Сервисы
Евгения Евсеева

Оказалось, что счётчик очереди на Госуслугах можно скрутить Статьи редакции

Он отсчитывался со стороны пользователя, а не сервиса.

2 июля на Госуслугах произошёл сбой — сайт показывал, что сейчас на нём заказывают услуги более 500 тысяч пользователей, и предлагал подождать полчаса. В Минцифры объяснили проблему тем, что на Госуслуги добавляли новые сервисы.

Фронтенд-разработчик в Twitter предложил лайфхак, чтобы не ждать так долго. Нужно было зайти в код страницы и отредактировать его — счётчик отсчитывался со стороны пользователя, а не на сервере.

женя любит кушоть @zhenyaloveseat
@A_Kapustin Как не ждать 30 минут, а пройти за 30 секунд ¯\_(ツ)_/¯ https://t.co/X2z3xA3Pce

#госуслуги

25 показов
37K открытий
7 репостов
0
249 комментариев
Написать комментарий...
Показать всё . Вы видите только часть дискуссии
 Одуванчик Полевой

"счётчик отсчитывался со стороны пользователя, а не на сервере." - это же просто прекрасно. Уровень! Надо проверить что там ещё на клиенте висит...уверен что несколько дыр для доступа к БД спокойно можно накопать.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Одуванчик Полевой

Расскажи мне о стандартах разработки и информационной безопасности))

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Одуванчик Полевой

не задавайте подобные вопросы на собеседовании)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Одуванчик Полевой

https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/ 
Почитайте, если в универе прогуляли

Основы ИБ | Основы информационной безопасности и…
Основы ИБ – компания SearchInform – российский разработчик средств информационной безопасности и…
searchinform.ru
Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Игорь Богданов

Можно, например, создать ссылку, которая будет делать всё это сама (или мануал для скрипта в консоли), но вместе с тем тырить какие-нибудь данные. При этом подобная ссылка мигом разлетится среди обычных пользователей, особенно по сообществам целевиков - родителей, подающих на выплату.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Игорь Богданов
 Такую ссылку можно сделать для любого веб-сервиса под любым предлогом, включая какой-нибудь плагин темной темы для "Одноклассников".

Так так и делают.

Здесь проблема в том, что во-первых, для гос услуг сложно придумать действительно рабочий предлог и во-вторых, нежелание у человека ждать 30 минут ради того, чтобы тупо попасть на сайт.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Игорь Богданов

Даже не столько хочу сказать относительно этой ситуации, сколько о подобной практике со стороны такого ресурса как Госуслуги в целом.
Всё же, социальная роль заботы о безопасности имеет место быть и учитывать возможные способы массовой компрометации даже в результате действий самих пользователей. От того такие полумеры и выглядят странными.

Ответить
Развернуть ветку
Pavel Zakharov
(или мануал для скрипта в консоли), но вместе с тем тырить какие-нибудь данные.

А современные браузеры такое позволят? На CORS не заругается разве?

Ответить
Развернуть ветку
Показать 249 комментариев . Вы видите только часть дискуссии
Написать комментарий...
246 комментариев
Раскрывать всегда