кстати, DNI, вроде, что-то типа номера паспорта, а NIE - налоговый номер. Т.е. тот NIE, который тебе присвоили, когда ты в первый раз столкнулся с испанской налоговой (Tax Free, например) или получил ВНЖ, остается у тебя и после получения гражданства Испании (т.е. DNI). Как-то так.
https://es.wikipedia.org/wiki/N%C3%BAmero_de_identidad_de_extranjero
В аптеке (и с недавнего времени у врачей) нужно получать сертификаты только тем, кто делал прививку еще когда не было цифрового сертификата.
Сказали, что по идее, уже должны отправлять код на электронную почту, но возникли какие-то технические проблемы.
Через пару дней прислали ссылку на файл. Сказали, что ссылка активна 72 часа.
На следующий день прислали такую же распечатку по почте.
За минуту установил программу и сканировал оба кода.
В телефоне - электронная версия, в шкафу - две бумажные копии.
Вот.
Автоматически.
Когда СНИЛС и телефон привязаны к старой записи, а подтверждение сделали в новой. Поддержка и МФЦ ни хрена не могут сделать, от старой записи данные открепятся через месяц-полтора. В этот период через госуслуги ни чего нельзя сделать. (((
1. Скажите пожалуйста, после первой прививки в гос. услугах что-то появляется? Или только после второй? Меня доктора убеждали, что после первой уже будет информация в гос.услугах. (ХЗ какая)...
2. Мне тут гос. услуги написали, что я никуда не приходил, хотя на самом деле приходил. Я как бы пожаловался, а Гос. услуги послали в больницу (виртуально). Но чувствую реально надо будет дойти ногами
Пойду завтра разбираться