WebSupport.sk
UnlimitedHosting
|
CustomHosting
|
FreeWeb.sk
Včera som sa na chvíľu pozrel na webstránky ministerstiev Slovenskej republiky. Prekvapili ma dve veci.
Obrovská neprofesionalita hraničiaca s amaterizmom na doméne http://www.justice.gov.sk/ Takýto web sa už len tak nevidí. Grafická a technická stránka projektu je na zaplakanie. Logotyp – ak sa ten výtvor vôbec dá tak nazvať – je na na úrovni žiaka ZŠ.
Jeho zapracovanie do "webovej grafiky" v záhlaví stránky je však ešte o horšie: http://www.justice.gov.sk/ms/sub/ba/index.htm
Tá druhá vec, ktorá ma prekvapila, je nízka technická úroveň programového kódu. Stále uvažujem, ako je po toľkých kauzách stále možné, že weby reprezentujúce Slovensko na najvyššej úrovni sú remeselne odfláknuté, ako by ich robil amatér. Úporne premýšľam a stále neviem, čo je horšie. Posúďte sami:
http://tinyurl.com/32jsae6
http://www.zvjs.sk/?search=%27
Pre istotu aj screeny, som zvedavý aká rýchla bude reakcia kompetentných:
http://www.kvalitne.sk/sample/capture-zvjs.jpg
http://www.kvalitne.sk/sample/capture-employment-gov.jpg
<sixeR> KURVA
<sixeR> zaspal som na posteli, zaspal
<sixeR> a zobudil som sa tak, ze pod sebou vidim kaluz krvi, nadomnou otec
<sixeR> a rozjebay xicht
<kab-el> ??
<kab-el> ti rozbil ksicht ked zistil, ze si buzerant?
<sixeR> kabel ty kokot :D
<sixeR> ja tu mam ohrozenie zivota 3000, strata krvi
<sixeR> lahky otras mozgu pomaly
|
webhosting by:
WebSupport.sk
|
UnlimitedHosting | CustomHosting | FreeWeb.sk |
Comments
Re: Weby ministerstiev SR
Niesom vobec prekvapeny ze nieco take je ...takychto webov pod slovenskymi domenami najdes este ovela ovela viac...tu ide o jedine...poriadny zaplateny webmaster=poriadna stranka... slabo zaplateny amater webmaster=Ministerstvo Spravodlivosti Slovenskej Republiky a mnoho dalsich inych webov.....
Re: Weby ministerstiev SR
neprekvapila by ma ani kombinacia poriadne zaplateny webmaster(kamarat)=slaba stranka... hlavne v tomto segmente
Re: Weby ministerstiev SR
Si zabil.
Re: Weby ministerstiev SR
Boss! boss! Boss! I know what's wrong with it!!! Boss! it's me! Do you hear me? Boss! Boss!
WHAT?!?
I'know what's wrong with it!!!
OHH REALLY>!>
Yup! I kow! It's broken!
Tato neprofesionalita je zapricinena 2ma problemami:
1. sikovny mlady clovek, ktoremu by stacil tabulkovy plat sa tam nedostane, lebo ty, co ho maju prijat su idioti.
2. sikovny clovek s potrebnou experience tam nepojde, lebo mu tabulkovy plat nestaci
Prvy problem je hlboko zakoreneny v sposobe myslenia vacsiny ludi pokial ide o profesionalitu a pracovny vztah (existuje spusta veducich pracovnikovm ktory si dodnes myslia, ze profesional nosi oblek a kravatu - ignoruju fakt, ze 99% profesionalov nosi v praci bud monterky alebo biely plast)
Druhy problem je uz znama zalezitost - money, money money. Ak by poriadny webmaster dostal poriadne zaplatene, potom by vsetci poriadny pracovnici v statnej sprave museli dostat poriadne zaplatene... a co by sa stalo zmrdom? Nemali by co vyciciavat a vymreli by. Ale oni nechcuuuu (pud sebazachovy).
Re: Weby ministerstiev SR
My co nosime rifle a tricko niesme profesionali? :'(
Ale inac s tebou suhlasim, naozaj ten idiotizmus v tom bode #1 je. Presne taka ista kokotina ako kadrovanie za komunistov, niekto si vymysli uplne umele pravidla co nemaju nic spolocne s nicim v realite, vyzaduje ich, a potom tento system dookola zivi sam seba. Snad jedine na co cely ten Job HR Interview ritual sluzi je donutit cloveka prejavit sa ako predajna kurva ochotna robit nezmysly nech vyhovie bezpredmetnemu systemu.
Re: Weby ministerstiev SR
Ale z opacnej strany barikady to moze vyzerat rovnako - co si my, co nosime rifle a tricka myslime o tych, co nosia obleky a kravaty? Nic pekneho... Ja si myslim, ze niekedy je dolezite spravat sa ako predajna kurwa. Mam na to niekolko dovodov:
1. zakaznik ma vzdy pravdu (lebo je chytrejsi ako ty. To, ze je z tvojho pohladu idiot mozes vykratit tym, ze ty pracujes prenho a nie on pre teba)
2. ak sa budes spravat ako predajna kurwa dostatocne dlho, vybudujes si state of art knowledge autoritu a potom mozes chodit do roboty v monterkach, s dreadmi alebo dokonca neosprchovany a neoholeny (niektory sme proste len mali to stastie, ze sme to mohli robit odzaciatku, i ked o state of art knowledge sa v nasom pripade neda hovorit :>)
Re: Weby ministerstiev SR
No iste ze vsetko je otazka moznosti, potrieb a priorit. Kebyze som nejako odkazany na prostituovanie pred tymi Panmi, tak proste mam smolu, musim sa redukovat na stomiliontu instanciu "zamestnanca" presne podla templatu. A to je tak do istej miery asi vo vacsine pripadov.
Ale zakial si konkretne ja mozem dovolit fungovat prirodzene, tak si na tych spolocensky nesmierne prospesnych kadrovakov s deficitom individualizmu zanadavam vzdy rad, to je snad pochopitelne.
K tej opacnej strane barikady: do tohoto by som subjektivizmus nezanasal. Ten fenomen co sa rozsiruje v prijimani ludi (aspon do IT, inde velmi neviem) je cisto objektivne zavrhnutiahodny. No dobre, z mojej prace (ktoru si nijako extra nepovazujem) sa mozno program neukradne, preda sa o nejaku tu kopiu viacej, lepsie funguje motivacia programatorov. Ziadna slava, ale aspon cosi a nicomu neskodim.
Ale henti "Human Resources" (uz len to humanisticke pomenovanie!) ci co su? Ved ti len podla umelych pravidiel vyberaju na dolezite pozicie ludi bez chrbtovej kosti, s tym ze toto kriterium prevazuje nad schopnostami co pre vykon funkcie treba. Ja skutocne nevidim rozdiel medzi nimi a kadrovakmi, akurat miesto cervenej kravaty je svetla kosela a cierne nohavice, miesto dristov o robotnickom povode a triednej uvedomelosti su motivacne listy plne klamstiev o sebe, podlizavost sa vyzaduje stale rovnako... Vsetko po starom, len formulky sa zmenili. Este za Stalina ked clovek musel popluvat sam seba aby sa dostal do funkcie, tam to aspon trosku davalo zmysel preco sa to tak robi. Ale na co je dobry tento system zavedeny dnes, tomu ozaj nerozumiem.
Re: Weby ministerstiev SR
Catcher, vid - bullseye, presne vystihnute, niet co dodat...
Mam s tymto vsetkym dost skusenosti a asi aj mnohi co si toto citali. Problem je, ze som v tomto smere prehral svoj boj... Proti absolutnej blbosti sa neda ist moc dlho... Zazil som kretenov, ktori sa tocili vo svojich definiciach a cele roky nevedeli kde je sever... a cele roky nicili ludi...
Vid, je to super ked si mozes "dovolit fungovat prirodzene"..., dufam, ze ti to vydrzi...
A ty si zazil tych kadrovakovakov??? Nie je otazka. Nemusis odpovedat.
Dufam, ze nie som zase "out of topic"... a ak ano, tak mam zase smolu...
Nechcem sa tu nejako sentimentalne "rozplyvat", ale toto by bolo na velmi dlhu debatu...
Re: Weby ministerstiev SR
Tych komunistickych kadrovakov som osobne nezazil, som na to primlady, ale dost aktivne sa zaujimam o historiu (jednak z publikacii, jednak sa na to pri kazdej prilezitosti starsich ludi vypytujem). Naozaj presne tak ako sa dnes klame "som ambiciozny, teamovy hrac, ..." sa kedysi klamalo "som triedne uvedomely, robotnickeho povodu, ...".
Tych novodobych kadrovakov som osobne zazil vdakabohu iba malo (na takom kravatistickom pohovore som bol len 2x), ale samozrejme sa v IT oblasti pohybujem a viem ako to chodi.
Re: Weby ministerstiev SR
V tomto momente sú už obidve chyby (nepermanentné XSS aj náchylnosť na SQL injection) fixnuté.
Re: Weby ministerstiev SR
Pred par mesiacmi sme to riesili, bezpecnost vsetkych webov co sa .gov na svk tyka :) vsetko dopadlo uspesne od sqli, po xss. Ale hrabat sa v tom neodporucam, aj ked to nevyzera len predsa sme policajny stat.
Re: Weby ministerstiev SR
Dá sa to niekde nájsť? Policajtov sa neobávam, pretože takéto neškodné hranie sa na úrovni script kiddies nikomu nemôže vadiť. Ak nedumpujem databázu alebo nezasahujem do obsahu webu, niet sa IMHO čoho obávať. POC na nepermanentné XSS s iframe a youtube tomu webu nijako neublíži. Ak teda nerátam posmech a pobavenie sa na účet dodávateľa toho webu v IT komunite. Drsnejšie pokusy by som si samozrejme nedovolil.
Re: Weby ministerstiev SR
Skús web Ministerstva obrany.
Podľa mňa je to o dosť lepšia práca, ako MSSR ...
______________________________________________________
Ak nájdeš v živote cestu bez prekážok, určite nevedie nikam...
Re: Weby ministerstiev SR
Teraz neviem, či si robíš prdel alebo to myslíš vážne. Lebo graficky fakt OK - je to jeden z tých, kde sa mi dizajn (grafika) dosť páči. Ale zas na druhej strane - aj výhrady sa nájdu. Použiteľnosť a prístupnosť je slabšia. Práca kodéra na môj vkus odfláknutá. Biely text navigácie na bielom pozadí - pri väčšom písme vyteká z bloku mimo pozadia tvoreného obrázkom a rozhodí layout tak, že je to nečitateľné. Verejne dostupné testovacie články a sekcie tiež nepôsobia moc profesionálne:
http://www.mosr.sk/17829/zapad-slnka.php
http://www.minv.sk/?rekreacia (ehm, vlastne to je iná doména, sorry) :)
Prepínanie kontrastu je nejaké divné. Funguje akoby až po druhom reloade. No a tá proaktívna banovacia funkcia pri pokuse niečo čeknúť ma rozosmiala :)
Ale je pravda, že to nie je také hrozné ako iné štátne weby. Keď už nič iné, aspoň to pekne vyzerá.
Re: Weby ministerstiev SR
Jakože Tebe sa nikdy nestalo že si niekde zabudol debugovaciu stránku? Tiež si musím věci veriť aj na ostro systéme skôr ako ich použiješ.
[NTN]
Re: Weby ministerstiev SR
To ako argumentáciu proti kritike webu neberiem. To že sa to stáva pomerne často, nie je dôvod, prečo by sme to mali tolerovať. V kombinácii s inými chybami je to totiž veľmi veľké bezpečnostné riziko. A ako ukázala prax, neošetrené.
Re: Weby ministerstiev SR
Ako často je často? A prečo je to bezpečnostná diera? Toto mi vysvetli :))))
[NTN]
Re: Weby ministerstiev SR
Jednoduché. Nemusí to byť priamo bezpečnostná diera, ale riziko to je. Ak máš na webe náchylnosť na SQL injection, zobrazovanie chybových hlášok zvyšuje pravdepodobnosť zneužitia.
Pritom stačí jeden riadok v .htaccess. Ďalšie dva riadky zabezpečia aj správne zobrazenie obsahu varianty bez www http://zvjs.sk/ je totiž dobré jednu variantu na druhú presmerovať pomcou HTTP 301 (Moved Permanently).
Re: Weby ministerstiev SR
No, myslím že máš síce pravdu, ale toto nie je ten prípad. Ja som len mal testovaciu správu na webe, kde som si ladil preklad. Žiadne chybové hlášky. Podľa mna nulové riziko. Bolo to škaredé, ale nie rizikové.
Zvjs.sk ma nezaujíma, oni majú úplne iné problémy teraz.
[NTN]
Re: Weby ministerstiev SR
OK, toto bolo nedorozumenie, chyba ktorú som popisoval, sa týkala zvjs.sk, nie mosr.sk, nedošlo mi, že narážaš na ten testovací článok.
Re: Weby ministerstiev SR
Myslím to vážne.
Podľa mňa je to jeden z naj ministerských webov...
Len nedávno bol vynovený a oproti ostatným webom je o kvalitatívnu úroveň vyššie.
Pamätám sa na starú verziu a tá vyzerala, ako keby ho robil študent na SOČ-ku...:).
______________________________________________________
Ak nájdeš v živote cestu bez prekážok, určite nevedie nikam...
Re: Weby ministerstiev SR
Ako som napísal. Grafika je veľmi pekná, na môj vkus je to super. Technická stránka a štandardy prístupnosti v zmysle úrovne nakódovania layoutu sú ale biedne. Pokúsim sa rozviesť podrobnejšie prečo.
Mám perfektný zrak, no napriek tomu používam weby tak, že písmo mám na 150-200% (nie lupa celej stránky, ale len font). Podobným systémom sú riešené aj veľkosti písma v schémach OS pre slabozrakých. Slušne spravený web s tým musí počítať a zostať použiteľný. Dnes vidím fakt veľmi často profesionálne layouty po grafickej stránke, ktoré sú ale narezané do HTML úplne bez ohľadu na použiteľnosť. Stačilo by pritom použiť sedliacky rozum. Kodér musí vedieť, že ak má menu tvorené bielym textom, jednoducho nemôže hodiť pod biely text len tmavozelený obrázok bez repeatovania. To je úplne zle! Každý kodér, ktorý sa rezaním HTML živí, musí vedieť, že toto mu nezaručí správne robrazenie a musí nastaviť aj ten blbý background-color, tak aby mal záruku, že bude navigáciu v každej situácii vidno. To je jednoducho nutnosť, keď už nie pre zdravý rozum, vyžaduje to metodika http://www.w3.org/TR/WCAG/ Kodér nemá totiž nikde zaručené, že každý má obrázky zapnuté. Nikde nemá zaručené, že väčšie písmo nevytečie z dosahu toho pozadia riešeného úzkym obrázkom. A taká cool navigácia s bielym pozadím a bielym textom je potom fakt "paráda". Toto mám na mysli. O nezmyselnom pozicovaní textových blokov s pevnou výškou v pixeloch, prípadne ešte s obmedzením line-height radšej ani nehovorím. Potom z toho vznikne rôzne vytekanie textu do iných blokov, ich vzájomné prekrývanie... to je radosť. Je to hrubá ignorácia základných princípov webového publikovania. Ja sa webom primárne neživím, no za takýto HTML layout by som sa fakt hanbil. Ak by to bol web štátnej strávy, tak o to viac. :-/
http://www.kvalitne.sk/sample/capture-mosr-200-perc-text.png
Re: Weby ministerstiev SR
Používaj zoom stránky a nie kadejaké archaické funkce...
[NTN]
Re: Weby ministerstiev SR
Akým právom sa mi pokúšaš nanútiť ako mám pristupovať k obsahu na webe? Prečo by som nemohol používať prehliadač aký chcem JA?
Mimochodom tá "archaická funkcia" je štandardný spôsob ako sa s čitateľnosťou webu vysporiadavajú schémy OS pre slabozrakých. Nedostatočná funckia je práve zoom, pretože často roztiahne obsah mimo viewport a užívateľ je nútený scrollovať po každom riadku. Potom použiteľnosť trpí ešte viac. Každý moderný prehliadač umožňuje zmenu veľkosti písma aj lupu, je na užívateľovi, aký spôsob preferuje. Opera dokonca pozná lupu, obmedzenú na šírku viewportu.
Samozrejme nejde len o funkciu zväčšenia písma alebo lupy. Ak niekto (z rôznych dôvodov nezobrazuje obrázky), je biela navigácia na bielom pozadí to, čo by mal podľa teba návštevník webu vidieť? Toto nie je blog študenta, to bavíme sa o webe, ktorý musí pĺňať požiadavky zákona a nestál rádovo stovky EUR.
Re: Weby ministerstiev SR
Nemusíš používať prehliadač vôbec kompatibilný s W3C, len sa potom nečuduj že Ti nič nejde :) Ja Ťa do ničoho nenútim, prečo ma Ty nútiš podporovať práve Tvoj prehliadač? :)))
Zväčšovanie textu je archaizmus len pre tie prehliadače, ktoré nevedeli zväčšovať stránku ako takú. Akože načo je komu zväčšovanie LEN textu??? A tie schémy OS pre slabozrakých, tie sú síce také ako hovoríš, ale ak by si bol slabozraký, čo by si si vybral. Zväčšený text (pričom o všetko ostatné by si bol ochudobnený), alebo zväčšené všetko?
Zoom je ideálny pre tých, čo majú veľký monitor ďaleko od seba, alebo malý monitor blízko. Zväčšenie texty aj zoom Ti veci zväčší, takže samozrejme Ti to ide mimo obrazovku.
Čo sa týka navigácie bielej na bielej, tam je chyba, uznávam...
PS: stál rádovo stovky Eur :)
[NTN]
Re: Weby ministerstiev SR
Nič ako kompatibilita s W3C neexistuje. Ak máš na mysli dodržiavanie špecifikácie, tak tam nevidím problém. Je presne definované ako sa prehlaidač MUSÍ za akých podmienok správať. To ale nie je tento problém, k HTML vrstve nevidím problém, resp. sa k nej nevyjadrujem, tu ide o nesprávne použitie CSS.
Ak berieš prístup k použiteľnosti a prístupnosti len ako nutnosť riešenia podpory správneho zobrazenia pre konkrétny prehliadač alebo skupinu prehliadačov, je taký prístup principiálne nesprávny. Dobrý kodér nemôže diktovať návštevníkovy to, aké technické prostiedky musí mať, aby sa dostal k obsahu. Dobrý kodér použije postupy napr. plynulej degradácie tak, aby sa o obsahu dostal aj občan Janko Hruška s nainštalovaným linxom. Kto potrebné prostriedky nemá, kľudne ho odpíľ od CSS, nič tým nepokazíš, skôr naopak. Ak by som vypol CSS úplne, k obsahu sa bez problémov dostanem.
Ak by som bol slabozraký, použil by som zoom ak by som pozeral obrázky, grafiku, fotky a pod. Ak by som hľadal informácie textového charakteru, grafika a omáčka okolo by ma nezaujímali a zväčším si len text, prípadne vypnem CSS úplne. Informačný portál štátnej správy beriem ako druhú možnosť – zaujíma ma textový obsah.
Re: Weby ministerstiev SR
Nehovorím že to CSS tam je ideálne, len hovorím že vždy sa nájde niekto, komu to nepôjde.
Z môjho pohľadu je prístup pre slabozrakých riešený tak, ako to ukladá zákon. Nediktujem nikomu či musí mať na čítanie webu taký alebo taký soft, kedže to nie je možné. Minimálne neviem zaručiť kompatibilitu do budúcnosti. Takže to bolo ladené na základe toho, kto na ten web pristupuje.
Videl som ako to tú stránku zmení keď si zväčšíš len text. No na druhej strane..... Keď zoberieme že platí moja prvá veta, tak nebudem nadávať na to ako je stránka nakódená a použijem zoom...
[NTN]
Re: Weby ministerstiev SR
ERROR REPORTING a SQL injection sa týkal samozrejme zvjs.sk. O http://www.mosr.sk/ padla reč až v diskusii.
Čo sa týka zákona, samozrejme stačí dodržať základný level WCAG. Predpokladám, že WCAG A ten web spĺňa, zistiť to nemôžem, nakoľko to už hodinu padá s chybou Http Invalid Server Response. Každopádne ak už robím CSS layout pre štátnu správu na profesionálnej úrovni, je slušné prihliadať na WCAG level AA alebo AAA.
WCAG 1.4.4 Resize text: Except for captions and images of text, text can be resized without assistive technology up to 200 percent without loss of content or functionality. (Level AA)
Spoľahnúť sa na zoom je nedostatočné. Výklad od autorít na prístupnosť to potvrdzuje. Napríklad Roger Johansson: http://www.456bereastreet.com/archive/200903/check_your_design_with_text...
Rozhodenie layoutu býva často dôsledkom nastavenej minimálnej veľkosti písma v prehliadačoch. Ak si nastavím minimum len na 11px, na stránke http://www.mosr.sk/ to rozhodí hlavičku a logo. Čítať a používať sa to síce dá, ale už to nie je ono a na prvý pohľad je zjavná škaredá chyba. Aj preto si myslím, že tento web má od profesinálnej práce ďaleko. Neber to osobne. Tiež tam boli náznaky chyby, keď mi sajta na POST so špecifickým search, odpovedala ponukou na download prázdneho súboru index.php.
Svet WWW je a bude spätne kompatibilný, takže ak web funguje správne teraz, bude fungovať aj o 200 rokov. Dúfam :) Spätná kompatibilita je tu základné pravidlo a nástup HTML5 miesto XHTML 2 (s MIME typom APPLICATION/XML) to len potvrdzuje. Takže budúcnosťou by som sa netrápil. Osobne frčím bezostyšne v QUIRKU :-] a budúcnosť vidím celkom ružovo.
Re: Weby ministerstiev SR
Neber to ! :)
[NTN]
Re: Weby ministerstiev SR
Prosím?
Re: Weby ministerstiev SR
Ked buducnost vidis ruzovo, zjavne nieco beries :D
[NTN]
Re: Weby ministerstiev SR
Ak si to tým "kompetentným" nenapísal priamo, tak reakcia nebude žiadna. Aj tak sa obávam, že nejaká rýchla náprava nehrozí. Tieto inštitúcie si väčšinou dávajú web urobiť externej firme ako jednorazovú zákazku. Prípadné zmeny sa robia až keď je to nevyhnutné hlavne pod hrozbou sankcií za nedodržanie zákona, napr. prístupnosť web stránok podľa zákona č. 275/2006 Z.z. o informačných systémoch verejnej správy. O obsah sa zväčša stará nejaký tlačový odbor alebo hovorca a tým je jedno ako to vyzerá. Hlavne, že je tam čo má byť. A bezpečnosť neriešia vôbec, veď to predsa robila firma!
Re: Weby ministerstiev SR
z isty dovodov by sa tym kompetentny zaoberali ako hackom.
Pretoze na danych instituciach vacsinou sedia pocitacovo nevzdelany ludia a pre nich to ze pozeral kod znie dost nebezpecne.
A co sa tyka dodavatelov vacsinou ide o "blizke firmy"
----------------------------------------
Hlúposť užívateľa je úmerná jeho právam.
Re: Weby ministerstiev SR
Nehádžme všetkých do jedného vreca :)
[NTN]
Re: Weby ministerstiev SR
Suhlas s NTN. Je zaujimave, ze vela ludi si mysli, ze admini, ktori pracuju na systemoch statnej spravy su neskuseni a hlupi. Nikto, kto tam nepracoval nevie o com hovori. Vacsinou nikto ani netusi co napriklad okrem toho webu ma ten admin este na starosti. Tiez si nemyslim, ze keby sa niekto ozval adminovi s pripomienkou, ze ma nejaku chybu na webe, urcite by ho nesiel nabonzovat ako hackera a spravil by co je v jeho moznostiach aby chybu odstranil.
Re: Weby ministerstiev SR
Generalizovať sa samozrejme nedá. To že robíš v štátnej správe neznamená, že ťa niekto automaticky odsudzuje ako menej schopného. Aspoň ja to tak neberiem, aj keď o ľuďoch v štátnej správe mám svoju mienku, ktorá pramení zo zlých skúseností. Poznám ale adminov z tohto sektoru, o ktorých mám veľmi vysokú mienku, no žiaľ je to skôr výnimka. Podobne v školstve.
Čo sa týka pripomienok adminom, robím to vždy (nie ako anonym, podpíšem sa a uvediem na seba kontakt) a zo štátnej správy mi zatiaľ nikto za nahlásenie chyby nepoďakoval (čo ani nečakám), no nikto sa ani neobťažoval s odpoveďou. Ak nahlásim chybu súkromnej firme, je to úplne iný prístup, neberú to ako obťažovanie, dokonca v jednom prípade mi poslali darček - nejaké reklamné predmety, deku či čo to bolo :) Na webe štátnej správy je častokrát problém dopátrať sa ku kontaktu na zodpovednú osobu.
Re: Weby ministerstiev SR
Suhlasim, generalizovat sa neda... V statnej sprave som nikdy nepracoval, ale poznam mnozstvo ludi, ktori tam pracuju a admini sa naozaj vo vacsine chovali divne... Boli si velmi isti, ze sa pod nimi stolicka nepohne. Ked som len tak povedal, ze sa mi toto alebo ono nepaci ale nieco podobne, brali ako urazku, alebo mi vobec neodpovedali. NAOPAK, v sukromnej firme bol riaditel rad, ze som mu to povedal, skor ma este povzbudil, aby som si vsimal a napraval co sa da...
Re: Weby ministerstiev SR
Hmm, to je ozaj na zamyslenie. Nemam take skusenosti. No, v sukromnej firme som tiez este nepracoval a mozno som zvyknuty na iny system :-) Asi som institucionalizovany :-D
No pravda je aj to, ze sa mi este nestalo, aby mi niekto povedal o probleme na nasom webe, resp. neposlal mail na kontakt ktory je na webe uvedeny (aspon o tom neviem, ntn by mi to povedal :-) ). Urcite by som aspon podakoval. Na druhej strane fakt vsade vidim iba to ako to je vsetko naprd a ake su tam chyby a ze sme neschopni.
Generalizovat sa naozaj neda. Na oboch stranach asi najdeme normalnych a divnych.
Re: Weby ministerstiev SR
Poznám admina zo štátnej správy, ktorý letel kvôli jednému nesprávnemu dátumu na webe...
[NTN]
Re: Weby ministerstiev SR
Z ministerstva obrany chceš čo. Tank? :)
[NTN]
Re: Weby ministerstiev SR
Ja by som si nerobil ilúzie, aj keď Aglo možno bude výmimka. Z referencí Aglo.sk:
http://www.aglo.sk/referencie/verejna-sprava/
Fico, Čaplovič, úrad vlády, Ministerstvo obrany... Len pre zaujímavosť, koľko stál web MOSR.SK a aký bol rozsah prác?
V projekte opis.gov.sk dokonca žiadny tunel asi nebol, čo sa je fakt neuveriteľné. Tento projekt bol postavený na SW od Syscom, s ktorým Aglo zdá sa intenzívne spolupracuje a je použitý aj na webe MOSR.
PS: Inak zaujalo ma použitie SQL_CALC_FOUND_ROWS v tom redakčnom systéme. :) http://www.aglo.sk/referencie/verejna-sprava/?page=-1 http://www.kvalitne.sk/sample/capture-aglo-solutions.png a používanie slova audít s dĺžňom. Že pozdravujem copywritera ;-)
Re: Weby ministerstiev SR
Koľko stál Ti nepoviem, to si potom nájdi na webe. Ale v tendri mala druhá najlacnejšia firma dvojnásobné finančné požiadavky. A rozsah práce tu už bol spomínaný, komplet nový web.
[NTN]
Re: Weby ministerstiev SR
Stačí mi odpoveď, že to boli rádovo stovky. To nevyzerá byť predražené. ;)
Zabudel som ešte jeden link: http://www.kvalitne.sk/sample/capture-mosr.png niekde v search máš chybu ;)
Re: Weby ministerstiev SR
Aj sa Ti to podarilo otvoit?
Re: Weby ministerstiev SR
Ako som písal vyššie:
...boli náznaky chyby, keď mi sajta na POST so špecifickým search, odpovedala ponukou na download prázdneho súboru index.php
Skús vyhľadať napríklad text "1<2" pár takýchto requestov spoľahlivo zhodí aplikáciu, app padne a vyzerá to akoby zobrala so sebou aj server, torý potom dlhší čas vracia HTTP 500 - Server closed connection without sending any data back. Ako sa dá toto dosiahnuť, fakt netuším ;-D
Inak najprv som si myslel, že je to nejaká proaktívna bezpečnostná funkcia viazaná na IP, ale ten server naozaj drbne dole, pretože ho nevidno ani z iných IP.
Re: Weby ministerstiev SR
Inak dik :-)
PS: To co vypada ako chyba je nie vzdy chyba. Moze to byt aj zamer.
Re: Weby ministerstiev SR
Ak to má byť ochrana pred XSS a SQL-inj., tak to je teda fakt dosť úlet. Nevidím problém pustiť do systému čokoľvek, ak vstup vopred správne ošetrím pred zložením SQL dotazu (jedna funkcia) a tiež pred výpisom do HTML (tiež jedna funkcia s parametrom podľa kontextu výstupu). Použitý ban mechanizmus sa mi javí zbytočne tvrdý až kontraproduktívny. Nehovoriac o tom, že textový reťazce v tvare: poisťovňa "UNION"; 3,5" disk; 1 < 2 < 3; PF'11; môžu byť regulérne požiadavky na vyhľadávanie, pričom systém ich detekne ako pokus o útok a klienta odpíli bez akejkoľvek hlášky. Tiež to odpíli klienta pri pokuse o prepnutie do režimu vyššieho kontrastu na niektorých stránkach (pravdepoodbne ak je v URL viac parametrov, viď nefunkčné prepnutie kontrastu na URL http://www.mosr.sk/index.php?ID=200&search=alebo&page=4 ). Kontrast sa neprepne, zato sa preložia ampersandy na entity v URL. Opakovaním požiadavky o vyšší kontrast to chudáka poloslepého ešte zabanuje. Tadiaľ IMHO cesta nevedie.
Toto blokovanie by niekto mohol pekne zneužiť. Napríklad momentálne nefunguje preklad pomocou translate.google.com http://translate.google.com/translate?hl=sk&sl=sk&tl=en&u=http%3A%2F%2Fw... a určite by nebol problém zabezpečiť trvalú nefunknosť. Je triviálne roztrúsiť po webe odkazy alebo skripty v tvare, ktorý zablokuje napríklad google bot-a alebo iného indexovacieho robota, prípadne všetkých návštevníkov azetu (zlaté CSRF). ;-D Google bomba s výsledkom smerovaným na URL so "závadným" kódom by asi tiež spravila webu dosť problémov. Nehovoriac o tom, že je pomerne ľahké zablokovať ten web pre celé vojenské útvary, ministerstvá, firmy alebo sídliská, so spoločnou IP, schované za NATom - a že ich neni málo. No povedzme si na rovinu – všetko je to len v teoretickej rovine, pretože kto normálny by už len chodil na web ministerstva obrany. ;-D
PS: OK, už tomu webu dám pokoj, nebudem tu neustále verejne kritizovať a robiť betatestera. Peace.
Re: Weby ministerstiev SR
No tomu sa hovori konstruktivna kritika. Vazne.
Len par poznamok:
Pravda je ze ten ban je mozno trosku tvrdy.
Treba si ale uvedomit, ze to nie je web malej firmy, ktoru ked niekto defacne tak sa to nedozvie prakticky nikto. Keby sa tomu webu nieco stalo, tak to je napisane vsade a samozrejme zvelicene. A nikomu to nevysvetlis, pretoze vysvetlenie nikoho zaujimat nebude. Senzacia bude na svete. Myslim ze to je kazdemu jasne. Sak preto sa to aj mnohi snazia urobit. Kazdopadne nad tym banom sa bude treba zamysliet.
poistovna "UNION"; 3,5" disk; 1 < 2 < 3; PF'11; - to snad nie. asi ziadny pouzivatel, ktory ozaj "iba" nieco hlada nebude skusat nieco podobne. To tiez moze len tak vyskusat: prikaz "SELECT * FROM ... - nevidim dovod, preco by sa nieco take vobec malo dostat do systemu. Ten server nie je google aby sa tam hladalo vsetko:-) Staci, ze sa niekto sekne v kode a je to v kakaci. Zisti to nejaky pako, ktory to najskor povie novinarom az potom adminovi a bude to rozmaznute vo vsetkych novinach.
Na tom webe su napriklad informacie pre verejne obstaravanie a pod. To zname informacie pre firmy z civilu, ktore sa chcu prihlasit do verejnych sutazi. Myslis ze firmy, ktore sa chcu prihlasit do verejnej sutaze nie su normalne? Pozri si citanost clankov. Hmm, chces povedat ze ludia ktori to citaju nie su normalni? Samozrejme, ze to nie je nejaky komercny internetovy dennik :-), ale ludia to citaju.
Nehovorim, ze ten web je naj. Urcite je mu co vytknut a urcite je na nom este vela veci ktore je mozne urobit lepsie a ktore urcite lepsie urobene v buducnosti budu. Kazdy admin vie, ze je to nekonecny pribeh.
Takze asi tak.
Peace
Re: Weby ministerstiev SR
Inak ku tomuto by som sa aj já rád pridal. Ľahko sa riešia veci s pohľadu súkromníka či bežnej firmy. Nikto nevidí problémy v tom, v čom já mám neprekonateľné prekážky. Už len taká triviálna vec ako nákup certifikátu pre webserver je neskutočný boj zo zákonmi.
Niekto tu písal o odmene za nájdenie chyby. Ak by sa tak stalo, nastali by dve veci. Každý by začal skúšať rôzne finty na web. Dosť kontraproduktívne, riešiť stovky útokov denne. Teda, mne to je skoro jedno, ale z3ro1ze by dosť nadával asi :)
Druhá vec, ktorá by sa stala by bola horšia. Niekto by sa ohradil že prečo on nič nedostal, prečo to dávam len kamarátom atď. Keď to preženiem, v Novom čase by z pa3ka mohli kľudne urobiť dobrého kamaráta uja Sulíka, alebo tety Radičovej.
Otvorenosť ruka v ruke s dosť naprd zákonmi. Pre informatika. Doporučil by som každému sa zamyslieť nad tým, že veci ako Barcamp, alebo iné IT happeningy sú pre mňa tabu, lebo by som mohol byť popoťahovaný za nejakú nedovolenú výhodu či odmenu...
Alebo už len fakt že sme prakticky nútení mať najlacnejšiu technológiu na trhu, no byť s ňou najlepší.
[NTN]
Re: Weby ministerstiev SR
To mas sice pravdu :) ale ak bude kazdy ticho :) bude to stagnacia, aby sa stala nejaka zmena treba pre to nieco spravit, nie len plakat. Kompetentnym treba otvorit oci.