Аукцион невиданной щедрости
Aug. 17th, 2016 09:40 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
don_katalanСтанислав Кукарека
Я не волонтер, не активист и даже не филантроп. То есть никаких особых мотивов (и желания) делать чужую работу (бесплатно) у меня нету. Но эта вот волынка насчет электронных деклараций меня просто утомила, так что ловите:)
Первой фазой полюбому должен быть анализ. Мне сейчас трудно что-то сказать за производительность или юзабилити, но как я понимаю вопрос не в том, вопрос пока в секьюрити каком-то. Тут что характерно? Анализ угроз для начала. Вопрос очень простой. Это реестр открытый, или как? Он содержит публичную информацию? Тогда какие вообще особые вопросы про "защиту"? Зачем и от кого нужно "защищать" информацию которая должна быть публична, то есть доступна всем и каждому?
Реальных угроз может быть собственно две. Первая - это попытка фальсификации информации. Когда честнейшему Петру Петровичу вдруг кто-то в реестр внесет 5 яхт и баскетбольный клуб в Майами, а он бедняга ни сном ни духом. И опосля того подлые журналисты (и следственные органы) начнут мол трепать его светлое имя. Серьезная угроза, но не очень, ибо завсегда Петрович может оправдаться, если чуть шо. Если скандал. А если нет скандала то ему и убытку никакого, то есть его честному имени. Никто ведь не сказал что в реестре написана правда, ага... То есть "установлением факта" в любом случае будут заниматься компетентные органы, по процедурам что не имеют отношения ни к реестру ни к "Миранде" никакого вовсе.
Но даже тут есть решение. Пускай честнейший Петрович таки подпишет свою декларацию неким наисекретнейшим электронным ключом. У нас такое давно есть (включая Закон Украины), и даже продается, и 100 лет назад сертифицировано. И пусть потом проклятые злопыхатели ту подпись подделывают (если смогут), но это вопросы будут совсем не к реестру вопросы... Там нету проблемы от слова "совсем", и тут не является критичным вопрос идентификации анонимусов.
Возможен еще один путь фальсификации, мол владеет-ли Петрович баскетбольным клубом или нет это один вопрос, а поделился-ли он этим фактом с госреестром, это вопрос уже второй. Дабы не упрекнули Петровича в сокрытии. И тут есть решение. То есть реестр сверху это все подписывает еще и своим ключом. Все как в нормальной бюрократии, подпись "сдал", подпись "принял", и всех делов. И "второй экземпляр", файло подписанное реестродержателем (при приеме декларации) честно выдается Петровичу, шоб он им мог в случае чего отмахиваться от журналюг и люстраторов просто по наглой рыжей морде. Все просто как шоколад. Вот собственно и все проблемы.
Может быть еще один аспект, это если не вя информация из тех деклараций есть действительно публичной. Ну то есть часть ее есть таки "персональной", как то например адреса недвижимости. Ну тут для начала следует определиться таки публичный тот реестр или "не очень", и это вопрос к законодателю. Если это непубличная информация то что ей делать в публичном реестре? Хотя с другой стороны у нас вроде и реестр самой недвижимости (например) публичный, и что толку скрывать в нем информацию, которую можно (легально) получить из других источников? Это тогда немного дебилизм выходит.
Итого, всей той "системы" тогда получается - тупая файлопомойка с xml-ем например где лежат подписанные декларации, и уже вроде как существующая (и сертифицированная) система электронной подписи. С доступом по http или даже ftp. Стандартный апач вполне подойдет, прям из коробки. Или даже IIS, шоб Шимкиву было приятнее. Понятно что это не очень удобно (например в плане поиска), но дальше уже извините, кто во что горазд. И пусть каждый желающий (от НАБУ до "Украинской Правды") создает себе собственный репозиторий того говна, и его снабжает любыми механизмами поиска, перекрестной проверки (с реестром недвижимости например), рюшечками на флеше и тому подобным гламуром. Любой каприз. но во первых за их уже деньги, а во вторых и вовсе не требующий никаких спецификаций и вмешательсва Госспецсвязи. Вопрос и смысл ведь в том что-бы иметь на руках кошерно подписанный файл декларации, а совсем не в том где (и как) его кто возьмет. В том смысл, и плодотворная дебютная идея :)
Итого, там надо всего-то xml схему с форматом, возможно валидирующий (хоть как-то) xslt, тупой веб-сервер и конвеншин про файлнейминг, ага, и пусть именем файла будет например ИНН, который кстати тоже госреестр. Там на неделю делов для двух студентов.
Проектировочное решение тут настолько просто и прозрачно, что я вообще не понимаю о чем неделю спорить всей страной. В упор не понимаю.
Ах да, там еще было что-то про "судебную силу" в отсутствии святой сертификации.. Так ребята, говно вопрос. Распечатайте ту декларацию (с электронными подписями), заставьте чиновника ее подписать (шариковой ручкой) и надежно схороните в подвалах минюста. Говно вопрос вообще. И пребудет с вами и "судебная сила" и что хотите. Это тоже совершенно не проблема.
Единственное что мне непонятно в этой истории - чем там можно было год заниматься, и на что убить такую прорву денег со столь печальным результатом, ага.
Я не волонтер, не активист и даже не филантроп. То есть никаких особых мотивов (и желания) делать чужую работу (бесплатно) у меня нету. Но эта вот волынка насчет электронных деклараций меня просто утомила, так что ловите:)
Первой фазой полюбому должен быть анализ. Мне сейчас трудно что-то сказать за производительность или юзабилити, но как я понимаю вопрос не в том, вопрос пока в секьюрити каком-то. Тут что характерно? Анализ угроз для начала. Вопрос очень простой. Это реестр открытый, или как? Он содержит публичную информацию? Тогда какие вообще особые вопросы про "защиту"? Зачем и от кого нужно "защищать" информацию которая должна быть публична, то есть доступна всем и каждому?
Реальных угроз может быть собственно две. Первая - это попытка фальсификации информации. Когда честнейшему Петру Петровичу вдруг кто-то в реестр внесет 5 яхт и баскетбольный клуб в Майами, а он бедняга ни сном ни духом. И опосля того подлые журналисты (и следственные органы) начнут мол трепать его светлое имя. Серьезная угроза, но не очень, ибо завсегда Петрович может оправдаться, если чуть шо. Если скандал. А если нет скандала то ему и убытку никакого, то есть его честному имени. Никто ведь не сказал что в реестре написана правда, ага... То есть "установлением факта" в любом случае будут заниматься компетентные органы, по процедурам что не имеют отношения ни к реестру ни к "Миранде" никакого вовсе.
Но даже тут есть решение. Пускай честнейший Петрович таки подпишет свою декларацию неким наисекретнейшим электронным ключом. У нас такое давно есть (включая Закон Украины), и даже продается, и 100 лет назад сертифицировано. И пусть потом проклятые злопыхатели ту подпись подделывают (если смогут), но это вопросы будут совсем не к реестру вопросы... Там нету проблемы от слова "совсем", и тут не является критичным вопрос идентификации анонимусов.
Возможен еще один путь фальсификации, мол владеет-ли Петрович баскетбольным клубом или нет это один вопрос, а поделился-ли он этим фактом с госреестром, это вопрос уже второй. Дабы не упрекнули Петровича в сокрытии. И тут есть решение. То есть реестр сверху это все подписывает еще и своим ключом. Все как в нормальной бюрократии, подпись "сдал", подпись "принял", и всех делов. И "второй экземпляр", файло подписанное реестродержателем (при приеме декларации) честно выдается Петровичу, шоб он им мог в случае чего отмахиваться от журналюг и люстраторов просто по наглой рыжей морде. Все просто как шоколад. Вот собственно и все проблемы.
Может быть еще один аспект, это если не вя информация из тех деклараций есть действительно публичной. Ну то есть часть ее есть таки "персональной", как то например адреса недвижимости. Ну тут для начала следует определиться таки публичный тот реестр или "не очень", и это вопрос к законодателю. Если это непубличная информация то что ей делать в публичном реестре? Хотя с другой стороны у нас вроде и реестр самой недвижимости (например) публичный, и что толку скрывать в нем информацию, которую можно (легально) получить из других источников? Это тогда немного дебилизм выходит.
Итого, всей той "системы" тогда получается - тупая файлопомойка с xml-ем например где лежат подписанные декларации, и уже вроде как существующая (и сертифицированная) система электронной подписи. С доступом по http или даже ftp. Стандартный апач вполне подойдет, прям из коробки. Или даже IIS, шоб Шимкиву было приятнее. Понятно что это не очень удобно (например в плане поиска), но дальше уже извините, кто во что горазд. И пусть каждый желающий (от НАБУ до "Украинской Правды") создает себе собственный репозиторий того говна, и его снабжает любыми механизмами поиска, перекрестной проверки (с реестром недвижимости например), рюшечками на флеше и тому подобным гламуром. Любой каприз. но во первых за их уже деньги, а во вторых и вовсе не требующий никаких спецификаций и вмешательсва Госспецсвязи. Вопрос и смысл ведь в том что-бы иметь на руках кошерно подписанный файл декларации, а совсем не в том где (и как) его кто возьмет. В том смысл, и плодотворная дебютная идея :)
Итого, там надо всего-то xml схему с форматом, возможно валидирующий (хоть как-то) xslt, тупой веб-сервер и конвеншин про файлнейминг, ага, и пусть именем файла будет например ИНН, который кстати тоже госреестр. Там на неделю делов для двух студентов.
Проектировочное решение тут настолько просто и прозрачно, что я вообще не понимаю о чем неделю спорить всей страной. В упор не понимаю.
Ах да, там еще было что-то про "судебную силу" в отсутствии святой сертификации.. Так ребята, говно вопрос. Распечатайте ту декларацию (с электронными подписями), заставьте чиновника ее подписать (шариковой ручкой) и надежно схороните в подвалах минюста. Говно вопрос вообще. И пребудет с вами и "судебная сила" и что хотите. Это тоже совершенно не проблема.
Единственное что мне непонятно в этой истории - чем там можно было год заниматься, и на что убить такую прорву денег со столь печальным результатом, ага.