گاف بزرگ سامانه اعلام حساب خانوار

از چند روز پیش وزارت رفاه با اعلام سایت www.refahi.ir به عنوان سامانه ای که تمامی خانوارها باید به آن وارد شده و شماره حساب سرپرست خانوار را ثبت کنند، اعلام کرد.

نکته جالب توجه آنجاست که اگر نگاهی به سورس صفحه نخست این سایت بیاندازید با چیزی شبیه تصویر زیر مواجه می شوید و اگر به قسمت درون کادر دقت کنید خطای نابخشودنی طراحان این سامانه را به چشم میبینید!

شرکت معظم گوگل سرویسی دارد به نام Analytics(+) که حقیقتاً در نوع خود بی نظیر است. این سرویس برای آمارگیری و مشاهده رفتار کاربران در وب سایت شماست که به شکلی عجیبی در سایت رسوخ می کند به نحوی که می تواند حتی زمان تقریبی حضور هر کاربر را نیز به شما اعلام کند و از آن فراتر شما را قادر می سازد تا یکسری اهداف در وب سایت خود تعریف نمایید و رفتار کاربران در مواجه با المانهای مورد نظر خود را بررسی کنید! گوگل همه این موارد و حتی بیشتر از آنرا از طریق کدی بدست می آورد که شما بصورت داوطلبانه در سایت خود جای می دهید.

اما خطای طراحان عزیز سایت refahi.ir کجاست؟

در این سامانه شما با ورود کد ملی و پس از آن شماره حساب خود و در برخی موارد شماره موبایل خود اطلاعات لازم را در سایت درج می کنید و استفاده از کد سرویس analytics گوگل، این شرکت معظم را قادر می سازد تا به حجم عظیمی از (و یا شاید همه) اطلاعات شخصی افراد که شامل: کد ملی، نام و نام خانوادگی، شماره حساب و شماره موبایل دسترسی داشته باشد و خوشحال باشد از این اتفاق!

طراحان این سامانه برای تامین امنیت سامانه از دیتاسنتر داخلی استفاده کرده اند و در حال حاضر این سایت روی سرور شرکت www.aryasat.ir قرار دارد که امری قابل توجیه و صحیح است ولی با این همه دقت در امنیت سرور، چنین خطای بزرگی  در استفاده از سرویس آمارگیری گوگل چه معنایی دارد؟

بهتر نیست در اینگونه موارد دقت کنیم؟

17 thoughts on “گاف بزرگ سامانه اعلام حساب خانوار

  1. سلام
    ممنون که تذکر دادید
    ولی کاش اینو اول به گوش وزارت رفاه میرسونید

    بعدش آیا شما این مطلب رو خودت فهمیدی یا کسی به اون اشاهر کرده بود؟

  2. واقعا از این همه دقت و تلاش برنامه نویسان و متصدیان امنیت این سامانه کمال تشکر را دارم که کلیه اطلاعات شخصی مردم ایران را به این راحتی و بدون هیج کونه احساس مسئولیتی در اختیار سایر سامانه های خارج از کشور قرار می دهند , این امر نشان دهنده مدیریت بسیار ضعیف و عدم کفایت و آگاهی مسئول وزارت خانه می باشد.

  3. با سلام
    و تشکر از حسن نظر و دقت شما
    من مدیر ایجاد این سایت هستم. جاوا اسکریپت مورد اشاره شما توسط تیم پروژه بررسی شده و این اسکریپت صرفا اطلاعات مرورگر سایت را برای گوگل ارسال می نماید.
    این اقدام جهت بررسی رفتار مراجعه کنندگان و تحلیل زمان بندی مراجعه و ماندگاری آنها در سایت و همچنین نوع مرورگر مورد استفاده آنها انجام شده است.
    مجددا عرض می کنم با توجه به در دسترس بودن متن اجرایی جاوا اسکریپت و تحلیل آن ، هر گونه نگرانی از این موضوع بی مورد می باشد.

    متن اجرایی اسکریپن موجود است که در صورت علاقه مندی قابل ارائه می باشد.

    با تشکر مجدد از شما، خواهشمندم نظرات و انتقادات خود را با اینجانب نیز در میان بگذارید.

    حسین ذوالفعلی

  4. ای بابا اگه اینطور که میگی صحیح باشه پس تا بحال تمام استفاده کنندگان از سرویهای آنلاین بانکهای :
    اقتصاد نوین
    سامان
    صادرات
    تجارت
    اطلاعات همویتشان لو رفته چون تمام این سایتها از این سرویس گوگل استفاده میکنند.
    بدا به حال ما

  5. چرا توهم ایجاد می کنید این جاوا اسکریپت فقط انچه که ما به گوگل می دهیم که ان هم برای همه بصورت استاندارد است ارسال میشود و کد می و غیره را نمی تواند بردارد و حتی ما نیر اگر ارسال کنیم گوگل نگه نمی دارد؟
    چرا از از ابزار شنیع و دروغ و افترا برای بد نام کردن دیگران و مطرح کردن خود استفاده می کنید .
    وقعا جای بسی تاسف است که از من ترین سرویسه که حتی تمام بانک ها برای رفتار شناسی مخاطب استفاده می کنند را به جاسوسی متهم کرد ان هم گوگل که نیازی به این کار ندارد؟!!!

  6. سلام
    همونطور که می دونید گوگل آنالیز یک کانتر مثل وبگذره که فقط امکاناتش بیشتره (غیر قابل مقایسه) ولی بنده به عنوان یه برنامه نویس مبتدی می دونم که این کدها جاوا اسکریپت هستند.
    همونطور که می دونید دیتاهای ارسالی به صورت POST به سرور ارسال می شن که در این صورت جاوا اسکریپت نمی تونه به اونها دسترسی داشته باشه.

    هزار تا دلیل دیگه هم دارم که این اطلاعات رو گوگل خیلی بهترش رو داره و هیچ وقت اسرار کسانی رو که بهش اعتماد کردن در اختیار دیگران قرار نمی ده.

    اینقدر مطلبتون از لحاظ علمی ضعیف بود که خواهش می کنم زود تر برش دارید که مایه آبرو ریزیه

  7. سلام
    مطمئنا با داشتن برنامه نویسان مسحور مایروسافت و البته تنبل در تحقیق و صد البته بی رگ در حفظ امنیت ملی و نبود همت جهت ایجاد سیاست امنیتی ویژه و عدم تحریم جدی از طرف سایتهایی همچون گوگل و نبود فکر تکلیف گرا اینجور سوتی ها چیز طبیعی محسوب می شود.
    وای بحالمون
    خدا رحم کند

  8. سلام

    عزیزم این اسکریپت فقط در صفحه اول سایت است و در همان صفحه اجرا می شود و چیزی که گوگل می تواند بدست آورد فقط یک زوج عدد (سریال شناسنامه و کدملی) است در حالیکه نمیداند آنها برای چه کسی است. شما جای گوگل بودی همچین کاری می کردی؟!

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


پنج × 4 =

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>