Всем привет, дорогие хабравчане!

Это небольшая история – пример применения технических навыков в обход системы в своих целях.
Модератор: Внимание! Данный текст является описанием возможности в экспериментаторских целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.

Краткая предыстория такова – я белорус, живу в Санкт-Петербурге, и решил я заменить имеющиеся у меня российские водительские права. Узнав о скидке в 30% при замене через сайт Госуслуг, я, как алчный белорус, решил сразу этим воспользоваться.

Сразу скажу, противозаконного ничего совершено не было, иначе бы эта статья не появилась.

Зашёл на Госуслуги, выбрал в меню заявлений «Замена водительского удостоверения».

Заполняю все поля, жму «Отправить», и бац – ошибка. “Поле обязательно для заполнения”.



Белорусские паспорта имеют, в отличие от российских, серию из двух латинских букв.

Очевидно, что серия не подхватилась из данных Личного кабинета в заявление по этой причине. В чём я и убедился, открыв в браузере Панель разработчика, и увидев маску этого текстового поля: mask = “00 00”.



А поле-то это – read-only. И обязательно для заполнения! И мою серию "PP" в него мне никак не ввести.

Сначала я, как добропорядочный пользователь, попытался решить эту проблему цивилизованно.

Моя переписка с поддержкой Госуслуг длилась пару недель, и опишу её лишь вкратце. Мои предложения сводились либо к снятию атрибута read-only у поля серии паспорта, либо к удалению маски из цифр и корректному подхватыванию из Личного кабинета. Сначала я просто объяснял поддержке суть проблемы, на что ушло немало времени. Потом я получал стандартные ответы о чистке куков, кэша браузера, и т.д. Потом я получил ответ о том, что доработка невозможна, потому что форму заявления предоставляет МВД, и поэтому и обращаться надо в МВД. Потом, в ответ на мою настойчивость, я получил письмо о том, что я иностранный гражданин и вообще не имею права пользоваться данной услугой.

Тут уже было дело принципа, я решил идти до конца и продолжал атаковать саппорт, а сам в это время подумал – почему бы не попробовать заполнить это поле вручную. Я ведь не ввожу чужие данные. Напротив, я делаю, чтобы то, что работает неправильно, работало правильно.

Итак, я открываю Заявление, открываю в браузере Панель разработчика, нахожу нужный элемент, стираю в нём все атрибуты, относящиеся к маске и read-only, и пробую ввести в него серию:



Па-пам! Цифры в поле вводятся, а буквы –нет.

Я даже попробовал стереть все атрибуты, которые имеет этот элемент, и попробовать ввести туда буквы. Не сработало. Из чего я сделал вывод, что ввод символов в поля обрабатывается где-то в Javascript.

Я – программист desktop-приложений, я не вебщик, и не обладаю серьёзными навыками отладки веб-скриптов (как и какими-то инструментами для отладки, кроме Панели разработчика). И увидев, какой объём кода использует эта страница, я было решил не тратить время, но меня выручило одно обстоятельство. На вкладке Console я увидел, что при вводе любого символа в текстовые поля он логируется.



Я перешёл на указанную ссылку скрипта pages-min-9fa87087e7.js и увидел следующий код (предварительно отформатировав его кнопкой { } для удобочитаемости).

            window.addEventListener("keyup", function(e) {
                e.which <= 90 && 48 <= e.which && (i += e.key.toLowerCase(),
                n.forEach(function(e) {
                    console.log(i),
                    -1 != i.indexOf(e) && (r = !1,
                    l(),
                    i = "")
                }));
                if (13 === e.keyCode) {
                    s++;
                    var t = new Date;
                    t - a <= o && 3 === s && (r = !1,
                    l(),
                    t = s = 0),
                    window.setTimeout(function() {
                        s = 0
                    }, o),
                    a = t
                }
            });

Ага. Мы здесь добавляем объекту window обработчик события keyup с анонимной функцией, в которой расположена логика обработки ввода, в том числе и логирования в консоль. Значит, вся обработка ввода осуществляется обработчиками событий.

Встала следующая проблема – как же их отключить. Мне-то надо не просто отладить скрипт, а ввести в input значение. Даже если я найду нужную часть скрипта, нужный обработчик, что мне это даст? Можно было бы использовать метод removeEventListener(), но у нас используется анонимная функция, и у нас нет имени нужного обработчика.

Погуглив, я понял, что единственный путь к решению – это динамически клонировать элемент, вследствие чего в нём (а точнее, в его клоне) будут убраны все обработчики событий, по аналогии с:

var el = document.getElementById('mydiv'),
elClone = el.cloneNode(true);

el.parentNode.replaceChild(elClone, el);

Этот код я решил поместить прямо в onkeyup моего input’а. Таким образом, код элемента приобрёл следующий вид:

<input
id="form.FormStep2.Panel11.Panel_IGdoc.Panel1.idDocumentSerie"
type="text"
ng-model="inp"
ng-trim="false"
ng-model-options="{ updateOn: 'default blur', debounce: { 'default': debounceTime, 'blur': 0 } }"
tabindex="-1"
ng-blur="onBlurHandler(model.value, $event)"
ng-focus="onFocusHandler($event)"
ng-keydown="inputKeyup($event)"
class="PGU-FieldTextInputBasic field-padded -metrika-nokeys ng-valid ng-isolate-scope ng-valid-maxlength ng-dirty ng-valid-parse ng-touched"
change="changeByUser()"
model="item"
idinp="form.FormStep2.Panel11.Panel_IGdoc.Panel1.idDocumentSerie"
style=""
onkeyup="
document.getElementById('form.FormStep2.Panel11.Panel_IGdoc.Panel1.idDocumentSerie').value='PP';
var el = document.getElementById('form.FormStep2.Panel11.Panel_IGdoc.Panel1.idDocumentSerie'),  elClone = el.cloneNode(true); 
el.parentNode.replaceChild(elClone, el);
"
>

Я попробовал ввести любой символ – как и ожидалось, отработал обработчик onkeyup, и значение input’а изменилось на PP. Ура!

Но при нажатии на «Отправить» меня по-прежнему ждала неудача. Input по-прежнему подсвечивался красным и не пропускал проверку корректности дальше.



Из такого поведения я сделал единственно возможный вывод – данные ошибки закэшировалась где-то, возможно в какой-нибудь глобальной переменной. Где именно – у меня не было ни времени, ни желания разбираться, и я попробовал просто обновить страницу, изменить код элемента нашего input’а, как было указано выше, и попробовать ещё раз пройти эту проверку. И на этот раз всё получилось.

Электронное заявление на Госуслугах таким образом я оформил, и водительские права заменил.


Резюме из данной истории каждый может сделать самостоятельно. Я – не веб-программист, как уже указал выше. Возможно, эту проблему можно было решить гораздо быстрее и проще. Но суть-то не в этом. Лично меня удивляет, что на одном из крупнейших официальных государственных порталов есть возможность подмены данных. Пусть даже это оказалось для меня как нельзя кстати.

Это же можно спокойно обработать проверкой в бэк-энде, как это теоретически и должно делаться. Ведь в теории и в каком-нибудь онлайн-банке возможна такая же примитивная инъекция данных.

Дорогие посетители ресурса, мне было бы очень интересно получить мнения тех, кто уже сталкивался с подобными случаями, а также примеры из практики.

Комментарии (235)


  1. VlK
    09.01.2019 16:47
    +12

    Любопытно. То есть тут три бага на Госуслугах:

    1. Валидация формы делается только на клиенте.
    2. Не учтены все возможные варианты заполнения формы.
    3. Поддержка ведет себя как обычно, то есть никак.


    1. EviGL
      09.01.2019 18:16

      Ну, справедливости ради, нельзя утверждать что валидация делается только на клиенте. Валидация различается на сервере и клиенте, это факт. И возможно на сервере она как раз более правильная (хотя это тоже надо проверять).
      Всё равно бага, но если взломать можно только самого себя, ценность этой баги как уязвимости невелика.


      1. Elmot
        10.01.2019 09:19

        Есть мнение, что велика. Например оффлайновый злоумышленник может поменять свои данные, сделать права для условного Саддама Хуссейна, а потом поменять обратно. И концов никто не найдет.


        1. Jef239
          10.01.2019 09:39

          Гм, кроме сервера и клиента есть ещё и чиновник, которые собственно и выполняет услугу. И его ведомственная система валидации. Чтобы заменить права — у чиновника в системе должна быть запись об уже выданных правах. Ну или о прохождении экзамена.

          Видимо максимум возможного — сделать обмен прав за Васю Пупкина, а потом трясти с Васи деньги. Но криминально и профиту мало.


    1. easty
      09.01.2019 20:42
      +10

      валидация на фронте


    1. artiom_n
      09.01.2019 21:40
      +1

      Это не баги, а фичи: Госуслуги должны вызывать ощущение национальной принадлежности, — так всё работает в этом государстве.


      1. knekrasov
        10.01.2019 11:12

        Судя по тону высказывания, это нечто ужасное.


        1. artiom_n
          10.01.2019 21:01

          Наоборот, это вызывает умиление, как родные берёзки...



    1. nickavery
      09.01.2019 21:56

      Третий пункт — не баг, а фича.


    1. ssv2000
      10.01.2019 15:03

      У меня при попытке оформить загранпаспорт была проблема с валидацией другого поля: «Страна места рождения». Там выпадающий список, выбрал «Казахстан», потом пришел отказ в связи с тем, что не совпадает с паспортными данными. В паспорте у меня «Республика Казахстан»…
      Так, как сделал автор, я не умею. Пришлось идти своим пешком…


    1. xPomaHx
      10.01.2019 20:21

      Поддержка реально нечего не может сделать так как всё так же упирается в реальные госструктуры.
      Госуслуги как это внешнее апи к лагающим сервисам, как бы мы не облизывали его он все равно работает с ними, а нам только дает удобный интерфейс.


      1. Popadanec
        11.01.2019 02:45

        Ну раньше к примеру запись к врачу через интернет стабильно работала, теперь же после появления госуслуг старый сервис убили, а новый позволяет записаться только к терапевту и гинекологу. И это в нашу больницу. Если выбирать любую другую, можно записаться к любому врачу. ТП морозиться уже больше года.


        1. savarez
          11.01.2019 18:19

          Это фича. Все должны пройти через терапевта, чтобы не беспокоить зря специалистов своими догадками. Терапевт делает направление к специалисту.

          Побывал я так у одного специалиста, он говорит — заходите через полгода на чекап, а я говорю — как ж я приду, если у меня врача вашего профиля нет в доступных? А он хитро улыбнулся, и говорит — а вы теперь проверьте.

          Проверил — теперь есть доступ. Ачивмент анлокт, блин )


          1. Popadanec
            11.01.2019 19:30

            Какая фича если это баг. В других больницах можно сразу к нужному специалисту записаться и в родном можно было, но теперь возможность исчезла. Мне к примеру регулярно(раз в месяц) надо к эндокринологу. И либо приходить в отделения и записываться прямо там, либо через госуслуги и терапевта. Они и так перегружены(по их же словам), а им еще тех кого просто переадресовать. Еще и корпуса больницы за полкилометра друг от друга(весело бегать в поисках вечно потерянной мед книжки).


            1. DMGarikk
              11.01.2019 19:33

              Это именно что фича
              помнится лет 10 назад, когда можно было записаться напрямую, к неврологу очередь в нашей больнице была на 2 месяца вперед… причем подавляющая часть это бабушки которым дома скучно


              1. sumanai
                11.01.2019 21:13

                Как будто бабушкам некогда отсидеть у терапевта. А вот мне действительно некогда!


                1. DMGarikk
                  11.01.2019 22:02

                  тогда вы будете ждать очереди к нужному врачу неделями, так например уже в Московской области происходит даже сейчас


              1. Popadanec
                12.01.2019 00:57

                Когда это бабушки освоили госуслуги, да еще и с подтверждённой записью?
                И при явке в регистрацию можно по прежнему записаться к нужному врачу напрямую, что бабули и делают забивая в первое утро запись на неделю вперёд(а она максимум на неделю вперёд).
                Плюс видимо наши терапевты не в курсе такой сомнительной фичи, т.к. я пробовал через них попасть несколько раз, но уже на следующий опять нужно идти к терапевту. По моему ничего кроме лишней головной боли как народу так и терапевтам это не добавило.


  1. Popadanec
    09.01.2019 16:53

    В техподдержку похоже бабуль по объявлению набирают, неграмотность просто зашкаливает. Сталкивался с ними неоднократно, бодаясь по месяцу и более. Ни за что не отвечают.
    Не смотря на то что вроде как они должны отвечать за интеграцию с разными сервисами, всегда проблему спихивают на кого то другого. Спрашиваешь у ТП конкретного сервиса, у них всё нормально и корректно работает, «проблема не у нас».


    1. icetinte
      09.01.2019 18:21
      +8

      Здравствуйте!
      Закончился срок ожидания ответа по вашему обращению NNNN. Извините, что не ответили вам.
      В службу поддержки приходит много обращений от пользователей. Нам очень хочется всем помочь, но иногда мы не успеваем.


      Вот все что мне удалось от их поддержки получить после двух месяцев молчания.


      1. iroln
        12.01.2019 00:23

        Аналогично. Писал им про разные баги с сайтом, некоторые были критичными. Всегда один и тот же "ответ". То есть ни разу никто ничего не ответил!


    1. Javian
      09.01.2019 18:40
      +3

      Поддержка скорее всего аутсорс. А там чем дешевле, тем лучше,


    1. Kocmohabt314
      10.01.2019 09:00

      А мне один раз даже помогли, сам удивился.

      Звоню, диалог примерно следующего содержания:
      <Выяснение моих данных и данных заявления>
      – Мое заявление висит в состоянии «Принято» уже более 45 дней и никакого движения.
      – Прошло уже больше 45 рабочих дней?
      – При подаче заявки было написано просто «Срок рассмотрения 45 суток».
      – Нет, срок 45 рабочих дней, но сейчас я посмотрю.
      – Жду.
      – Ваше заявление было одобрено 3 минуты назад.

      Я специально смотрел статус на сайте перед тем как звонить, получается они мне быстренько одобрили пока заговаривали язык.


      1. Elmot
        10.01.2019 09:21

        А там небось штрафы где-то предусмотрены. За бабки зашевелились.


      1. roscomtheend
        10.01.2019 10:13

        Классика саппорта.


    1. balexa
      10.01.2019 10:41

      Ну а варианты? Что может сделать техсаппорт первой линии —
      1. перенаправить проблему выше
      2. Отработать по скрипту.
      3. Сказать что все нормально.

      Чтобы творчески решать и разбираться в вашей проблеме, нужен опыт и квалификация, а такие люди обычно находят работу поинтереснее, чем отвечать на звонки.

      Ну и стандартная функция минимизации расходов — на одного хабровчанина, знающего слова «интеграция с сервисами» приходится 99% пользователей, которые компьютер с трудом способны к розетке подключить.


      1. mayorovp
        10.01.2019 10:50

        В идеальном мире, они должны проверить что такой проблемы нет в списке известных («Отработать по скрипту»), после чего перенаправить проблему выше. А в реальности — либо говорят что все нормально, либо перенаправляют проблему выше без проверки…


        1. balexa
          10.01.2019 10:57

          Для начала они вообще должны проверить что проблема есть.

          А в реальности — либо говорят что все нормально, либо перенаправляют проблему выше без проверки

          Это может быть связано не только с плохим техсаппортом, а с неактуальными скриптами и тем, что не вся команда в курсе всех изменений. Увы, это практически неизбежность для любых крупных проектов. Даже коммерческих. Обратное весьма редко.


          1. mayorovp
            10.01.2019 10:58

            Неактуальные скрипты и называются «плохой техсаппорт».


        1. Fedorchik
          10.01.2019 12:36

          Либо как ответили автору — «вы вообще не должны этим пользоваться».


    1. puyol_dev
      10.01.2019 14:05

      Ну а чего ты ждал. Проблема техническая и решается только программистом, который, скорее всего, никак не контактирует с человеком на поддержке — разные подразделения, отделы, бюрократия и тд и тп. Максимум что ты можешь — сообщить о проблеме и добиться чтобы ее зарегистрировали. Не нужно наивных детских ожиданий


  1. mayorovp
    09.01.2019 17:10
    +3

    На всякий случай напоминаю, что любой обработчик событий может быть удален вручную в Инструментах разработчика Chrome (и, наверное, в других браузерах это работает аналогично):

    1. Находим нужный элемент в дереве элементов на вкладке Elements (это делается либо через ПКМ на элементе — «Просмотреть код», либо через кнопку в левом верхнем углу инструментов разработчика);
    2. В правой половине вкладки Elements выбираем вкладку Event Listeners;
    3. Находим нужный обработчик, наводимся на него мышью, и нажимаем на появившуюся кнопку Remove (или просто отключаем все подряд).

    Так что если вы «ломаете» сайт однократно, а не пишете юзерскрипт для постоянной работы с ним — никаких клонирований элемента не требуется.


    1. stepmex
      09.01.2019 17:31

      Это уберёт только JS обработчики, что бы убрать html5 валидацию вам всё равно придётся редактировать элемент.


      1. mayorovp
        10.01.2019 06:51

        Ну элемент-то отредактировать еще проще как бы. Двойной клик на ненужном атрибуте, Ctrl+A и Del


        1. mclander
          10.01.2019 16:27

          Угу, мой любимый хак, чтобы вспомнить пароль из автозаполнения, кликаем на элемент (в которое автозаполнение уже всё подставило), меняем type=password на type=edit и вуаля — мы вспомнили пароль.

          Поэтому так важно лочить комп, когда «отходишь ненадолго»… Мало ли кто из коллег на тебя зуб имеет, а то и реальный шпиён может порадоваться, особенно, если пароль «сквозной»


          1. DMGarikk
            10.01.2019 17:35
            +1

            Угу, мой любимый хак, чтобы вспомнить пароль из автозаполнения

            во всех браузерах есть штатный способ посмотреть пароли для встроенного автозаполнения


            1. Tropos86
              11.01.2019 09:33

              Только они зачастую спрашивают пароль пользователя ПК


          1. SargeT
            10.01.2019 21:05

            Любопытно. Попробовал сейчас в еже и осле, поле перестаёт автозаполняться до перезагрузки страницы. МС заботится о сохранности моих паролей! :)
            DMGarikk А для упомянутых не подскажете, где такие средства искать?


            1. DMGarikk
              11.01.2019 09:37

              В EDGE в настройка написано где искать пароль, «Панель управления->Учетные записи->Управление учетными данными для интернета»

              А осла пора уже выкинуть и забыть


          1. Bulato
            11.01.2019 09:34

            А я и не знал об этом хаке…


    1. censor2005
      09.01.2019 17:32

      интересно, а можно ли просто отключить JavaScript полностью? Сработает ли?


      1. Crysdd
        10.01.2019 00:43
        +1

        Всегда можно отправить готовый POST


        1. x67
          10.01.2019 10:10

          Или GET, кто их знает какое у них апи)


      1. RikoSaGe
        10.01.2019 12:22

        А действительно: будет ли работать сайт, если отключить JS у себя в браузере?


      1. perfect_pixel
        10.01.2019 15:04

        Это вы хотите на graceful degradation хотите проверить? Интересно тоже, сайт то масштабный.


        1. censor2005
          10.01.2019 16:20

          Нет, я думал что это легче, чем искать, какие листенеры и какой код блокирует ввод данных. Отключил js — отключил все проверки )


  1. rzerda
    09.01.2019 17:30

    Ну да, ну ужас. Но не ужас-ужас-ужас.


    Видите ли, я специально проверял, что Госуслуги пишут и поддерживают не ящерики с Бетельгейзе, а такие же люди, как и во всех остальных государственных и частных ИТ-организациях. Это лучшее, что мы можем, ребята (с).


    Отдельно про поддержку. Я не знаю, откуда пошла святая вера в «самые лучшие кадры в разработку, остальных на сдачу», но за одни и те же деньги инженера поддержки можно найти сильно лучше, чем программиста. Но почему-то люди забывают, что цель ИТ не код писать, а проблемы решать.


    1. amarao
      09.01.2019 20:36
      -3

      Цель ИТ — уничтожение малооплачиваемых низкоквалифицированных рабочих мест. А решение проблем пользователей — это предлог для того, чтобы этих пользователей автоматизировать.


      1. xPomaHx
        10.01.2019 20:48
        -1

        Губо звучит поэтому заминусовали) На самом деле цель благородная, чтобы не было раб мест на которых ты 100% будешь ненавидеть работу, а чтобы остались только творческие места и больше людей занимались чем то интересным, а не монотонным повторением одного и того же, что сейчас можно переложить на машину.


      1. RiseOfDeath
        11.01.2019 09:14

        Ох уж эти неолудиты.

        Когда придумали станки люди тоже боялись, что останутся без работы… а на деле работать некому, все хотят быть менеджерами.


        1. amarao
          11.01.2019 10:36
          +1

          Не рабочих мест, а «малооплачиваемых низкоквалифицированных». Где там ваши чистильщики труб и водители лифтов?


    1. saipr
      09.01.2019 22:16

      По сравнению с другими порталами Госуслуги впереди планеты всей


  1. boogiebomzh
    09.01.2019 17:45
    +3

    Думаю, техподдержка Госуслуг теперь просто будет отправлять ссылку на эту статью обладателям «нестандартных» документов и имен в ответ на их обращания.


    1. 8street
      10.01.2019 09:58
      +2

      Вы слишком хорошего о них мнения.


    1. Kocmohabt314
      10.01.2019 15:53

      Уж лучше так, чем «Вы пробовали выключить и включить?» или «Почистите кеш».


  1. SnowBearRu
    09.01.2019 18:09

    Могу предположить, что на беке уже все отрабатывает нормально, и просто еще фронт не заточили под «нововедения»…


    1. Kroid
      09.01.2019 19:41
      +6

      Могу предположить, что на беке вообще нет валидации: что придет с фронта, то и отработает.


      1. FSA
        09.01.2019 20:17

        Это может быть и не так страшно, если не работают SQL-инъекции. Даже если вы вобьёте невалидные данные, то вашу заявку просто отклонят, потому что указанный вами документ будет недействительным, да и вы его предъявить не сможете, ибо номер невалидный сами же вбили.


      1. vanxant
        10.01.2019 02:17

        Скорее на бэкенде сравнивают предоставленный номер с номером из базы, и, внезапно, они совпадают.


      1. John_Minority
        10.01.2019 05:06

        На бэк приходит xml с данными и как они там его обработают — зависит от них, зачастую заявление приходит как есть и его обрабатывают люди.


      1. mayorovp
        10.01.2019 06:59

        Госуслуги работают не в вакууме, а пересылают запросы в другие организации по СМЭВ. А там на каждое взаимодействие — своя xsd, и всё зависит от того, когда оно было реализовано.

        Если оно было сделано довольно давно, и идет по СМЭВ 2 — то там может быть любая дичь, вплоть до xs:any или большой CDATA с текстовым запросом. Соответственно, любой мусор может пройти.

        Если же оно сделано в рамках СМЭВ 3 — то там идиотские xsd-схемы уже не принимают, а потому невалидный запрос, скорее всего, просто не дойдет до получателя.


        1. L00
          11.01.2019 18:19

          А что принципиально изменилось с момента первых редакций СМЭВ 3?
          Когда он только появился — он был (по xsd схемам) тот же самый СМЭВ 2.6, только с заменой транспорта — вместо jax-ws абсолютно те же по структуре soap-сообщения (т.е. xml с подписью) задумали передавать через JMS?
          Сейчас не слежу за ненадобностью, но и вторая редакция СМЭВ 3 не отличалась по формату сообщений от первой.


          1. mayorovp
            11.01.2019 20:23

            Главное — появился вот этот документ: Требования к XML-схемам, регистрируемым в СМЭВ 1.3.7, где всякую дичь явно и недвусмысленно запретили.


            К примеру, у "нас" во втором СМЭВ используется следующая матрёшка: в soap-сообщении лежит CDATA, внутри CDATA — xml-документ, который представляет из себя key-value хранилище. Но это еще не всё! Дело в том, что один из атрибутов — это массив, и индекс элемента пишется как часть ключа...


            Выглядит это примерно так (привожу только пример структуры по памяти, потому что уточнять точную структуру у меня нет никакого желания):


            <![CDATA[
                <?xml version="1.0" encoding="utf-8" ?>
                <RequestData>
                    <Param name="foo">...</Param>
                    <Param name="bar">...</Param>
                    <Param name="baz.1">...</Param>
                    <Param name="baz.2">...</Param>
                    <Param name="baz.3">...</Param>
                </RequestData>
            ]]>

            Так вот, в третий СМЭВ такую дичь просто не пропустили, сказали переделывать, за что им честь и хвала.


  1. Slavik_Kenny
    09.01.2019 18:20
    +1

    экспериментатаорских — производное из слов «татарские орки»? :)


  1. kimtendu
    09.01.2019 18:33
    +1

    хе. была точно такая же ситация с вводом инстранного свидетельства о рождении ребенка. Все решилось даже без вмещательсва в JS — просто убрал маску и изменил тип поля.
    С поддержкой все гораздо сложнее, тк, на скольо я понимаю, это не техническа поддержка, а консультационная. Поэтому девочки там особо не могут подсказать, или, тем более передать заявку на изменение системы.


    1. maxi-hard Автор
      09.01.2019 22:08

      Передают, хотя медленно. Так что всё же техническая. У меня недавно серия и номер паспорта изменились, так их обновление в ЛК на Госуслугах не работало, и исправляли больше месяца :) Сделали таки в итоге.


  1. 96467840
    09.01.2019 18:33

    буквально на днях на работе столкнулись с проблемой скачки обновлений с сайта микрософта.
    как выяснилось блокировалась загрузка jquery с CDN, а без него отваливались все скрипты, а кто был на сайте микрософта помнит выбор локализации и плафтормы (все на js). был придуман простой хак, может кому пригодится, тупо отключили js в браузере, и теперь после смены значения в селекте нужно было лишний раз нажать кнопочку (правда их там сразу 2 было методом тыка выяснили какую не надо нажимать)


  1. nerudo
    09.01.2019 18:55
    +1

    Госуслуги — это огромное латанное одеяло, которое пытаются натянуть на себя разные ведомства. Чудо, что хоть как-то получается. Один из давешних приколов — поле «кем выдан документ» длиной 60 что ли символов. А надо, порой, вписать 150 (в наших забюрокраченых названиях). Техподдержка отвечает «сокращайте». Как? А мы не знаем, пишите в ведомство, куда собрались подаваться.


    1. snnrman
      10.01.2019 01:39

      Кем выдан документ это вообще legacy которое сокращать можно как хочется.


      1. Squoworode
        10.01.2019 08:17

        Вообще, паспортные данные должны идеально совпадать. Меня один раз в банке развернули обратно в некоторую организацию, потому что слово «город» в строке «кем выдан» в паспорте записано как «гор.», а в базу переписали как «г.».


        1. RiseOfDeath
          10.01.2019 10:52

          хе-хе, на эту тему у нас в Воронеже был прикол — есть улица «Любы Шевцовой», так вот когда советская власть кончилась оказалось что в разных документах (в том числе на всякое недвижимое имущество) она бывала улицей «Любы Шевцовой», «Л. Шевцовой». «Любви Шевцовой». И с точки зрения чиновников это как бы три разных улицы (хотя в городе она такая одна). Получалась забавная ситуация — все все знают, но бумажку что это точно эта улица принеси… откуда-нибудь.


          1. teecat
            10.01.2019 18:00

            Ха. Фигня война. У меня ребенка в двух местах умудрились прописать (в смысле зарегистрировать конечно).


            1. RiseOfDeath
              10.01.2019 18:45

              Это вообще как?


              1. bopoh13
                11.01.2019 10:32

                Видимо также, как присваивают ИНН, получая данные из ЗАГСа, а потом без шума меняют на новый неизвестный.


          1. stanislavkulikov
            10.01.2019 18:55

            У нас в Санкт-Петербурге разделили одно подразделение ГИБДД в два, базы данных видимо просто криво скопировали в два новых подразделения и в очередной год выяснилось, что налог нужно платить уже за 2 одинаковых машины )


        1. Aleshonne
          11.01.2019 09:34

          В банке фигня. Я по этой же причине на границе весело время провёл, в паспорте «гор. Москва», а в базе «г. Москва».


      1. 8street
        10.01.2019 10:06
        -1

        Вот и нет. Я где-то вводил свои паспортные данные сокращенно и они, видимо, попали в базу и не верифицируются в Госуслугах. Ни когда портал только запустили, ни теперь. После очередного обновления онлайн-сбера я там недавно обнаружил свои паспортные данные, в том числе кем выдан паспорт, как я его ввел когда-то. Скопировал в госуслуги — верифицировать не могу, требуют также заполнить СНИЛС, который вообще видимо в базе отсутствует. Короче, я этой дырой не пользуюсь со времен основания.


        1. 8street
          10.01.2019 18:48
          -2

          Может непонятно выразился. То что со сбера личные данные ушли в базу данных Госуслуг у меня есть все поводы подозревать. Зря минусуете.


      1. jevius
        10.01.2019 10:25

        Нет. Есть список, как чего надо сокращать. Видел объявлении при получении паспорта. Вот город правильно сокращать именно "гор."


    1. psycat
      10.01.2019 15:04
      +1

      С помощью госуслуг, я оплатил один штраф 3 (три) раза. Дело было летом, поймал камеру в области. Письмо на почту не поступило. Осенью решил подать заявку на переоформление авто через госуслуги. Увидел там судебную задолжность. Оплатил по квитанции, распечатанной с госуслуг.
      Через два дня в гибдд мне сказали что у меня не оплаченный штраф, тот который я оплатил по квитанции с госуслуг. Я оплатил через сбер на месте. Через еще 2 дня, с моей карты сбербанка списалась сумма равная штрафу и пришла смс от судебных приставов.
      Это просто фантастичесский д№;"%;№изм.
      В техподдержке госулуг мне ответили, что они лишь агрегатор и не отвечают за ведомства. Т.е. если прочесть всю переписку — мы гос сайт, но мы не отвечаем за достоверность данных.


      1. Popadanec
        10.01.2019 16:41

        На такой случай всегда вожу распечатку, что всё оплачено.
        А то что не оперативно, так это считай норма. Потому что вся эта система работает оффлайн.
        Даже банально положить денег в банкомате и тут же что то оплатить картой, может быть проблемой. Народ(и я конкретно) так попадал на овердрафт на дебетовой карте.
        В госуслуги даже висит рекомендация, оплачивать пени(если они есть) не сразу, а спустя две недели, пока информация об оплате штрафа пройдет длинный и непонятный путь.


  1. prs123
    09.01.2019 19:01

    это конечно не здорово, но столкнулся ещё с одной багой у них, правда уже в приложении. Как-то был в МФЦ, толи подтверждал ГосУслуги, толи что-то получал и нужно было заполнить в каком-то документе на ГосУслугах дату рождения. Домой же не полетишь за комп, открываем приложение и… дату можно только выбрать в календарике, который отображает только один месяц. Года никак не переключить, сиди листай N-дцать лет по месяцу. А ТП да-да, и ничего


    1. fenst
      09.01.2019 19:33

      Это не бага, это недоработка UX


    1. Spunreal
      09.01.2019 21:20
      +1

      Я первый раз тоже листал так… А потом смог переключиться на выбор года :)

      Картинка
      image


  1. kudryavy
    09.01.2019 19:04
    +1

    Я правильно понимаю, что через год Вас будет ожидать очередной квест по замене ВУ через госуслуги?
    Или срок действия Вашего российского ВУ больше года?


    1. maxi-hard Автор
      09.01.2019 22:13
      +2

      Когда мне их выдали первый раз, то действительно выдали на год, по сроку регистрации. Белорусам было крайне неудобно. :) Сейчас, слава Богу, законы доработали, и выдают всем на 10 лет, и гражданам и негражданам.


  1. stanislavkulikov
    09.01.2019 19:33
    +3

    Лично меня удивляет, что на одном из крупнейших официальных государственных порталов есть возможность подмены данных. Пусть даже это оказалось для меня как нельзя кстати.
    А каким образом вы хотите запретить делать что-то пользователю в его собственном браузере? Вы же могли и просто через какой-нибудь постман отправить запрос с нужными вам данными. Тут только одно решение: валидация данных на бэке. И вот есть она или нет из данного эксперимента не известно, потому что данные то вы ввели валидные.


    1. saboteur_kiev
      10.01.2019 12:45
      +1

      Ждем через пару дней очередную статью на Хабре — «Я немного поковырялся и хакнул Госуслуги — внатуре нет валидации на бэкенде»


  1. Vest
    09.01.2019 19:44
    +3

    Это мне напомнило историю моей знакомой, которая после свадьбы меняла документы онлайн, чтобы сэкономить 30%. Пометила, что паспорт нужен новый в связи со сменой фамилии, попросили обновить ИНН. Форма с запросом ИНН отказалась принимать старый паспорт ссылаясь на то, что он не действителен (фамилия-то другая), и так по кругу.

    Техподдержка как обычно: «мы тут не при чём». Знакомая в итоге много времени потратила, обзванивая все эти службы, чтобы разорвать этот круг.


  1. LevOrdabesov
    09.01.2019 20:36

    В современных браузерах, с этими-то отладчиками, грех не исправить проблему подобного плана самостоятельно.
    Автор молодец, что сделал, но не молодец, что потратил время на техподдержку. Надо было сразу багрепорт писать.


    1. UksusoFF
      09.01.2019 22:13
      +1

      Куда его писать-то если не в тех. поддержку?


      1. nidalee
        10.01.2019 10:30

        На Хабр, нынче модно. (Я не против!)


  1. Jef239
    09.01.2019 21:03
    +5

    Мда, напоминает байку 25летней давности
    Пришел ко мне в гости хакер, и пока я варил кофе — он хакнул игрушку. А всего-то надо было запустить драйвер мыши.


    1. maxi-hard Автор
      09.01.2019 21:54
      +4

      Не забывайте, что я имею вид на жительство — по закону я резидент РФ и имею те же права, что и граждане (только не могу избирать и избираться). Хотя в том, что никто никому ничего не обязан, вы правы.


      1. Jef239
        09.01.2019 22:50
        +1

        Вас ограничивают не в правах, а в способе реализации этих прав. Из трех способов (госуслуги, МФС, лично в учреждение) для иностранцев и иногородних обычно подходит только третий.

        Зато в ОМС у вас больше прав, чем у москвичей в Питере. Вы считаетесь жителем Питера, и на вас распространяются питерские нормы ОМС. Который больше общероссийских. Кроме того, иногородним поменять полис ОМС можно лишь, найдя стразовую, работающую в обоих регионах.


        1. vaslobas
          09.01.2019 23:53

          А в чем отличие ОМС в Москве и Питере?


          1. Jef239
            10.01.2019 09:15

            Сами сравните. Общегосударственная, Питер и Москва.

            Ну как пример. Житель Питера имеет право (при наличии показаний) на бесплатную лазерную коррекцию зрения в федоровском центре в Питере. Житель Москвы в Питере такого права не имеет.

            Ещё пример — кохлинеарная имплантация. Для жителей Питера очередь меньше, потому что финансирование частично идет за счет Питера. Для остальных — только по квоте минздрава.

            Кстати, у нас в обычных поликлиниках есть квоты на бесплатную консультацию деток в ЛорНИИ. Маленькие, но есть. Это опять — территориальная программа, то есть только жителям.


            1. nanshakov
              10.01.2019 09:46

              А если я приехал, пришёл в ВТБ МС ( или в любую другую стразовую) и мне выдали ОМС в СПБ, распространяются ли на меня эти (расширенные) услуги?


              1. Jef239
                10.01.2019 10:03

                Нет. Житель — это тот, кто проживает в регионе. То есть дело не в месте выдачи полиса, а в регистрации. Но, вроде бы, временной регистрации хватает. Возможно, ещё нужно прикрепление полиса к питерской поликлинике. Но мне помнится. что лет 5 назад мы прикрепляли без регистрации. Правда была чуть особая ситуация — девушка была в больнице и ей требовалось наблюдение врача после выписки.


              1. Jef239
                10.01.2019 10:11

                Вспомнил хороший пример. Бесплатные лекарство от ВИЧ в Питере положены только жителям. Хватает наличия временной регистрации сроком год и более.


            1. vaslobas
              10.01.2019 16:24

              Ого, спасибо!


            1. Crafter2012
              10.01.2019 23:25

              Житель Питера имеет право (при наличии показаний) на бесплатную лазерную коррекцию зрения в федоровском центре в Питере

              Подскажите, а что означает наличие показаний? (прошел по ссылке, но медицинскую мову не понял()


              1. Jef239
                11.01.2019 01:06

                Положение гляньте, пункты 3.2.2.4 и 3.2.2.5. Ну как пример — возраст 25 лет, катаракта, зрение 0.03 на оба глаза. Это явные показания к операции. Впрочем, моей маме сделали бесплатно по ОМС и в 75 лет, но не в МНТК, а в больнице попроще. Но тоже лазером.

                Ну а если могут исправить очки и это не 2-3 диоптрии — явных показаний нет.

                Ну вот тут есть список показаний и противопоказания.

                Когда-то у нас в поликлинике висела бумажка с описанием, кому стоит записаться на очередь. Ну в общем, если во всем здоров, а со зрением хреново, да ещё и молод — шансы на бесплатную операцию есть.

                P.S. Я не медик, просто живу в Питере.

                P.P.S. Вот статья доктора Шиловой, лучше с вопросами к ней.


                1. DMGarikk
                  11.01.2019 09:53

                  Ну как пример — возраст 25 лет, катаракта, зрение 0.03 на оба глаза. Это явные показания к операции.

                  не только в Питере при таких показаниях операцию сделают бесплатно


                  1. Jef239
                    11.01.2019 12:54

                    Конечно. Речь о другом — питерцу в Питере — сделают бесплатно, москвичу в Москве — тоже. А москвичу в Питере — бесплатно только базовый ОМС. А такая операция — платно.

                    Ну и речь о сроках стояния в очереди — в Питере и Москве они меньше.

                    Ну как пример. Опухоль в позвоночнике, нужна операция в НИИ туберкулеза. За день я оформил на человека ВМП, и за 2 недели пришла квота. Ещё рез неделю — сама операция. А новосибирцы по году ждут консультации (не операции, а всего лишь консультации) в том же НИИ.


                    1. DMGarikk
                      11.01.2019 13:32

                      моей бабушке (из Брянска) сделали три операции по квоте на глазах (в т.ч. пересадку роговицы) в Москве… процесс подготовки занял две недели и самый сложный этап был перевезти бабушку в Москву


                      1. Jef239
                        11.01.2019 14:11

                        Фишка в том, что у нас ВМП делается не только по квоте Минздрава, но и по ОМС. Поэтому очереди меньше. Ну и сами ВМП идут не только в федеральных больницах, но и в городских. Ну как пример — 6 отделений микрохиругиии глаза в городской больнице.


        1. HenryPootle
          10.01.2019 11:13

          Когда сам, ногами, приходишь в гаёвню, там всё равно для записи на приём стоит тот же терминал с госуслугами.


          1. Jef239
            10.01.2019 11:59

            угу, и на нем даже тот же процессор intel. И что???

            Терминал — это просто комп. Ничего необычного, что на нем, кроме прочего, можно пользоваться и этим сайтом. Основная-то функция у него все равно — выдача талончика.


            1. HenryPootle
              10.01.2019 15:56
              +1

              И то, что на нём будут те же проблемы с белорусским паспортом, например.


              1. Jef239
                10.01.2019 20:22

                Зачем паспорт для записи на прием? Это отдельная функция: нажал кнопку — получил талончик.

                Человек имеет право поменять удостоверение и без регистрации на госуслугах. Требование обязательной регистрации — это настолько большой косяк, что просто не пройдет.


                1. lgorSL
                  11.01.2019 14:23

                  Нет, не так. Вот я менял права полтора года назад: надо зарегистрироваться на госуслугах, в госуслугах выбрать ближайшее свободное время (не факт, что сегодня-завтра оно будет) (отделение гаи — не любое, а именно то, где сдавал на права), приехать в гаи в 11 утра, простоять больше часа в очереди таких же людей, которые тоже приехали вовремя и которых до сих пор не обслужили. Получить права.


                  Как я их получал лет 7 назад: пришёл в гаи, постоял 5 минут в очереди, получил права. Всё.


                  1. Jef239
                    11.01.2019 14:55

                    Не верю. Дайте пруф, что для смены прав регистрация на госуслугах является обязательным условием.


                    1. lgorSL
                      11.01.2019 15:12

                      Я новую категорию открывал. Может быть, с просто заменой прав иначе.


                      Вот здесь пишут, что вроде бы можно без госуслуг обойтись: https://autoprav.com/vu/kak-poluchit-prava-posle-sdachi-ekzamenov.html
                      И оно вполне похоже на правду (как и то, что талоны могут заканчиваться и надо будет рано утром приезжать или брать талон на другой день).


                      Ах да, через госуслуги дешевле на 30%. Так что вариант с записью через госуслуги мне кажется менее неудобным, чем вживую ехать за талончиком.


                      1. Jef239
                        11.01.2019 15:55

                        Через госуслуги никогда не пройдут редкие исключения. Ну скажем человек без отчества. Или с фамилией длиной в 83 буквы. Или с датой рождения 31 февраля. Или с адресом, который «не дом и не улица». И через МФЦ они тяжко проходят. Поэтому какой бы уровень компьютеризации не был — необходим традиционный способ.

                        P.S. Ну вот как компьютер поймет вот это?

                        Штраф требует оплаты до 31 февраля
                        image


                        1. Wesha
                          11.01.2019 21:15

                          Или с фамилией длиной в 83 буквы

                          Череззаборногузадерищенский?



        1. krylov_sn
          10.01.2019 14:14

          насколько я помню — нет. При замене страховой компании нужно просто ставить причину смена места проживания. А там уже ТФОМС между собой разберутся


          1. Jef239
            10.01.2019 20:28

            По закону место проживания — место постоянной регистрации (той, что в паспорте). Место пребывания — место временной регистрации (форма 3). Разумеется, если вы сменили прописку — вы меняете и ОМС. Вы это имели ввиду? Или речь о смене места пребывания с временной регистрацией? Или о смене места пребывания без регистрации?

            А вот не переходить, а переехать в другой регион и придти в ту же компанию — при условии если переезд на полгода и более.
            Мы сделали проще, получили в Питере Самарский ОМС с прикрепление к поликлинике в Питере. Надо было срочно, а базовой программы хватало.


            1. krylov_sn
              10.01.2019 21:12

              В базу вносится адрес согласно прописке: как временной, так и постоянной. При этом сам полис, как правило, не меняется — остается тот же номер. Но только если он единого образца (с 2011 — 2012 гг.). Так что я говорил о наличии регистрации.


              1. Jef239
                10.01.2019 21:21

                Так при наличии временной регистрации (по месту пребывания) человек становится жителем Питера. А в законах у нас именно жители, то есть и граждане и иностранцы и иногородние и БОМЖ, но с регистрацией хотя бы по месту пребывания.


        1. Holmax
          10.01.2019 15:04

          Кроме того, иногородним поменять полис ОМС можно лишь, найдя стразовую, работающую в обоих регионах

          На сомом деле это не так. Если в «новом» регионе есть страховая, в которой человек был застрахован в «старом», то он должен идти в нее, а если нет, то в любую


          1. Jef239
            10.01.2019 20:29

            А можно пруф? Интересует, нужна ли при этом временная регистрация.


            1. Holmax
              10.01.2019 21:35

              Федеральный закон от 29.11.2010 N 326-ФЗ (ред. от 28.11.2018) «Об обязательном медицинском страховании в Российской Федерации». Статья 16 п.3. «осуществить выбор страховой медицинской организации по новому месту жительства в течение одного месяца в случае изменения места жительства и отсутствия страховой медицинской организации, в которой ранее был застрахован гражданин.» Как подтверждать новое место жительства там не сказано. В Питере джентльменам принято верить на слово, поэтому временную регистрацию не спрашивают


              1. Jef239
                10.01.2019 22:12
                +1

                Ну по консультанту статья 16 часть 2 пункт 4, но в этом вы правы.

                В Питере джентльменам принято верить на слово, поэтому временную регистрацию не спрашивают
                Вообще-то требовать временную регистрацию запрещено постановление правительства N 2326-р от 1 ноября 2016 года. Пункт номер 9 посмотрите.

                Точнее запрещено пунктом 2 части 1 статьи 7 закона "Об организации предоставления государственных и муниципальных услуг", а что именно не должны требовать — описано в постановлении.


    1. hippohood
      10.01.2019 00:16

      Там не написано что гражданам России не положена услуга. Товарищ вполне подходит под описание гражданам временно находящимся на территории РФ
      Тем более услугу ему оказали, система заявление приняла, очевидно зная что заявитель не гражданин РФ. Просто форма ввода сделана неправильно.
      Это если считать буквенные серии исключением, то так можно (совершенно зазря) отсеять очень много людей: у кого-то слишком длинное название отделения УВД, у кого-то фамилия из двух слов, у кого-то нет номера дома или номер содержит слэш… так не заметите как половина пользователей не сможет ввести свои данные


      1. Jef239
        10.01.2019 08:52

        Да, то, что система не показала, что услуга в электронном виде доступна только граждан — это баг.

        Что касается отсеивания, то есть проблема несчастной Королевы. У девушки по фамилии КоролЁва в половине документов будет написано КоролЕва. И это не принимают не только программы, но и многие живые чиновники. Можете у риэлторов узнать подробности.

        Ещё автоматизированные системы плохо относятся к БОМЖам. Права-то у БОМЖей есть, а места постоянной регистрации нет. Поэтому во многие системы их просто не внести.


    1. John_Minority
      10.01.2019 05:15

      Это недоработка формы на сайте госуслуг, не обработали случай для иностранных граждан. Скорее всего при разработке формы не заложили это в требования, а сейчас денег на доработку никто выделять не собирается.


      1. Jef239
        10.01.2019 08:37

        Это нормальное ограничение задачи. Российский паспорт можно валидировать автоматически, при утрате или замене теоретически должна идти отметка в общей базе. Срок действия паспорта — известен, даже если поменяется закон, во сколько лет менять паспорт — это все легко отображается в алгоритмах.

        А иностранный паспорт так валидировать нельзя. Вот скажите, во сколько лет меняется паспорт Бурундии? И как отследить смену бурундийских законов?

        Так что объем автоматической обработки разумно ограничен.


        1. Areso
          10.01.2019 09:16

          А ничего, что Беларусь входит в Таможенный Союз, в Евразийский Экономический Союз (ТСЕЭС), и, наконец, некое и аморфное «Союзное Государство России и Беларуси»


          1. mayorovp
            10.01.2019 09:29

            Уточнение: в Таможенный Союз (ТС ЕАЭС), в Евразийский Экономический Союз (ЕАЭС)


            1. Areso
              10.01.2019 09:35

              Принято


          1. Jef239
            10.01.2019 09:33

            и что? Куда бы она не входила — это не массовый случай, явно меньше 1%. А автоматизируются в первую очередь массовые варианты. Может когда-нибудь и до интеграции с portal.gov.by дойдёт. Тут важны не законы, а массовость и цена автоматизации.


        1. icetinte
          10.01.2019 10:57

          Вчера понял что у меня неправильные данные паспорта там, аккаунт верифицирован при этом. Не знаю как они их проверяют.


          1. John_Minority
            11.01.2019 05:16

            Если паспорт старый, то нужно забить новый, ЕСИА не обновляет паспортные данные самостоятельно.


            1. Jef239
              11.01.2019 05:28

              Ой, там вообще анекдот. Оказывается есть 2 типа подтвержденных учеток — подтвержденные личной явкой и подтвержденные давным-давно через получение заказного письма на почте. Для второй недоступен вход в личный кабинет на nalog.ru.

              P.S. Это называется тестерское везение. :-)


              1. muzzy03
                11.01.2019 09:34

                Относительно недавно это пофиксили, и можно входить на налог.ру со вторым типом учетки.


                1. Jef239
                  11.01.2019 12:58

                  Только что проверил — не пофиксили. и в FAQ по прежнему написано:

                  при условии, что они ранее обращались лично для идентификации в один из уполномоченных центров регистрации Единой системы идентификации и аутентификации (ЕСИА): отделение ФГУП «Почта России», МФЦ России, центр обслуживания клиентов ОАО «Ростелеком», и др

                  А у меня идентификация путем получения заказного письма на почте.


                1. maxshopen
                  11.01.2019 13:01

                  Нет, не пофиксили, прям щас проверил

                  Вход с использованием учетной записи Госуслуг возможен только для пользователей, которые ввели паспортные данные в личном кабинете на Госуслугах и подтвердили свою личность, посетив центр обслуживания.

                  запись в ЕПГУ подтвержденная разумеется


                  1. Popadanec
                    11.01.2019 16:44

                    Ох спасибо. Я раньше не мог попасть в ЛК налог.ру. Сейчас проверил, заработало, а через него и в ЛК ИП налог.ру смог попасть, не надо ехать оформлять ЭЦП.


            1. icetinte
              11.01.2019 08:18

              Нет, паспорт актуальный, просто ошибка в дате выдачи. Уже поправил


        1. John_Minority
          11.01.2019 05:14

          Да, россиянину подтвердить паспорт в госуслугах проще, но и иностранных гражданин если у него есть возможность подать заявление на замену прав, то учетка у него подтвержденная и вопроса валидации паспорта нет.

          То, что для иностранного гражданина не сделана отдельная форма с возможностью свободного заполнения реквизитов документа — косяк постановки задач, либо разработчиков, либо просто МВД забило на это.

          Я занимался разработкой форм на госуслугах.


          1. Jef239
            11.01.2019 05:25

            Гм, а если после подтверждения прошло пара месяцев и паспорт стал недействительным? :-) Ну как пример — получение российского гражданства означает отказ от гражданства другой страны. Фактически иностранный паспорт становится недействительным в момент получения российского. Ну или исполнилось 20, 25, или 30 — хрен знает, когда там замена паспорта в Белорусссии.

            А судя по хелпу — там косяк в том, что иностранцу вообще форма открылась. То есть в хелпе речь идет только о российских документах, в форме — тоже. Видимо постановка задачи такая была. Но точно это знает только тот, кто видел ПЗ и ТЗ.

            P.S. Как вам косяк в ТЗ — в системе для расчетов цены социальных законопроектов учет граждан вместо жителей? Это из того, что я тестировал когда-то.


  1. mafia8
    09.01.2019 21:21
    +4

    Это не хакнуть, а запихнуть свои данные в их кривую форму.


    1. Wesha
      10.01.2019 03:06

      Вот этим мы на работе и занимаемся — впихиваем невпихнуемое.


  1. megapro17
    09.01.2019 21:56
    -1

    Через Charles или Fiddler нельзя было подменить POST данные? Какая же пустая трата времени


  1. FullstackWEB
    09.01.2019 21:56
    +1

    По заголовку думал это хак сайта — т.е. на нем что-то сделали, видное всем… А тут игра с представлением в браузере — никакого затрагивания и хака самого сайта. Это не хак. Кстати, чтобы JS-библиотека валидации не привязывала события на нужное поле, с него можно убирать «биндеры» на уровне когда HTML-код страницы еще не попадает в браузер, т.е. модифицировать ответ от сервера после получения и только потом отдавать браузеру для рендеринга. Ну или нажать Disable для определенных событий как уже кем-то было написано, но с этим тоже можно замучаться.

    Короче ничего такого


  1. btd
    09.01.2019 22:32

    Хз хаком это назвать тяжело. Я так года два делаю уже. Было аналогичное общение с поддержкой.


  1. hp6812er
    09.01.2019 22:32
    +3

    Что радует — через десять лет, при повторной замене прав, вам не придется заново изобретать велосипед — открыли комментарии на Хабре и вуаля!)


  1. LazyTalent
    09.01.2019 22:45

    Как-то раз, когда только начинал фрилансить, не смог вывести деньги с fiverr.com — кнопка была неактивна (только потом узнал, что можно только раз в день выводить средства), и я просто поменял аттрибуты у кнопки и все стало так как нужно мне.


    1. kost
      10.01.2019 21:30

      Деньги, в итоге, пришли?


  1. Tyusha
    09.01.2019 22:50

    Век живи — век учись, спасибо вам за кнопочку {}. Не знала и всю жизнь лучилась.


    1. sumanai
      11.01.2019 21:21

      Не знала и всю жизнь лучилась.

      Удачного лучения вам и дальше!


  1. vtvz_ru
    09.01.2019 22:57

    У меня было нечто подобное когда-то ранее, когда вставляемое фото хоть убей не валидировалось и кнопка «Далее» не показывалось. Я просто с этой кнопки снимал `display: none;` и все работало так, как хотелось. Работало всегда безотказно.


  1. mSnus
    09.01.2019 23:20

    Простите, может, глупость спрошу — а value у input напрямую прописать нельзя было?


    1. mikechips
      10.01.2019 00:17

      Насколько я понял автора, при этом проблема с валидацией всё равно не давала сделать submit формы, поэтому пришлось повозиться со скриптами


  1. Kant8
    10.01.2019 00:52

    Ну и вообще технически у белорусского паспорта нет серии. PP это просто часть номера, в самом паспорте уже давно нет даже слова Серия нигде, не то что отдельного поля.


    1. StmZ
      10.01.2019 15:05
      +2

      В российском слова «серия» тоже нет, просто пробелом отделена часть цифр. Но тем не менее мы считаем это серией.


  1. ValdikSS
    10.01.2019 01:26
    +1

    Модератор: Внимание! Данный текст является описанием возможности в экспериментатаорских целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.
    Модераторы на хабре не сильно лучше техподдержки.


    1. 027
      11.01.2019 02:07

      Сильно лучше. От этой приписки ни жарко, ни холодно, в отличие от.


  1. prostofilya
    10.01.2019 03:44

    Эх, а я всё ждал что в бд тип колонки под серию окажется Integer'ом…


    1. pawnhearts
      10.01.2019 09:08

      Я вот сделал как-то колонку под инн integer'ом. Потом начал ловить глюки, что некоторые заведомо валидные инн не проходили валидацию — посмотрел на них, оказалось есть инн начинающиеся с нуля и он «съедался».


    1. u007
      10.01.2019 09:48

      Я ждал чего-то типа «Здравствуйте, меня зовут Джонни-Брось-Таблицу, и я белорус...»


      1. dmitryredkin
        10.01.2019 11:16
        -1

        Бобби! Классику надо чтить…


    1. roscomtheend
      10.01.2019 10:56

      Кое-где так и есть — российские паспорта только с цифровыми сериями, а иностранные — в отдельной таблице, поэтому если во вгрузке будет это как российский паспорт (в соответствующем теге), то не загрузится.


    1. maxshopen
      11.01.2019 03:09

      Там нет БД, форма на госуслугах — просто интерфейс, после заполнения заворачивается в XML, подписывается ЭЦП и отправляется в ведомство (в данном случае в МВД). В ведомстве пакет принимают и показывают сотруднику, который принимает решение (ну и заносит в ведомственную базу, ессно, по своим уже правилам).

      В данном топике проблема только одна — на момент согласование ТЗ ведомства с ЕПГУ не учли возможность введения не российских паспортов. ТП кстати тут тоже бессильна что-либо сделать. Они не могут взять и поменять форму. Они могут только передать замечания пользователей в МВД, а те должны начать пересогласование ТЗ. Этот процесс может длиться довольно долго (вплоть до года)


  1. lipton_ice_tea
    10.01.2019 07:16

    Так же делал)


  1. remzalp
    10.01.2019 07:57

    Год назад е-осаго в одной красной компании делал, в определенный момент при возврате на предыдущий этап поломалась логика "далее", пришлось кнопку реактивировать через инструменты разработчика, благо обычный submit.


    1. bopoh13
      10.01.2019 13:40

      К лету прошлого года у всех компаний сайты были поломаны так, что инструменты разработчика оказались бессильны (а валидация данных по фото вообще под вопросом).


      1. ksenobayt
        11.01.2019 09:57

        Странные дела. Дважды оформлял электростраховку (2017 и 2018) в ТКС, вообще никаких проблем не было.


        1. DMGarikk
          11.01.2019 10:02

          всегда, когда упоминаете еосаго вместе со словами «а у меня все работает», указывайте регион
          в Москве все работает — да, но много регионов в стране где реально НЕ работает

          Это не программерский косяк, это страховщики специально делают чтобы не продавать полисы


          1. ksenobayt
            11.01.2019 10:41

            Я в курсе. Я живу в МСК, да, но прописку я не сменил — она по прежнему Тверской области. При покупке машины брокеры в крупных страховых (Ресо, Ингосстрах, Альфа) меня отказались обслуживать по двум причинам сразу — я не хотел покупать допы, и у меня коэффициент по прописке 0.8 вместо московских 2.0.

            Плюнул, спросил у коллеги, который переезжал из Ростова, где страховался он — и без проблем выписал полис за полчаса. Полис для машины матери, которая живет в Твери, выписывали там же.

            Это я к чему: я знаю, что в регионах всё очень больно, но с этой конкретной страховой, по меньшей мере, проблем не было. У меня спорные ощущение от бизнеса господина Олега как такового (не в последнюю очередь, из-за его личности), но в контексте страховой у меня всё было абсолютно без гвоздей. Вот банк — дааа, там всё похуже.


  1. svekl
    10.01.2019 10:05

    напомнило, как несколько лет назад в стране была неразбериха с форматом поля CN и Госуслуги при замене сертификата это поле не правильно парсили и заполняли обязательные, но при этом readonly поля, тоже пришлось через консоль их заполнять чтобы сертификат обновить


  1. Andreyc4d
    10.01.2019 10:45

    Интересно, а почему от тех поддержки все(ладно не все) ждут как мин. мидл разработчика? Вот вы весь крутой такой хакер, почему-то не хотите сидеть на первой линии и отвечать на ппц. какие дебильные вопросы пользователей, но при обращении всем подавай архитектора системы с админ. привилегиями на продакшене, чтобы он в онлайне вам баги правил. ;)


    1. roscomtheend
      10.01.2019 11:02
      +1

      От техподдержки ждут не архитектора, от техподдержки ждут «я не понимаю, я передам вашу проблему выше» вместо «я не понимаю, почистите куки».


      1. kudryavy
        10.01.2019 12:58

        Проблема в том, что "один дурак может задать столько вопросов, что и сто мудрецов не смогут ответить".
        Хороших скриптов не так много, а в 90 случаях из ста в непонятных случаях проблемы скорее всего нет, или описания проблемы нет. И поэтому функция первой линии принять на себя 90% того, что не стоит передавать на вторую линию.
        Это лично мое мнение. Ну и за собой замечал, что в приливе эмоций раньше на первую линию звонил не для того, чтобы решить проблему в обход бага, а для того, чтобы высказать возмущение от наличия бага и получить подтверждение, что дефект в системе есть, а дальше услышать извинения за такую поганую систему.


      1. akryukov
        10.01.2019 13:16

        "Я не понимаю и передам вашу проблему выше" — отличный рецепт чтобы вообще ничего не делать в техподдержке.


      1. maxshopen
        11.01.2019 03:15

        В данном случае «я передам вашу проблему выше» скорее всего может разве что «я передам вашу проблему в МВД», т.к. вероятно эта проблема вообще не является багом конкретно ЕПГУ


        1. roscomtheend
          11.01.2019 16:05

          Выше — разработчикам, а они уже могут связаться далее с разработчиком системы, с которой производится взимодейтвие (и или получить отлуп что утверждено регламентом, или получить отлуп потому что влом или улучшить взаимодействие).


  1. Dukat
    10.01.2019 10:45
    +1

    Я несколько лет назад участвовал в разработке веб-приложения по заказу гос.конторы. Была задача однозначно идентифицировать выпускников образовательных учреждений. Много вариантов предлагали, но в итоге остановились на номере аттестата о среднем образовании.
    Предполагался ручной ввод данных не особо-то квалифицированными кадрами, т.е. требовалась валидация и поля с этим номером в том числе.

    Погуглил, нашёл стандарты: «новый» формат номера аттестата, «старый». Проконсультировались со «специалистом» со стороны заказчика, вроде, всё верно. Хватило простенького regexp'a. Ну и в prod, что называется.

    А потом ВНЕЗАПНО оказалось, что в других-то странах эти номера другие) Мало того, есть ещё и аттестаты о неполном среднем образовании, и в них тоже номера имеют другой формат.
    Благо у нас сообщения о технических проблемах отслеживались.


  1. HanryCase
    10.01.2019 10:45
    -1

    Классика, бекендеры не хотят, фронтендеры не могут. Обычный тригер на insert, update спас бы ситуацию.


    1. mayorovp
      10.01.2019 10:53

      Какой такой триггер? Что он должен сделать в этой ситуации?


  1. IvanNochnoy
    10.01.2019 10:45

    Была у меня такая фигня на сайте итальянских железных дорог. Надо было купить билеты на поезд зараннее. Указываю свои паспортные даные и страну проживания — Россия, а форма требует от меня ввести назвнание провинции (итальянской, ессно), а поле это засерено, так как указанная страна — не Италия, а без провинции не проходит валидация. Всё, приплыли. Пол часа мучений, и в результате прохачил HTML и отправил форму. Билеты получил, доехал нормально, правда поезд опоздал на 5 минут, пришлось с лыжами и сноубордами бежать вприпрыжку на автобус.


  1. Nitrogenik
    10.01.2019 10:45

    Мда… Ну и хакеры.

    А автор не пробовал, изменить цифры с соответствующей строке формы со своих на левые??? Так то же бы хакнул систему :) Или оформить доки на вымышленного Мазлумбека Мурдыева. Причем валидацию скорее всего прошел бы, портал принял бы заявку, и назначил потом время прихода в МФЦ за доками.

    По сути, ты заполняешь просто заявление, портал валидность данных проверить ни как не может, просто потому что у него нет базы документов иностранных граждан.

    Лет 5-6 назад была идея сделать подключение к общедоступным сетям Интернет, через введение паспортных данных. Типа для борьбы с терроризмом и пр. Эта идея утопична по той же причине. Провайдер не может проверить валидность данных иностранных граждан. А предоставить провайдерам базу паспортов граждан РФ, это равносильно её 100% сливу в тот же день.

    Даже странно, что подобная инфа поднимается до уровня обсуждений. Я бы даже сказал пугающе странно :)))


    1. roscomtheend
      10.01.2019 11:15

      > А предоставить провайдерам базу паспортов граждан РФ, это равносильно её 100% сливу в тот же день.

      Никто не предоставляет базу, предоставляют интерфейс «да-нет» для верификации. Вводятся данные, возвращается паспорт действительный или ошибка, причина ошибки, естественно, не указывается (недействительный, нет такого номера, на другое имя, если имя тоже вводится). Больше, чем пользователи введут у такого провайдера, он не сольёт. Странно что на этом ресурсе кто-то считает что база предоставляется.


      1. Methos
        10.01.2019 11:53
        -1

        дык если начать проводить через этот сервис все возможные варианты данных, однажды можно получить ответ да


        1. roscomtheend
          11.01.2019 16:11

          Удачи. Если там есть хотя бы номер подразделения, то вариантов запредельно много. Скорость такая, что перебирать варианты ещё дольше, а админы заметят (по матам других клиентов, у которых всё встало колом).
          balamutang когда-то убирали, не следил когда вернули, я видел для других служб (там ещё и ФИО было) и очень давно.
          Nitrogenik — интересно, сайт ФМС предпринимает какие-то усилия против брутфорса или как обычно? Похоже, за годы им стало несколько более наплевать, «Номер же, ничего такого».


      1. balamutang
        10.01.2019 15:28

        как образец проверки на «действительный-недействительный» — на сайте фмс можно посмотреть, по серии и номеру. и ответ там булевый :)


      1. Nitrogenik
        10.01.2019 16:56

        А интерфейс цифры складывает как в случае СНИЛС для его проверки на валидность? Он обращается к реальной базе. И этой формы для проверки на валидность вам не достаточно? Если количество запросов в базу никак не ограничено. Хотя, конечно выгрести всю базу или существенную её часть таким образом будет проблематично. Предполагая конечно серию+номер+ФИО. Если серия+номер, щелкнут оч быстро.

        Как написали выше, что-то можно получить и у ФМС…

        А вот если выпускать электронные ключи, и распространять через портал Госуслуг, для соединения с провайдером… И менять их принудительно раз в 3 месяца… Вот тут то мы и прижмем злодеев :))) Но это уже тема совсем другого злодейства :)


    1. gangstarcj
      10.01.2019 20:39

      Типа для борьбы с терроризмом и пр

      Есть база паспортов террористов. Её дают спокойно.
      Террорист такой вводит свой паспорт и ему отказано в доступе. Куда проще то?
      p.s. Конечно это шутка


    1. VeroLom
      11.01.2019 17:55

      По сути, «хакнуть» — не обязательно взломать какой-нибудь сервер, получить оттуда данные или залить левые или ещё как-то напакостить. В случае ТС это слово вполне применимо.

      В любом случае, как уже и написали — в результате документы обрабатывают и выдают не компьютеры, а люди, а форма на сайте — это просто заявка.


  1. kosmonaFFFt
    10.01.2019 11:17
    +1

    Делал подобное на сайте почты, там было слишком маленькое ограничение на поле кем выдан паспорт. Написал в техподдержку, получил стандартную отписку «спасибо, мы работаем над вашей проблемой», и через пару месяцев, когда еще раз пользовался этой формой, лимит был сильно больше и я смог нормально ввести значение.


  1. Methos
    10.01.2019 11:50
    -1

    сейчас все эти поделки для ГОСпод пишут на ангуляре.


    то есть, как приложение.


    то есть, без js эти поделки не работают, от слова совсем


    там серверного ничего нет стандартного, одно api для обмена данными с приложениями.
    стандартное это имеется вввиду form и тд


    1. VeroLom
      11.01.2019 17:59

      Глупости какие. Сейчас большинство сайтов работают на JS (и ангуляры всякие, и jQuery, и самописные велосипеды), тут нечему удивляться.


  1. Londoner
    10.01.2019 11:52
    +1

    Это ладно, есть проблема намного объёмнее — почти все проекты в рунете, включая коммерческие, считают, что номер телефона может начинаться только на +7 и состоит из 11 цифр. Вот где ад то…


    1. Rohan66
      10.01.2019 13:41

      А минимальная длина имени в 3 символа?


    1. stanislavkulikov
      10.01.2019 15:29

      Во многих случаях заказчик это специально обговаривает. Что бы у них могли зарегистрироваться только с российского сотового номера. Так что это специально продуманная мера.


      1. Londoner
        10.01.2019 21:39

        Правильно, кому нужна самая платёжеспособная аудитория, удалённо покупающая подарки оставшимся на родине!


    1. VeroLom
      11.01.2019 18:01

      Практически все мои заказчики (и коммерческие, и гос) просят установить на поле ввода номера телефона маску +7 (###) ###-##-##. Хозяин — барин, как говорится.


      1. Popadanec
        11.01.2019 19:32

        Да, 9 из 10 форм принимают номер только в определённом виде. Или +7 или 8 или без первой цифры (###) ###-##-##.
        И автозаполнение от хрома часто хромает.


        1. sumanai
          11.01.2019 21:26

          А уж копипаст практически никто не обрабатывает. Съедается или первый символ, или последний, или ещё что-нибудь. Я вот так и не сумел это побороть, чтобы хотя бы российские номера вводились и вставлялись корректно.


        1. VeroLom
          11.01.2019 22:37

          Это уже клиенты такие. Иногда такие глупости хотят, что я даже предлагаю сделать нормально и бесплатно, но ни в какую.


          1. Popadanec
            12.01.2019 01:05

            Некоторым хочется по башке треснуть, настолько упёртые бараны. И ведь приходят потом еще возмущаются: «переделайте/а что вы сразу меня не убедили».


  1. elegorod
    10.01.2019 12:28

    Надеюсь, на скриншотах не настоящая серия и номер паспорта автора? А то его будет легко вычислить.


  1. f0rmat1k
    10.01.2019 14:16

    Я как-то заказывал пироги на сайте какой-то пекарни (вроде бы Златопечки). Когда не удалось заказать на текущий день (ошибка инпута, что такое время уже недопустимо, можно ток следующий день) я попробовал подменить данные через консоль и поел пирогов в тот же день.

    Про подмену данных в инпуте. Сори, если об этом уже написали, но наиболее простой способ — не пытаться снять ограничения через обработчики, а просто впихнуть в инпут сразу нужное значение document.querySelector('input').value = 'xxx'. Вроде бы такой прием идет в обход событий инпута.


    1. VeroLom
      11.01.2019 18:02

      Скрипт валидации всё-равно не пропустит неподходящее значение.


  1. andersong
    10.01.2019 14:42
    +1

    В Августе 2018 поменял паспорт по достижению 45 лет. Делал всё через Госуслуги, всё сделали очень быстро, тут вопросов нет, молодцы. Через неделю захожу на ГУ, висит уведомление о необходимости замены паспорта. Странно, проверил, данные в ЛК уже нового паспорта, всё нормально, ну, думаю некритично, подожду. Ещё через неделю проверил — требование о замене паспорта всё висит, пишу в чат, там пишут «ожидайте». Потом приходит сообщение, что нужно время на поиск информации. Жду час, ответа нет, закрываю страницу, забываю. В декабре вспоминаю, история с чатом повторяется. Сейчас увидел статью, захожу на ГУ, висит сообщение, что срок действия паспорта истек 113 дней назад…


  1. griba
    10.01.2019 15:00

    Столкнулся с подобной историей при попытке записаться на замену украинского паспорта, когда находился в Беларуси. Сайт работал по https, фильтровал по ip. Попробовал зайти по http — нет редиректа на https. Дальше украинский http прокси и запись на новый паспорт в кармане


    1. griba
      10.01.2019 15:41

      написал письмо об этом в саппорт, рекомендовали отправить бумажное письмо на фирменном бланке


  1. yellowknife
    10.01.2019 15:01
    +3

    Коллеги, привет. У меня маленькая ИТ-компания, специализирующаяся как раз на госуслугах и прочем СМЭВе. Поэтому в курсе внутренней кухни. Палю

    1. Если говорить про ответственность — она субсидиарно распределяется между МВД и Минкомсвязи (Ростелеком). Первые разрабатывают проект форм для госуслуг, вторые его валидируют и реализуют. Также ограничение на форму может накладываться федеральным законодательством (очень вряд ли), которое может устанавливать форму заявления на госуслугу для различных категорий граждан и ФЛК по полям.

    2. Почему тупит поддержка. Само собой, она на аутсорсе, и там сидят девочки и бабушки. Но реальные проблемы девочки и бабушки передают наверх, разработчикам или, как в описанном выше в комментарии случае с просроченным заявлением — в ведомство. За просрочку времени обработки заявления ведомства могут реально получить по шапке от Минсвязи, а внутри ведомства покарают конкретного исполнителя.

    Но проблема в другом — в механизме вывода формы на портал Госуслуг. В нем участвуют три стороны — профильное ведомство, разработчик (интегратор) и Минсвязи (Ростелеком). Пишу «Минсвязи (Ростелеком)» — т.к. официально формы на портал выводит Минсвязи, а фактически все работы выполняет Ростелеком с дочками, и иногда НИИ «Восход». Так вот, разработчик проектирует формы и web-сервис. Ведомство их проверяет (в т.ч. смотрит правильность набора полей, ФЛК, бизнес-логики) и согласовывает — формы подписываются ведомственным руководителем ИТ и профильными специалистами. Причем, как правило, в ведомстве нет хороших ИТ-компетенций (про МВД — отельный разговор, они до последнего были молодцами). Минкомсвязи (Ростелеком) осуществляет проверку форм и web-сервиса для их обработки, дает замечания и занимается разработкой кодика для Госуслуг.

    Теперь возвращаемся к кейсу. Уважаемый Сергей Островский пишет в поддержку. Поддержка проходит стандартный скрипт (куки, новая заявка,...), спотыкается и передает проблему в Минсвязь (Ростелеком). Но Минсвязи (Ростелекому) для проведения изменения в формах нужен новый проект форм и новый web-сервис, разработанный разработчиком МВД и согласованный чиновниками из МВД. Таков регламент. Это долго, сложно и требует тонны времени ведомства и разработчика. При этом деньги тут совсем ни при чем, т.к. обычно у разработчика с ведомством есть договор на поддержку и гарантия качества работ предыдущих периодов.
    Но не в случае с МВД — вспоминаем историю "ФСБ арестовала главного ИТ-конструктора МВД". В МВД сидят хорошие ИТ-специалисты, но поругавшись с разрабами они сильно подпортили себе карму. И никаких новинок в сфере ИТ от МВД в ближайшее время ждать не следует.

    3. Ну и на десерт лонгрида. Попробуйте получить услугу Роспатента (ФИПСа) «Регистрация программы для ЭВМ» через госулсуги. Там в поле формы нужно написать языки, на которых разработано ПО. И если написать там, например, «javascript» — форму начинает колбасить, а заявку отправить невозможно. Выход — транслитерация на русский :). В итоге часть нашего софта по базам Роспатента написана на «Яве» и «Яваскрипте». Спасибо, что не Беломор.

    П.С. А портал госуслуг в России и правда очень крутой. Все эти косяки связаны в первую очередь с тем, что разработчки стараются сделать универсального солдата, подходящего подо все госуслуги, всех граждан, все кейсы. И в итоге иногда случаются баги. Причина большинства багов — не ошибки разработчиков ЕПГУ, а некомпетентность ведомственных разработчиков (интеграторов) и самих ведомств.


    1. mayorovp
      10.01.2019 15:24

      Пожалуйста, не путайте постоянных разработчиков и интеграторов. Лажают именно вторые. Любимое их занятие — найти на проде блокер, поднять тревогу, сорвать разработчика с текущих задач на срочное исправление, возможно даже сверхурочное, получить хотфикс… и выкатить его на прод через полгода.

      Еще любимый приём — для реализации новой фичи нанять индусов, получить каку, после чего скинуть ее сопровождение на разработчиков. Которые первые два месяца «поддержки» будут эту каку переписывать…


    1. John_Minority
      11.01.2019 06:00

      Да, все так, занимался всей цепочкой от создания и интеграции сервисов, до разработки портальных форм и вывода их на ЕПГУ)


  1. Jawwal
    10.01.2019 15:01

    Тоже самое делал на nalog.ru. У меня не было отчества и я не мог отправить ни одну форму. В личном кабинете, нет возможности изменить персональные данные.


    1. paulmann
      11.01.2019 09:35

      " " (alt+255) не работает? у меня сын родился в Испании и тоже отчества в документах не имеет.


      1. Jawwal
        11.01.2019 16:05

        я в консоле ставил нужное значение и всё отрабатывало )


  1. Bad-red-cat
    10.01.2019 15:02
    +1

    Вскоре после появления ГУ побывал на другом конце, в ведомстве. То что тут хакают и требуют корректной валидации там приходило по электронной почте в виде простой письменной формы, на отдельный компьютер, которого боялись как прокаженного, затем печаталось. После вводилось ручками сотрудника на рабочем месте уже подключенном к локальной сети вновь. Фото присланные и над которыми тут проводятся различные магические манипуляции, чтобы их запихнуть на портал просто игнорировались. Всё равно делались свои. Может сейчас что-то изменилось, но не уверен, что везде.


  1. AMDmi3
    10.01.2019 15:57
    +1

    Неоднократно так делал — этот кривейший сайт просто не оставляет альтернатив. Только случаи были куда банальнее — то обязательные для заполнения поля с паспортными данными пустые и read-only, то пол ребёнка неправильный и также read-only.


  1. Khalitzburg
    10.01.2019 17:16

    Доброго времени суток, в белорусских паспортах нет серии. Латинские буквы относятся к номеру, как и цифры :)


  1. stozen
    10.01.2019 17:16
    -1

    1.Выделям инпут в браузере
    2.Пишем в консоли $0.value = 'PP'
    3.…
    4. PROFIT!


    1. mayorovp
      10.01.2019 17:33

      3. форма не отправляется на сервер, ибо валидация не проходит


      1. stozen
        10.01.2019 18:29

        При такой замене JS валидация не сработает на поле.


        1. mayorovp
          10.01.2019 19:02

          С чего бы ей не сработать-то, если ее на отправку формы повесить?


          1. stozen
            10.01.2019 20:12

            на госуслугах мой метод работает.


  1. klirichek
    10.01.2019 19:45

    Я вот тоже нифига не веб-разработчик. Но, однако, программист, и консоль разработчика вызвать умею.
    Я бы тут просто включил бы логгирование работы с сетью, а потом в форме ввёл бы любые левые данные, тупо подходящие под шаблон (что там? 4 цифры? Потом ещё что-то).
    И глядя на то, что улетает на сервер, смоделировал бы то же самое из консоли через курл.
    А как и почему там внутри работают многочисленные яваскрипты — ну блин, зачем в этом копать?
    (несколько лет назад ровно так же сделал сабмит данных с электросчётчика от "умного дома" на сайт энергосбыта, куда предполагается цифирки вбивать вручную. И который год всё исправно работает. Тупо на конечных данных, без разбирательств с локальными скриптами)


    1. kost
      10.01.2019 22:12
      -1

      С формой может отправляться CSRF-token, как его подделывать с curl?


      1. klirichek
        11.01.2019 07:44

        Дык это сразу и видно будет из отправляемого запроса.
        И не придётся тратить время на исследования, если там ничего странного не передаётся.


  1. sf7_uz
    11.01.2019 09:30

    Спасибо автору! Не знал, что нет валидации в бэкэнде. Я тоже отправлю свои данные с буквенной серией.


    1. maxshopen
      11.01.2019 13:15

      Есть валидация в бэкенде. В виде сотрудника МВД, который проверит что вы там ему прислали.


      1. sf7_uz
        11.01.2019 23:51

        Так мой паспорт на самом деле с буквенной серией и сотрудник это только подтвердит.


  1. VeroLom
    11.01.2019 09:31

    «Хакнуть» — громко сказано, конечно, но кому-то может пригодиться.

    Довольно часто сталкиваюсь с различными недоработками такого плана на разных сайтах (и гос, и коммерческих), приходилось и не так изворачиваться (благо я веб-разработчик).


  1. JustSokol
    11.01.2019 09:31

    Пишу вам как человек который писал аналогичную систему (подача заявлений на услуги гос конторы).
    Это нормально)

    Данный формат ввода нужен только для удобства и хакаешь ты только сам себя.

    Данная форма просто позволяет удобно заполнить заявление для подачи чиновнику.

    Эта функциональность — аналог того что вы придете и принесете заявление в бумажной форме на стол или отправите его по почте — вы там вольны написать и даже нарисовать всё что угодно. Тут то же самое. Маска нужна исключительно для вашего удобства и эффективности подачи заявлений.

    По поводу причин багов — всё банально — кейс не был предусмотрен.

    В тех.поддержку мне кажется стоило обращаться не с просьбой починить фронтенд на угодный вам, а с просьбой поправить лично ваши данные в бд, которые как я понял не подтягивались на форму в задизейбленное поле. Хотя вероятно это было невозможно, т.к. логика маски/валидации могла затирать подтянутые данные.

    По поводу отношение тех.поддержки — в хорошем сервисе вам бы наверное написали нечто вроде «большое спасибо за обращение! мы исправим это в следующем релизе!» и возможно даже бы исправили.
    Но это госы в РФ, что тут еще ожидать…

    PS: для не веб девелопера вы весьма неплохо разбираетесь в браузере


  1. lgorSL
    11.01.2019 14:51

    "С той стороны" тоже неплохо хакают. Например, если время исполнения после приёма заявления регламентировано, то они могут как-нибудь хитро не принимать само заявление.


    Я так загранпаспорт оформлял целых полгода. Никуда не торопился, но вообще-то его должны сделать за месяц.
    Итак, декабрь 2017 — я попытался запросить загранпаспорт через госуслуги ради экономии 30% от суммы. После того как я всё-всё ввел, при отправлении мне выдаёт что-то типа "неизвестная ошибка, попробуйте завтра" (насколько я понял — не с моей стороны). "Завтра" не наступает. Я пишу в техподдержку. Проходит декабрь, январь. Я удаляю старую форму, отправляю запрос заново. Хотя это раньше не помогало, теперь сработало. Спустя энное время мне приходит письмо типа "приём только по предварительной записи там-то и возьмите необходимые документы". Я все госуслуги облазил — где происходит эта электронная запись, не нашёл. На сайте того-то места (тот ещё квест) нерабочая форма — нельзя выбрать ни одной даты. На телефон они в принципе не отвечают, пытался звонить в разные дни и разное время суток. Написал в техподдержку госуслуг с вопросом, где же записаться в ту самую очередь. Прошёл ещё месяц. В итоге на форуме своего города (я даже не знал про существование форума) нагуглил, что для записи надо прийти лично в определённое время в в некоторые дни. Божественно!
    Пришёл, меня записали во внутренний журнальчик на через пару месяцев. Через пару месяцев я принёс всякие документы, и после этого они операвивно недельки через три я получил загран.
    Формально — они сделали загран за 3 недели. Реально они его делали почти три месяца и ещё месяца три я потратил на "взаимодействие" с госуслугами.


    Финал: ещё где-то через месяц от госуслуг пришло сообщение типа "сообщений в техподдержку было слишком много, мы не успели их обработать, ответа можете не ждать"


    В моём ближайшем МФЦ на стойке для выдаче талончиков прям на экране приклеена бумажка типа "не работает", потом говоришь специально обученной женщине, она отклеивает бумажку от экрана, выбирает там что надо и приклеивает бумажку обратно. (Я об этом поначалу не знал, и за 15 минут до окончания работы мфц мне просто не дали талончик, а взять его из "неработающей" стойки я не догадался) В ещё одном МФЦ видел хак — есть специальные маленькие штучки с тремя смайликами, на которых после обслуживания клиент может поставить свою оценку. В моём городе они стоят как надо, а вот там — тупо развёрнуты от посетителей, и работники сами себе ставят максимальные оценки. И всё, "все довольны", блин.


  1. MoonChild123
    11.01.2019 18:20

    Поделюсь своей историей. Обнаружил в почте, привязанной к порталу, 3 запроса на смену емайла, для подтверждения надо было кликнуть ссылку в письме. Естественно ничего не кликал, сразу попытался зайти. Не удалось. Восстановил доступ с помощью СНИЛС и кажется смс(этот момент точно не помню), обнаружил в личном кабинете что прежний емаил отсутствует. Тех.поддержка меня откровенно послала. Удалил учётку. Больше желания пользоваться порталом госуслуг нет.


  1. Londoner
    12.01.2019 00:07

    А не знает ли кто мейл какого-нибудь большого начальника в госуслугах, куда можно пожаловаться, чтоб поддержка и разработчики получили порцию мотивации и исправили недоработку?