То, что произошло вчера, в первый день, когда можно было запросить премию, которую штат назначил самозанятым работникам на чрезвычайную ситуацию в составе «Ковид-19», невероятно. Предполагалось (непредсказуемо, но ожидаемо!), Что все те, кто имеет право, немедленно попытаются заполнить заявку, одновременно подключившись к порталу INPS. Тот, кто управляет порталом электронной коммерции, хорошо знает, и в действительности его цель заключается в том, чтобы, объявляя о предложениях по некоторым продуктам, ему приходилось сталкиваться с многочисленными запросами на одновременный доступ потенциальных клиентов. И для этого требуются необходимые контрмеры, как временное увеличение пропускной способности сайта, что сегодня возможно, если у вас распределенная или «облачная» архитектура, так и приобретение своего рода «средства удаления кода», которое позволяет получить доступ к максимальному количеству субъектов. в то же время, прося излишки, чтобы повторить попытку позже. В эти дни, когда мы все дома, многие захотели сделать покупки он-лайн и найти сайт супермаркета полностью работоспособным, но недоступным для максимального числа клиентов, которые могут обслуживаться одновременно.
Мы не говорим о дорогих или особенно инновационных технологиях. Давайте поговорим о здравом смысле, который применяется в повседневной жизни, также используемой Poste на этой неделе, чтобы избежать скопления людей на прилавках для выплаты пенсий: они пошатнулись, основываясь на письме с фамилией. Сегодня аналогичные меры были (наконец-то!) Также приняты для доступа к сайту INPS.
В настоящее время полное отсутствие базовой политики управления доступом к сайту, такой как показанная вчера в прогнозируемом пике доступа, вызывает вопросы о качестве центральной информационной системы для жизни итальянцев в качестве управляющего пенсионным фондом и социальная поддержка. Затем мы пошли посмотреть, что находится чуть ниже поверхности сайта Института, проанализировав программы, которые создают страницы, которые мы отображаем в нашем браузере. Это общедоступный код, потому что он получает наш компьютер при подключении к любому веб-сайту, код, который обрабатывается локально и приводит к графическому аспекту страницы.
То, что кажется программисту глазами, является неаккуратной системой. Если учащийся средней школы или первого года обучения представит программу в этом штате, он будет немедленно отклонен, поскольку не соблюдает минимальные критерии порядка, строгости и профессионализма при написании кода..
Давайте посмотрим несколько примеров.
Код одной из страниц содержит переменную, которая является «контейнером» значений, разработка которых определяет либо последовательные этапы процедуры, либо графический аспект страницы, имя которой "Foo", Теперь в разговорной беседе мы можем ссылаться на персонажей Диснея аналогично курсиву «Тицио», «Кайо» и «Семпронио». Но в программе имя переменных всегда должно быть таким, чтобы мы могли понять, какова роль в программе. Профессионал никогда не выпустит программу, имена которой являются оригинальными и не назначены, чтобы иметь точную ссылку на поток обработки, для которого они были введены.
Для некоторых это может показаться эстетической привычкой, но отсутствие внимания ко всем аспектам программы, которые позволяют проверить правильность и согласованность программы, может быть индикатором других более серьезных недостатков. Эта небрежность также проявляется в присутствии сленговых комментариев, таких как "Skippa" Честно говоря, мы бы никогда не хотели увидеть на этих страницах. И на самом деле, на других страницах все еще есть многочисленные комментарии на итальянском языке, которые указывают на все изменения, сделанные с указанием причин, иногда связанных с разрешением «проблем». Здесь, если вы хотите пощекотать любопытство «хакера», нет ничего лучше, чем напрямую и искренне сообщить, что есть проблемы.
На других страницах все еще есть комментарии, объясняющие влияние функций, которые следуют. Язык программирования - это язык, и те, кто освоил его, не нуждаются в комментариях, чтобы понять его значение. Обычно разработке программы предшествует фаза проекта, где на естественном языке объясняется, что она должна делать, а язык программирования определяет, как, не смешивая два плана. Не говоря уже о том, что комментарии могут невольно выявить слабые места в системе, которые могут быть использованы для нарушения сайта.
Если углубиться в специалиста, на другой странице есть ключ доступа к контенту, который показан открытым текстом. Независимо от типа содержимого и уровня секретности этого ключа, это плохая практика программирования, и поэтому те, кто привык не публично выставлять ключи доступа, не делают этого для какого-либо типа ресурса. Переменные сеанса, которые позволяют нашему браузеру продолжать просматривать страницы в соответствии с нашим профилем пользователя, также управляются поверхностно, обеспечивая видимость извне.
Этот краткий анализ, безусловно, не предназначен для вынесения общего суждения об ИТ-системе института, поскольку он не имел доступа к внутренним процедурам, а только к тем, которые сразу видны всем, кто просматривает сайт. Однако недопустимо видеть в 2020 году, что код сайта одного из наиболее важных институтов государственного управления был разработан непрофессионально, независимо от руководящих принципов, которые преподаются в школах и университетах для развития качества, надежности и устойчив к атакам.
Фото: Твиттер
