Dzień Dobry
Zachciało mi się na stare lata przez państwowy interfejs ePUAP zajrzeć do ZUSu.
Pomimo prawidłowej autoryzacji w systemie epuap, w serwisie PUE ZUS musiałem ponownie autoryzować konto kodem jednorazowym wysłanym na email albo telefon.
Niestety pole formularza email twierdzi, że adres w formacie nazwausera@gmail.com nie jest poprawnym adresem poczty elektronicznej email.
Pomysłowość programistów imponująca, szkoda tylko, że o tym doniosłym fakcie nie powiadomili 2-3 miliardów użytkowników poczty w domenie gmail.com
No więc pozostała mi autoryzacja przy pomocy jednorazowego kodu wysłanego przez SMS.
Po wpisaniu kodu jednorazowego trzeba kliknąć jakiś przycisk żeby zatwierdzić wpisany kod w formularzu.
Po tym kliknięciu pokazał się na ekranie piękny, długi na całą stronę kod błędu JAVY (to taki język programowania), a właściwie jakiegoś gotowego frameworka Javy, który ma ułatwić przez utrudnienie, tzn formalnie ma przyspieszyć pracę programistów, dostarczając łatwiejszy interfejs programistyczny.
W rzeczywistości komplikuje taki framework totalnie pracę, bo do około 1000 błędów jakie zawsze znajdują się w systemie operacyjnym serwera, języku i bibliotekach Javy, dodaje jeszcze tysiąc własnych błędów.
Do tego np taki framework do Javy, nazywa się Spring, i ma parę tysięcy funkcji, których poznanie zajmie programiści ze dwa lata.
W rezultacie mamy produkty programistów, którzy nawet nie znają dokumentacji używanego języka programowania, użytych biliotek, gotowych frameworków, i ich nie poznają, bo trzeba szybko programować, czas to pieniądz.
No wiec po kliknięciu w przycisk zatwierdzenia po wpisaniu kodu SMS, powitał mnie taki oto komunikat:
Nie wiem, jacy kretyni pisali ten kod systemu PUE ZUS, ale po pierwsze, nie powinni niestabilnego systemu wrzucać na produkcję, a po drugie na publicznych stronach NIE WOLNO wyświetlać szczegółowych komunikatów o błędach.
Roboty sieciowe przeglądarek Google, Yandex czy Baidu indeksują takie błędy, potem można je banalnie prosto wyszukać w internecie poprzez określone słowa kluczowe w publicznych wyszukiwarkach,
i hakerzy mają byczą zabawę, wykorzystując takie ujawnione błędy do różnych ataków, min wykradania całych terabajtów poufnych informacji.
Tymczasem ZUS korzysta z usług jakiejś firmy, której programiści w ogóle nie znają języka i narzędzi programistycznych, w których tworzą aplikację, nie wiedzą nawet, jak przekierować kod błędu do wewnętrznego i tajnego systemu logowania, a na stronie zamiast błędu wyświetlić komunikat np
"nie udało się, spróbuj jeszcze raz" czy np "nie można potwierdzić poprawności danych, skontaktuj się z ZUS telefonicznie".
Tylko walą człowiekowi przed nos metrowej długości kod błędu, zawierający przy okazji tonę informacji o szczegółach "stabilnego i bezpiecznego" systemu PUE ZUS.
Nie wiem, ile ZUS zapłacił za taką fuszerkę, nie wiem, komu ZUS za taką fuszerkę płaci, nie wiem, po co mamy w kraju różne CERTy, CSIRty i inne instytucje przepalające ciężkie miliardy na "cyberbezpieczeństwo", które nie monitorują poprawności działania ważnych systemów publicznych o znaczeniu dosyć ważnym dla państwa.
Pozdrawiam
