|
Skolski e-dnevnik i sigurnost?!
Verovatno ste svi culi da su u Srbiji osnovne i srednje skole pocele da uvode elektronske dnevnike. To kao roditelju omogucava bolji uvid u ocene svog deteta. Uskoro uvode i izvestavanje putem sms poruka...
Ali ono sto je bitnije, koliko je zaista ovaj sistem siguran i da li je ministartstvo prosvete uradilo nesto da testira tu sigurnost pre nego sto je podrzala ovaj projekat? Ocigledno nista, jer svako moze videti podatke o svim ucenicima iz (npr) OS Dusko Radovic ili OS Miroslav Antic i mnogih drugih. Svako ko se malo bolje razume u programiranje mocice da se uloguje prostim SQL injection-om i imace na tacni sve licne podatke svih ucenika (i to jos maloletnih)... I da, screenshots: [edit] za screenshot se obratite autoru[/edit] I ovakav sistem kosta nesto manje od 1000eura... Da ne verujes kakve strucnjake imamo! |
Ako si nasao propust, treba to da prijavis da otklone.
Inace, zanimljivo je da ovakvi prousti nisu prvi put i to bas na sajtoviam vezanim za skolstvo. Izgleda da su u ministarstvu bas napaljeni na korsicenje interneta i online pristup podacima ali nisu bas upuceni u stvar. Ovaj sajt je bar napredovao utolikoda je potrebno malo hakeraja da se dodje do podataka. Ja sam na nekliko mesta koja su bila pod okriljem drzave nailazio pregled podataka zakojiniej bila predvijena nikakva sifra. Najgors sto sam video to je pristup opdacima o upisu osnovaca u srednje skole gde je svako mogao da pogleda sve moguce licne podatke bilo kog deteta koje se upisivalo u neki od srednjih skola. Kad mislim sve, mislim bukvalno, ukljucujuci i brojeve telefona, adrese... Stvarno mi nije jasno kako neko moze biti tako neodgovoran. |
Moja keva predaje srpski. Po njenim rečima - sveska iz raja izašla. Može na interentu da piše šta god hoće, jedina merodavna stvar su ocene na papiru.
Tako će ostati za većinu prevača još dosta godina. Računa se samo crno na belo (dobro, uglavnom plavo i crveno). |
Citat:
|
^ What he said :)
Ko bre pravi ovakve grdobe? Kad se lozhe na ovakve skrolove kao pozadinu uopshte me ne chudi da je sigurnost na ko zna kom mestu |
Pa pravi taj isti koji je napravio i sistem. Obicno je to nastavnik OTO (ili kako se vec zove) koji u nekim skolama (znam primer za jednu) ne zna razliku izmedju modema i telefonskog aparata.
I kod mog deteta u skoli su trazili roditelji da imaju "elektronski dnevnik", a simptomaticno je da su to najcesce oni koji su za 4 godine skolovanja svog deteta jedva 2 puta dosli u skoli i to kada su morali. |
@ salebab hahaha, ovo je zlata vredno! Ovo sada treba da ide u novine da se obelodani koja se "pažnja" poklonila izradi "sistema".
|
@bluesman: Koliko sam ja shvatio, to je komercijalni projekat i neko je platio za taj proizvod. I koliko vidim, veliki broj skola koristi taj isti sistem.
Ovo je stvarno jako lose... |
Bit će još gore kad se Primorac nabrije na istu ideju pa počne slične bedastoće uvoditi u Hrvatsku na vjerovatno još nesigurniji način. Ajde, bar ću imati tema za Bug i Lider da malo i prosvjetu ošibnem. :/
|
Ako je moguce, moderatori samo da zamaskiraju ime/telefon onih klinaca iz attachmenta?
|
DPT revealed use case #1
|
Ovim se unistava zdravo odrastanje svakog srednjoskolca: bezanja sa casa, pravljenje opravdanja pomocu kuvanog jajeta i sl. :-)
I onda nismo daleko od: http://www.elyrics.net/read/l/lard-l...th-lyrics.html I naravno, nista bez Svetog Save... HACKER SAFE TESTED 24-FEB :1039: |
Nista novo, vise od pola "nasih" sistema je busno ... :( A najgore od svega je sto "nece da se poprave".
|
Da stvar bude gora, da 'prostite, ovu zajebanciju svi mi plaćamo preko budžeta.
|
Da li je pokretac teme obavestio odgovorne o propustima ? Kakvi su odgovori ?
|
Ne, nisam ih obavestio, ne osecam se obaveznim da njih obavestim. Vise se osecam obaveznim da obavestim javnost sta to nase ministarstvo podrzava. A posto je veoma dobro medijski ispraceno celo to uvodjenje savrseno savremenog i bezbednog e-dnevnika u skole, trebalo bi takodje javnosti reci da to i nije toliko savrseno... Uvek je bilo i bice losih informacionih sistema ali zaista mi nije jasno da drzava moze da stane iza neceg ovakvog.
|
Obavestio ih - ne obavestio, ništa neće uraditi po tom pitanju dok se priče ne dočepaju mediji. Isto kao što je bilo za nepostojeći sajt ministarstva telekomunikacija.
|
Lepo neko treba da presavije tabak i pise Kuriru ili nekom drugom visoko-tiraznom tabloidu pa ce se mozda nesto i desiti nakon toga...
|
odgovor na temu
Postovani,
evo zvanicnog odgovora na tematiku koja se ovde otvorila (pisem u ime firme Media Net koja je autor projekta) Naime dve skole koje se navode sa propustima u bezbednosti nemaju nikakve poslovne veze sa projektom Elektronskog Dnevnika koji je objavljen na zvanicnom sajtu naseg projekta: www.e-dnevnik.org Radi se o izolovanim skolskim resenjima el. dnevnika koje je napravio neki od profesora iz jedne skole i koja cak i ne rade aktivno u toku sk. godine. Nas sistem je centralizovan i skolske baze nam se ne nalaze po skolskim serverima ili sajtovima skola. Sve skole koje imaju elektronski dnevnik linkujemo preko sajta: www.e-ocene.org, ali je nas projekat radjen u mysqlu i jasno se vide razlike cak i na nasoj demo stranici (trenutno su obrisane stare skolske baze i krece se sa novom sk. godinom). (http://demo.e-dnevnik.org) Medjutim, ono na sta je neko od korisnika skrenuo opaznju i mi isticemo kao ozbiljan problem domaceg skolstva. Naime preko zvanicnog drzavnog portala za upis u srednje skole: http://82.208.210.46/skola_homepage.php biranjem Okruga, Opstine i skole dobijate listing svih ucenika VIII razreda bilo koje skole u Srbiji i odabirom ucenika mozete videti sve njegove ocene od VI razreda i druge tajne informacije. To znaci da svaki posetilac Interneta moze da vidi ocene i druge podatke svih ucenika u Srbiji bez ikakve lozinke. Stoga je tema zastite ocena u okviru Elektronskog Dnevnika izlisna ako je vec Ministarstvo prosvete dozvolilo da se JAVNO gledaju podaci ucenika. Hvala svima na strucnim i simpaticnim komentarima, brizi i profesionalnim savetima oko razvoja elektronskih dnevnika, ali verujte da nas projekat nisu pravili laici i da za tri godine rada nije bilo nijednog upada ili izmene podataka. Firma ima zaposleno 5 programera i oko 20 strucnih saradnika sirom Srbije koji rade na implementaciji i odrzavanju projekta. Mi smo privatnosti, zastiti i diskreciji prilikom koriscenja svih nasih servisa el. dnevnika dali primarni znacaj. Sto se tice placanja iz republickog budzeta, sve skole koje ga trenutno koriste su dobile medjunarodne donacije iz razlicitih evropskih fondacija i organizacija, tj. projekat jos uvek ne finansira drzava nijednoj skoli u Srbiji. Ako neko zeli da testira sistem moze nam se slobodno javiti, spremni smo za poslovnu saradnju sa programerima i administratorima sirom Srbije. ing. Sandra Milosavljevic, menadzer Media Net, Novi Sad sandra@jobs.co.yu |
Citat:
Ministarstvo prosvete to sigurno ne finansira a ni grad koliko mi je poznato. sredstva se obezbedjuju ili iz donacija ili od izdavanja prostora. To jeste simpaticno, ali skole nisu svesne da te podatke neko treba da unosi, a da ne pricam da neko treba da odrzava sistem. Konkretno, na kraju godine treba napraviti presek, i svi koji su V razred automatski preimenovati u VI i tako dalje. Da ne pricam da je nastavnicki kadar u skolama prilicno da ne kazem skoro potpuno informaticki neobrazovan, do te mere da ne pravi razliku izmedju kucista i monitora (Monitor je naprosto komIJuter). A to neko treba da plati Ministarstvo? Hm, taj film neces gledati. Grad, mozda, ako opet uleti u frku sa viskom para kao sto ume, pa onda na brzinu klepa neke projekte, samo da stuce kintu. Drugo, ministarstvo prosvete i jeste pokrenulo akciju objedinjavanja svih informacija vezanih za rad skole, radni kadar i ucenicku strukturu. Cilj kompletnog projekta jeste bila racunica koliko KOSTA JEDAN DJAK. Taj projekat ide pod radnim imenom EIS i trenutno je u nekoj prlicno cudnoj fazi. Nije definisano ko unosi te podatke, ko placa te ljude, sta se unosi ... Jednostavno haos. Pritom, roditelji su digli buku prosle godine ako se secas, zbog onog anketnog listica gde je bilo dosta prilicno intimnih pitanja. Da treba imati neki elektronski pristup ocenama, treba, to je cinjenica. Ali ne na ovaj nacin i ne da ga rade ovi ljudi koji su ga radili. Inace, mali trac, Prve korake u formiranju EIS-a kao programa, napravili su programeri i strucni saradnici iz EU (skandinavci, nemci ... ) i posle par meseci, digli su ruke i rekli da uopste ne razumeju nas obrazovni sistem niti kako on uopste funkciionise. Na stranu sto su uljudno precutali da nismo normalni, misleci konkretno na Vuksanovica, tadasnjeg ministra u Vladi. Oni otisli, ovi nasi se svadjali po partijskoj liniji, pa su na kraju posao uzeli neki likovi iz BAnja luke. A neko se i omrsio:1044: Eto tako Izvinite na ovolikom postu, brzo kucam :1041: a valjda je bilo i korisno Pozz |
Citat:
|
Citat:
Ajde probaj da udjes u neku skolu i da trazis uvid u dnevnik sa ocenama. Cak i da si roditelj, nece ti dozvoliti da pogledas ocene drugih ucenika. Drugo, dnevnik je ozbiljan dokument koji se cuva trajno. Zamisli samo zloupotrebu prilikom izdavanja duplikata tj. pravljenja falsifikkovane diplome. Trece, nemam prava da odem u SUP kada kupujem stan u nekom kraju i da trazim informaciju da li je u blizini registrovani pedofil, al zato mogu da pogledam ocene od buduceg komsije. Nesto tu ne stima Cetvrto, mislim da je to podatak podlozan "tajnosti" isto koliko i tvoja ili necija plata. Srbija je jos palanka, da bude jasno |
Citat:
Zasto je to sto pise u dnevniku tajna? Plata je tajna iz ociglednih razloga jer je svaka firma pravno lice za sebe i sve sto je u okviru firme osim godisnjih izvestaja jeste tajna. Skole su drzavne (osnovne) i obavezne za sve sa prilagodjenim materijalom tj. programom za svako dete. Tajnost tih podataka je apsurdna. |
He he
Sad zalazimo u domen teorije zavere :) Poznati su slucajevi laznog predstavljanja Pokupis lazne diplome, papire i lazno se predstavljas Poslednji slucaj bese sa onim doktorom. Osoba je stvarna, ocene su stvarne, diploma je stvarna ali donosiioc toga nije. Radim u skoli, u administraciji pa su mi poznati razni slucajevi. Da ne verujes cega ima Tajna Ne znam, da li si isao nekada na roditeljski sastanak i otvorena vrata. Poznat ti je sindrom, da komsiji crkne krava. Znas, moj mali je 100 puta pametniji od onog malog debila kome je majka glupaca pa oopet ima ocenu manje .... i tako dalje. Em sam roditelj, em radim u skoli pa znam i to. Generalno, treba da postoji jedna jaka baza sa svim potrebnim informacijama, ali ne na izvolte kome se prohte. Na stranu sto smatram da su Otvorena vrata zakon. Oci u oci sa nastavnikom, rules |
papir vs.elektroni
Citat:
Ali sustina uvodjenja elektronskog dnevnika nije zamena papirnog dokumenta nego omogucivanje bolje dostupnosti informacija. Radio sam pre par godiana na projektu skolskog veb sajta (koncept i promociju) gde je e-dnevnik bio znacajana komponenta na kojoj je insistirala upravo skola (meni je npr. deo e-znanje bio mnogo interesantniji i bitniji deo projekta). Jedan od argumenata se zasnivao na cinjenici da su mnogi roditelji veoma udaljeni od skole, u pitanju je srednja tehnicka skola u Uzicu koju upisuju tinejdzeri iz udaljenih mesta, pa im je zgodno da na netu pogledaju uspeh i prate ponasanje deteta. Citat:
@ Sandra Milosavljevic Respect za medijsku pokrivenost vasih aktivnosti :) |
Hm, podaci u dnevniku su isključivo lični i odnose se na pojedinačne učenike. Možeš recimo da predstaviš konačni uspeh kao transparentni podatak, ali tekuće dnevničko stanje je strogo lična kategorija (je li, dobije ti dete keca iz muzičkog u nekom trenutku i za to sazna cela planeta, bez veze).
|
Citat:
Citat:
@Moderatori & salebab: Mozete li IPAK sakriti ime i prezime, kao i ostale licne podatke o djeci na prilozenim screenshotovima? |
@stelanova: ne zezaj bre, tajnost podataka u dnevniku je apsurd? Pored toga, koji bi (normalan i opravdan) razlog bio osim "da zaviri kako komšijsko dete..."
Mogu da potvrdim da je tacno sve sto kaze Alkion, najveci problem u skolama nisu deca nego roditelji. :) |
1 Prilog(a)
Citat:
Sad vidim da su ostale skole na tom drugom sistemu. Ali zasto onda ja kao obican surfer mogu da napravim gresku u SQL upitu pored 5 programera i 20 strucnih saradnika? |
Citat:
|
ciji su njihovi novci
Citat:
Evo ti primer "Пројекат “Е-Знање Ужице“ изведен је под покровитељством Министарства просвете и спорта Републикe Србијe, финансиран од стране Европске Уније, као део иновационог фонда “ВЕТ Србија“." |
Citat:
Sumnjam. Ministarstvo prosvete uglavnom daje plate, otpremnine, strucna usavrsavanja, krpii krovove ... Takvi projekti su uglavnom finansirani od strane Svetske ili Evropske banke. Mi smo dobili od Evropske banke pre 3 godine neku kintu a na osnovu projekta i elaborata od 100 strana koji smo pisali metar dana. Ministarstvo je tu samo bilo posrednik. Drugo, za takve projekte vise je nadlezan grad, koji cisto da znate ulaze vise para u obrazovanje nego bilo ko. Materijalni troskovi, nabavka racunara, licenciranje softvera ... Opstina, naravno nista. No nije poenta u tome. Poenta je da Ministarstvo prosvete stane ispred projekta koji omoguciti svim skolama identican hardver, internet pristup, edukaciju i JEDINSTVENU APLIKACIJU. Ovako, za 5 godina kada nas uhvate ovi iz EU, bice migracija sa jednog sistema na drugi samo tako. Nek neko ode u PEtar Drapsin skolu koja je pod direktnom kontrolom "EU" Malo su to uradili preko veze jer su bliski sa gradskom vladom, ali tamo je sve pod konac. E kako je tamo, tako treba svugde Ovako , svako pravi aplikaciju kako mu se hoce Da se ne ljute sad momci iz ove firme, ali relano to vodi ka stanju gde se ne zna ko puca a ko skuplja caure. Pritom, najgore je to sto niko ne pita krajnjeg korisnika tj skolu, kako to treba da izgleda Nego tamo (Min prosvete) sedi neki savetnik, koji nije cuo skolsko zvono 30 godina i nema pojma sta je tastatura a sta monitor, sta baza a sta aplikacija a da ne pricam o tome da tamo jos postoje ljudi koji misle da kad otpakujes onaj DELL automatski imas pristup svakoj informaciji. Eto tako |
info
za Saleta:
hvala na razumevanju, stavicemo u zagradu kod listinga za te skole da nisu deo naseg sistema, niko nije imao u vidu da moze doci do negativne slike o bezbednosti naseg projekta, upravo smo imali nameru da bez averzije prikazemo sve skole koje koriste bilo koja e-dnevnik resenja. Sto se tice pitanja i losih upita za tekuce baze na nasem serveru prosledjeno je php administratoru, koliko vidim radi se o losem sql upitu bez nekih razloga za veliku brigu, da li je zelja bila da se vide sve skole na serveru ? Inace sada je stanje takvo da skole-korisnici projekta tek od 01. otkobra krecu sa primenom projekta i trenutno nema nijedne skole na serveru sa ocenama (sve se brise 01. septembra iz prethodne sk. godine) i sada se vrse pripreme za novu sk. godinu. Sandra |
Citat:
I ja sam nesto razmisljao o samoj sigurnosti te aplikacije... ali me totalno mrzi i da pogledam o cemu se radi... i cela fama oko e-dnevnika mi je glupa... verujem da se tako kvari odnos poverenja izmedju roditelja i deteta... :1094: |
scenario katastrofe
Citat:
|
E bre Miloje sto si takav bukvalista... Zar ne mislish da bi roditelj pre svega trebalo da ima poverenja u svoje dete, kako bi bilo i obrnuto...
|
Ja vidim klince koji menjaju keceve u dvojke :) I vidim roditelje koji deci menjaju dvojke u cetvorke :) Vidim citavo jedno trziste ovde, pravi procvat interneta :)
^ that's the spirit... pravi jedan optimizam :) |
ovaj propust je toliki da ce ga iz aviona videti svako ko je u zivotu napisao bar jedan sql query.
stvarno ne vidim potrebu da se kace shot-ovi, i to sa sve punim podacima te dece. sem ako je dpt nasledio [es]::defaced, onda da i ja okacim shot? |
Nije bio defaced, ovo je sigurnosni propust.
Sklonio sam screenshotove.Ako autori žele neka mi proslede linkove ka shotovima koji nemaju imena dece na njima, ili neka te shotove postave u novoj poruci. |
Citat:
Trebalo bi ici na poitiku otvorenih protokola, to jest da se na nekom nivou definisu protokli za pristup podacima i da apliakciaj njih mora da ispostuje, a ko je pravio program kako i sta ej ispod haube to je stvar svake skole. Tako je recimo uradjen bankarski sistem: svaka banka je slobodna da koristi informacioni sistem koji god zeli, ali u bankarskom sistemu moze da ucestvuje samo ako je njihov sistem kompatibilan sa propisanim protokolima. To bi trebalo da bude princip na kome funkcionise svaka drzavna ili javna institucija. Kod nas je nazalost sve naopako, pa tako kod ovih veliki poslova, posao dobije onaj koji bolje podmaze, a kada ga dobije prakticno se nalazi u monopolskom polozaju i niko drugi tu ne sme ni da primirise, a sto je najgore, tom izvodjacu se daju odresene ruke da razvije sistem onako kako zeli (citaj onako kako ume) bez ikakvih obaveza da ispostuje bilo kakve standarde. |
| Vreme je GMT +2. Trenutno vreme je 07:04. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.