Решил протестировать информационную систему Нижнего Новгорода для тех, кто "хочет выйти на улицу" — цитата с сайта правительства Нижегородской области. Я не знаю, на основании каких федеральных и региональных законов требуется получение qr-кода для прогулки с псом, какой правовой статус имеет qr-код, поэтому эти вопросы предлагаю оставить за кадром. Если тут есть законники — напишите свой пост, мне, как и многим, было бы интересно прочитать разъяснение. Я же сосредоточусь на технической составляющей.
Если одним предложением — система сделана вполне удобно (по крайней мере на настольном компе, на мобильном устройстве не смотрел), но, на момент написания поста, похоже, не работает.
Интерфейс довольно прост. Пользователю предлагается идентифицироваться по номеру телефона, и пройти аутентификацию с помощью одноразового пароля из СМС. У меня войти в систему получилось два раза из пяти. Ещё один раз не пришла СМС, и два раза отобразилась надпись "сервер недоступен".
Дальше нужно заполнить персональные данные
и форму заявки:
Как видите, валидации полей нет (нет привязки адресов к ГИС, не проверяется формат номера документа). Ну да ладно, я уверен, что сознательные граждане будут заполнять поля адресов честно. Далее следует самая запутанная форма интерфейса
По роду деятельности мне часто приходится составлять тесты. Первое правило, которое я усвоил — никогда, ни при каких обстоятельствах не использовать отрицание в вопросе, если только вы не ставите целью запутать опрашиваемого. Я проходил анкету трижды, дважды выбирал не тот пункт. Если прочитают разработчики портала — исправьте, пожалуйста, это реально неудобно.
Само разрешение выглядит так:
Если декодировать qr-код, то видно, что там содержится ссылка вида
https://nn-card.ru/policeman-page?covid_token={guid}
Видимо, предполагается, что policeman просканирует страничку сканером qr-кодов, который перебросит его на страницу портала. Решение спорное, но обсудим его позже, а пока давайте попробуем перейти по ссылке.
Ой.
Вместо моей заявки отобразилась заявка какого-то шутника. Протестировал несколько раз, поведение повторяется. По выданному мне идентификатору возвращается не моя заявка. Уважаемые разработчики, у вас, наверное, код из рабочей ветки случайно задеплоился на боевой сервер. Иначе ничем объяснить такое поведение не могу — оно видно даже на smoke-тестах.
Система периодически устаёт и ложится отдохнуть — то не получается войти, то оставить заявку, то проверить заявку по идентификатору, то посмотреть список своих заявок. Надеюсь, что всё это исправят, а то дружинникам придётся делать хорошую мину при плохой игре — сосредоточенно смотреть на пустой экран своего смартфона, а после милостиво пропускать проверяемого гражданина.
Моё скромное мнение насчёт решения, когда в qr коде возвращается ссылка, а не идентификатор.
Буквально пару недель назад мои студенты делали похожую систему (регистрация qr-кодов в базе и сохранение отметок об их сканировании). Помимо сервера мы разработали ещё и мобильное приложение, которое хранило endpoint, на который нужно отправлять идентификаторы. Первое очевидное преимущество отправки идентификаторов на прошитый в приложении адрес — можно поменять endpoint, при этом все ранее выданные идентификаторы останутся валидными. Второй критически важный момент — невозможность подсовывать ложные ссылки.
В текущем же варианте реализации любой сообразительный гражданин регистрирует фишинговый домен https://nn_card.ru и динамически генерирует там любой контент. Сильно сомневаюсь, что рядовой проверяющий заметит подвох.
С другой стороны я понимаю, что текущая система разрабатывалась в спешке и без денег, поэтому не было возможности сделать ещё и мобильное приложение для проверяющих. В таких обстоятельствах кодирование ссылки в qr-коде — единственное решение.
Ещё одно крайне важное замечание относится к соблюдению 152-ФЗ «О персональных данных». Во первых пользователь при заполнении формы нигде не подтверждает своё согласие на обработку ПД. Во вторых получается, что по идентификатору можно получить ПД других пользователей (понятно, что GUID подобрать практически невозможно, но сам факт огорчает).
В общем как-то так. Желаю разработчикам исправить баги и провести нормальное тестирование. Пока выглядит печально — федеральные сайты типа госуслуг и РЖД сделаны на отлично, а вот там, где работают регионалы сразу сказывается недостаток финансирования.
Эдак у нас киберпанк наступит раньше, чем ожидалось — хакеры будут на чёрном рынке распространять нелегальные приложения, генерирующие qr-коды для обмана патрульных. Сделать его будет довольно несложно, т.к. никаких технических и криптографических средств защиты не используется, правовые аспекты использования цифровых средств идентификации личности без использования ЭЦП неясны, а логика работы построена исключительно на добросовестности пользователей.
kAIST
Я понимаю конечно, что к подобным «сервисам» у всех большой негатив, но их делают в авральном режиме за день-два.
one-two
kAIST
А лучше было бы, если бы слепили конфетку, но сдали проект через неделю, когда он нужен уже сегодня?
u_235
Лучше их не делать вовсе.
kAIST
Да, лучше же вообще ничего не делать…
ne_kotin
конкретно QR-аусвайсы лучше вообще не делать.
это во-первых незаконно.
LexB
Один видео блогер задал резонный вопрос, «почему если я пошел в магазин без разрешения я преступник, а с разрешением все нормально»? Что поменялось?
И еще вопрос «в последнее время… посещали заграницу» какой срок описывает?
ne_kotin
C этим как раз проще. С ноября 2019 примерно.
«Режим ХЗ» (с)
LexB
Те кто полгода назад за границей были не могут из дома выйти?
ne_kotin
Не знаю. Я в Питере, не в Москве. Тут все нормально, никаких аусвайсов, просто народ по домам сидит, т.к. кабаки закрыты, парки-музеи-кино тоже.
Sergey_Cheban
Примерно такой же «резонный» вопрос можно задать про любую требующую разрешения деятельность. Ношение оружия, торговля алкоголем, вождение автомобиля.
LexB
Торговля кухонными ножами? Вы переходя дорогу можете себе навредить, как и в случае с алкоголем. Начать разрешения на такое выдавать?
Где грань между бдительностью и маразмом?
ZetaTetra
Делать, но не этим. Этим — сидеть на жопе ровно вместе с министром.
В догонку, отправить средства вместо работы над ЭТИМ — в минздрав.
Это — простое неуважение к своим гражданам в попытках подзаработать на катастрофе.
u_235
Иногда действительно лучше вообще ничего не делать.
ruvds
Тут походу нужна защитная плашка от НЛО :-)
tvr
От НЛО плашки не защищают.
unibasil
Он не нужен. Типичный синдром вахтёра.
Artifeks
А зачем он нужен сегодня? Простите
Hardcoin
Он не нужен сегодня. А на срок скромный взгляд, он и через неделю не нужен.
orangenino
В чём была проблема не одной конторой по контракту делать, а публично выложить код и ловить замечания и пул-реквесты?
gluck59
В доверии.
Akon32
Задача, выполненная на 99% — невыполненная задача.
Сегодня пригодного к использованию приложения нет, если оценивать строго. То, что есть, имеет критические баги, описанные в статье.
rowaxi
1. Здесь больше будет совсем не технический негатив.
2. Это модуль «отпроситься», возможно, день-два. А система изначально не для этого, видно по разделу возможности, да и документ официальный есть: docs.cntd.ru/document/465595033
just_prepod Автор
Претензии к сервисам в основном из-за того, что непонятна их правовая составляющая. Вот, например, про ЭЦП есть закон. А про QR код? Одно дело документ с подписью, другое — непонятная страничка с сайта. Кем и как будет измерятся расстояние от дома до места выгула пса? Оно будет измеряться от подъезда или от любой точки дома? Как без этих данных судье рассудить спор проверяющего и несогласного со штрафом гуляющего?
Мало у кого есть претензии к ПДД и методикам ГИБДД. Нельзя ездить по городу со скоростью, превышающей 60 км/ч — есть поверенный в ростесте прибор, которых хранит историю измерений. Нельзя ездить на лысой резине — есть прибор, который измеряет глубину рисунка протектора. Нельзя зимой ездить без шипов (в Финляндии, например). Тоже всё понятно.
А тут странная система, которая потенциально может привести к служебным злоупотреблениям и коррупции. И это я сейчас говорю только и исключительно про технические моменты.
tyomitch
Вероятно, что это не баг, а фича.
zynaps76
Не могу не набросить, простите: тоже самое про электронные билеты говорили. ;)
Как это не билет не на фирменном бланке? Как это — распечатайте штрих-код сами?
just_prepod Автор
В том-то и дело. Что такое билет в театр или на поезд прописано в соответствующих законах, например «Основы законодательства Российской Федерации о культуре».
Что такое квалифицированная усиленная электронная цифровая подпись описано в законе «о цифровой подписи». Т.е. вы когда для банка выписку 2-НДФЛ получаете на nalog.ru, это не просто модная хипстерская технология. Есть специальный закон, который эту технологию детально описывает.
А вот что такое qr-код, который нужно показать неизвестно кому чтобы прогулять собаку — не написано нигде. Т.е. если у вас возникает спор с вахтёром в театре — суд будет ориентироваться на соответствующий закон (что за билет, выпущен ли он был по правилам, является ли эта бумажка билетом, является ли этот билет валидным). А если у вас возникнет спор с непонятным господином в форме, на что должен ориентироваться суд — непонятно.
zynaps76
Взгляд с дивана: а пропуск (на работу, в общежитие, на овощебазу) в законе прописан? Вот, QR-код — это электронный пропуск. Так пойдет? Ну да, пропуск на улицу, что бы выгулять собаку, т.е. право находится на данной территории, как бы необычно это не звучало. ;) Как-то же надо «шашлычников» всех мастей по домам разогнать, если совсем все плохо станет? Тут я на стороне ВОЗ.
зы То, что реализация qr унылая пока, — это к гадалке не ходи. Такое, конечно, нельзя в продакшен.
ne_kotin
У вас это право есть по конституции, и никакого QR по конституции же не требуется.
пока не введены режимы чрезвычайной ситуации или повышенной готовности, любые пропуски и штрафы незаконны.
tmin10
К слову, повышенная готовность уже введена, в том числе в Нижегородской области.
zynaps76
Ну, ок, а как вам понравится ситуация, когда вы заболели, а врачи, больницы, палаты и корридоры заняты вот такими борцунами за конституцию? своей головы хватает — обязательно режим надо включить?
mrsantak
Ну вообще да, ЧП ровно для того и придуман. Если происходит ситуация в которой без ограничения прав не обойтись вводят ЧП. Сейчас ЧП не введен, так что делаем выводы, что правительство считает, что нужды ограничивать права и свободы нет.
pepemon
Вы тёплое с мягким сравниваете. Какая связь между гражданскими свободами и моральной ответственностью перед собой за соблюдение карантина?
mrsantak
А какая связь между пропуском на выход из дома и моральной ответственностью перед собой за соблюдение карантина (который никто не вводил)?
zynaps76
… ответственностью за других… ну! :)
mrsantak
Нужен ЧП или военное положение. ЧС и режим повышенной готовности не позволяют ограничивать права и свободы граждан.
mrsantak
Upd. Есть еще один возможный вариант когда допускается ограничение на свободу передвижения по текущему законодательству.
Кажется предпоследний пункт может иметь отношение к текущей ситуации. Но я нигде не могу найти что такое «особые условия и режимы проживания населения и хозяйственной деятельности» и были ли они введены хоть где-нибудь.
just_prepod Автор
Да, прописано.
«О частной детективной и охранной деятельности в Российской Федерации»
Т.е. можно какую-то частную территорию огородить забором, выпустить пропуска установленной формы и посадить охранника, который без пропуска будет не пускать. И это не будет произволом.
zynaps76
Ну да. Я правильно понимаю, что достаточно внести поправки в закон — и все будет хорошо? И к QR-кодам и ограничениям негатив исчезнет?
У меня более серьезный диванный вопрос: а закон надо менять быстро, ну вот, как сделали это приложение или вдумчиво с привлечением всех институтов власти и общественных организаций? Общественные дискуссии, интернет, телевидение? Меньшинства может какие забыли, национальные, к примеру? Их мнение же тоже надо учесть?
Вы же понимаете, что это проблема. Пока вся эта машина раскрутится, тут сотая часть населения, как в европе, поляжет с диагнозом. А мы только поправки в закон внесли.
ps Самому все не нравится.
just_prepod Автор
Попробую обобщить и сформулировать точку зрения некоторой части людей по этому вопросу.
Разумеется, мы всё ждём, что власти отреагируют на ситуацию. Негодование людей вызывает другое.
Уже сейчас в законах есть готовые, а главное понятные способы действий, например, режим ЧС, объявление ЧП и комендантский час. Когда власти говорят, что существующие алгоритмы не подходят, то у общества возникает вопрос «а почему вы их раньше не придумали?». Вопрос может выглядеть как критиканство, но в треде выше я привёл ссылку на закон, где на нескольких десятках страниц описывается как правильно ходить в чёртов театр. Почему нет закона, который регламентирует поведение во время эпидемии — большинству людей непонятно.
Как-то так.
zynaps76
Театры работают (-ли) каждый день, а ближайшая эпидемия в России была 100 лет назад в 1918 году. Тиф. Первая мировая. Поэтому и не придумали. В идеальном мире — должны были придумать: тиф, холера, нашествие марсиан. Но а реальном оно же так не работает, к сожалению. Театры работали каждый день, поэтому там все придумано.
Я другое понять не могу: что лично вам (мне) режим ЧС/ЧП даст? Полный запрет на передвижение? А оно мне надо? Частичное уже не особо нравиться, но приходится. Может государство возьмет на себя затраты за жизнеобеспечение? Ну так оно после ИТ-шных зарплат, мягко скажем, тоже не понравится.
mrsantak
zynaps76
«Согласно утвержденным правилам, при объявлении режима ЧС алгоритм действий для граждан будет транслироваться по радио, телевидению и передаваться посредством SMS.»
Тоже самое, что и сейчас. Только бардака еще добавится.
Так в чем смысл?
just_prepod Автор
Возможность расторгать договоры по форс-мажорным обстоятельствам, требовать компенсации ЖКУ и много чего ещё. Ну правда, я в этом треде с вами уже в третий раз лезу в консультант+ чтобы ответить на ваши вопросы конкретным пунктом из конкретного закона.
И самое главное — неопределённость. Мир устроен сложнее, чем 50 лет назад, у всех организаций и людей есть производственные и бытовые процессы, основанные на законах. Сейчас все законы взяли и сказали «это читать, это не читать, а в это мы рыбу заворачивали». В итоге непонятно кто работает, кто нет, куда проехать можно, а куда нельзя. И вот тот конкретный росгвардеец он сейчас действительно выполняет прямое распоряжение главы региона, или же он просто что-то неправильно понял или вообще просто вымогает взятку.
Вот эта неопределённость и вызывает раздражение населения.
zynaps76
Закон работает в обе стороны. Как за вас, так и не очень. Готовы стать безработным? Форс-мажор же. Компенсация. Зациклились на консультанте.
Я не законник, но у нас (по месту жительства), поправки внесены. Находятся на подписи мэра и до этого не «включены». В чем неопределенность? Все же предельно ясно.
u_235
Мэр своими поправками, указами и т.п. не может ограничить конституционные права, такие как свобода передвижения. Это должно быть ясно каждому. Если глава региона закрывает границы своего региона — это сепаратизм чистой воды.
zynaps76
А какой, конкретно, мэр закрыл границы своего города? Можно пруфы?
linux_art
Не мэр, а глава республики, но все же. Кадыров закрыл границы Чечни например.
just_prepod Автор
Неужели я так плохо объясняю: (
Все законы я приводил только в качестве примеров хороших, понятных описаний. Я ни в коем случае не призываю вводить режим ЧС. Неопределённось именно в самих предлагаемых поправках. Вот, например, когда закрыли ТЦ, парки и кинотеатры, то можно возмущаться, но нарушить этот запрет случайно нельзя. А вот если вам запрещают выгуливать собаку на расстоянии более 100м, то начинаются проблемы. Нет описания методики, как эти 100м будут измеряться (от угла дома, от любой точки дома, от подъезда), каким инструментом они будут измеряться (ГИС + GPS или рулеткой) и какова погрешность этого инструмента. Кто-то из губернаторов в официальном тексте использовал формулировку «ближайший магазин». У меня дом длиной около километра, в 100 метрах от моего подъезда находится магазин «у ашота», но я хожу в магазин «дикси», который находится в 100 метрах от угла дома. Где найти ответ на вопрос, какой из двух магазинов «ближайший» к месту моего проживания и не нарушаю ли я постановления?
С точки зрения здравого смысла все рекомендации понятны — «не надо таскаться по городу, ходи только в продмаги и аптеки поблизости от дома». Опасения вызывает, что когда кроме здравого смысла ничего нет, у оборотней в погонах появляется возможность безопасного вымогательства. Вымогательство это будет абсолютно безопасным, потому что даже если обстоятельства задержания будут очевидно абсурдными, полицейский всегда сможет сказать «ну я на глазок померил, там было 150 метров», и у суда нет никаких средств чтобы восстановить ход событий. Потому спокойно можно ловить человека на расстоянии 90м от дома (никто же рулеткой мерить не будет) и клянчить у него 500р, угрожая довести дело до суда, где штраф 5000.
Вот что волнует общество, и вот на что направлена критика здравомыслящих людей. При этом я сейчас не говорю, насколько обоснованы эти волнения, просто рассказываю о том, что они есть.
suslov
Так вот прямо сейчас законодательство и адаптируется под пандемии такого типа. Так как сразу видны проблемы, угрозы, задачи. От борьбы с паническими фальшивками до экономических мер поддержки. Или вот до ограничения части прав граждан.
Я, наоборот, смотрю на происходящее с определённым оптимизмом, потому что лучше государство пусть всё отработает с вирусом с такой низкой смертностью (надеюсь, что в России пойдёт не по европейскому или американскому пути эпидемия), чем потом, когда и если придёт заболевание со смертностью в 30%, скажем.
ne_kotin
Так не надо его адаптировать. Уже есть соответствующие протоколы: ЧС и повышенная готовность.
А то, чем занимаются сейчас — правовой беспредел и велосипедостроение.
suslov
Нюансы введения и действия режимов ЧС или повышенной готовности это же не что-то дарованное нам Господом, что не подлежит корректировке, а только толкованию :)
Собственно, сейчас и есть режимы повышенной готовности почти по всей стране. Где-то, может, и до введения ЧС дойдёт при неблагоприятном развитии событий. В Москве, насколько я помню, введён режим повышенной готовности с 5-го или 6-го марта указом Собянина.
Но к такого типа пандемиям наша страна более-менее готова в смысле наличия эпидемиологических служб и готовится в административном смысле, т.е. уточняется и модернизируется законодательство под реалии. Что нормальная вещь для законодательства.
Зачем, скажем, блокировать работу всех, включая удалёнку и применять уголовное наказание за нарушение карантина — как было бы в случае ЧС. Если можно действовать более мягко, разграничивая кому что можно и регулируя нарушителей административно.
ne_kotin
И на это тоже есть регламент. На который было успешно забито.
Не имея на это прав де-юре, такие решения принимаются правительством.
Затем, чтобы людям не приходилось отсиживаться на свои? Чтобы дать возможность действовать по форс-мажору де-юре, имея форс-мажор де-факто?
Моя претензия к руководству страны в том, что оно пытается переложить ответственность и расходы на плечи электората, нарушая свои же регламенты и создавая правовой вакуум.
То есть фактически поощряя беспредел.
Надо изолировать? Вводите ЧС, объявляйте форс-мажоры, обеспечивайте людям жизнедеятельность. «Самоизоляция»? Ок, не ждите что я буду сидеть дома.
suslov
Звучит, честно говоря, как то, что Вы, отчасти справедливо критикуя государство, решили из-за этого на законы ориентироваться выборочно :)
Правового вакуума или беспредела нет. Наоборот, юридическая часть же вполне оперативно корректируется. Тут можно уж сказать тогда, что всё настолько быстро и чуть ли не раз в три дня корректируется, что граждане не успевают смотреть что происходит в смысле законодательства, но разъяснение это задача тех же СМИ.
Вот, кстати, из относительно свежего, обратите внимание на формулировки «При введении режима повышенной готовности или чрезвычайной ситуации»:
www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=349314&fld=134&dst=100001,0&rnd=0.8811622909410097#035215220273364456
По режиму ЧС — лично мне для самоизоляции достаточно того, что я не хочу ни заболеть, ни заразить каких-то посторонних людей, мне для этого не нужен страх наказания. А в экономическом смысле у меня сейчас тяжко, но форс-мажор же освобождает не пожизненно от обязательств, а только на время событий. Это же не то что вот форс-мажор и можно с этой минуты вообще, скажем, кредиты не возвращать никогда.
Форс-мажор работает, грубо говоря, так: Вы должны были что-то отгрузить и при нарушении есть штрафы. Но происходит нечто, что на 20 дней задерживает отгрузку, однако, позволяет Вам законно нарушить оговоренный в контракте срок без штрафов. Это не значит, что Вы вообще освобождаетесь от обязательств по отгрузке, это значит, что через условные 20 дней задержки Вы не попадаете на штрафы.
И при выборе — отложить исполнение обязательств на н-ное число дней, но потом оказаться в городе с разрушенной экономикой или подождать в более мягком режиме, решая свои проблемы переговорами — я выбираю второе. Конечно, если эпидемия не дойдёт до того, что без ЧС в конкретном регионе никак.
ne_kotin
Вы не понимаете, что экономика разрушается только во втором случае, который вы упорно почему-то называете «мягким». Он ни фига не мягкий. Да, форс-мажор позволяет юридически безболезненно пережить кризис — именно за этим он и нужен: у всех лапки, всех обеспечивает государство.
suslov
Так экономические проблемы в мире и у нас в России будут заведомо дольше, чем пик заболевания. Обычно в пострадавших отраслях проблемы точно на полгода минимум, тут месяц-два господдержки, размазанной на всех, мало что дадут. Тем более, если взамен за эти месяц-два государство даст право не только мне не выполнять какие-то обязательства в этот срок, но и другим не выполнять обязательства передо мной. Это усугубит проблему уже дольше, чем полгода.
Разумна поддержка точечная — кому-то пособия по безработице поднять временно, кому-то помочь беспроцентным кредитом на выплату зарплат сотрудникам или реструктурировать имеющийся кредит. А кому-то, кстати, Торгово-промышленная палата уже сейчас выдаёт заключения об обстоятельствах непреодолимой силы по договорам — тоже точечно, 95% отказы получают. В основном, выдают тем, кто не может исполнить обязательства по внешнеторговым контрактам.
Но я понял Вашу позицию и мы сейчас с Вами не договоримся, а зациклимся :)
A114n
пожаловалась: «Разве нельзя было обозначить яму красными флажками?» На
что получила ответ: «Мадам, вы, когда въезжали в страну, видели красные
флаги на границе?»
gluck59
«Нет оснований не доверять».
suslov
Важен не сам QR-код, а то что заявил гражданин о своём месте жительства и своих планах на этот выход из дома. QR-код это просто удобное средство узнать что написал гражданин о своих планах ещё до встречи с патрулём. В критикуемом Вами приложении что-то не вижу заявляемых гражданином точек «место жительства» и как-то валидируемую точку «место работы», а важны именно они.
Чтобы не начиналось, что остановит патруль «свободолюбивую личность» плюющую на всех и несоблюдающую самоизоляцию и начнётся мол, «а вы меня поймали не в 10 километрах от дома, а я живу вот тут, не по месту регистрации, а как Вы докажете, что я здесь не живу или живу не здесь» :)
При этом, чтобы оптимально документировалось: «именно этот гражданин составил именно такую заявку и мы сейчас видим перед собой именно его» — лучше бы, чтобы заявки составлялись с авторизацией через Госуслуги, там уже есть паспортные данные.
Конечно, если некий гражданин уже предъявляет патрулю свой QR-код, то он таким образом заявляет о том, что и доступная по ссылке из кода информация тоже его. Но с авторизацией через Госуслуги, разумеется, надёжнее.
Отдельно, по организации. Если Вас и на самом деле остановили с собакой на 99 метре от дома и утверждают, что это 101 метр, то можно, скажем, фиксировать на видео, мол, «вот я тут стою, вот мой дом и правоохранители имеют ко мне претензии». Чтобы потом оспаривать выписанный штраф. Не спорить с патрулём, а именно потом оспаривать.
Но такой расклад с условными 99 и 101 метрами маловероятен на самом деле. Зачем проблемы с проверками самим правоохранителям. Это меры по борьбе с людьми, которым плевать на окружающих и которые пойдут бегать или гулять, или ещё куда-то заведомо не по допустимым целям и заведомо не на лавочке рядом с домом сидеть.
MTyrz
Извините, но мне опять вспоминаются блокировки интернет-ресурсов исключительно для защиты детей. Дежавю какое-то, право слово.
suslov
Вам, видимо, ещё предстоит открыть для себя мир КоАП :)
Это я не в качестве наезда, а вот есть КоАП, где по массе пунктов, упрощу и шокирую: решение о виновности гражданина принимает сотрудник правоохранительных органов :)
И что-то не тащут всех подряд в беспредельной форме.
Вероятно, может быть ситуация, например, когда гражданин не распивает, а ему пишут в протоколе, что распивал и поди потом в суде доказывай обратное, когда правоохранители в том же суде будут говорить, что точно сидел и распивал с наглым видом, нарушающим общественный порядок.
Но гораздо проще ловить реально распивающих, чем пытаться кого-то зачем-то подставить под штраф и что-то вымогать с риском попасть на видео или вообще проверяющих и иметь проблемы.
И в данном случае также. Можно, увы, представить патруль, предлагающий договориться реально ходящему где-то далеко от дома и магазина. Надеюсь, что такого не будет, но вероятность, увы, есть. И, наоборот, можно представить как реально нарушавший будет негодовать, мол, его остановили «низашо» и рассказывать СМИ про «полицейский беспредел».
Но вот схема «я, имея на то право, вышел из подъезда с собакой и у дверей у меня стали вымогать, грозя штрафом», когда вокруг достаточно реальных нарушителей — маловероятна. А пойдёт этот возмущённый невинно пострадавший в собственную безопасность (как сделал бы я — не давал взятку, а согласился на протокол, вписал бы замечания и пошёл жаловаться), а будут они внимательно смотреть на этот патруль, предположив, что это не одиночная жертва.
MTyrz
Гораздо проще ловить реальных наркоманов, чем подбрасывать. Гораздо проще оформить штраф за нарушение ПДД, чем вымогать взятку. Про защиту детей я уже поминал выше.
По всем этим пунктам у меня есть личный опыт и личная статистика. Но разумеется, в этот-то раз никаких злоупотреблений не будет, это же совсем другое дело.
BigLittleBand
Здравствуйте! Почему Ваш комментарий набрал "-4", а ниже точно такой же, но эмоционально-грубый "+58", хотя Вы опередили того господина где-то на 6 минут?
Amistad
В Москве все интереснее. На приложение по регистрации с QR-кодом уже потратили 180 миллионов.
Оно сливает MAC, IMEI телефона, вай фая, блютуса и местоположение. Вы указываете фио и адрес, и ваша фотка идет в зарубежную систему распознавания лиц.
Сейчас Собянин дал задний ход и решил не вводить пропуска:
«Опыт первой нерабочей недели показал, что пока такой необходимости нет. Большинство жителей города добросовестно выполняют требование оставаться дома. Москвичи проявили ответственную гражданскую позицию и солидарность в борьбе против коронавируса, против общей беды»
Наверное сейчас переделывает приложение и вбухивает в него еще 180 миллионов.
PaulAtreides
К сожалению история про 180 млн — это фейк. Компания, которая разрабатывала это приложение действительно выиграла закупку на 180 млн. Вот она. Но никакого отношения ни к пропускам, ни к мобильным приложениям она не имеет. Судя по всему, разработку системы с qr-кодами на них возложили в качестве добровольной нагрузки и они сделали то, что сделали за несколько дней и на коленке. Вряд ли при этом с них кто-то снял сроки по тендеру на 180 млн.
remzalp
Добавлю еще, что в рамках 2020 года предусмотрена выплата только ~66 миллионов, причем платежи разбиты по частям. А вся сумма распланирована до 2022 года
Ну это если внимательно смотреть что-то кроме графы «сумма» :)
v0l0diab
Но… Почему «к сожалению»? Простите, но логика указывает мне что это вроде как «к счастью». Или Вы сочувствуете распильщикам? Я лично вижу в этой истории про 180млн очередную попытку грязненько хайпануть на якобы распильной сделке, в духе «ойойой, собакин наживается на трагедии».
Безотносительно судьбы этих 180млн, люди, распространяющие подобные фейки в текущей ситуации, гарантировано не являются нашими «бро». Они гарантировано заслуживают привлечения, если не по УК РФ, то по совести (то бишь по лицу лопатой).
PaulAtreides
К сожалению для тех, кто тупо на это ведётся.
Исходную сделку, чтобы сказать — распильная она или нет, надо, конечно, анализировать, но 180 млн на 3 года за крупную IT-систему — не вызывает удивления.
0617
Я бы рад где-нибудь зарегистрироваться — да где? Вместо внятного разъяснения — первоапрельская шутка? — требование заполнить самописную бумажку типа «аташол щасвирнус»
just_prepod Автор
«щас вернусь» — это отличная характеристика существующей схемы, в независимости от того реализована она с помощью бумажек или модных qr-кодов.
BigLittleBand
Ответ стандартный и единственно правильный: скажите спасибо, что оно вообще так быстро заработало!
just_prepod Автор
Так оно ж не заработало.
Revertis
Даже на КДПВ есть ошибка, сразу понятно, какое качество разработки.
BigLittleBand
Может, наоборот — занимались разработкой, а текст сваляли побыстрее, чтобы порадовать, что оно уже есть…
SDKiller
Это вы думаете что ее бесплатно сделали, или есть пруфы?
just_prepod Автор
Это была бритвенно тонкая ирония; )
Byteler
Да разве ж это деньги?
orangenino
Тащемта валидация полей не нужна — валидировать их будет полицейский, и если вы шутник, это уже ваши проблемы. А вот всё остальное грустно.
ЗЫ
На тест в первый раз сам неправильно ответил
ЗЗЫ
Сомневаюсь, что приложение делают «без денег», его вполне конкретная компания делает
just_prepod Автор
Валидация нужна была бы для пользователей, чтобы потом не объяснять тащмилцинеру что ты буковкой опечатался и 5к штраф «на месте» платить не хочешь.
killla
Только нормально валидацию еще никто не реализовал в государственных АИС. Например, валидацию иностранных паспортов.
Так что лучше чтоб кривые ручонки подобных разработчиков держались подальше от избыточного функционала, который они всё равно не смогут корректно реализовать.
innovaIT
А на каких таких законах валидировать будут? Специально почитал про повышенную подготовку — так там написано не ущемлять права граждан. В режиме чс — да можно многое, но и ответственность возрастает. Так какой такой полицейский? и что будет валидировать?
Пысы: я не против самоизоляции. Я против того беспредела, который за счёт простых людей. Но Жванецкий со своей сатирой про турникеты, точно не знал, что сейчас это план действия властей. Даже в 82-ом это звучало абсурдом, а сейчас это реальность. Сейчас продлили карантин до конца апреля. Очередные власти в обход указа пошли до 1го мая. Великий с себя снял удар, теперь за него будут отвечать губернаторы. Законность под вопросом, по тому что я читал, указ издан на основании ст. 80 КС РФ. ЧС нигде не введён, повышенные меры не дают права штрафовать, и запрещать передвижение. Про это там чётко написано, в последнем пункте почти. Что за такие каникулы? Кто оплатит банкет? Пока все, что я вижу, ведёт к схлопыванию экономики. Правда не прям сейчас, а через месяцев 7.
Andy_U
Anselm_nn
Вы сделали не очень хорошо, описав публично способы «непредусмотренного» использования QR кодов.
Действительно, в системе есть проблема и о ее наличии я знал и написал в узком кругу раньше вас, однако не стоит забывать, что наличие такой системы само по себе под большим вопросом с точки зрения закона и у людей должна быть возможность генерировать себе любые ссылки, если приходится выворачиваться технологически.
Проще говоря, как часто пишут — не надо им подсказывать!
unibasil
Эти способы лежат на поверхности. Секрет Полишинеля.
zzzzzzzzzzzz
Если вы хотите выворачиваться технологически в узком кругу, плюнув на всех остальных, то чем вы отличаетесь от «них» (которые сначала вещают о важности самоизоляции, потом жмут руки заражённым, но после этого на самоизоляцию не уходят)?
fivehouse
По своей тупости, сырости, непродуманности, реальной неработоспособности, вороватости, беззаконию, наглости идея с QR кодами не имеет себе равных. Это апофеоз. Автоматически приговаривают к голодной смерти либо записывают в нарушители всех, у кого дома нет компьютера или неоплачен Интернет. Тому у кого нет принтера или смартфона или он не умеет пользоваться смартфоном для сохранения QR кода по мнению властей лучше сразу умереть.
И СЮРПРИЗ! В коммунистическом тоталитарном Китае НИЧЕГО подобного нет и не было. Вторая экономика в мире есть, якобы коммунистическая партия есть, а желания посадить всех на поводок нет. Никаких штрафов за нарушение карантина в том конкретном виде, в котором предлагало местное государство в Китае НЕТ. В Китае все штрафы и тюрьмы полагались и полагаются заразившимся нарушителям карантина. Или тем, кому конкретно по какой конкретно причине предписана изоляция. Китайское правительство решило не запугивать свой народ тюрьмами и штрафами, а ввести механические непосредственно контролируемые ограничения на передвижения. Города разделены на огороженные участки и в самом начале карантина пройти блок пост можно было только проживающим на огороженной территории. Сейчас же просто достаточно иметь нормальную температуру и быть в маске. Почему китайцы массово остались дома, а потому что их десятками способами и тысячам раз долго, уважительно и доходчиво призывали к этому по ТВ и плакатами на улице. Всевозможные виды доставки работают неограниченно и без перебоев. Множество магазинов закрыты, но многие открыты. Многие магазины и рестораны работали и работают на вынос. Сборы вместе более определенного количества человек запрещены. Это строго контролируется. Метро было закрыто сразу. Но через месяц было открыто. Регистрация требуется для посещения мест, в которых невозможно преодолеть собрания больших коллективов. Например некоторые торговые центры. Зарегистрироваться можно на месте ручкой и бумагой с проверкой документов. Вот как пандемия была приостановлена.
mrsantak
В той же Москве штрафы введены тоже только для людей которым по какой-то конкретной причине установлен режим самоизоляции, например приехавшим из других стран, контактировавших с зараженными, имеющих определенные заболевание и т.д. Введения режима самоизоляции и соответствующих штрафов для всех жителей Москвы пока не было.
Возможно в регионах несколько другая история, но тут я вопрос не исследовал.
ipswitch
Если это так, то круто.
А как же Alipay Health Code?
www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html
teecat
Апофеоз был вчера. Учителям (не скажу, по всей стране или нет) спустили указивку патрулировать улицы в районе места проживания с 19 до 21 и при виде скопления людей разгонять их по домам. В подтверждение патрулирования сбрасывать фотки мест патрулирования.
tvr
?!
А город-то хоть какой, в котором учителя настолько суровы, что их отправляют патрулировать и разгонять?
teecat
Вчера сестре в Ивановскую область звонил, она и сказала. Ржали наверно минут 20. С другой стороны, если учитель может взглядом утихомирить 30 оболтусов, то что ему разогнать толпу на улице?
AlekseyKidis
Ну в ПРИНЦИПЕ, если взять физрука, трудовика и военрука(или кто там сейчас в школе на похожей должности) ничего так боевая тройка получиться может.
pepemon
Тройка НКВД.
KyZZMI4
Бутылки три точно смогут победить :)
D01
Если сделать грамотно, то ничего плохого в ссылке нет.
Быстро посмотреть можно без специального приложения, а когда будет приложение, то ничего не мешает брать только ID из ссылки.
DimanDimanyich
Если самоизоляция — это выбор самого человека, то самоизоляцию можно приостановить самостоятельно или прекратить. Тогда выход на улицу не будет нарушением самоизоляции, т.к. ее на данный момент нет.
HeTpe3B
1. В QR-коде линк, по нему открывается страница, которая доступна всем без авторизации (как в той истории с гугл документами по ссылке, которые проиндексировал Яндекс). На странице фио, паспортные данные, откуда/куда идет человек, время выхода. На сайте подключен счетчик яндекс метрики, который может добавлять страницы в индекс (хотя это далеко не единственный способ их проиндексировать)
2. Если не успеешь ввести код подтверждения при авторизации в ЛК в течении пары минут, поле для ввода становится disabled, но можно в DevTools убрать атрибут disabled, ввести код и войти. На беке нет валидации
tty
А при регистрации в сервисе вам не нужно было проставить галку о согласии с трема соглашениями, включая одно о персональных данных?
just_prepod Автор
Нет, в том-то и дело. Я все скрины приложил. Логинишься по номеру телефона и одноразовому паролю из СМС.
tmin10
Там же на форме входа есть ссылки на документы. Факт входа — согласие с ними:
ZetaTetra
Сам факт ФЗ «О персональных данных» предполагает добровольное согласие на обработку ПД. В случае если пользователь не согласен, то он вправе уйти с сайта и не давать своего согласия.
Собственно, если нет согласия, то и нет факта передачи своих ПД. Поэтому тут получаяется правовая коллизия, при которой пользователя заставляют отказаться не только от конституционных прав, но и от прав описанных в федеральном законе.
tmin10
Я так понял, если я регистрируюсь в системе, то я даю согласие на обработку. Я вот так и не решился разрешать всё это, поэтому регистрацию не начинал.
Osnovjansky
Несколько лет назад, помнится, то-ли у яндекса, то-ли у гугла подобные ссылки утекали аж в поисковую выдачу. Кто-нибудь, случайно (или не случайно) не проверял, как сейчас дела обстоят? Если сделать «медовый горшочек» со страничкой, которая доступна только по прямой ссылке, и сходить туда своим браузером, робот туда придет или нет?
ZetaTetra
Я ставил прокси на FF и лишних запросов не заметил.
Вот пинг часто шастает:
habr.com/post/479072/#comment_20980894
SagePtr
Не очень понимаю, к чему эта свистопляска с QR-кодами. У каждого гражданина есть паспорт с номером, который всё равно нужно вводить на сайте при оставлении заявки. Что мешает сделать привязку не к одноразовому коду, а к номеру паспорта, а полицейским — спрашивать у прохожих документы (которые они и так спрашивают) и забивать номер паспорта в систему, проверяя, какие именно заявки были оставлены этим гражданином. По типу электронных билетов в аэропорту, где для получения посадочного талона на рейс достаточно предъявить только паспорт, и никакой мороки с распечаткой билетов не нужно.
Доступ к поиску заявок по номеру паспорта, само собой, выдавать только полицейским, любой рандомный гражданин к ним не должен иметь доступ.
ipswitch
Полицейские боятся заразится от паспорта, не иначе.
А бесконтактным чипом паспорт РФ пока не снабжён. Ибо бумажный, как встарь.
Приложение «валидатор» для полицейских запросто утечёт в сеть, ввод служебного пароля тоже не сильно поможет от желающих «продать пробив».
А снабжать полицейских корпоративными смартфонами с VPN и строгой авторизацией — время и деньги…
tmin10
Но можно же паспорт попросить показать, не передавая…
Kot_Dymok
Более того, требовать передавать они не имеют права.
SagePtr
Как вариант, использовать паспорт + трёх-четырёхзначный код заявки (у каждой заявки свой, рандомно генерируемый при создании заявки, коллизии не критичны). В итоге, чтобы пробить все заявки гражданина, кроме паспорта нужно ещё их коды угадать, на стороне сервера можно сделать минимальную защиту от перебора (например, не больше 5 неудачных попыток за 15 минут с пары IP+паспорт) и срок жизни заявок (не более 12 часов будет разумным на мой взгляд, истёкшие заявки недоступны для поиска, но доступны по запросу спецслужб). Сложнее, чем с просто паспортом, но выписать на бумажку несколько цифр и продиктовать их сотруднику органов вместе с демонстрацией документа всё равно намного проще, чем изначальная идея с кодами.
mrsantak
teecat
идея
Во избежание. Просьба читать материал до последнего абзаца, прежде чем начать комментировать
tvr
M4RK
kryvichh
Это ужасно, спрашивать у кого-то разрешения на выход с квартиры. Тем более, если карантина нет, а самоизоляция — на то она и «само-», что поддерживается сознательными гражданами, ответственными за свои поступки перед собой и окружающими. А не в приказном порядке.
На данный момент выходит, в Швеции и Беларуси — самые либеральные просвещённые правительства, которые не ограничивают права людей, но лишь рекомендуют.
HellWalk
А если у меня телефон сломался — все, я из дома не могу выйти?
QDeathNick
Теоретически можно нарисовать полученный на компе QR.
JerleShannara
Nokia 3310/Siemens C65 и отсутствие ПК.
QDeathNick
Можно взять урановый лом в качестве кисти и ртуть в качестве чернил
Kiwiplant
Ох не того вы им желаете, ох не того
Tarakanator
Могу ошибаться, но вроде в данном случае согласие на обработку ПД не нужно.
Т.к. обработка ПД ведётся в целях соблюдения законодательства (вы же не не даёте прокурору разрешение на использование своих ПД, а он их использует)
AlexNecro
Не понимаю, зачем участвовать в явно незаконных мероприятиях.
ilyawg
Это как если бы приговоренные к повешению жаловались на то, что веревка недостаточно прочная
BigLittleBand
Сам себе собака — хочу гуляю, не хочу — не гуляю.
sergeyboev
ГУЛАГ на подходе. Скоро соседи стучать будут. И переход от самоизоляции к просто изоляции.
Пенсионеров запугали — боятся к подъезду выйти. Надо бы волонтеров по квартирам пустить, может пора трупы жертв гиподинамии выносить. Их тоже можно будет причислить в списку погибших от короновируса.
Выхожу на пробежку и думаю, как подрываю авторитет власти.
buratino
Похоже что удобство системы как раз и состоит в неработе
vis_inet
И все счастливы )
MrRitm
На хабре куча статей про поделки с генераторами QR непойми из чего и зачем. Господа, все просто! Есть инфоповод. Под него объявляется самоизоляция\карантин\ЧС и пр. Далее под этот повод выделяются миллионы денег и дико пилятся. По итогу имеем кучу разнообразных кусков запускаемого на разных устройствах кода. Некоторые из кусков успешно собирают данные о гражданах, некоторые ничего толком не собирают, но все равно не плохо — миллионы освоены. Т.е. даже сбор данных — не первоочередная задача. Sad but true…