20.01.2022

15.02.2022

Комментарий веб-разработчика Ильи Сухорукова:

Работу этого сайта с обращениями можно сравнить с МФЦ, в котором выдают и принимают бланки для обращений. Представьте, что вы пришли, взяли специальный бланк, ушли домой, начали заполнять. Оказалось, что он с наночастицами, и его можно заполнить только правой рукой, а левой — нельзя. “Борьба с терроризмом. Боимся, что вместе с этими бланками будут присылать бомбы”,— говорит нам ДИТ. Но, позвольте, как возможность заполнить левой рукой связана с бомбами?

Подавляющее большинство веб-сайтов с подобным функционалом (mos.ru в их числе) работают по схожей технологии. Перейдя на сайт в браузере (Chrome, Firefox, Safari и т.д.), “под капотом” на ваш компьютер скачивается с сервера (в данном случае — сервера ДИТа, на котором расположен сайт mos.ru) специальная форма для заполнения. Затем, в браузере вы можете заполнить эту форму. Важно, что в этот момент общения с сервером не происходит (вы “унесли домой бланк”) и что вы с этой формой делаете на своём компьютере, сервер никак не знает и его это волновать не должно. Уже заполненную форму ваш компьютер посылает на сервер, который её обрабатывает и регистрирует обращение

Теоретически, можно внедрить в заполненную форму вредоносный код, о котором нам говорит ДИТ в своём ответе. Но во-первых, от способа заполнения формы никак не зависит возможность внедрения этого вредоносного кода, да и “защита от вставки” обходится довольно просто и даже для новичка в программировании она не будет препятствием. Во-вторых, следуя базовым стандартам безопасности, сервер должен быть настроен таким образом, чтобы никакой код, внедрённый в заполненную форму не мог навредить серверу. Подобные практики являются стандартом индустрии и придерживаться их — обязанность любого веб-программиста (к слову, запрет на вставку текста не является общепризнанным способом борьбы с внедрением вредоносного кода).

16.02.2022

25.02.2022