№22/001120-еп
Покращити технічну частину сайту електроних петицій з метою запобігання зловживань та надсилання інформації третім особам
Автор (ініціатор): Куніцин Андрій Андрійович
Дата оприлюднення: 31 серпня 2015
Ідея створення сайту електронних петицій є шагом у вірному напрямку, який відкриває більш широкі можливості для реализації принципів демократії в Україні. Але с технічної точки зору цей сайт, на мою думку, має декілька серьозних проблем, які перешкоджають його повноцінному функціонуванню.
Ось ці проблеми. Я буду намагатися висловити їх простою мовою без надмірних технічних термінів.
1) Реєстрація на сайті є безоплатною; користувач при реєстрації має лише підтвердити свій e-mail. Немає жодної процедури перевірки введених користувачем даних про своє ім'я, що відкриває широкі можливості для зловживання реєстраціями - наприклад, шляхом створення декількох фальшивих облікових записів з метою "накрутки" голосів за потрібні петиції. Також відсутність перевірок паспортних даних довзоляє людям з інших країн і неповнолітнім брати участь у петиційному процесі, що, на мій погляд, неправильно. Тому потрібно перевіряти паспортні дані користувачів сайту електроних петицій, як це зроблено, наприклад, на російському порталі держпослуг http://www.gosuslugi.ru/.
2) Сайт містить сценарії Google Analytics, що гарантовано призводить до несанкціонованого доступу американської компанії Google до даних поведінки користувачів на сайті. Простіше кажучи: Google знає, які петиції ви створюєте та підписуєте! Це жахлива помилка, яку не хочеться бачити на державному сайті. Ці сценарії використовуються для веб-аналітики - тобто для збирання інформації про те, яким чином люди використовують сайт, що спрощує подальше вдосконалення сайту (наприклад, можна побачити, що люди не заходять на сторінку реєстрації, що свідчить про наявність проблем з цією сторінкою - скоріш за все, вона зламалася, та швидко поладнати її). Але для того, щоб адміністратори сайту побачили цю інформацію, вона повинна пройти через сервери Google. Тобто у Google є технічні засоби для того, щоб відслідковувати усіх користувачів сайту - навіть самого Президента. Потрібно або використовувати власні сервери для збирання веб-аналітики, або не використовувати веб-аналітику взагалі.
3) На сайті використовується капча Google (прямокутники з прапорцем "Я не робот"). Коли ця капча додається на сторінку, вона прослуховує усі дії, які користувач робить з цією сторінкою. Наприклад, я зараз знаходжуся на сторінці https://petition.president.gov.ua/petition/add, на якій є капча Google, і набираю цей текст. Капча знає, що я зараз натискаю кнопки на клавіатурі, і вона знає, які кнопки я конретно натискаю (тому навіть якщо я наберу і зітру якийсь текст, капча все одно буде знати, що за текст я зтер). Як вона буде використовувати цю інформацію - не знає ніхто, крім інженерів Google. Можливо, капча теж відправить цю інформацію на сервери Google, як це відбувається зі сценаріями Google Analytics.
Цей список не є вичерпним. Є вирогідність, що при розробці сайту були зроблені ще які-небудь помилки, але сказати це напевне можна тільки після незалежного аудиту внутрішніх механизмів сайту.
Я дуже сподіваюся, що ці проблеми будуть вирішені, і ми отримаємо повноцінний український державний сайт для онлайн-петицій. Але нажаль, у поточному його стані особисто я не буду використовувати цей сайт, та буду закликати других людей не робити це.
З повагою,
Андрій Андрійович Куніцин,
експерт з інформаційної безпеки
Ось ці проблеми. Я буду намагатися висловити їх простою мовою без надмірних технічних термінів.
1) Реєстрація на сайті є безоплатною; користувач при реєстрації має лише підтвердити свій e-mail. Немає жодної процедури перевірки введених користувачем даних про своє ім'я, що відкриває широкі можливості для зловживання реєстраціями - наприклад, шляхом створення декількох фальшивих облікових записів з метою "накрутки" голосів за потрібні петиції. Також відсутність перевірок паспортних даних довзоляє людям з інших країн і неповнолітнім брати участь у петиційному процесі, що, на мій погляд, неправильно. Тому потрібно перевіряти паспортні дані користувачів сайту електроних петицій, як це зроблено, наприклад, на російському порталі держпослуг http://www.gosuslugi.ru/.
2) Сайт містить сценарії Google Analytics, що гарантовано призводить до несанкціонованого доступу американської компанії Google до даних поведінки користувачів на сайті. Простіше кажучи: Google знає, які петиції ви створюєте та підписуєте! Це жахлива помилка, яку не хочеться бачити на державному сайті. Ці сценарії використовуються для веб-аналітики - тобто для збирання інформації про те, яким чином люди використовують сайт, що спрощує подальше вдосконалення сайту (наприклад, можна побачити, що люди не заходять на сторінку реєстрації, що свідчить про наявність проблем з цією сторінкою - скоріш за все, вона зламалася, та швидко поладнати її). Але для того, щоб адміністратори сайту побачили цю інформацію, вона повинна пройти через сервери Google. Тобто у Google є технічні засоби для того, щоб відслідковувати усіх користувачів сайту - навіть самого Президента. Потрібно або використовувати власні сервери для збирання веб-аналітики, або не використовувати веб-аналітику взагалі.
3) На сайті використовується капча Google (прямокутники з прапорцем "Я не робот"). Коли ця капча додається на сторінку, вона прослуховує усі дії, які користувач робить з цією сторінкою. Наприклад, я зараз знаходжуся на сторінці https://petition.president.gov.ua/petition/add, на якій є капча Google, і набираю цей текст. Капча знає, що я зараз натискаю кнопки на клавіатурі, і вона знає, які кнопки я конретно натискаю (тому навіть якщо я наберу і зітру якийсь текст, капча все одно буде знати, що за текст я зтер). Як вона буде використовувати цю інформацію - не знає ніхто, крім інженерів Google. Можливо, капча теж відправить цю інформацію на сервери Google, як це відбувається зі сценаріями Google Analytics.
Цей список не є вичерпним. Є вирогідність, що при розробці сайту були зроблені ще які-небудь помилки, але сказати це напевне можна тільки після незалежного аудиту внутрішніх механизмів сайту.
Я дуже сподіваюся, що ці проблеми будуть вирішені, і ми отримаємо повноцінний український державний сайт для онлайн-петицій. Але нажаль, у поточному його стані особисто я не буду використовувати цей сайт, та буду закликати других людей не робити це.
З повагою,
Андрій Андрійович Куніцин,
експерт з інформаційної безпеки
Перелік осіб які підписали електронну петицію*
* інформаційне повідомлення про додаткову перевірку голосів
* інформаційне повідомлення про додаткову перевірку голосів
1.
Киселюк Леонід Броніславович
25 жовтня 2015
2.
Клименко Андрій Анатолійович
24 жовтня 2015
3.
Гайдаєнко Зінаїда Василівна
04 жовтня 2015
4.
Калугiн Олександр Михайлович
06 вересня 2015
5.
Власенко Володимир Вікторович
05 вересня 2015
6.
Vlasko Andrew
04 вересня 2015
7.
Кутняков Дімітрій Володимирович
04 вересня 2015
8.
Щербаков Євгеній Миколайович
03 вересня 2015
9.
Жук Наталія Володимирівна
03 вересня 2015
10.
Тодоренко Ілля Андрійович
03 вересня 2015
11.
Кирильцев Віктор Михайлович
02 вересня 2015
12.
Просянюк Артем Олександрович
01 вересня 2015
13.
Цимбалюк Максим Вікторович
01 вересня 2015
14.
Марчишин Юрій Іванович
01 вересня 2015
15.
Живун Вадим Іванович
01 вересня 2015
16.
Володимир
01 вересня 2015
17.
Золотухін Михайло Григорович
01 вересня 2015
18.
Дербида Сергій Сергійович
01 вересня 2015
19.
Адамков Віталій Юрійович
01 вересня 2015
20.
Косарев Євген Олексійович
31 серпня 2015
21.
Русаков Леонід Дмитрович
31 серпня 2015
22.
Коваль Олександр Сергійович
31 серпня 2015
23.
Крижановская Анастасия Вадимовна
31 серпня 2015
24.
Станиславський Артем Вадимович
31 серпня 2015
25.
Хома Сергій Миронович
31 серпня 2015
26.
Verbitskyy Nazar
31 серпня 2015
27.
Колосов Максим Сергійович
31 серпня 2015
28.
Кривошеенко Дмитрий Александрович
31 серпня 2015
29.
Давидкін Тимур Вікторович
31 серпня 2015
30.
Куніцин Андрій Андрійович
30 серпня 2015