Правильна відкритість, чи Як працює кабінет Держземкадастра

Четвер, 8 жовтня 2015, 13:08
розробник, програміст, для УП

6 октября ГП "Центр Державного земельного кадастру" (при поддержке Держземагентства) запустило кабинет электронных сервисов.

В отличие от первого дня работы кабинета электронных сервисов минюста (ГП "Информаційний центр"), запуск нового кабинета прошел на удивление гладко. Поздравляем IT-команду ДЗК.

Но не обошлось и без незначительных ошибок. Об этом ниже.

Законодательство

Согласно ст. 36 закону України "Про державний земельний кадастр", "пошук, перегляд, копіювання та роздрукування відомостей Державного земельного кадастру, оприлюднених на офіційному веб-сайті центрального органу виконавчої влади, що реалізує державну політику у сфері земельних відносин, здійснюються безоплатно".

То есть свободный доступ стал таковым не только с точки зрения неограничения доступа простых граждан, но и с точки зрения отсутствия оплаты за него. Почему подобная норма не прописана в законе про реестр имущественных прав - остается загадкой.

Авторизация

Авторизация порадовала больше всего. Доступно несколько способов: ЭЦП, BankID, email. Email, однако, не позволяет производить поисковые запросы. Согласно еще одной норме закона, идентификация пользователя должна быть надежной. Минюст "решил" эту проблему ссылкой на административную ответственность при вводе недостоверных сведений. ДЗК предоставил техническое решение.

ЭЦП

Про ЭЦП хочется сказать отдельно. Впервые на госудаственном сайте мы видим работу с ЭЦП без апплета. Без апплета, Карл! Для тех, кто не знает, апплет - это такая штука, которую отключили в Chrome из-за бесчисленных проблем в безопасности. Из-за чего приходится пользоваться другими браузерами, например Firefox или IE.

Теперь данная функциональность реализована исключительно при помощи JavaScript.

Нельзя сказать, что сервис, разработанный компанией "ИИТ", такой же качественный, как разработанный волонтерами, но это предмет отдельного разговора.

BankID

Если вы счастливый обладатель карточки Приватбанка или Ощадбанка (или некоторых других), для вас - авторизация при помощи BankID. Вы вводите свои логин/пароль в кабинете банка так же, как при проверке счета, а банк предоставляет кадастру ваши паспортные данные, которые вы указывали при оформлении договора.

ЭЦП vs BankID

Реализация BankID также позволяет осуществлять идентификацию при помощи ЭЦП. Однако, требует для этого установки дополнительных расширений и плагинов и работает не у всех. Удручает, что несмотря на успешный опыт реализации электронных услуг, присутствует такая вот ложка дегтя.

Поиск

Непосредственно поиск информации реализован так же хорошо.

Здесь предлагается ввести кадастровый номер интересующего участка. Номер участка можно найти на интерактивной кадастровой карте. Оттуда же можно перейти на страничку с уже заполненной формой.

Поиск защищен от автоматических запросов при помощи современного средства reCAPTCHA от компании Google. Время от времени вам будут предлагать решить небольшую задачку, вроде выбора определенных блюд из представленных на картинках. Таким же механизмом защищен, например, реестр юрлиц.

Результат поиска можно получить как в формате html, так и загрузив сгенерированный PDF. Надо заметить, что генерация PDF происходит на серверной стороне, при том что современные технологии позволяют генерировать PDF на стороне клиента, не тратя драгоценные ресурсы сервера. В PDF также присутствует QR-код, который позволяет при необходимости перевести распечатанный документ обратно в цифровую форму.

Ошибки

Не обошлось и без ошибок. Опять https.

Не прошло и двух месяцев после истории с неверной настройкой https на сайте петиций, как государственные специалисты опять наступают на те же грабли.

ДЗК решил не заморачиваться запуском собственного сервиса авторизации при помощи ЭЦП и решило использовать тестовый от "ИИТ". Сертификат на этом сервере самоподписанный, что по-большому счету равносильно отсутствию https-соединения. Кстати об https-соединении. На сайте кабинета его тоже нет.

Чем грозит такое упущение? Злоумышленник может украсть ваш пароль и воспользоваться им чтобы выполнять запросы от вашего имени. Но это не страшно. Страшно другое. Злоумышленник может украсть ваш секретный ключ ЭЦП. Хотя при штатной работе ваш ключ и не покидает пределов компьютера, при отсутствии https возможна подмена функциональности сервера авторизации с отправкой секретного ключа на произвольный адрес.

Проблема разработчикам известна. Причина - в недостатке финансирования. Приветствуются желающие пожертвовать средства на сертификат для ДЗК и/или ИИТ.

Ошибка 500

При запросе некоторых кадастровых номеров возникает ошибка 500.

Хотя и тут ДЗК отличился в лучшую сторону. В отличие от аналогичного сервиса минюста, здесь нет утечки технической информации при возниконовении ошибок.

Иногда возникает эта ошибка и при авторизации. Возможно, из-за ажиотажа в первые дни работы.

Интрига

И напоследок. В кабинете присутствует загадочная опция "Налаштування API". Какой-либо информации об этом найти по этому поводу не удалось. Возможно, нас ждут перемоги.

Что дальше?

Надеемся, что Минюст воспримет этот позитивный пример и настолько же качественно реализует свой кабинет.

Боротьба триває.

Іван Яні, розробник, програміст