serge_gorshkov


Сергей Горшков - о бизнесе в сфере ИТ

о семантической интеграции, программировании, управлении...


Previous Entry Share Next Entry
Позор джунглей, или сапожник без сапог
serge_gorshkov
Собрался я на конференцию KESW-2013, в СПб в октябре. Насколько мне известно, единственная в России конференция по семантическим технологиям. Проводит ее ИТМО - С.-Петербургский университет информационных технологий, вполне уважаемое заведение, выпустившее много ценных кадров в ИТ-индустрии. Команды ИТМО постоянно выигрывают разные международные олимпиады по программированию, и т.д. В общем, флагман.

И вот дошло дело до регистрации на конференцию. Поскольку я выступаю как докладчик, меня, видимо, автоматически внесли в регистрационную систему, после чего мне пришло загадочное сообщение по e-mail. Процитирую его полностью:

"Dear Dr. Gorshkov,Thank you for your interest in the Knowledge Engineering and Semantic Web Conference 2013.To proceed with online registration, please refer to your login and your password:login

=93356password=61844770Save your personal login and password.Please do not hesitate to contact the Rustour Llc (Monomax Group) at kesw2013@onlinereg.ru if you have questions or need further information.Sincerely yours,Rustour Llc (Monomax Group)"

Орфография и форматирование оригинала сохранены.
Почему-то мне это письмо сразу напомнило китайские карандаши от тараканов "Машенька" (90-е годы), на которых был написан рекламный слоган - "Черви сразу пасют!" Вот и здесь примерно то же: в целом понятно, что речь о регистрации на KESW, но не более. Главное, не понятно - куда собственно применить login и password, которые мой искушенный мозг программиста углядел в этой алфавитно-цифровой каше? На чьей стене нарисован тот очаг, к которому подойдет мой золотой ключик?



Побродив по сайту конференции, нахожу нужную ссылку, и оказываюсь на странице входа в систему регистрации. Это некий "готовый" программный продукт, представляющий собой универсальную систему регистрации на конференции; жертвами этого продукта и пали организаторы KESW. Заодно замечаю копирайт внизу - "(C) 2005 Monomax". Продукт свежайший.

Ну что ж, попробуем ввести логин и пароль. О черт, их нельзя скопировать и вставить! На полях ввода висит JavaScript, который убивает все нажатия клавиш, кроме цифр. Наверное, для безопасности и удобства использования! Ладно, вставим правой кнопкой мыши. Волнующий момент... Gotcha! Вот что мы видим:

ss

Вот какие молодцы, не боятся показывать структуру базы! И SQL-инъекций тоже не боятся, не экранируют значения в запросах (зачем - ведь JS в браузере уже обрезал все, кроме цифр! :) ). Немножко поигравшись с параметрами запроса, я получил несколько еще более интересных вариантов выдачи, но ладно, это не спортивно. А внутри там, между прочим, личные данные участников, и даже оплата счетов за участие.

Ну и еще несколько штрихов в завершение картины. Когда переходишь с сайта конференции на сайт этой "регистрационной системы", на главной странице висит следующее:

ss1

Вот эта картинка имеет физический размер 1100x319, а в теге <img> у нее указано следующее: style="WIDTH: 925px; HEIGHT: 207px". Заметьте, делал продвинутый программист, знает про стили - а то мог бы просто написать width=925 height=207 (это я не случайно так пишу, про кавычки в HTML-коде они и не слышали, да и теги не закрывают).

Вообще, конечно, в HTML-код лучше не смотреть. Приведу только самое начало:

ss2

Ну конечно же, тег <head> завсегда идет впереди <html>! :D

В общем. Мы сами тоже не без греха, конечно - за 15 лет на ниве веб-творчества случалось и писать, и даже выкладывать в продакшн, скажем так, сыроватые продукты. Но такой органичной, полной и завершенной лажи мы не делали никогда, да и в страшном сне бы такое не приснилось. Особую пикантность ситуации придает то, что продукт, видимо, "сыроват" с 2005 года. То есть уже девятый год участники научных конференций регистрируются с его помощью... и ни у кого не дошли руки все это выкинуть. А еще большую пикантность придает то, что в данном случае мы через этот продукт регистрируемся на конференцию, которую проводит ведущий ИТ-университет России. Участниками конференции будут только профессионалы в сфере ИТ, и среди них, между прочим, немало зарубежных гостей. Это для них предназначены те потуги что-то написать на английском, по прочтении которых все сразу поймут, что едут в очень прадвинутый и гордый страна (чего стоит, например, выражение "Natural person" в значении "Физическое лицо" - а если кто-то не натурал, я извиняюсь? Я понимаю, что у них там в Питере этот вопрос стоит остро; однако мало того, что на этой теме нашу Олимпиаду чуть не бойкотирует мировая общественность, им надо еще и KESW сорвать?!).

Кстати. Я предлагаю поручить компании Monomax автоматизацию игр в Сочи. Там ведь тоже наверняка нужны системы регистрации, и нужно что-то написать на английском! Можно отдать им контракт без конкурса, как единственному участнику, способному обеспечить требуемое качество работ.

p.s. К KESW и ИТМО я по-прежнему отношусь с глубоким уважением. :)


  • 1
я думаю, они аутсорсят студентам, которых отчислили и им нечего делать ;)

Очень надеюсь, что это были не студенты ИТМО. Ибо учащиеся екатеринбургского радиотехникума пишут намного качественнее (это результат наблюдений за указанными учащимися). Так что, если вдруг этот продукт писали студенты ИТМО - значит, курс партии и правительства на уничтожение системы высшего образования следует признать правильным: заслужили.

  • 1
?

Log in

No account? Create an account