👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

UPD. «Ни раз не допустил такой передряги, как в случае с Резерв+». IT PM раскритиковал приложение Резерв+. Mobile Architect привел контрарументы к претензиям PM

Project Manager Ярослав Шерстюк в своем сообщении на Facebook подверг критике запущенный вчера приложение-электронный кабине военнообязанного Резерв+.

Оставить комментарий
UPD. «Ни раз не допустил такой передряги, как в случае с Резерв+». IT PM раскритиковал приложение Резерв+. Mobile Architect привел контрарументы к претензиям PM

Project Manager Ярослав Шерстюк в своем сообщении на Facebook подверг критике запущенный вчера приложение-электронный кабине военнообязанного Резерв+.

«О Резерве+. Уже больше десяти лет я занимаюсь разработкой и внедрением программного обеспечения для военных. За это время ни разу не допустил такой передряги, как в случае с Резерв+. Мой опыт позволяет мне давать экспертную оценку: я создавал военный мессенджер MilChat, приложения для артиллерии и ситуационной осведомленности УКРОП, используемые десятками тысяч пользователей. И делал это с небольшой командой и без государственного финансирования», — отметил он.

Яросслав приводит следующие аргументы, чтобы подтвердить свои слова.

Во-первых, у многих пользователей не работает авторизация через BankiD. Это единственный метод авторизации.

Во-вторых, код приложения не обфускован, то есть доступен для любого, кто его скачал. «Об обфускации даже джун знает, протобаф в помощь. Открытость кода привела к быстрому реверсинженирингу, и заинтересованные айтовцы обнаружили странные вещи, например фрагменты кода, похожие на код школьного онлайн-дневника. Что это вообще такое, как такое может быть», — объяснил Ярослав.

В-третьих, самое интересное — приложение официально проверено соответствующими органами на соответствие требованиям кибербезопасности и защиты персональных данных. «Но текущее состояние свидетельствует о формальном подписании документов, вероятно, без должного анализа», — отметил Шерстюк.

В-четвертых, техническая поддержка приложения осуществляется через Telegram Минобороны. «Это опасно, учитывая возможное сотрудничество Telegram с российскими спецслужбами», — говорит он.

В-пятых, приложение Резерв+ финансируется из государственного бюджета, то есть из средств налогоплательщиков. «Это означает, что на разработку и поддержку программы выделяются значительные финансовые ресурсы, которые могли бы быть использованы для других важных потребностей», — объясняет свое мнение айтовец.

Он добавляет, что руководство проектом осуществляет заместитель министра обороны, придающий весомости и ответственности за качество продукта. «Но несмотря на значительные ресурсы и высокий уровень руководства, качество приложения вызывает серьезные вопросы», — говорит Шерстюк.

PM пришел к следующему выводу: релиз выкатили через **твою мать, чтобы успеть до 18 мая, когда вступает в силу новый закон о мобилизации. Получилось, как всегда, — спешка навредила качеству.
Пока советую лучше пойти в ЦНАП, чем пользоваться приложением.
Кроме технических проблем неполно есть и еще какие-то подводные камни», — говорит Ярослав.

В комментариях к сообщению айтовцы в большинстве своем соглашаются с автором поста.

«В данном случае там не хватало в первую очередь продакт менеджера, который сказал бы „а давайте без оверинжениринга сделаем сайт с одной формочкой и аутентификацией через действие/bankid“. Если нужно за месяц что-нибудь выкатить в прод, то это кажется единственным реалистическим решением без компромиссов по качеству и безопасности», — пишет Senior Software Engineer Виталий Котляренко .

«После того, как начал служить в ВСУ и узнал уровень совка в армии, меня вообще не удивляет, что армейский программный продукт Резерв+ не работает как положено. К сожалению, здесь даже ТЦК не может передать в воинские части такие элементарные данные, как ИНН и медицинские выводы ВЛК. Что там уж говорить об интеграции с BankID. О службе поддержки в Telegram я не знал. Если это правда, это очередная армейская жесть…», — отмечает TypeScript developer Костя Третьяк .

Евгений Данилов, Senior Developer, отметил: «Здесь нюанс-вы создавали программное обеспечение которым должны пользоваться. А это — формальность, чтобы потом сказать „у вас была возможность, было приложение“. Который выкатили ху*к-ху*к и в продакшн потому что у него будущего нет. Цель же мобилизовать людей, а не приложениями играть. Такова логика. Это чисто показать что „какие мы прогрессивные“, даже в США нет такого что резервы подтягивают через приложение. Цифровизация как еще один способ пилить средства».

Больше комментариев здесь.

ДОПОЛНЕНО. На аргументы Ярослава Android Lead/Mobile Architect Владимир Невмержицкий написал ответный пост с контраргументами. Приводим его тоже.

  1. Логично, что не будет работать, поскольку сотни тысяч обезьян побежали DDOS’ить единую точку входа, сопутствуя положив при этом все остальные сервисы, которые используют BankID, я вот не мог войти в налоговую.
  2. Код — обфускованный. И он всегда доступен для тех, кто скачивает приложение, потому что APK — это архив. То, что кто-то полуумный смог открыть АРК в нужном инструменте — ничего не значит, а ему уже дали звание кулхацкера.
    Обфускация и протобаф — это две совершенно несовместимые и несовместимые вещи, вот это точно что каждый джун знает, поэтому этот пункт вызывает боль или смех в глазах читающих людей. Так называемые заинтересованные айтовцы оказались тупыми, поскольку побежали визжать на весь интернет об измене, нарив просто переводы, которые в первую секунду можно увидеть с помощью нужных инструментов. По коду ничего там просто сказать нельзя, поскольку он обфускован и несколько часов ковыряний дали понять, что нереально это так точно сказать.

    Приложение может пройти такую ​​проверку запросто, поскольку на нем могут быть задействованы все методы защиты, и большинство вещей будут делаться не на стороне приложения. Кто работал с таким, тот поймет.

Владимир также рассказал: «Когда я проходил собеседование в команду застущения «Мечта и понимал детали, как оно все работает, не сказал бы, что там привлечены аж большие средства. Приложение должно было начинать делать команда из SoftServe или что-то такое и передавать его выделенному под конкретный проект команде в Минцифри. Вполне может быть, что здесь было так же.

По его мнению, если проанализировать код Действия, то можно понять, что он построен по мультимодульной структуре. «Не лучший пример такой архитектуры, я бы сказал, что очень тупой, но и не самый плохой. Суть в том, что эти модули могут содержать ресурсы, которые потом шарятся в компании на подобных продуктах. Больше всего, что эти два приложения начинались вместе и некоторые компоненты переиспользовались, но из-за криворукости определенных людей не все было верно подчищено. Это можно говорить после того, когда несколько часов посидишь по обфускованному коду», — отметил Невмержицкий.

Он также добавил, что как безопасник рад видеть, что разработчики постарались в плане защиты, поскольку такие штуки как проверка на root, защита от MITM-атак, обфускация (хоть и кривая, без чистки ресурсов, будь она, то всего этого цирка и не было бы), проверка хостов, валидации deep-link и еще пару вещей было сделано. «Не радуют только определенные штуки, которые они протыкали, но это будет на их совести, если кто-нибудь додумается до таких векторов атак и что-то из этого вылезет. В общем, разогнали предательство там, где его нет», — отметил специалист.

Напомним, что Минобороны запустило приложение Резерв+ с 18 мая 2024 года. В нем уже зарегистрировалось более 150 000 военнообязанных. Тем временем айтовцы жаловались о неисправностях в работе сервиса. Минобороны заявило о попытках врага сломать приложение.

Будут ли отправлять повестки в Резерв+ какие данные доступны пользователю и можно ли удалиться из приложения? dev.ua протестировал сервис
Будут ли отправлять повестки в Резерв+, какие данные доступны пользователю и можно ли удалиться из приложения? dev.ua протестировал сервис
По теме
Будут ли отправлять повестки в Резерв+, какие данные доступны пользователю и можно ли удалиться из приложения? dev.ua протестировал сервис
"Пропущенный урок" "kid_age_info" lesson_detail_deadline". Известный хактивист заметил интересный факт о Резерве+ и объяснил на базе какого сервииса созданное приложение
Пропущенный урок, kid_age_info, lesson_detail_deadline. Известный хактивист заметил интересный факт о Резерве+ и объяснил, на базе какого сервииса создано приложение
По теме
Пропущенный урок, kid_age_info, lesson_detail_deadline. Известный хактивист заметил интересный факт о Резерве+ и объяснил, на базе какого сервииса создано приложение
Приложение Резерв+ для военнообязанных уже работает. Как скачать
Приложение Резерв+ для военнообязанных уже работает. Как скачать
По теме
Приложение Резерв+ для военнообязанных уже работает. Как скачать
Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.