Да уж, вот это вот, Ну у нас так сделано, и по другому не могем, эпик конечно. Ладно. с этим понятно, хотели как лучше(если хотели...), получилось как получилось, и всем н*****ь. Другой вопрос возник, толком не понял, о чем там, вот к примеру, являюсь пользователем госуслуг, самодин как частное лицо, никаких подписёв не оформлял, не надо оно мне, так вот какая нить другая редиска с этой самой подписью, не может невзначай ко мне в кабинет влезть?
Утверждать не берусь: слышал, как мошенники оформляли ЭП жертвы на себя по поддельным документам и продавали его квартиру. И хрен чего в суде докажешь.
Читал. А что в статье должно смутить? Там правильно ответили. ЭЦП выдается на физика, и неважно как личная ЭЦП или как ЭЦП с атрибутами юр.лица. И потому такая ЭЦП даст доступ к личным данным физика. Это не проблема госуслуг, это проблема нашего законодательства. Если ЭЦП оказалась у третьего лица (неважно по собственной воле или украдена) эта ЭЦП считается скомпрометированной. И это уже совсем иной вопрос. Моя ссылка в первую очередь - гайд как себя периодически проверять на предмет выпущенных ЭЦП.
За ссылку спасибо. А кто оформлял личную ЭП, извещение на мыло приходит? *** К вопросу о качестве системы. И-и...
ну как бы да. но тут есть такой момент: выпускать ЭЦП можно через многие удостоверяющие центры, а там при оформлении ЭЦП можно указать мыло отличное от того что указано на госуслугах. По крайней мере раньше когда я выпускал ЭЦП через сервис "Контура" там мыло было одним из реквизитов, но это правда и было лет 10 назад, может что и изменилось. Через госуслуги именно не выпускал ни разу и тут уже не скажу.
Теоретически именно госуслуги должны квитировать факт появления новой ЭП в их базе. Мыло, указанное в УЦ как бы ни при чем. Но то в теории. Ах, это всех касается… Как шел к себе домой Ты в обществе красавицы Прекрасной, но хмельной! Ах, это всех касается… Как посреди невзгод Тебя твоя красавица Лишила всех свобод! Ах, это всех касается… Как ты живешь с красавицей В высоком терему, Похожем на тюрьму! Ах, и мне б, смеясь и плача, От души, душою всей, Песни петь – и пунш горячий Разливать в кругу друзей! И красавицу хмельную Под покровом темноты Уносить любой ценою В край загадочной мечты!
она касается любого в наше время. чтобы получить ЭЦП требуются сканы паспорта, снилса (опять же опираюсь на инфу 10-летней давности но думаю мало что изменилось в регламенте) и пройти процедуру выпуска в удостоверяющем центре. То есть по факту злоумышленник имеющий живые сканы может это сделать минут за 30 при наличии желания ну она в базе появится, само собой. я почему ссыль и дал. но вот я реально не уверен что в ГУ настроено уведомление о появлении ЭП в профиле. я об этом
Ну далеко не любой имеющий сканы это может, требования к выдаче ЭЦП - личное получение, с 1го января требования станут еще строже, тут вопрос к УЦ будет. ЭП на юридическое лицо по факту является ЭП физического лица только с проставленным ОГРН. Организации в первом посте появились в списке только потому что физическое лицо в них зарегистрировано через госуслуги, к ЭП отношения никакого не имеет, точно такое же он увидит если откроет госуслуги через логин/пароль. К тому же ЭП является конфиденциальной информацией передача третьим лицам строго запрещена. И да уведомления при выпуске сетификатов приходят на госуслуги сейчас.
Хэх.. В одной знакомой бюджетной организациигода три назад от сотрудников потребовали "всем срочно оформить аккаунт на госуслугах", "отчитаться делопроизводителю и сдать ему логин-пароль ".. В Мск-области в прошлом году, когда в разгар пандемийных новаций завернули гайки таксистам и срочно-бегом-прыжками пришлось оформлять самозанятость, агрегаторы, в ответ на шквал вопросов от водителей, "чтоб ускорить" оформление этого всего - отправляли в конкретные фирмочки, оказывающие услуги по регистрации , которые - тоже "чтоп ускорить и порешать всё по телефону и не ехать к нам из вашего Раменского в наш Нарофоминск"- по этому же самому телефону предлагали "давайте нам на время лог-пароль от госуслуг и мы вам всё быстро-быстро сделаем".. некоторые реально давали)))
оформлял продление разрешения на оружие, менты так же потребовали логин-пароль госуслуг "для заполнения завяления, сами вы не сможете", и никак иначе. Дикие люди.
в первую очередь. пока кто-то её вместо тебя на тебя не оформил и дел не навертел на самом деле, ГУ, ЭП или не ЭП тут не принципиально. это просто способ мошенничества используя этот инструмент. аналогично как с доверенностями-нотариусами. юридически, как бы невозможно без тебя оформить доверенность, а практически, это таки как-то иногда случается. и потом попадает в новости и сводки.
Эти же некоторые и деньги перечисляют по звонку "СБ Сбера" или "следователя СК". Если человек *****, то никто кроме него, в этом не виноват.
Ну а куда деваться, сроки горели, и так со штрафом оформлял. Прикинулся дураком и сказал, что двухфакторную авторизацию не знаю, как снимать, звоните, когда надо будет войти
bad news Исходный код Госуслуг утёк в сеть Взлом Госуслуг: утечка исходного кода ***кхм*** разработчики оставили каталоги .git на поддоменах *.mos.ru в открытом доступе и хакер Владислав Хорохорин успешно всё оттуда выкачал. Архив с исходниками весит 7 гигов — там сами госуслуги и сертификаты ЕСИА. Администрацию Госуслуг предупреждали об уязвимости и раскрыли все её детали, но ответа не последовало.
было, было. по новостям пролетало, и потом на хабре статья с разбором была. по ключевым словам нагуглится без проблем. это даже хорошо. пройдет независимый аудит, так сказать
А при чем тут Госуслуги? мос.ру - это портал госуслуг города Москвы. Конечно то же госуслуги, но локальные, для Москвы.
почитайте сылку на хабр - там на пальцах объяснено "при чем". "Для тех, кто всё-таки силён в IT : 1) имея на руках открытый код гораздо проще исследовать и тестировать уязвимости. 100% безопасного кода в таких огромных проектах не бывают, так что с высокой долей вероятности что-то, да найдут; 2) при помощи утекших сертификатов можно проводить фишинговые атаки и похищать ваши данные. Пока непонятно, успели ли сертификаты отозвать и заменить, так как времени с момента публикации прошло совсем немного, а Госуслуги обрадовали наличием уязвимости в 4 часа утра на выходных."