💳 Trustee Plus: розраховуйся криптою за допомогою платіжної картки. Ліміт: 50 000 євро 🚀

UPD. «Жодного разу не допустив такої халепи, як у випадку з Резерв+». IT PM розкритикував додаток Резерв+. Mobile Architect навів контрарументи до претензій PM

Project Manager Ярослав Шерстюк у своєму дописі на Facebook розкритикував запущений учора застосунок-електронний кабінет військовозобов’язаного Резерв+. 

Залишити коментар
UPD. «Жодного разу не допустив такої халепи, як у випадку з Резерв+». IT PM розкритикував додаток Резерв+. Mobile Architect навів контрарументи до претензій PM

Project Manager Ярослав Шерстюк у своєму дописі на Facebook розкритикував запущений учора застосунок-електронний кабінет військовозобов’язаного Резерв+. 

«Про Резерв+. Вже більше десяти років я займаюся розробкою та впровадженням програмного забезпечення для військових. За цей час жодного разу не допустив такої халепи, як у випадку з Резерв+. Мій досвід дозволяє мені давати експертну оцінку: я створював військовий месенджер MilChat, застосунки для артилерії та ситуаційної обізнаності УКРОП, які використовуються десятками тисяч користувачів. І робив це з невеликою командою та без державного фінансування», — зазначив він.

Яросслав наводить наступні аргументи, аби підтвердити свої слова.

По-перше, у багатьох користувачів не працює авторизація через BankiD. Це єдиний спосіб авторизації.

По-друге, код додатку не обфускований, тобто доступний для будь-кого, хто його завантажив. «Про обфускацію навіть джун знає, протобаф в допомогу. Відкритість коду призвела до швидкого реверсінженірінгу, і зацікавлені айтівці виявили дивні речі, наприклад, фрагменти коду, схожі на код шкільного онлайн-щоденника. Що це взагалі таке, як таке може бути», — пояснив Ярослав.

По-третє, найцікавіше — додаток офіційно перевірено відповідними органами на відповідність вимогам кібербезпеки та захисту персональних даних. «Але поточний стан свідчить про формальне підписання документів, ймовірно, без належного аналізу», — зазначив Шерстюк.

По-четверте, технічна підтримка додатку здійснюється через Telegram Міноборони. «Це небезпечно, враховуючи можливу співпрацю Telegram із російськими спецслужбами», — каже він.

По-п’яте, застосунок Резерв+ фінансується з державного бюджету, тобто з коштів платників податків. «Це означає, що на розробку і підтримку програми виділяються значні фінансові ресурси, які могли б бути використані на інші важливі потреби», — пояснює свою думку айтівець.

Він додає, що керівництво проектом здійснює заступник міністра оборони, що додає вагомості і відповідальності за якість продукту. «Проте, попри значні ресурси і високий рівень керівництва, якість додатку викликає серйозні питання», — каже Шерстюк.

PM прийшов до наступного висновку: реліз викатували через **бтвоюмать, аби встигнути до 18 травня, коли набуває чинності новий закон про мобілізацію. Вийшло, як завжди, — поспіх нашкодив якості.
Наразі раджу краще піти до ЦНАПу, ніж користуватися додатком.
Окрім технічних проблем, неповно є і ще якісь підводні камені», — каже Ярослав. 

У коментарях до допису айтівці здебільшого погоджуються з автором посту. 

«У даному випадку там не вистачало в першу чергу продакт менеджера, який сказав би „а давайте без оверінженірінгу зробимо сайт з однією формочкою і аутентифікацією через дію/bankid“. Якщо потрібно за місяць щось викотити у прод, то це здається єдиним реалістичним рішенням без компромісів по якості та безпеці», — пише Senior Software Engineer Віталій Котляренко.

«Після того, як почав служити в ЗСУ і дізнався про рівень совка в армії, мене взагалі не дивує, що армійський програмний продукт Резерв+ не працює як належить. На привеликий жаль, тут навіть ТЦК не може передати до військових частин такі елементарні дані, як ІНН та медичні висновки ВЛК. Що там вже казати про інтеграцію з BankID.Про службу підтримки в Telegram я не знав. Якщо це правда, це чергова армійська жесть…», — зазначає TypeScript developer Костя Третяк.

Євген Данілов, Senior Developer, зазначив: «Тут нюанс- ви створювали програмне забезпечення яким мають користуватися. А це — формальність щоб потім сказати „у вас була можливість, був додаток“. Який викотили ху*к-ху*к і в продакшн бо у нього майбутнього немає. Ціль ж мобілізувати людей, а не додатками гратись. Така логіка. Це чисто показати що „які ми прогресивні“, навіть у США немає такого що резерви підтягують через додаток. Цифровізація як ще один спосіб попиляти кошти».

Більше коментарів тут.

ДОПОВНЕНО. На аргументи Ярослава Android Lead/Mobile Architect Володимир Невмержицький написав пост-відповідь із контраргументами. Наводимо його також. 

  1. Логічно, що не буде працювати, оскільки сотні тисяч мавпочок побігли DDOS’ити єдину точку входу, супутньо поклавши при цьому всі інші сервіси, які використовують BankID, я от не міг увійти в податкову.
  2. Код — обфускований. І він завжди є доступним для тих, хто скачує додаток, тому що APK — це архів. Те, що хтось напів-розумний зміг відкрити АРК в потрібному інструменті — нічого не значить, а йому вже дали звання кулхацкера.
    Обфускація і протобаф — це дві зовсім несумісні та непоєднанні речі, от це точно що кожен джун знає, тому цей пункт викликає біль чи то сміх в очах людей, які це читають. Так звані зацікавлені айтівці виявилися тупими, оскільки побігли верещати на весь інтернет про зраду, наривши просто переклади, які в першу ж секунду можна побачити за допомогою потрібних інструментів. По коду нічого там просто сказати не можна, оскільки він обфускований і кілька годин колупань дали зрозуміти, що нереально це так точно сказати.

     Додаток може пройти таку перевірку запросто, оскільки на ньому можуть бути задіяні всі методи захисту і більшість речей будуть робитися не на стороні додатку. Хто працював з таким, той зрозуміє.

Володимир також розповів: " Коли я проходив співбесіду у команду застсунку «Мрія і розумів деталі, як воно все працює, не сказав би, що там залучені аж великі кошти. Додаток мала починати робити команда з SoftServe або щось таке і передавати його виділеній під конкретний проєкт команді в Мінцифрі. Цілком може бути, що тут було так само. Зарплати всіх спеціалістів йдуть достатнього рівня, але не такі, як з іноземними замовниками». 

На його думку, якщо проаналізувати код «Дії», то можна зрозуміти, що він побудований за мультимодульною структурою. «Не найкращий приклад такої архітектури, я б сказав би, що дуже тупий, але і не найгірший. Суть в тому, що ці модулі можуть містити ресурси, які потім шеряться в компанії на схожих продуктах. Більш всього, що ці два застосунки починалися разом і деякі компоненти перевикористалися, але через криворукість певних людей не все було вірно підчищено. По це можна говорити після того, коли кілька годин посидиш за обфускованим кодом», — зазначив Невмержицький.

Він також додав, що як безпечник радий бачити, що розробники постаралися в плані захисту, оскільки такі штуки як перевірка на root, захист від MITM-атак, обфускація (хоч і крива, без чистки ресурсів, якби була вона, то всього цього цирку і не було б), перевірка хостів, валідації deep-linkʼів і ще пару речей було зроблено. «Не радують лише певні штуки, які вони провтикали, але це буде на їх совісті, якщо хтось додумається до таких векторів атак і щось з того вилізе. Взагалом, розігнали зраду там, де її нема», — зазначив фахівець.

Нагадаємо, що Міноборони запустило додаток Резерв+ з 18 травня 2024 року. В ньому вже зареєструвалося понад 150 000 військовозобов’язаних. Тим часом айтівці скаржилися про несправності в роботі сервісу. Міноборони заявило про спроби ворога зламати застосунок. 

Чи відправлятимуть повістки у Резерв+ які дані там доступні користувачу та чи можна видалитися із застосунку? dev.ua протестував сервіс
Чи відправлятимуть повістки у Резерв+, які дані там доступні користувачу та чи можна видалитися із застосунку? dev.ua протестував сервіс
По темi
Чи відправлятимуть повістки у Резерв+, які дані там доступні користувачу та чи можна видалитися із застосунку? dev.ua протестував сервіс
«Пропущений урок» «kid_age_info» lesson_detail_deadline». Відомий хактивіст помітив цікавий факт про Резерв+ і пояснив на базі якого сервіісу створений застосунок
«Пропущений урок», «kid_age_info», lesson_detail_deadline». Відомий хактивіст помітив цікавий факт про Резерв+ і пояснив, на базі якого сервіісу створений застосунок
По темi
«Пропущений урок», «kid_age_info», lesson_detail_deadline». Відомий хактивіст помітив цікавий факт про Резерв+ і пояснив, на базі якого сервіісу створений застосунок
Застосунок Резерв+ для військовозобовязаних вже працює. Як завантажити
Застосунок Резерв+ для військовозобов’язаних вже працює. Як завантажити
По темi
Застосунок Резерв+ для військовозобов’язаних вже працює. Як завантажити
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Читайте також
Німеччина передасть Україні 14 наземних безпілотників THeMIS. Що це за машини та як вони працюють
Німеччина передасть Україні 14 наземних безпілотників THeMIS. Що це за машини та як вони працюють
Німеччина передасть Україні 14 наземних безпілотників THeMIS. Що це за машини та як вони працюють
Німеччина передасть Україні 14 наземних безпілотників THeMIS. Імовірно, 7 таких транспортних засобів прибудуть до України до кінця цього року, вони призначені для евакуації поранених. Інші очікуються у 2023 році — їх будуть використовувати для очищення доріг. Нагадуємо, що це за зброя і що вона вміє.
Атлас зброї: Німеччина передає захисникам чергові MARS II. Які ще РСЗВ отримала Україна від західних партнерів та як вони працюють
Атлас зброї: Німеччина передає захисникам чергові MARS II. Які ще РСЗВ отримала Україна від західних партнерів та як вони працюють
Атлас зброї: Німеччина передає захисникам чергові MARS II. Які ще РСЗВ отримала Україна від західних партнерів та як вони працюють
Федеральне міністерство оборони Німеччини повідомило у Twitter, що у найближчі кілька тижнів Україні будуть передані чергові системи залпового вогню MARS II.  Раніше ми розповідали про те, які РСЗВ партнери надіслали на допомогу українським воїнам. Нагадуємо про це знову.  (Текст від 26 липня)
На український ударний дрон PUNISHER зібрали понад 1,3 млн грн. Що може гроза командних центрів ворога
На український ударний дрон PUNISHER зібрали понад 1,3 млн грн. Що може гроза командних центрів ворога
На український ударний дрон PUNISHER зібрали понад 1,3 млн грн. Що може гроза командних центрів ворога
Дмитро Томчук повідомив, що найлегші та найменші ударні дрони PUNISHER, які не мають аналогів у світі, тепер коштують $70 000. Виробник додав у комплекс ще одного безпілотника, і тепер їх там два.  Дмитро пише, що Юлія Черешня та Павло Харузов зібрали на комплекс більше 1,3 млн грн.  Раніше він розповів  журналісту dev.ua, що вміють ці «пташки», та чому саме вони можуть переламати хід війни на користь України. (текст від 1 червня 2022 року)
США в черговому пакеті допомоги надасть Україні дрони Switchblade 600. Подробиці про ці та інші «пташки», якими користуються українські захисники
США в черговому пакеті допомоги надасть Україні дрони Switchblade 600. Подробиці про ці та інші «пташки», якими користуються українські захисники
США в черговому пакеті допомоги надасть Україні дрони Switchblade 600. Подробиці про ці та інші «пташки», якими користуються українські захисники
Серед списку допомоги, яку пропонує Пентагон, є дрони-камікадзе Switchblade 600, які офіційний Київ просив передати раніше.  Контракт на дослідження та розробку для 10 дронів SwitchBlade 600 виробника Aerovironment, очікується протягом наступних 30 днів, заявила прес-секретар Пентагона Джессіка Максвелл в електронному листі до News Defense. Ми зібрали список дронів, які використовують українці проти ворога, в тому числі і подробиці про Switchblade 600. (текст від 17 травня 2022)
1 коментар

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.