Отправлять обращения стало сложнее

С электронной приемной Мэрии происходит что-то странное

20.01.2022

Гордей Нефёдов,
глава муниципального округа Ломоносовский

В электронной приемной Мэрии убрали возможность вставлять скопированный текст при отправке обращений. Это же создает неудобства для тех, кто составил текст обращения заранее. Зачем вы это сделали?

(скачать оригинал)

15.02.2022

Департамент информационных технологий города Москвы

Это такая защита от хакеров.

(скачать оригинал)

Комментарий веб-разработчика Ильи Сухорукова:

Работу этого сайта с обращениями можно сравнить с МФЦ, в котором выдают и принимают бланки для обращений. Представьте, что вы пришли, взяли специальный бланк, ушли домой, начали заполнять. Оказалось, что он с наночастицами, и его можно заполнить только правой рукой, а левой — нельзя. “Борьба с терроризмом. Боимся, что вместе с этими бланками будут присылать бомбы”,— говорит нам ДИТ. Но, позвольте, как возможность заполнить левой рукой связана с бомбами?

Подавляющее большинство веб-сайтов с подобным функционалом (mos.ru в их числе) работают по схожей технологии. Перейдя на сайт в браузере (Chrome, Firefox, Safari и т.д.), “под капотом” на ваш компьютер скачивается с сервера (в данном случае — сервера ДИТа, на котором расположен сайт mos.ru) специальная форма для заполнения. Затем, в браузере вы можете заполнить эту форму. Важно, что в этот момент общения с сервером не происходит (вы “унесли домой бланк”) и что вы с этой формой делаете на своём компьютере, сервер никак не знает и его это волновать не должно. Уже заполненную форму ваш компьютер посылает на сервер, который её обрабатывает и регистрирует обращение

Теоретически, можно внедрить в заполненную форму вредоносный код, о котором нам говорит ДИТ в своём ответе. Но во-первых, от способа заполнения формы никак не зависит возможность внедрения этого вредоносного кода, да и “защита от вставки” обходится довольно просто и даже для новичка в программировании она не будет препятствием. Во-вторых, следуя базовым стандартам безопасности, сервер должен быть настроен таким образом, чтобы никакой код, внедрённый в заполненную форму не мог навредить серверу. Подобные практики являются стандартом индустрии и придерживаться их — обязанность любого веб-программиста (к слову, запрет на вставку текста не является общепризнанным способом борьбы с внедрением вредоносного кода).

16.02.2022

Гордей Нефёдов,
глава муниципального округа Ломоносовский

ДИТ, а электронная приемная Правительства России, сайт ГИС ЖКХ, блог Собянина, где возможность вставки текста не удалена, – они тоже опасности подвергаются? Кажется, что вы хакерами пытаетесь оправдать борьбу с активными жителями.

 

Верните возможность вставлять в форму заранее подготовленный текст.

(скачать оригинал)

25.02.2022

Департамент информационных технологий города Москвы

Shares